Home > 전체기사

BEC 공격 전문 단체 파이어브릭 오스트리치, 이들의 허무한 성공 비결

  |  입력 : 2023-02-03 23:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
지난 2년여 시간 동안 BEC 계통에서 적잖은 성공을 거둔 단체가 하나 있다. 파이어브릭 오스트리치라고 하는데, 이들에게는 ‘크게 노력하지 않는다’라는 독특한 전략이 있다. 이는 BEC 공격이 성공하는 이유와 맞물려 있기도 하다.

[보안뉴스 문가용 기자] 사업 이메일 침해(BEC) 공격은 돈을 노리는 공격자들 사이에서 가장 인기가 높은 전략 중 하나다. 그런데 지난 1년 동안 특별히 놀라운 성과를 낸 단체가 하나 있다. 보안 업체 앱노멀시큐리티(Abnormal Security)의 위협 첩보 책임자 크레인 해솔드(Crane Hassold)는 2월 1일자 블로그에 의하면 이 단체는 파이어브릭 오스트리치(Firebrick Ostrich)라고 한다. 이 파이어브릭 오스트리치는 2021년 4월부터 지금까지 151개 기업과 기관들을 사칭하고, 212개 악성 도메인들을 생성해가며 350번이 넘는 BEC 캠페인을 진행했다.

[이미지 = utoimage]


어떻게 단일 그룹이 이 정도 규모의 공격을 진행할 수 있었을까? 파이어브릭 오스트리치의 독특한 전략 때문이다. 먼저 이들은 공격의 표적을 선정하는 데 있어 전혀 차별이 없다. 그렇게 선정한 대상에 대하여 철저한 조사를 실시하여 완벽한 미끼를 만들지도 않는다. 아무나, 아무렇게나 공격을 한다고 해도 과언이 아니다. 눈 가리고 벽에다 다트를 던지는 꼴이다. 그런데 이들의 성적을 보면 이것만으로도 충분해 보인다. 벽에다 아무렇게나 다트를 던져도 과녁에 딱 맞고, 완벽한 미끼를 만들지 않아도 사람들은 속는 것으로 보인다. 이것을 깨달은 것이 이들의 독특함이다.

보안 업체 도메인툴즈(DomainTools)의 CTO 션 맥니(Sean McNee)는 “BEC 공격은 사이버 범죄자들에게 있어 매우 매력적인 공격 전술”이라고 설명한다. “멀웨어를 활용하는 것보다 훨씬 쉽거든요. 게다가 체포될 위험도 그리 높다고 볼 수 없어요. 그런데 수익은 꽤나 높은 편에 속하거든요. 아니, 현재 BEC 공격 만큼 확실한 수익을 내는 사이버 공격도 없는 게 사실입니다. 조건들이 완벽하니 BEC 공격이 유행으로 자리를 잡을 수 있는 거죠.”

파이어브릭 오스트리치의 BEC
아무렇게나 공격을 하는 것처럼 보이는 파이어브릭 오스트리치이지만, 그래도 몇 가지 패턴이 있긴 하다. 이들은 거의 항상 미국의 조직들만을 노린다. 그리고 도소매, 교육, 교통, 의료를 주로 공격하는 경향이 있는데, 그렇다고 그런 것에 국한되는 건 아니다. “파이어브릭 오스트리치는 ‘서드파티 사칭’에 특화되어 있습니다. 몇 년 전만 하더라도 BEC 공격자들은 회사의 CEO를 사칭하여 회계부 직원을 속이는 것을 주요 전략으로 채택했지만, 요즘은 파트너사를 주로 사칭합니다. 즉 이들은 나름 BEC 계통의 최신 전략을 잘 이행할 줄 아는 겁니다.”

파이어브릭 오스트리치는 공격 대상이 된 회사나 기관을 열심히 조사하지도 않는다. 해솔드는 “짜증이 날 정도로 성의 없는 조사를 한다”고 표현한다. “자신들이 사칭하는 회사가, 공격 표적이 된 회사와 서로 사업적 관계를 맺고 있다는 것만 알면 공격을 시작하는 수준입니다. 이런 정보는 대부분 쉽게 찾아볼 수 있지요. 정부 기관들은 투명성을 위해 관계를 맺고 있는 업체들을 공개하고, 기업들은 자신의 클라이언트 목록을 자랑하기 위해 공개하니까요. 그게 아니더라도 구글에서 검색만 몇 번 해 보면 알아낼 수 있는 경우가 대부분입니다.”

여기까지 자료 조사(?)가 끝났다면 그 다음으로는 웹 도메인을 하나 만들 차례다. 모든 면에서 자신들이 사칭할 회사와 동일해 보이도록 만든다. 그리고 가상의 회계 관련 임직원과 내부 부서들을 만들고, 이들에게 이름도 부여하고 이메일 주소까지 배정한다. “이들은 이메일을 작성할 때 가짜 이메일 주소들을 복사해 ‘이 비즈니스 대화에 여러 사람이 참여하고 있다’는 뉘앙스를 풍기기도 합니다. 그렇게 함으로써 자신들이 보내는 이메일이 진짜라고 속이는 것이죠.”

이들이 보내는 이메일은 그리 대단하지 않다. 회사 회계를 담당하는 자를 사칭하여 가짜 회사 계좌 번호를 공격 대상에게 보내는 것 뿐이다. 메일 첫 마디는 ‘귀하의 서비스에 감사한다’는 식으로 감사와 칭찬으로 구성되어 있는 게 보통이다. 그러면서 ‘우리 회사 금융 정보가 일부 바뀐 게 있어 알려드린다’며 새로운 은행 정보를 보내는데, 당연히 공격자 자신들이 제어할 수 있는 계좌들이다. “피해자가 지금 당장 돈을 입금하지 않아도 되게 만드는 게 이들의 전략입니다. 다음 입금일에만 돈을 보내도 된다는 거죠. 일부 금액이 정산이 되지 않았다거나 하는 애매한 요청도 일절 보내지 않습니다. 그래서 더 피해자들이 속는 겁니다.”

이들의 공격은 시간적인 측면에서도 효율적이라고 할 수 있다. “첫 피싱 이메일을 보내기 이틀 전에 가짜 도메인을 등록하는 경우가 75%입니다. 등록 후 24시간 안에 피싱 이메일을 보내는 경우도 60%나 되고요.”

BEC, 조용히 거대해지는 위협
2018년 FBI는 “BEC 공격 때문에 전 세계 기업들이 입은 피해는 125억 달러”라고 발표했었다. 1년 후 FBI가 발표한 피해액은 이를 훌쩍 뛰어넘는 260억 달러였다. 2022년 한 해 동안 누적된 BEC 공격의 피해액은 430억 달러인 것으로 집계되고 있다. 철저히 신고되지 않는다는 걸 감안하면 이 BEC 공격이 미치는 피해는 상상을 아득히 뛰어넘을 수 있다는 결론에 도달하게 된다. 공격자들 사이에서 BEC 공격이 높은 인기를 누리고 있다는 게 그리 놀라울 일이 아닌 것이다.

“파이어브릭 오스트리치는 BEC 공격이라는 전술의 인기 비결을 단적으로 보여주는 사례입니다. 적은 노력과 간단한 기술력 만으로 어마어마한 성공을 거두었거든요. 피해자를 조사하지도 않아, 계정을 탈취할 필요도 없어, 멀웨어를 대여하지 않아도 돼, 추적 가능성도 높지 않으니 얼마나 좋습니까. 그냥 어떤 기업이 어떤 기업과 사업적 관계를 맺고 있는지만 알면 끝입니다. 공격에 준비할 것도 거의 없고, 시간도 그리 오래 걸리지 않고요.”

이런 무시무시한 공격에 기업과 기관들은 어떻게 방어해야 할까? 해솔드는 “결제나 입금 등 돈을 처리하는 문제에 있어 한두 사람의 담당자가 임의로 업무를 완료할 수 없도록 사내 공식 프로세스를 좀 더 탄탄하게 만들어야 한다”고 권한다. “입금 담당자가 속았다 하더라도 금전 업무 프로세스가 탄탄하게 마련되어 있으면 잘못된 곳에 돈을 보낼 가능성이 낮아집니다. 파트너사 금융 정보가 수정되어야 한다면, 담당자가 알아서 고치는 게 아니라 반드시 윗선에 보고하도록 하든가, 입금을 실제로 해야 할 때 담당자와 통화를 반드시 하도록 사규를 정하는 식으로 절차를 보완하는 게 도움이 됩니다.”

3줄 요약
1. BEC 공격, 사이버 공격자들 사이에서 큰 인기 누리고 있음.
2. 그도 그럴 것이 공격 효율이 압도적으로 좋음.
3. BEC 공격에 당하지 않으려면 금전 거래 프로세스를 탄탄하게 만들어야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)