Home > 전체기사
BEC 공격 전문 갱단 vs. 이메일 보안 전문 기업
  |  입력 : 2018-12-05 23:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
하필이면 이메일 보안 업체에 사기 메일 보낸 갱단들
같은 수법으로 이메일 주고받으며 역추적...두목 위치까지 파악해


[보안뉴스 문가용 기자] 업보이거나 허술한 작전이거나. 어찌됐든 최근 들어 꽤나 많은 사이버 범죄 단체들이 보안 업체 임원이나 전문가들을 건드렸다가 도리어 정체를 들키고 아지트를 발각당하고 있다.

[이미지 = iclickart]


한 악명 높은 나이지리아와 영국의 BEC(사업 이메일 침해) 공격 단체는 최근 소셜 엔지니어링 사기 작전을 실행했다. 그런데 하필이면 이메일 보안 전문 업체인 애거리(Agari)의 CEO인 라비 카토드(Ravi Kahtod)를 찍었다. 카토드인 척 애거리의 CFO인 레이몬드 림(Raymond Lim)에게 사기 이메일을 보낸 것이다. 8월 7일이었다.

그 후 무슨 일이 있었을까? 애거리가 그에 대한 상세 내용을 발표했다. 애거리는 이메일 보안 전문 업체에 이메일 사기 공격을 시도한 이 대범한 그룹에 런던 블루(London Blue)라는 이름을 붙였다. 수개월 동안 이들을 추적한 결과 내부 구조까지 파악이 완료됐다. “저희는 런던 블루가 사용했던 공격을 그대로 적용했습니다. 레이몬드 림의 비서인 것처럼 행동하며 그들의 메일에 대응해 살살 그들의 정보를 캐낸 것입니다. 그게 생각보다 잘 진행돼서 공격자들의 물리적인 위치까지도 파악하는 데 성공했습니다.”

애거리의 수석 위협 분석가이자 전 FBI 수사관인 크레인 해솔드(Crane Hassold)는 “런던 블루와의 메일 교환을 통해 알아낸 정보에, 저희가 수집한 첩보들을 합해 런던 블루 갱단의 두목에 해당하는 인물 두 명을 파악하는 데 성공했다”며 “런던에서 거주하고 활동하고 있다”고 말한다.

가장 놀랄만한 일은 이들이 무작위로 사기 메일을 살포하는 게 아니라는 것이었다. 최소 두 개의 합법적인 잠재 고객 발굴 서비스를 사용해 공격할 C-레벨 임원들을 골라냈다. “임원의 역할, 위치, 회사 규모 등을 기준으로 공격할 사람들을 선택했습니다. 표적들을 끊임없이 고르기 위해 그런 고객 발굴 서비스를 꾸준히 구독까지 했더군요. 2017년 11월 306명의 ‘잠재적인 표적’이 있는 목록을 받았고, 그 중에 애거리의 CFO가 있었습니다.”

그 외에도 이 306명 중에는 캘리포니아에 위치한 한 사립 대학교, 기업용 데이터 스토리지 업체, 유명 기타 생산 업체, 카지노, 호텔, 중소기업 등의 주요 임원들도 포함되어 있었다. “런던 블루는 총 82개국의 5만 여명의 CFO들을 표적으로 삼아 공격했습니다. 물론 미국에서 가장 많은 공격이 발생했습니다.”

하지만 런던 블루 공격자들은 한 가지를 간과했다. BEC 이메일 공격의 특징이기도 한데, 공격 표적의 실제 이메일 도메인을 스푸핑하지 않았던 것이다. 즉 이메일 헤더에 보낸 사람의 이메일 주소가 노출된 게 아니라 오로지 ‘라비 카토드’라는 이름만 나타났다는 뜻이다. 또한 여느 BEC 공격이 그렇듯, 멀웨어가 사용된 것도 아니었다.

그 첫 메일은 다음과 같은 내용을 담고 있었다.
레이, 오늘 송금할 게 있네. 혹시 지금 가능한지 알려주게. 가능하다면 송금에 필요한 정보들을 전달해주겠네. 카토드로부터

여기서부터 게임이 시작됐다. BEC 공격임을 간파한 애거리는 림의 비서인 알리시아(Alicia)인 것처럼 답 메일을 보냈다.
라비, 레이몬드는 이번 주 출장입니다. 제가 대신 송금을 진행할 수 있을 것도 같습니다. 필요한 정보를 저에게 알려주시겠습니까? 이미 잘 알고 계시겠지만 회사 규정 상 모든 송금은 수요일인 내일 진행될 예정입니다. 혹시 다른 곳에도 송금할 건이 있다면 미리 알려주시기 바랍니다. 내일이 지나면 또 한 달을 기다려야 하거든요.

거기서부터 범인들과의 이메일 교환이 이뤄졌다. 그 과정에서 애거리는 자금 운반책들이 사용하고 있는 계정 정보를 파악해냈다. 하솔드는 “총 20~25명의 자금 운반책들이 있는 것으로 파악됐습니다. 그 중 17명 정도는 미국과 서유럽에 흩어져 있고, 나머지는 나이지리아에 있는 것으로 밝혀졌습니다. 이 운반책들 중 최소 세 명은 전과가 있었고, 두 명은 성범죄 관련 기록이 있었습니다.”

BEC 사업
런던 블루의 BEC 공격은 규모를 갖춘 사업 형태로 진행되고 있었다. “정식 광고 서비스 업체들과 영업 전문 기업까지도 끼고 있었을 정도로 산업화가 되어 있었습니다. 표적을 고르고, 그 표적에 맞는 이메일을 작성하고, 소셜 엔지니어링 공격을 실시하는 것이 체계적으로 이뤄지고 있었고, 돈을 세탁하고 수거하고 배포하는 것까지 정교하게 진행되고 있었습니다. 그냥 허투루 메일 한 번 보내놓고 상대가 속기를 하염없이 기다리는 그런 갱단이 아니었습니다.”

BEC는 현재 사이버 공격자들 사이에서 가장 인기가 높은 공격 유형 중 하나다. FBI의 인터넷 범죄 신고 센터(Internet Crime Complaint Center)에 따르면 BEC 사기로 인한 피해는 총 120억 달러에 다다른다. 애거리는 “BEC 공격을 위한 이메일을 100통 보내면 4명이 속아 피해자가 된다”고 설명한다. “또한 요구하는 금액은 평균 3만 5천 달러였습니다.”

애거리는 영국과 미국의 사법 기관과 협조하여 런던 블루의 구성원들을 확인하기 시작했다. 여기에 두 명의 최고 우두머리가 걸렸다. 물론 아직 체포까지 이뤄지지는 않았다. “체포 작전은 진행 중에 있으며, 체포 이후에는 이 그룹 전체가 와해될 것이라고 보고 있습니다.” 해솔드의 설명이다.

애거리는 런던 블루 외에도 다른 BEC 전문 사기단을 10군데 정도 추적하고 있다. “그 중에서도 런던 블루는 중간 정도 규모인 것으로 보입니다.”

그렇다면 런던 블루는 자기들이 사기에 당하는 걸 정말 몰랐을까? “아마 알고 있었을 겁니다. 그런데 돈 욕심이 워낙 강해서 의심스러운 부분을 그냥 넘어간 것이죠. ‘덫일까’하고 망설이다가도 ‘그래도 돈이 얼만데’하면서 스스로 의심을 제한 것으로 보입니다.”

3줄 요약
1. BEC 공격 그룹 ‘런던 블루’, 하필이면 이메일 보안 전문 업체에 사기 시도.
2. 해당 업체는 BEC 그룹인 걸 알아채고 역으로 사기를 치기 시작, 정보 캐냄.
3. 두목 2명의 신원과 위치까지 파악. 곧 체포될 예정.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향