Home > 전체기사
BEC 공격, 근래 들어 전략이 바뀌고 있다
  |  입력 : 2019-01-16 17:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CEO인척 위장해 큰 돈 송금하라고 압박하는 대신 직원으로 가장
급여 관리하는 부서에 메일 보내 “거래 계좌 바뀌었다”고 거짓 보고해


[보안뉴스 문가용 기자] 사업 이메일 침해(BEC) 공격은, 스피어피싱 공격의 일종으로 기업이 실수로 잘못된 계좌에 송금하도록 유도하는 사기 기술이다. 공격자가 CEO 혹은 CFO의 이름으로 회계를 담당하는 직원에게 메일을 보내 송금을 지시하면, 직원이 그 지시에 따라 돈을 보내는 것이 공격의 기본 골자다. 물론 메일은 매우 급박한 어조로 작성된다. 그래야 직원이 두 번 생각하는 일이 없어지니까.

[이미지 = iclickart]


이렇게 풀어서 설명하면 매우 간단한 공격인데, 많은 기업들이 피해를 당했다. 2018년 7월 FBI가 발표한 보고서에 의하면 BEC 공격으로 인한 전 세계적인 피해가 125억 달러에 달한다고 한다. 이 돈의 대부분은 중국에 있는 은행들로 송금되었다고 FBI는 추가 사실을 덧붙이기도 했다.

그런데 최근 이메일 보안 전문 업체인 애거리(Agari)에서 새로운 유형의 BEC 공격을 발견했다고 발표했다. 공격자들은 최근부터 기업의 급여 지급 목록에 침입해 자기들의 계좌 번호를 슬쩍 끼어둔다고 한다. 가상의 직원이 되는 것이다. 이렇게 했을 경우 한 번에 확보할 수 있는 돈은 적어지지만, 수입이 꾸준히 이어진다는 장점이 있긴 하다고 애거리는 설명했다.

“현재까지는 CEO인 것처럼 위장하는 방식이 공격자들 사이에서 인기가 높았습니다. 그런데 CEO로 위장할 수 있는 공격자들이, 다른 직원의 흉내를 내지 못할 이유가 없다는 걸 깨달은 듯합니다. 어쩌면 수많은 직원 중 한 명이 되는 편이 눈에 덜 띄겠죠. 물론 훔쳐내는 액수가 좀 낮아진다는 단점이 있긴 하지만요.”

이렇게 바뀐 BEC 공격 전략에서 가장 빈번하게 표적이 되는 건 인사부서라고 한다. “인사부서가 대부분 급여와 관련된 정보를 관리하고 있으니까요. 공격자들은 직원을 가장해 월급 통장을 새롭게 등록시키거나 이메일을 보내 기존 급여 통장을 다른 것으로 바꿉니다.”

실제 공격 사례에서 발견된 가짜 이메일은 다음과 같다. “최근 거래 은행을 바꿨습니다. 급여를 앞으로 저의 이 새로운 계좌로 보내주셨으면 합니다.” 간단한 이메일 한 통에 회사는 급여 통장을 잘못 등록하고, 급여를 꾸준하게 잘못 보냈다. 물론 공격자들은 이메일에 양념도 첨가했다. 다음 월급일 이전에 바꿔달라는 둥, 월급이 잘못 입금되면 회사에 여러 가지 증빙 서류를 요청해야 할지도 모른다는 둥 ‘급하다’거나 ‘일이 꼬일 수 있다’는 뉘앙스를 심은 것이다.

여기서부터는 BEC 공격이 이전의 BEC 공격과 달라진다. CEO의 지시를 받은 회계 부서 직원과 달리, 월급 통장을 변경해달라는 직원의 요청을 받은 인사 부서 담당자는 답장을 쓰기 때문이다. 위의 실례에서도 인사 담당자는 추가 정보를 요청하는 메일을 보냈다. 추가 정보란 은행 통장 사본이나 무효 처리된 수표, 은행의 레터 헤드 등을 말한다.

그렇다는 건 공격자가 메일을 더 보내야 한다는 소리가 된다. 기존의 BEC 공격과는 다른 점이다. 공격자에게는 인사 부서에 제출할 추가 정보가 당연히 없다. 그러므로 그러한 정보를 내지 못할 적당한 이유를 만들어야 한다. 위 실례에서 공격자들은 아이폰을 사용해 메일을 보냄으로써 ‘Sent from my iPhone’이라는 메시지가 메일 끝에 첨부되도록 했다. 그러면서 본문에는 “지금은 그런 정보를 가지고 있지 않습니다. 은행에 따로 요청을 해야 합니다. 필요한 서류가 나올 때까지 일단 계좌 번호를 보내드리니 변경된 사안부터 적용해주시면 고맙겠습니다”라는 답장을 썼다. 인사 담당자는 수긍했다.

애거리는 “조직 내 급여 관련 시스템이 어떤 식으로 정착되어 있는지에 따라 공격 방식이 조금씩 달라질 수 있다”며 “공격자들은 치밀하게 정찰부터 시작할 것”이라고 경고했다. “또한 급여 시스템에 따라 의외로 쉽게 발각되지 않기도 합니다. 직원이 많은 조직, 그래서 급여를 전산 시스템으로만 처리하는 곳에서는 더더욱 그렇습니다.”

애거리는 모든 조직의 인사 담당자들에게 다음과 같이 제안했다. “이메일은 언제나 반쯤 의심의 눈으로 읽으십시오. 또한 아무리 사람이 많은 조직이라도 급여 통장을 바꾸거나 새롭게 개설할 때는 사람 대 사람으로 한번쯤은 만나보는 게 안전합니다. 만나는 게 어렵다면 최소한 통화라도 직접 하려고 한다면, 공격자들의 입장을 난처하게 만들 수 있습니다.”

3줄 요약
1. 이메일 사기 기법인 BEC 공격, 최근 변화된 전략 나타남.
2. 급여 관리하는 부서에 메일을 보내 “통장이 바뀌었으니 급여를 이리로 넣어달라”고 요청.
3. 급여를 노리는 공격은 한 번에 큰 돈을 벌 수 없지만, 수입이 꾸준하다는 장점이 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향