국내 굴지의 대기업이 이메일 사기로 240억원의 물품대금을 해커에게 송금한 사고가 밝혀진 바 있다. ‘스캠’이라고 불리는 이러한 사기는 오래 전부터 복권에 당첨됐다거나 알려지지 않은 왕족의 편지와 같은 비현실적인 내용으로 진행해왔으며, 최근에는 협력사의 대표이사나 고위간부로 위장해 사용자를 교묘하게 속이고 있다.
트렌드마이크로가 지난 2년 동안 발생한 ‘허위송금 이메일(BEC)’ 공격 피해를 조사한 결과, 공격의 40%는 CFO를 타깃으로 하며, 31%가 CEO를 사칭한다. BEC 공격에서 가장 많이 사용되는 이메일 제목은 ‘Transfer(송금)’, ‘Request(요청)’, ‘Urgent(긴급)’ 등의 간단하고 직접적인 표현을 사용한다.
50달러에 공격 가능한 스캠 사기
무역대금을 가로채는 이메일 사기는 몇 년 전부터 중소규모 무역회사를 대상으로 진행돼 온 사기범죄로, 거래처 담당자 이메일을 탈취하거나 담당자 이메일과 비슷한 계정을 만들어 담당자를 사칭한다. 무역대금을 송금하는 담당자와 몇 차례 메일을 주고받아 신뢰할 수 있게 만든 후 은행계좌가 바뀌었다며 공격자의 계좌로 대금을 송금하도록 유도한다.
BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있다. 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하며, 재무 부문을 특정 타깃으로 해 상급 직권에 따를 수 밖에 없는 상황을 악용한다.
기업 간부로 위장해 송금을 지시하는 ‘CEO 사기’ 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있다. 이 공격은 저렴한 비용으로 진행할 수 있어 더욱 활개를 친다. BEC 공격 캠페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 있다.
단순한 이메일 스푸핑을 넘어서는 수법도 있다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭해 허위 계좌로 송금을 요청한다. 피싱 또는 키로거를 사용해 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청한다. 경우에 따라 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타깃이 된다.
BEC의 공격 수법은 대부분 잘 알려져있지만, 교묘하게 사람의 심리를 이용하기 때문에 피해가 줄어들지 않고 있다. 미연방수사국(FBI)의 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이른다.
트렌드마이크로 보안블로그는 “BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 가장 중요하다. BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않으며, 직원 개개인의 보안의식 증진이 필수”라고 강조했다
