LG화학이 스캠 공격으로 240억원의 피해를 입은 사고와 관련, 파이어아이는 보고서를 발표하고 이메일을 통한 거래시 각별한 주의가 필요하다고 3일 밝혔다.
파이어아이는 지난해 나이지리아 기반 스캐머에 대한 보고서를 통해 스캠 공격에 대해 상세히 분석한 바 있다. 스캠은 이메일 정보를 해킹하고 거래처로 둔갑해 무역 거래대금을 가로채는 범죄 수법을 일컫는 말이다. 이는 신종범죄가 아니라 1980년대부터 나타났으며 예전에는 편지를 사용했으나 최근에는 이메일을 사용하는 등 그 수법을 달리하며 이어져 오고 있다.
공격자들은 “기존 은행의 높은 수수료 때문에 거래 은행을 변경했습니다. 바뀐 계좌로 송금해 주세요”와 같은 메일을 보내며, 여러차례에 걸쳐 담당자와 업무 메일을 주고받는 과정을 거치기 때문에 사기 메일 여부를 알아차리기 어렵다.
파이어아이가 분석한 바에 따르면 나이지리아 스캐머는 54개국 2328명에게 피해를 입혔으며, 아시아지역 중소기업을 주로 공격했다. 이들은 피해 대상 업체가 지불 결제 방식을 바꾸도록 유도한다.
스캐머들은 이메일 해킹을 통해 거래 업체 간 주고받은 메일을 오랫동안 면밀하게 지켜보다가 송금과 관련 된 내용이 있을 때 중간에 끼어들어 거래처가 메일 보낸 것처럼 속인다. 스캐머들은 거래처 이메일 주소 중 한글자만 바꿔 비슷한 이메일 주소를 만들기 때문에 영어에 익숙하지 않아 바뀐 이메일 주소를 쉽게 파악할 수 없는 아시아지역 기업들을 선호하는 것이다.
스캐머들은 직접 해킹 기술을 개발하지 않으며, 해킹 기술능력이 없어 제 3자에게 해킹 툴을 구입하고 있다. 스캐머들은 약 200~3600달러에 해당하는 돈을 악성 툴 개발자에게 지불했으며 피해 기업의 백신 프로그램을 안전하게 통과하는지 재차 확인하는 주도면밀함까지 보여주었다.
IT기술이 발달하기 전 나이지리아 스캐머들은 자신이 백만장자이며 돈을 송금할 경우 큰 돈으로 갚을 수 있다는 식의 수법을 사용하였다. 하지만 점점 더 IT기술이 발전함에 따라 고도의 기술을 가진 해커들까지 개입하면서 범죄의 수법은 점점 정교해지고 있다.
또한, 최근에는 미국과 영국을 중심으로 스캠 공격 피해 사례가 급증하였는데, 해당 공격들은 기존과 달리 SNS를 적극 이용하고, 대기업을 주로 타깃으로 피해 규모를 키웠다는 점에서 주목된다.
미 인터넷범죄신고센터(IC3)에 의하면, 이 공격들은 SNS를 통해 기업의 경영진이 사무실을 비우는 기간에 대한 정보를 수집하고, 이를 공격에 적극 이용했다. 예를 들어 타깃 기업의 파트너사의 CEO 계정으로 피싱 이메일을 작성했을 때 이를 송부할 최적의 시기를 찾기 위해 SNS를 통해 CEO의 일정을 체크하는 것이다. IC3는 전 세계 1만2000 개가 넘는 기업들이 이러한 스캠 공격의 타깃이 되고 있으며, 이 같은 공격을 통해 사이버 범죄자들은 약 2억 달러 상당의 부당 이익을 챙겼다고 밝혔다.
메일 보안·악성코드 유포 차단해야
스캠 피해를 입지 않기 위해서는 이메일 계정과 같이 기업의 민감한 정보가 포함되는 계정이 있을 경우 2중의 인증장치를 보유하고 있어야 한다. 2중의 보안장치를 설치할 경우 해커들이 악성코드를 설치했더라도 쉽게 기업 내부 정보를 유출할 수 없다.
절대 알 수 없는 출처의 첨부문서는 열어보아서는 안 된다. 무역업체일 경우 다양한 바이어들이 물품거래를 요청하면서 문서를 첨부하기 때문에 악성코드가 포함 된 문서를 열어 쉽게 해커들에게 노출될 수 있다.
메일을 통해 민감한 기업 정보가 거래되는 경우, 해커가 유포한 악성코드를 사전에 차단할 수 있는 행위분석 기반 보안 장치를 설치해야 기업 내부 정보 유출 사고를 막고 경제 손실을 줄일 수 있다. 포렌식 방식의 조사를 이용해 기업의 감염 여부를 정기적으로 조사해야 한다.
거래처와 대금거래를 할 경우 좀 더 주의를 기울여야 하며 은행계좌 변경을 요구할 경우 쉽게 요구사항을 수락해서는 안 된다. 또한 이메일 뿐만 아니라 전화 등의 다른 수단을 통해 재확인 해야 한다. 또한 스캐머들은 비영어권 기업의 특성을 악용해 거래처와 비슷한 이메일 계정을 만들기 때문에 이메일 주소를 확인해야 한다.
