BEC 공격, 2018년에 90억 달러 규모로 늘어난다

작년 피해액은 53억 달러...배 가까이 늘어날 전망
크리덴셜 탈취형 BEC와 이메일 소셜 엔지니어링형 BEC

[보안뉴스 문가용 기자] 사업 이메일 침해 공격(BEC attack)이 올해에도 계속 증가할 것이라는 전망이 나왔다. 약 90억 달러 규모의 피해가 올해 안에만 발생할 거라는 예측이다. 작년 한 해 동안 일어난 BEC 사기의 피해는, FBI에 발표에 의하면, 53억 달러였다.

[이미지 = iclickart]

BEC 공격이 증가하는 이유 중 하나는 ‘실행이 간단해서’라고 보안 업체 트렌드 마이크로(Trend Micro)는 분석한다. 최근 트렌드 마이크로는 2017년 1월부터 9월까지 발생한 BEC 공격들을 분석해 보고서를 발표했다. 해당 보고서는 여기(https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/delving-into-the-world-of-business-email-compromise-bec)서 열람이 가능하다.

트렌드 마이크로의 최고 사이버 보안 책임자인 에드 카브레라(Ed Cabrera)는 BEC 공격에 대해 “줄어들 일이 없다”고 단정한다. 인터넷범죄민원센터(IC3)에 의하면 BEC 공격은 다섯 가지 항목으로 분류가 가능하다. 1) 허위 인보이스 사기, 2) CEO 사칭, 3) 계정 침해, 4) 변호사 사칭, 5) 데이터 탈취다. 반면 보안 전문가들은 기술적인 측면에서 BEC 공격을 두 가지로 보는데, 1) 크리덴셜을 훔치는 공격과 2) 이메일만을 사용한 공격이다. 이 두 가지에 대해 분석해보면 다음과 같다.

크리덴셜 탈취
크리덴셜 탈취는 기본적으로 키로깅 기술과 피싱 기술을 버무린 전략이다. 기업 내에 사용되는 이메일 크리덴셜을 훔치는 것을 목적으로 하며, 스팸 이메일에 크리덴셜 탈취용 HTML 페이지를 첨부하는 공격 방식이 최근 증가하고 있다. 그렇게 해서 기업용 지메일 계정을 손에 넣은 공격자는 해당 이메일 계정 주인인 것처럼 위장해 추가 사기 공격을 저지를 수 있게 된다.

크리덴셜을 탈취하는 또 다른 방법에는 키로깅 멀웨어를 활용하는 공격이 있다. 백신을 설치하면 평범한 멀웨어들을 대부분 걸러낼 수 있지만 최근 멀웨어 공격자들은 크립터(crypter)라는 서비스를 활용하기 때문에 백신이 큰 효과를 거두지 못할 때가 많아지고 있다. 다행인 건 아직 이 기법이 BEC 공격자들 사이에서 높은 인기를 끌고 있지 않다는 것이다. 아무래도 멀웨어를 사용하는 건 어렵고 기술적이기 때문이다.

또한 원격 접근 툴인 RAT도 멀웨어형 BEC 공격에 자주 활용된다. RAT는 비교적 저렴하게 구입할 수 있고 효과도 좋기 때문이라고 한다. 피싱 공격에 비해 성공 시 훨씬 많은 크리덴셜과 정보를 훔쳐갈 수 있다는 장점도 존재한다.

최근 인기를 끌고 있는 키로거 멀웨어는 아르다맥스(Ardamax)다. 가격이 50달러도 되지 않으며, 훔친 데이터를 SMPT나 FTP로도 전송이 가능하다. 웹캠과 마이크로폰 기록 기능을 가지고 있으며 암호화된 로그를 엑스포트하는 옵션도 존재한다. 로키봇(Lokibot)도 인기가 높은 편인데, 이는 비밀번호도 훔쳐 주고 암호화폐 지갑도 훔친다. 스크린샷 저장 기능도 가지고 있다.

이메일의 인박스 함
이메일만을 사용한 BEC 공격은 사실 소셜 엔지니어링 공격이다. 하지만 그 기술이 점점 가다듬어지고 있고 범죄자들은 굉장히 똑똑해지고 있다. 가장 흔한 전략은 1) 표적 기업을 정하고, 2) 재정 관련 부서를 파악한 후 3) 어딘가로 돈을 송금하라는 이메일을 보내는 것으로 간단하다. 물론 돈을 보내라는 메시지의 설득력을 높이기 위해 CEO를 사칭하는 경우가 많다. 재정 담당 직원은 CEO가 보내라니까 돈을 보내고, 기업을 피해를 입는다.

“이 공격은 사실 CEO와 CFO 사이의 미묘한 관계성을 파고드는 전략입니다. 회사가 돈을 누군가에게 보내는 것에 있어 최종 결정은 CFO가 하거든요. 그런데 CFO보다 CEO가 더 높은 직위를 가지고 있죠. 공격자들은 이 괴리를 영리하게 파고들어요.” 카브레라의 설명이다.

‘영리하게’ 파고들기 위해서 BEC 공격자들은 표적을 정하고 꼼꼼하게 학습한다. “거의 사이버전 전용 해커 수준으로 기업을 관찰하고 감시합니다. 소셜 엔지니어링 공격이 기술적으로 뒤쳐진 것처럼 보일지 몰라도 고도의 전문가들이 해야만 하는 일입니다. 자신이 노리는 적들에 대한 이해가 뛰어나죠.”

표적을 정하고 파악하는 과정에서 이메일 공격의 성패가 결정된다고 해도 과언이 아니다. 이들은 운영진이 누구인지, 누가 어디로 출장을 가고, 또 언제 휴가를 떠나는지, 보통 근무시간이 어떻게 되는지, 주로 만나는 사업 파트너가 누구인지 죄다 파악한다. 진행되고 있는 M&A가 있는지, 기업 내 행사가 진행되는 건 없는지도 최대한 꼼꼼하게 알아낸다.

“소셜 엔지니어링 공격의 최대 장점은 탐지가 어렵다는 겁니다. 하지만 최근엔 어느 정도 패턴이 드러나기도 했습니다. 먼저 이메일 제목에 request와 payment, urgent라는 단어를 제일 많이 사용합니다. 이런 단어들을 이메일 제목에서 봤다면, 의심하고 경계해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)