Home > 전체기사

랜섬웨어가 이목 끌긴 쉬워도 BEC 공격만큼 파괴적이진 않다

  |  입력 : 2017-10-15 22:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
BEC 공격, 수법 단순하지만 효과 매우 뛰어나
기업 정찰 뒤 가짜 이메일 발송, 보안 툴도 우회


[보안뉴스 오다인 기자] 올해 연이어 터진 워너크라이 랜섬웨어(WannaCry Ransomware)나 낫페트야(NotPetya) 멀웨어 같은 사이버 공격들은 세계 언론의 헤드라인을 드라마틱하게 장식했다. 멀웨어 매개 가운데 치명적인 사이버 위협들은 마치 별똥별이라도 발견된 것처럼 주목 받는다. 수백만 곳의 기업과 수백만 명의 개인을 골탕 먹였다는 악명을 얻으면서 말이다. 그러나 표면 아래에 도사리고 있는 또 다른 사이버 위협이 있다. 이 위협은 헤드라인에 써먹기 좋은 사이버 위협들보다 훨씬 더 심각한 피해를 일으킬 수 있다. 바로 기업 이메일 공격을 뜻하는 ‘BEC(Business Email Compromise) 공격’이다.

[이미지=iclickart]


대부분의 사이버 범죄와 달리 BEC 공격은 사회공학적 수법에 완전히 의존한다. 직장 동료나 경영자로부터 가짜 이메일을 보내 내부적인 절차를 생략하고 금융 부서에 결제를 진행하라고 명령하는 것이다. 꽤 단순하게 보이는 이 수법은 놀라울 정도로 잘 먹히는 동시에 수익률도 높다.

범죄자들은 대개 정찰하는 것에서부터 공격 캠페인을 시작한다. 특정 기업의 위계 구조를 파악하고, 경영진은 누구인지 정찰하며, 직원을 감시하는 것이다. 과거 시절이 좋았을 때 범죄자들의 삶은 매우 힘들었지만 소셜 미디어가 출현한 이래 모든 것이 뒤바뀌었다. 기업 웹사이트는 자사 경영진을 소개하면서 각 경영자의 페이스북, 구글, 링크드인 프로필을 함께 게시한다. 범죄자들에겐 먹잇감이 그대로 놓여있는 것과 마찬가지다. 정보를 수집하는 것 또한 그 어느 때보다 쉬워졌다. 사이버 범죄자에게 BEC 공격은 말 그대로 젖과 꿀이 흐르는 땅이 됐다.

이메일은 대부분의 보안 툴을 피해간다
정찰 이후엔 보통 CEO나 기업 간부로부터 발송된 것 같은 가짜 이메일을 보낸다. 이메일을 수신한 직원에게 당장 파트너사나 공급업체에 돈을 지불하라고 명령하는 것이다. 돈을 지불받는 사람의 은행 계좌는 해외에 있는 경우가 많고, 그 계좌의 주인은 사이버 범죄자 또는 중개인의 것이다. 세계적인 돈세탁 기술의 발전과 자금 운반책의 확산은 타인의 계좌에 있는 돈을 빼돌리면서 그 추적도 어렵게 만들고 있다.

BEC 공격은 우선적으로 대기업을 겨냥한다. 페이스북과 구글을 포함해 많은 대기업이 BEC 공격에 당해왔다. 그 모든 기업의 정책과 보안에도 불구하고 가짜 메시지의 성공률은 충격적일만큼 높아지고 있다. 미국 연방수사국(FBI)이 발표한 보도자료에 따르면, BEC 공격의 성공률은 2015년 1월에 비해 현재 1,300%나 뛰었다. 또한, BEC 공격의 성공률은 랜섬웨어 성공률보다 높다. BEC 공격의 이메일은 멀웨어나 의심스런 링크를 담고 있지 않기 때문에 보안 툴을 피하면서 기업에 침투할 수 있다.

갈수록 커지는 피해
FBI, 미 법무부, 국가화이트칼라범죄센터(NWC3: National White Collar Crime Center) 간 연합인 미국 인터넷범죄신고센터(IC3: Internet Crime Complaint Center)에 따르면, 2013년 10월부터 2016년 12월 사이 약 6조 원(53억 달러)의 돈이 BEC 관련 사기 때문에 날아갔다. 2017 시스코 사이버 보안 중간 보고서도 이 같은 사실을 강조하며, 매년 평균 2조 원(17억 달러)에 달하는 돈이 날아가는 셈이라고 짚었다. 비교하자면, 랜섬웨어는 2016년에 1조 1,300억 원(10억 달러) 가량을 빼돌리는 데 그쳤다.

“기업 이메일 계정을 해킹하는 범죄자들의 능력은 정말이지 놀랍습니다. 그야말로 속임수의 달인들입니다.” FBI 워싱턴 현장사무소의 조직범죄 담당 특별 수사관인 마틴 리카르도(Martin Licciardo)는 “FBI는 BEC 공격을 매우 심각하게 다루고 있다”며 “범죄자들을 밝혀내고 범죄 조직을 해체시키기 위해 국제적인 파트너들과 협업하고 있다”고 말했다.

BEC 사기를 물리치는 건 기술과는 거의 관련이 없다. BEC 공격을 막아내는 건 프로세스의 향상과 정책 개선, 인지, 교육의 문제다. 예컨대, 공식적인 승인 절차 없이는 결제가 되지 않도록 한다거나 특정 행동이 취해지기 전에 최소 두 사람의 승인을 받아야만 하는 ‘네 개의 눈 원칙(four-eye principle)’을 적용하는 것이다. 이메일 하나만 보고 행동을 취해서는 절대 안 된다. 평상시와 다른 지시가 주어졌거나 국외에 송금하라는 지시가 떨어졌을 때는 그 즉시 경각심을 곤두세워야 한다.

BEC 공격을 효과적으로 차단하기 위해 FBI는 한 쪽짜리 권고안을 기업에 배포했다. 권고 사항으로는 무료 웹 기반 계정을 피하고 오로지 기업 이메일 계정만 사용할 것, 기업이 소셜 미디어에 공개하는 내용에 대해 신중하게 고민할 것, 특정 업무를 신속하게 처리하라거나 비밀스레 처리하라는 압박이 들어올 경우 의심할 것, 컴퓨터 기기를 사물인터넷 기기에서 분리할 것, UPnP(Universal Plug and Play) 프로토콜을 기업 라우터에서 비활성화할 것 등이 있다.

글 : 마크 윌첵(Marc Wilczek)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)