[보안뉴스] 이메일 사기 공격(BEC)의 교묘한 수법, 어떻게 대응해야 할까

작성자
Security
작성일
2022-07-06 20:40
조회
22
외부로부터 공격의 90%는 이메일에 의해 발생
이메일로부터 유입되는 공격, 특히 BEC(이메일 사기 공격)에 관심 갖고 대응해야

[보안뉴스= 이석호 Proofpoint Korea 대표] 기업이나 조직의 보안을 위협하는 요소는 너무도 다양하게 있지만 최근에 BEC(Business Email Compromise), 즉 이메일 사기 공격이 심각한 위협으로 떠오르고 있다. 국내 기업들도 이메일 사기 공격(BEC)에 당해서 해커에게 거액을 송금하거나 내부 정보를 발송하는 치명적인 손실을 입기도 한다. 이에 따른 손실은 랜섬웨어의 피해와 비교가 안될 정도로 막대하다. 왜냐하면 평소에 신뢰하는 고객이나 협력사의 이메일 주소를 도용하거나 거의 유사하게 해서 평소의 거래관계처럼 이메일을 발송하기 때문에 거액을 송금하는 등의 사기 피해를 발생할 가능성이 높아서다.

FBI 보고서에 따르면 전 세계 기업 중 BEC 공격을 당해본 비율이 51%에 달한다고 한다. 아직 BEC가 다소 생소한 독자들을 위해서 BEC가 정확히 뭔지 간단히 정리해 보자. BEC(Business Email Compromise)는 우리말로 ‘이메일 사기 공격’으로 번역할 수 있다.

우선 공격자가 BEC로 노리는 타깃이 어디인지부터 알아보자. 첫 번째 타깃은 여러분이 속한 조직이다. 공격자들은 여러분이 신뢰하는 고객이나 협력사의 이메일 주소를 똑같이 도용(Spoofing)하거나 이메일 주소 중 하나를 살짝 바꿔서 마치 여러분들의 고객이나 협력사인 것처럼 메일을 보낸다.

예를 들어 ‘안녕하세요 팀장님, 00기업 홍길동입니다. 저희가 지난번에 납품한 물품에 대한 매출계산서(invoice)를 보내드리니 아래 계좌로 7월 31일까지 송금해 주시기 바랍니다. 저희의 주거래 은행이 변동되어서 계좌정보도 변경되었으니 앞으로는 아래 계좌로 납품대금을 입금시켜 주시면 감사하겠습니다..’ 이렇게 메일을 보내면 발송자가 평소 잘 알고 신뢰하는 거래처이기 때문에 많은 사람들이 감쪽같이 속을 수밖에 없다. 마치 보이스피싱이나 핸드폰을 통해서 공격하는 스미싱처럼. 그러면 여러분의 조직은 직접적인, 그리고 물리적인 피해를 보게 되며 법률적인 문제로 비화될 수도 있다.

두 번째 타깃은 바로 여러분들의 고객사이거나 협력사다. 여러분의 이메일 주소를 똑같이 도용(Spoofing)하거나 이메일 주소중 하나를 바꿔서 마치 여러분인 것 처럼 속여서 고객사나 협력사에 사기 메일을 보낸다. 그러면 어떠한 결과가 나타날까? 이러한 사기 공격은 여러분을 타깃하지 않고 있기 때문에 사실 여러분의 조직에 물리적인 피해를 끼치진 않는다.

하지만 여러분의 고객사나 협력사는 여러분을 사칭한 사기 이메일로 인해 상당한 피해를 볼 수 있다. 그러면 여러분의 조직은 어떤 피해를 보게 될까? 물리적이고 직접적인 피해는 없지만 여러분 조직의 브랜드 이미지, 평판에 큰 피해를 입게 된다. 그리고 중장기적으로는 여러분의 고객이나 협력사가 여러분들과 거래할 의욕을 꺾음으로써 비즈니스에도 엄청난 임팩트를 주게 된다. 여러분은 이메일 사기 공격을 전혀 하지 않았지만 상대방 입장에서는 여러분의 이메일 주소로 공격당한 상황에서 누가 여러분과 거래하고 싶겠는가? 사람은 이성보다 감정이 지배하는 동물이다.

그러면 이메일 사기 공격 방법과 그 대응방법을 알아보자. 첫 번째는 여러분의 이메일 주소를 똑같이 도용(spoofing)하는 것이다. 이렇게 하면 누구나 속을 수 밖에 없다. 그 유일한 예방책은 여러분의 조직과 협력사 및 고객사에 ‘DMARC’라는 이메일 인증 프로토콜을 구현하는 것이다. 이것은 상당히 강력해서 발송자가 진짜 그 사람인지 여부를 판단해준다. DMARC를 처음 들어보셨다면 인터넷이나 위키(WIKI)에서 DMARC를 한번 찾아보시라.

두 번째는 여러분의 이메일 주소 일부를 교묘하게 변경하는 방법이고 영어로는 lookalike 공격이라고 한다. 예를 들어 police.go.kr을 p0lice.go.kr로 바꾸는 것이다. 하루에 수많은 메일이 날아오고 처리해야 할 업무가 많은 상황에서 이렇게 바꿔서 공격하면 많은 사람들이 속아 넘어가기 쉽다. 이를 차단하기 위해서는 솔루션으로 해결하는 방법밖에 없다.

세 번째는 display name 도용(spoofing)이라는 방식인데, 우리가 이메일을 받아보면 발송자란에 이메일 주소 대신 발송자의 이름과 회사만 나와 있는 경우가 많다. 이 점을 노리고 공격자는 여러분이 잘 아는 고객사나 협력사 임직원의 이름을 도용해서 보내는 방식이다. 이 부분 또한 DMARC로도 방어가 안 되기 때문에 솔루션 관점의 대응이 필요하다.

필자가 기업의 CISO(정보보호최고책임자)들에게 이러한 BEC 공격을 설명하면, 첫 번째 질문이 공격자들이 어떻게 이메일 주소를 똑같이 도용하냐고 질문하면서 그 방법이 어려울 것 같다고 얘기한다. 천만에 말씀이다. 공격자가 공격을 위한 이메일 서버를 만들거나, 이미 해킹한 서버를 사용하거나, 아마존 이메일 서비스도 이용하거나, 스푸핑 웹사이트를 이용해서 손쉽게 가능하다. 예를 들어 스푸핑 웹사이트를 이용하면 지금 바로 누구나 이메일 주소를 똑같이 도용할 수 있다. 제가 굳이 스푸핑 웹사이트를 여기서 공개하지는 않겠다.

미국이나 유럽 등의 국가들은 이미 강력한 이메일 인증을 위해 DMARC를 구현해왔고 그 비율은 80%가 넘는다고 한다. 하지만 아직 우리나라는 정확한 통계는 없지만 DMARC를 구현해서 사용하는 기업이나 조직이 10% 남짓밖에 되지 않는다고 추산하고 있다. 큰 문제가 아닐 수 없다.

아래 다이어그램은 가트너(Gartner)와 버라이즌(Verizon)의 통계자료이다. 왼쪽을 보면 기업들이 정보보안을 위해서 투자하는 솔루션의 항목인데, 보시다시피 네트워크와 엔드포인트에 대부분의 예산 즉 70% 이상을 할애한다. 그런데 오른쪽에 보면 보안사고나 침해의 영역은 97%가 이메일 공격과 내부 임직원의 실수에 의해서 발생한다. 즉, 투자와 침해 영역의 미스매칭이 발생하고 있는 셈이다.

외부로부터의 공격의 90%는 이메일에 의해서 발생한다. 랜섬웨어도 원인을 따지고 들어가보면 결국 BEC(이메일 사기 공격)가 그 근본적인 원인이 되는 경우가 대부분이다.

이메일로부터 유입되는 공격, 특히 BEC에 관심을 갖고 대응해야 여러분의 조직은 물론 협력사와 고객사를 보호할 수 있다는 점을 다시 한 번 강조하고 싶다.
[글_ 이석호 Proofpoint Korea 대표]

출처: 보안뉴스, https://www.boannews.com/media/view.asp idx=107800&page=1&mkind=&kind=3&skind=2&search=title&find=