온갖 피해를 일으키고 있는 이메일 기반 공격…대표적인 것이 BEC와 EAC
BEC는 가짜가 진짜인 척…EAC는 가짜가 진짜 계정 탈취한 뒤 실행하는 공격
[보안뉴스 문가용 기자] 이메일이 점점 골칫거리가 되고 있다. 수많은 사이버 공격이 바로 이 이메일로부터 시작하는데, 그렇다고 없애기도 힘들 정도로 중요한 통신 수단으로 오랜 시간 자리를 굳혀왔기 때문이다. 심지어 팬데믹 때문에 직원들이 집으로 흩어진 때에 이메일은 빼놓을 수 없는 소통의 수단이 된 상태다. 임직원들이 드나드는 통로로 범죄자들이 자꾸만 쳐들어오니 기업들로서는 머리가 아플 수밖에 없다.
FBI에 의하면 ‘기업 이메일 침해(business email compromise, BEC)’ 공격으로 인한 피해는 2016년에서 2019까지 전 세계에서 260억 달러의 피해를 일으켰다고 한다. ‘BEC’라는 건 굉장히 광범위한 표현으로, ‘피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격’을 의미한다. FBI가 BEC라는 용어를 자주 사용하면서 이 용어가 자리를 잡았는데, 이메일 계정 침해(email account compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다.
이 두 가지의 차이는 무엇일까? 이 차이를 알아야 이메일을 기반으로 하는 사이버 공격을 보다 정확하게 묘사하고 대처할 수 있게 된다.
BEC
전통적 의미에서 BEC란, ‘이 이메일은 당신이 알고 있고 신뢰하는 사람이나 조직에게서 온 것’이라고 수신자를 속이는 여러 가지 방법들을 총 망라하는 말이다. 여기까지 속이는 데 성공하면 피해자에게 어떤 요구라도 할 수 있게 된다. 범인 입장에서 회사에 도움이 되는 일을 할 리가 없다. BEC 공격에서 가장 중요한 건 ‘당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다’라는 걸 어떻게든 주입시킨다는 것이다. 피해자가 순진할수록 공격 성공률이 높아진다.
EAC
BEC 공격이 진짜처럼 보이는 곳에서부터 들어오는 것이라면 EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이다. 즉 공격자들이 다양한 방법을 동원에 실제로 메일 계정을 침해한 후, 그 메일에서부터 사기 공작을 펼친다는 것이다. 공격자들이 비밀번호 살포, 피싱, 멀웨어 심기 등 각종 테크닉을 동원하여 정상적인 메일함에 도달하는 것이 키포인트다.
이메일 계정에 일단 접근하는 데 성공했다면 그 다음은 여러 가지 공격을 실시할 수 있게 된다. 메일함에 저장된 민감한 정보를 찾아 빼돌릴 수도 있고, 메일 전달 규칙을 마음대로 바꿔 자신이 제어하는 또 다른 계정으로 중요한 메일을 받을 수도 있게 된다. 심지어 연락처에 저장된 곳으로 스팸 메일을 보내면서 완전히 새로운 스팸 캠페인을 시작할 수도 있다.
EAC가 특히 위험한 이유는 공격자가 실제 건물(혹은 인프라) 내에 들어와 있는 것이기 때문이다. BEC의 경우는 공격자가 아직 외부에 있다. 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이 BEC다. 또한 EAC처럼 계정 침해가 이뤄진 다음에는 디마키(DMARC)와 같은 이메일 보안 매커니즘이 작동하지 않게 된다.
BEC와 EAC를 차이을 알았다면?
BEC와 EAC는 확실히 겹치는 부분이 있는, 비슷한 유형의 공격이자 위협이다. 따라서 보안 담당자들은 사용자 이메일 계정을 이 두 가지 공격 모두로부터 보호해야 한다. 그렇다면 애초에 차이를 알 필요가 없지 않을까? 아니다. 두 개에는 차이가 분명히 존재하므로, 방어 방법에도 차이가 존재한다.
BEC의 방어책은 ‘늘 합리적으로 의심하라’는 교육부터 시작한다. 조금이라도 비정상적인 요구가 들어온다면 의심하도록, ‘전문 의심꾼’을 키워내야 한다는 것이다. 의심만 하는 건 그다지 중요하지 않다. 의심이 들었다면 메일을 보낸 것으로 보이는 담당자에게 전화를 걸어 직접 확인을 하도록 해야 한다. 그리고 이 확인 전화를 거는 사람이나 받는 사람이나 귀찮아 하지 않도록 하는 것이 중요하다.
EAC 공격에 대한 방어는 이메일 계정 보호부터 시작한다. 특히 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련되어야 한다. 그리고 이 방법들이 100% 방어률을 기록하지 못한다는 것을 인지하고, 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검도 실시해야 한다. 즉 외부 메일만 모니터링할 게 아니라 사내에서 오가는 메일들도 모니터링 해야 한다는 뜻이 된다.
3줄 요약
1. 이메일 통한 공격이라고 해서 다 같은 게 아님.
2. BEC는 진짜인 척 하는 공격, EAC는 진짜 메일 계정 탈취해서 하는 공격.
3. BEC는 인적 교육을 바탕으로 방비, EAC는 계정 탈취에 대한 기술적 방비 필요로 함.
[국제부 문가용 기자(globoan@boannews.com)]
BEC는 가짜가 진짜인 척…EAC는 가짜가 진짜 계정 탈취한 뒤 실행하는 공격
[보안뉴스 문가용 기자] 이메일이 점점 골칫거리가 되고 있다. 수많은 사이버 공격이 바로 이 이메일로부터 시작하는데, 그렇다고 없애기도 힘들 정도로 중요한 통신 수단으로 오랜 시간 자리를 굳혀왔기 때문이다. 심지어 팬데믹 때문에 직원들이 집으로 흩어진 때에 이메일은 빼놓을 수 없는 소통의 수단이 된 상태다. 임직원들이 드나드는 통로로 범죄자들이 자꾸만 쳐들어오니 기업들로서는 머리가 아플 수밖에 없다.
[이미지 = utoimage]
FBI에 의하면 ‘기업 이메일 침해(business email compromise, BEC)’ 공격으로 인한 피해는 2016년에서 2019까지 전 세계에서 260억 달러의 피해를 일으켰다고 한다. ‘BEC’라는 건 굉장히 광범위한 표현으로, ‘피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격’을 의미한다. FBI가 BEC라는 용어를 자주 사용하면서 이 용어가 자리를 잡았는데, 이메일 계정 침해(email account compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다.
이 두 가지의 차이는 무엇일까? 이 차이를 알아야 이메일을 기반으로 하는 사이버 공격을 보다 정확하게 묘사하고 대처할 수 있게 된다.
BEC
전통적 의미에서 BEC란, ‘이 이메일은 당신이 알고 있고 신뢰하는 사람이나 조직에게서 온 것’이라고 수신자를 속이는 여러 가지 방법들을 총 망라하는 말이다. 여기까지 속이는 데 성공하면 피해자에게 어떤 요구라도 할 수 있게 된다. 범인 입장에서 회사에 도움이 되는 일을 할 리가 없다. BEC 공격에서 가장 중요한 건 ‘당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다’라는 걸 어떻게든 주입시킨다는 것이다. 피해자가 순진할수록 공격 성공률이 높아진다.
EAC
BEC 공격이 진짜처럼 보이는 곳에서부터 들어오는 것이라면 EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이다. 즉 공격자들이 다양한 방법을 동원에 실제로 메일 계정을 침해한 후, 그 메일에서부터 사기 공작을 펼친다는 것이다. 공격자들이 비밀번호 살포, 피싱, 멀웨어 심기 등 각종 테크닉을 동원하여 정상적인 메일함에 도달하는 것이 키포인트다.
이메일 계정에 일단 접근하는 데 성공했다면 그 다음은 여러 가지 공격을 실시할 수 있게 된다. 메일함에 저장된 민감한 정보를 찾아 빼돌릴 수도 있고, 메일 전달 규칙을 마음대로 바꿔 자신이 제어하는 또 다른 계정으로 중요한 메일을 받을 수도 있게 된다. 심지어 연락처에 저장된 곳으로 스팸 메일을 보내면서 완전히 새로운 스팸 캠페인을 시작할 수도 있다.
EAC가 특히 위험한 이유는 공격자가 실제 건물(혹은 인프라) 내에 들어와 있는 것이기 때문이다. BEC의 경우는 공격자가 아직 외부에 있다. 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이 BEC다. 또한 EAC처럼 계정 침해가 이뤄진 다음에는 디마키(DMARC)와 같은 이메일 보안 매커니즘이 작동하지 않게 된다.
BEC와 EAC를 차이을 알았다면?
BEC와 EAC는 확실히 겹치는 부분이 있는, 비슷한 유형의 공격이자 위협이다. 따라서 보안 담당자들은 사용자 이메일 계정을 이 두 가지 공격 모두로부터 보호해야 한다. 그렇다면 애초에 차이를 알 필요가 없지 않을까? 아니다. 두 개에는 차이가 분명히 존재하므로, 방어 방법에도 차이가 존재한다.
BEC의 방어책은 ‘늘 합리적으로 의심하라’는 교육부터 시작한다. 조금이라도 비정상적인 요구가 들어온다면 의심하도록, ‘전문 의심꾼’을 키워내야 한다는 것이다. 의심만 하는 건 그다지 중요하지 않다. 의심이 들었다면 메일을 보낸 것으로 보이는 담당자에게 전화를 걸어 직접 확인을 하도록 해야 한다. 그리고 이 확인 전화를 거는 사람이나 받는 사람이나 귀찮아 하지 않도록 하는 것이 중요하다.
EAC 공격에 대한 방어는 이메일 계정 보호부터 시작한다. 특히 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련되어야 한다. 그리고 이 방법들이 100% 방어률을 기록하지 못한다는 것을 인지하고, 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검도 실시해야 한다. 즉 외부 메일만 모니터링할 게 아니라 사내에서 오가는 메일들도 모니터링 해야 한다는 뜻이 된다.
3줄 요약
1. 이메일 통한 공격이라고 해서 다 같은 게 아님.
2. BEC는 진짜인 척 하는 공격, EAC는 진짜 메일 계정 탈취해서 하는 공격.
3. BEC는 인적 교육을 바탕으로 방비, EAC는 계정 탈취에 대한 기술적 방비 필요로 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
.jpg)
