BEC 공격자들의 작업이 수포로 돌아가는 경우가 점점 늘어나고 있다. 금융 단체들의 대응력이 좋아지고 있기 때문이다. 그러자 BEC 공격자들은 물건을 노리기 시작했다.
[보안뉴스 문가용 기자] BEC 공격에 특화되어 있는 공격 조직들이 전략을 조금씩 비틀어 수정하고 있다. 입금 정보를 바꾸려는 벤더사를 사칭하는 게 한창 대세였다면, 지금은 구매자를 사칭하고 있다고 한다. FBI가 경고한 바에 따르면 이 공격은 다음과 같은 순서로 진행된다.
![[보안뉴스 / 4.3.] 최근 BEC 공격자들, 돈보다 물품을 노리는 쪽으로 방향을 틀고 있다](http://www.boannews.com/media/upFiles2/2023/04/49817381_4468.jpg)
[이미지 = utoimage]
1) 잘 알려진 기업을 사칭한다.
2) 제조사에 연락해서 주문을 넣는다.
3) 잘 알려진 기업의 이름으로 하는 것이므로 신용 거래가 가능하다.
4) 물건을 받고 사라진다.
세부 내용은 조금씩 바뀔 수 있지만 큰 틀에서는 대략 이런 식으로 일이 흘러간다고 FBI는 경고한다. 주로 건축 자재, 농산품, 컴퓨터 하드웨어, 태양광 에너지 시스템을 다루는 업체들 사이에서 이런 일이 자주 일어난다고 한다. 컨설팅 기업 NCC그룹(NCC Group)의 기술 국장 수리야 비스워스(Sourya Biswas)는 “이런 식의 공격은 금융 기관들의 감시망을 피해가기도 좋다”고 설명한다.
“이메일 등 전자 기록이 남는 방식으로 사기성 주문을 하고 물건 받을 곳을 입력하는 건 공격자에게 불리해 보입니다. 하지만 그 물건들을 공격자들은 어디로 가져다가 팔까요? 이런 결정적인 정보는 공개되지 않습니다. 건축 자재나 컴퓨터 부품들은 팔 곳도 많고 잘 팔리기도 합니다. 그것도 현금으로 말이죠. 추적하기도 쉽지 않습니다.”
이런 식의 사기 수법이 최초로 등장한 건 아니다. 지난 해 일부 BEC 전문 단체들이 식료품 업체들을 공략하여 설탕과 분말 우유를 트럭 단위로 훔쳐낸 적이 있다. 2021년에도 비슷한 사기 수법이 존재했었다. 당시 공격자들은 전기 회사로 사칭하여 35대의 맥북(총 가치가 약 11만 달러였다)을 특정 주소로 주문했었다. 배송지는 정상적인 기업이었는데 범인들은 마지막 순간에 주소를 바꿔 비싼 장비를 가로채는 데 성공했다.
FBI는 “BEC 공격자들이 주로 미국 기업들의 정상적인 도메인을 장악하거나 흉내 내는 방식으로 이 공격을 많이 수행한다”고 경고한다. 또한 “사칭하는 기업에서 실제로 근무하는 직원들에 대해서도 알아낸 후에, 해당 직원들의 신분으로 이메일을 보낸다”고 경고하기도 한다. 여러 모로 정상적인 거래 요청으로 보일 수밖에 없다는 것이다.
돈을 엉뚱한 곳으로 송금하게 유도하는 BEC 공격보다 물건을 훔치는 BEC 공격을 잡아내는 것이 훨씬 힘들다는 경고도 같이 나왔다. “공격자들은 가짜 세금 양식과 신용 정보를 판매자들(즉 피해자들)에게 제공합니다. 그리고 물건부터 받고 30일이나 60일 안에 지불을 완료하기로 합니다. 이런 식의 거래는 정상적인 기업들 사이에서도 흔히 일어나는 것인데요, 공격자들이 물건을 가지고 팔아치우거나 도망가기에 충분한 시간이 됩니다.”
보안 업체 노비포(KnowBe4)의 로저 그라임즈(Roger Grimes)는 “물품을 빼돌리는 사기 행각은 이미 수십 년 전부터 존재해 왔던 오래된 수법”이라고 지적한다. “기업들의 거래 행태와 공급망에 대한 이해도가 조금만 있으면 피해자에게 접근해 쉽게 사기를 칠 수 있습니다. 반면 그런 식으로 빼돌린 물건을 시장에 되판다고 했을 때 추적의 방법은 그리 많지 않습니다.”
하지만 물건을 빼돌려 현금으로 바꾸는 것은 공격자들이 크게 선호하는 전략이 아니다. 수익성 면에서 뛰어나다고 하기는 어렵기 때문이다. “물건을 현금화 하는 과정에서 정상 가격보다 크게 낮춰야 한다는 단점이 존재합니다. 낮은 가격이 아니라면 비정상적으로 판매하는 물건을 빠르게 팔아치울 수가 없기 때문입니다.”
그럼에도 공격자들이 최근 물건을 훔치는 방법으로 옮겨가기 시작한 건 현금을 위주로 한 BEC 공격에 많은 수사 기관들의 이목이 집중되어 있기 때문이다. 지금으로서는 수익성보다 들키지 않고 잡히지 않는 것이 더 중요하다는 것이다. 게다가 잘못 송금된 현금을 추적해 되받아내는 금융 조직의 행위가 보다 꼼꼼해지고 빨라지기도 했다. FBI는 “2018년부터 BEC 그룹이 훔쳐낸 현금의 73%를 다시 복구시켰다”고 말한다.
보안 업체 블랙베리(BlackBerry)의 위협 첩보 국장인 드미트리 베스투제프(Dmitry Bestuzhev)는 “사법 기관과 금융 기관들이 BEC 공격에 대한 대응력이 상당히 좋아졌다”며 “공격자들 입장에서도 적응해야 하는 수밖에 없다”고 말한다. “돈을 보내는 쪽이나 받는 쪽 모두 사기 송금을 파악하는 기술이 훨씬 좋아졌습니다. 그들로서는 위협거리가 늘어난 것이죠.”
베스투제프는 “공격자들이 방어자들의 능력 향상에 민감하게 귀를 기울이고 기민하게 대처하는 것처럼 방어자들도 공공 기관이나 보안 업계에서 나오는 공격 트렌드 소식을 놓치지 말고 방어의 방식을 유연하게 변경해야 한다”고 강조한다. “소셜 엔지니어링 공격은 트렌드만 부지런히 쫓아도 상당 부분 방어가 가능합니다. 임직원 전체가 교육을 통해 이런 정보를 자주 접해야 합니다.”
3줄 요약
1. BEC 공격자들이 훔치는 돈, 회수되는 경우가 늘어남.
2. 그러자 BEC 공격자들은 물건을 직접 훔쳐 현금화하기 시작.
3. BEC 공격자들도 빠르게 적응하니 방어자들도 빠르게 적응해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 4.3.] 최근 BEC 공격자들, 돈보다 물품을 노리는 쪽으로 방향을 틀고 있다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
