Home > 전체기사
BEC 공격에 당한 캐나다 벌링턴 시, 37만 달러 잃어
  |  입력 : 2019-06-17 11:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
거래처인 것처럼 위장해 시청 직원에 보낸 메일...단 한 번의 실수와 사기
BEC 공격은 해킹 공격보다 난이도와 위험 수준 낮아...효율 높은 공격의 표본


[보안뉴스 문가용 기자] 캐나다 온타리오 주에 있는 벌링턴 시가 “얼마 전 복잡한 피싱 이메일 공격”에 당해 “503,000 캐나다 달러(약 375,000 미국 달러)의 피해를 입었다”고 발표했다. 시 측은 현재 진행 중인 수사를 이유로 자세한 내용은 공개하지 않고 있다.

[이미지 = iclickart]


그러나 해당 사건에 대한 시의 발표문을 통해서 이 피싱 공격이라는 것이 다름 아닌 ‘사업 이메일 침해(business email compromise)’ 즉 BEC 공격이라는 추측이 가능하다. 벌링턴 시의 공식 발표문은 다음과 같다.

“5월 23일 목요일, 벌링턴 시는 사기 공격에 당했습니다. 한 시청 근무자에게 은행 관련 정보를 바꿔달라는 내용의 요청이 담긴 이메일이, 시와 자주 거래하는 업체의 이름으로 전송됐고, 이 이메일에 따라 수정된 계좌에서 한 차례 사기 거래가 발생했습니다. 물론 업체 이름도 가짜, 수정하도록 요청한 정보도 가짜였습니다. 사기 거래는 해당 업체로 일정 금액이 전자 송금되는 형태로 진행됐으며, 총 503,000 캐나다 달러가 손실됐습니다.”

물론 이 시청 근무자가 누구인지는 아직 밝혀지지 않고 있으나, 시청의 은행 업무를 담당하고 있으며 시의 계좌 정보를 바꿀 수 있고, 50만 달러가 넘는 돈의 거래를 결정할 권한이 있는 위치에 있는 것으로 보인다.

벌링턴의 시장인 마리안느 미드 워드(Marianne Meed Ward)는 “흔히 볼 수 없을 정도로 정교하고 복잡하게 기획된 온라인 사기였으며, 미래에도 같은 일이 발생할 가능성을 차단하기 위한 절차를 밟고 있다”고 발표했다. “온라인 사기, 피싱 등 각종 사이버 공격에 우리가 항상 깨어있어야 하며, 훈련과 교육을 통해 이런 시도들을 알아챌 수 있도록 단련하는 게 얼마나 중요한지 다시 한 번 깨닫게 되는 계기가 되었습니다.”

보안 업체 이뮤니웹(ImmuniWeb)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “그 어떤 조직이라도 가장 약한 연결고리는 바로 사람”이라며, “사람 때문에 생기는 위험은 어느 정도 완화시킬 수는 있어도 완전히 제거할 수는 없다”고 강조했다. “그런 점 때문에 사이버 범죄자들은 끊임없이 사람을 노리고 뒤흔듭니다. 각종 사기술과 피싱 공격 기술이 더 정교해지고 있으며, 보안 기술이나 교육을 도입하는 게 부담스러운 소규모 조직들을 노리는 추세이기도 합니다.”

사이버 범죄자들이 최근 들어 각 지방 도시와 기관을 점점 더 많이 노리는 것도 이러한 맥락에서 설명이 가능하다. 공공 업무를 맡는 사람들과 정치인들은 시민들의 눈에 보이는 성과에 돈을 더 투자하고 싶기 때문에(그리고 시민들도 그것을 바라기 때문에) 보안에 매우 인색해지는 경향이 있다. 하지만 이는 현명치 못한 처사다. 2018년 3월 애틀랜타 시는 랜섬웨어에 걸려 범인들이 요구한 5만 달러를 내지 않은 대신 270만 달러라는 복구 비용을 지출했다.

BEC 공격은 모든 종류의 조직들에 점점 더 큰 위협으로 부각되고 있는 유형의 사기 기법이다. 공격자들은 이메일 계정을 새롭게 만들거나 탈취하는데, 이 때 조직 내에서 권한이 높은 사람의 것과 관련이 있는 것으로 위장하거나 훔친다. 그리고 그 메일을 통해 총무부 직원 등에 돈을 송금하라는 지시를 보낸다. FBI는 지난 4월, 2018년 1년 동안 발생한 BEC 공격으로 인한 피해액이 12억 9800만 달러라고 집계하기도 했다.

벌링턴 BEC 사건은, BEC 사건 중에서도 꽤나 규모가 큰 것이라고 한다. 단 한 번의 송금으로 37만 달러 규모의 돈이 사라진 것은 드문 일이기 때문이다. 하지만 가장 큰 사건은 아니다. 2013년과 2015년 사이, 한 리투아니아인이 페이스북과 구글 직원들을 대상으로 BEC 공격을 시도했고, 이를 통해 1억 달러가 넘는 돈을 훔쳐내는 데 성공한 바 있다. 다행히 돈은 거의 회수됐고, 범인도 2017년 3월에 체포됐다.

BEC는 앞으로도 계속해서 증가할 전망이다. 공격자들이 짊어져야 할 리스크는 적지만, 수익은 높기 때문이다. 버라이즌(Verizon)의 보안 연구 팀장인 알렉스 핀토(Alex Pinto)는 ‘데이 침해 보고서’를 통해 “정말 돈을 벌고 싶다면 간편한 BEC 공격을 하지, 굳이 어려운 해킹을 할 이유가 없다”고까지 설명한 바 있다.

3줄 요약
1. 캐나다의 한 도시에서 BEC 공격 발생. 벌링턴 시는 이 사건으로 37만 달러를 잃음.
2. 공격자가 한 직원에게 은행 정보를 바꾸라는 요청 메일을 보냈고, 정보가 바뀐 후 단 한 차례 사기 거래 진행함.
3. BEC 공격은 위험 수준 낮고 소득 높아 공격자들이 계속해서 애용할 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)