Home > 전체기사
BEC 공격자들이 노리는 건, 사람의 실수가 아니라 구조적 문제
  |  입력 : 2020-06-18 12:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전까지 CEO 사칭해 예산 담당 직원에게 “돈을 송금하라”고 지시했는데
이제는 파트너사 사칭해 예산 담당 직원과 신뢰 관계 형성...기업 구조 문제 노려


[보안뉴스 문가용 기자] 기업 이메일 침해(BEC) 공격자들의 전략이 분명히 바뀌고 있다. 이전에는 CEO를 사칭해 ‘돈을 송금하라’는 지시를 예산 담당 직원에게 내렸다면, 지금은 파트너사를 사칭해 신뢰 관계를 쌓은 뒤 엉뚱한 곳으로 돈을 송금하도록 유도한다.

[이미지 = utoimage]


보안 업체 앱노멀 시큐리티(Abnormal Security)의 부회장인 켄 리아오(Ken Liao)는 이러한 전략이 통하는 이유에 대해 다음과 같이 설명한다. “회계를 담당하는 직원이 모든 파트너사를 상세히 알고 있지 못합니다. 그건 파트너사와 협업하는 담당자 각자의 일이죠. 돈을 직접 주고받는 당사자인데, 의외로 이러한 허점을 가지고 있다는 걸 범죄자들이 알아챈 것입니다.”

또한 “직접 돈을 송금하고 결제하는 실무를 맡은 직원은 대부분 조직 내에서 말단에 위치하고 있는데, 이들이 실제로 다루는 금액은 꽤나 크다는 것도 문제”라고 리아오는 지적한다. “생각해보면 비정상적인 일이 아닐 수 없습니다. 그러니까 범죄자들이 이 부분을 파고들어 효과를 보는 것입니다.”

BEC의 현황에 대해 앱노멀 시큐리티가 발표한 보고서에는 이러한 현황이 ‘숫자’로 나타나고 있다. 2019년 4사분기부터 지금까지 BEC 공격의 규모와 빈도가 28% 증가했고, 10명 이상을 겨냥한 대형 BEC 캠페인이 17% 증가한 것이다. 또한 C레벨 임원 하나하나를 공략하려는 시도는 37% 줄었다. 높은 사람을 사칭하는 공격 대신, 예산 담당 실무자를 살살 꼬드기는 작업이 많아졌기에 나오는 수치들이다.

보고서에 의하면 BEC 공격자들은 예나 지금이나 ‘표적 공격’을 실시하고 있다고 한다. 다만 “공격 대상들을 전략적으로 묶어 효율을 높여가고 있는 중”이라고 한다. 또한 시간을 두고 신뢰 관계를 형성하려고 하기 때문에 처음부터 돈 얘기를 꺼내지는 않는다고 한다. 계산서 양식 등 작고 사소하면서 정상적으로 보이는 요청부터 시작한다.

소셜엔지니어 LLC(Social-Engineer LLC)를 운영하는 크리스 해드나기(Chris Hadnagy)는 “예산 처리 담당자가 예산 관련 양식을 요구하는 게 비정상적으로 보일 리 없다”고 설명한다. “CEO를 사칭해서 돈을 보내라고 명령하는 식의 공격 방법은 이미 널리 알려진 상태입니다. 뉴스에도 자주 실렸고 교육도 잘 되었습니다. 그래서 이제는 코로나로 집에 있을 법한 직원들을 구슬리기 시작한 것입니다.”

이런 노력(?) 덕분인지 BEC 공격은 꽤나 거대한 수익을 남기는 공격 유형으로 분류된다. 지난 2월 FBI는 “2019년 한 해 동안 사이버 범죄로 인해 발생한 35억 달러 피해액의 절반 정도가 BEC 공격자들의 손에 넘어갔다”고 발표한 바 있다. 일본의 대기업인 도요타는 BEC 공격으로 3700만 달러를 잃었고, 니케이 역시 2900만 달러를 범인들에게 송금했다.

해드나기는 BEC 공격을 방어하기 위해서는 교육을 꾸준히 진행해야 하고, 그것에 더해 다음 두 가지 접근법을 활용해볼 수 있다고 제안했다.
1) 실제 결제 업무를 담당하는 자가 일을 서둘러 처리하지 않도록 분위기를 만든다. 급하면 급할수록 힌트들을 못 본다. 반대로 여유가 있다면 평소 못 보던 것들을 볼 수 있다.
2) 결제를 하는 말단 직원들이라고 해도 파트너사에 대해 적극 물을 수 있도록 분위기를 조성해야 한다. 업무 프로세스 조정도 권장된다.

“보통 기업들은 이런 일이 일어나면 해당 직원에게 책임을 묻고 해고합니다. BEC 공격 근간에 있는 구조적인 문제를 보지 못하기 때문입니다. 파트너사에 대해 누군가에게 묻기도 힘들 정도로 권한이 낮은 직원에게 어마어마한 금액을 결제할 수 있도록 허락해주는 이 역설적인 구조를 누가 만든 걸까요? 오히려 C레벨들에게 책임을 물어야 하지 않을까요?”

3줄 요약
1. BEC 공격, 여전히 사이버 범죄로 인한 피해의 절반 정도를 차지할 정도로 위협적임.
2. 최근에는 파트너사를 사칭하여 결제 담당자와 친해지는 수법으로 전략 바꿈.
3. 권한이 낮은 사람이 큰 금액 결제를 할 수 있다는 비정상적인 구조를 악용한 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)