BEC 공격자들이 노리는 건, 사람의 실수가 아니라 구조적 문제

입력 : 2020-06-18 12:13

얼마 전까지 CEO 사칭해 예산 담당 직원에게 “돈을 송금하라”고 지시했는데
이제는 파트너사 사칭해 예산 담당 직원과 신뢰 관계 형성...기업 구조 문제 노려

[보안뉴스 문가용 기자] 기업 이메일 침해(BEC) 공격자들의 전략이 분명히 바뀌고 있다. 이전에는 CEO를 사칭해 ‘돈을 송금하라’는 지시를 예산 담당 직원에게 내렸다면, 지금은 파트너사를 사칭해 신뢰 관계를 쌓은 뒤 엉뚱한 곳으로 돈을 송금하도록 유도한다.


보안 업체 앱노멀 시큐리티(Abnormal Security)의 부회장인 켄 리아오(Ken Liao)는 이러한 전략이 통하는 이유에 대해 다음과 같이 설명한다. “회계를 담당하는 직원이 모든 파트너사를 상세히 알고 있지 못합니다. 그건 파트너사와 협업하는 담당자 각자의 일이죠. 돈을 직접 주고받는 당사자인데, 의외로 이러한 허점을 가지고 있다는 걸 범죄자들이 알아챈 것입니다.”

또한 “직접 돈을 송금하고 결제하는 실무를 맡은 직원은 대부분 조직 내에서 말단에 위치하고 있는데, 이들이 실제로 다루는 금액은 꽤나 크다는 것도 문제”라고 리아오는 지적한다. “생각해보면 비정상적인 일이 아닐 수 없습니다. 그러니까 범죄자들이 이 부분을 파고들어 효과를 보는 것입니다.”

BEC의 현황에 대해 앱노멀 시큐리티가 발표한 보고서에는 이러한 현황이 ‘숫자’로 나타나고 있다. 2019년 4사분기부터 지금까지 BEC 공격의 규모와 빈도가 28% 증가했고, 10명 이상을 겨냥한 대형 BEC 캠페인이 17% 증가한 것이다. 또한 C레벨 임원 하나하나를 공략하려는 시도는 37% 줄었다. 높은 사람을 사칭하는 공격 대신, 예산 담당 실무자를 살살 꼬드기는 작업이 많아졌기에 나오는 수치들이다.

보고서에 의하면 BEC 공격자들은 예나 지금이나 ‘표적 공격’을 실시하고 있다고 한다. 다만 “공격 대상들을 전략적으로 묶어 효율을 높여가고 있는 중”이라고 한다. 또한 시간을 두고 신뢰 관계를 형성하려고 하기 때문에 처음부터 돈 얘기를 꺼내지는 않는다고 한다. 계산서 양식 등 작고 사소하면서 정상적으로 보이는 요청부터 시작한다.

소셜엔지니어 LLC(Social-Engineer LLC)를 운영하는 크리스 해드나기(Chris Hadnagy)는 “예산 처리 담당자가 예산 관련 양식을 요구하는 게 비정상적으로 보일 리 없다”고 설명한다. “CEO를 사칭해서 돈을 보내라고 명령하는 식의 공격 방법은 이미 널리 알려진 상태입니다. 뉴스에도 자주 실렸고 교육도 잘 되었습니다. 그래서 이제는 코로나로 집에 있을 법한 직원들을 구슬리기 시작한 것입니다.”

이런 노력(?) 덕분인지 BEC 공격은 꽤나 거대한 수익을 남기는 공격 유형으로 분류된다. 지난 2월 FBI는 “2019년 한 해 동안 사이버 범죄로 인해 발생한 35억 달러 피해액의 절반 정도가 BEC 공격자들의 손에 넘어갔다”고 발표한 바 있다. 일본의 대기업인 도요타는 BEC 공격으로 3700만 달러를 잃었고, 니케이 역시 2900만 달러를 범인들에게 송금했다.

해드나기는 BEC 공격을 방어하기 위해서는 교육을 꾸준히 진행해야 하고, 그것에 더해 다음 두 가지 접근법을 활용해볼 수 있다고 제안했다.
1) 실제 결제 업무를 담당하는 자가 일을 서둘러 처리하지 않도록 분위기를 만든다. 급하면 급할수록 힌트들을 못 본다. 반대로 여유가 있다면 평소 못 보던 것들을 볼 수 있다.
2) 결제를 하는 말단 직원들이라고 해도 파트너사에 대해 적극 물을 수 있도록 분위기를 조성해야 한다. 업무 프로세스 조정도 권장된다.

“보통 기업들은 이런 일이 일어나면 해당 직원에게 책임을 묻고 해고합니다. BEC 공격 근간에 있는 구조적인 문제를 보지 못하기 때문입니다. 파트너사에 대해 누군가에게 묻기도 힘들 정도로 권한이 낮은 직원에게 어마어마한 금액을 결제할 수 있도록 허락해주는 이 역설적인 구조를 누가 만든 걸까요? 오히려 C레벨들에게 책임을 물어야 하지 않을까요?”

3줄 요약
1. BEC 공격, 여전히 사이버 범죄로 인한 피해의 절반 정도를 차지할 정도로 위협적임.
2. 최근에는 파트너사를 사칭하여 결제 담당자와 친해지는 수법으로 전략 바꿈.
3. 권한이 낮은 사람이 큰 금액 결제를 할 수 있다는 비정상적인 구조를 악용한 공격.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 4

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 5

  2024년 3월 악성코드 공격 동향 분석해보...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...