나이지리아의 BEC 공격자 세 명, 국제 공조로 체포돼

해킹 공격보다 훨씬 더 큰 피해 일으키는 BEC 공격...깜빡 속으면 큰 피해 입어
사전 준비 단계에서 주도면밀한 조사와 습득...회계 담당 직원과 신뢰 천천히 쌓아

[보안뉴스 문가용 기자] 나이지리아의 BEC 사기단 세 명이 체포됐다. 인터폴과 보안 업체 그룹IB(Group-IB), 나이지리아 경찰 소속 사이버 수사대가 힘을 합한 결과다. 이번에 체포된 자들은 전 세계 기업들을 대상으로 멀웨어를 퍼트리고, 피싱 공격을 실시하며, 여러 가지 사기 행각을 벌인 혐의를 받고 있다.

[이미지 = utoimage]

나이지리아 사기 조직의 BEC 공격은 전 세계적으로 악명을 떨치고 있다. 이들은 특정 기업을 선택하고 치밀하게 조사한 후 내부 임원이나 파트너사 직원 등을 사칭해 회계를 담당하는 직원에게 접근해 신뢰를 얻어내고, 이를 악용해 엉뚱한 곳으로 큰 돈을 송금하도록 유도하는 데 도가 텄다. 돈 송금 요청의 설득력을 더하기 위해 CEO의 언행, 진행되는 사업 등을 치밀하게 파악하는 것으로 알려져 있다.

공격을 원활하게 진행시키기 위해 멀웨어를 심기도 했는데, 주로 스파이웨어와 원격 접근 도구(RAT)들인 것으로 나타났다. 인터폴이 발표한 바에 의하면 에이전트테슬라(AgentTesla), 로키(Loki), 아조럴트(Azorult), 스파르탄(Spartan), 나노코어(nanocore), 렘코스(Remcos)가 주로 활용되었다고 한다. 현재까지 밝혀진 바 피해 기업은 약 5만 곳으로 나타났다.

“공격자들은 이런 악성 프로그램을 활용해 자신들이 표적으로 삼은 기업과 개인들을 면밀하게 관찰했습니다. 충분한 정보를 모아 최대한 공격의 성공률을 높이기 위해서였습니다. 수사에 협조한 보안 업체 그룹IB에 의하면 이 공격자들은 민간 기업들만이 아니라 정부 기관들도 침해했다고 합니다. 2017년부터 현재까지 피해가 발생한 곳은 150개국이 넘습니다.”

이 BEC 조직은 여러 개의 하위 그룹으로 나뉘어 작전을 펼친다고 한다. 따라서 이번에 체포된 3명 외 여러 명이 도주 중에 있다고 볼 수 있다. 인터폴의 사이버 범죄 국장인 크레이그 존스(Craig Jones)는 발표를 통해 “수익 모델을 구조적으로 잘 갖췄고, 다양한 도구와 기술을 동원해 이득을 최대한으로 이끌어낼 줄 아는 자들”이라고 설명했다. 그러면서 “남은 자들도 계속해서 체포할 것”이라고 덧붙였다.

현재 BEC로 인한 피해액은 급격히 증가하는 중이다. 2020년 2사분기 때 기록된 평균 피해액은 8만 183 달러였는데, 1사분기의 5만 4천 달러를 크게 웃도는 숫자다. FBI도 일반적으로 IT 기술력이 뛰어난 해커들이 일으키는 피해보다, BEC 공격자들이 더 큰 피해를 발생시킨다고 발표한 바 있다.

BEC 공격을 전문으로 하는 조직들은 주로 나이지리아와 서아프리카 지역에 주둔하고 있는 것으로 알려져 있다. 하지만 러시아에서 BEC 작전이 벌어지는 것이 발견되기도 했다. 코스믹링스(Cosmic Lynx)라는 단체가 대표적인 러시아 BEC 조직이며, 올 여름에만 200건이 넘는 BEC 공격을 펼쳤다. 공격은 6개 대륙 46개 국가에 미쳤으며, 주로 포춘 500대 기업이 공격 대상인 것으로 나타났다.

3줄 요약
1. 나이지리아의 BEC 갱단 중 3명이 국제 공조로 체포됨.
2. BEC 공격 위해 멀웨어 살포하고, 표적을 면밀히 관찰하기도 함.
3. 현재 BEC 공격자들은 서아프리카와 러시아 지역에 주둔하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)