비즈니스 이메일 침해(BEC)란?
BEC 공격에서 사기범은 도난 및 스푸핑 된 이메일 계정을 사용하여 신뢰할 수 있는 직원으로 위장하고 조직에서 돈이나 데이터를 훔칩니다.
IBM 뉴스레터 구독하기 IBM Security QRadar 살펴보기
세련된 아파트에서 무선 인터넷을 사용하여 현대 노트북 장치의 키보드로 강좌 작업에 대한 정보를 안경으로 입력하는 젊은 학생
비즈니스 이메일 침해(BEC)란?

비즈니스 이메일 침해(BEC)는 기업에서 돈 또는 민감한 데이터를 훔치려는 스피어 피싱 이메일 사기입니다.

BEC 공격에서 사이버 범죄자(또는 사이버 범죄 조직)는 대상 조직의 직원들에게 동료 직원이나 공급업체, 파트너, 고객 또는 다른 동료들로부터 온 것처럼 가장한 이메일을 보냅니다. 이 이메일은 직원을 속여 허위 송장을 결제하거나, 가짜 은행 계좌로 송금하거나, 고객 데이터, 지적 재산권 또는 기업 재무와 같은 민감한 정보를 유출하도록 유도하려는 목적으로 작성됩니다.

드물긴 하지만, BEC 사기범이 피해자에게 첨부 파일을 열거나 악성 링크를 클릭하도록 요청하여 랜섬웨어 또는 멀웨어를 유포하려고 시도하는 경우도 있습니다.

BEC 공격자는 더욱 그럴듯하게 보이는 이메일을 작성하기 위해서 표적이 되는 직원과 자신이 사칭하는 직원에 대해 면밀히 조사합니다. 이들은 이메일 주소 스푸핑 및 프리텍스팅과 같은 소셜 엔지니어링 기법을 사용하여 보거나 읽었을 때 사칭 당한 발신자가 보낸 것처럼 판단되는 이메일을 작성합니다. 경우에 따라 사기범이 실제로 발신자의 이메일 계정을 해킹하여 가로챔으로써 공격 이메일이 정상적인 이메일 메시지와 거의 구별되지 않을 정도로 그럴듯해 보이는 경우도 있습니다.

비즈니스 이메일 침해 공격은 회복 비용이 가장 많이 드는 사이버 공격 중 하나입니다. IBM의 2022년 데이터 유출 비용 보고서에 따르면 BEC 사기는 두 번째로 비용이 많이 드는 침해 유형으로, 평균 489만 달러의 비용이 발생합니다. FBI 인터넷 범죄 신고 센터의 인터넷 범죄 보고서(PDF, ibm.com 외부 링크)에 의하면 미국 내의 BEC 사기 피해자들은 2022년에 총 27억 달러의 손해를 입었습니다.

BEC 사기의 유형

사이버 보안 전문가와 FBI는 6가지의 주요 BEC 공격 유형을 파악했습니다. 

허위 송장 관련 사기


BEC 공격자는 회사와 협력하는 공급업체인 것처럼 가장하여 표적 직원에게 가짜 송장이 첨부된 이메일을 보냅니다. 회사가 송장 금액을 결제하면 그 돈이 곧바로 공격자에게 전달됩니다. 공격자는 이러한 공격을 더 설득력 있게 만들기 위해 실제 공급업체 송장을 가로채서 입금 계좌를 자신의 계좌로 변경하기도 합니다.

주의해야 할 것은 법원 판결(ibm.com 외부 링크)에 의하면 허위 송장에 속아 결제했더라도 실제 송장을 결제할 의무가 면제되지 않는다는 점입니다.

가장 큰 규모의 허위 송장 사기 중 하나는 페이스북과 구글을 대상으로 벌어졌습니다. 2013~2015년에 사기범은 실제 하드웨어 제조업체이자 두 회사의 협력업체인 Quanta Computer로 가장하여 페이스북으로부터 9천8백만 달러, 구글로부터 2천3백만 달러를 훔쳤습니다. 결국 사기범은 검거되고 두 회사 모두 대부분의 돈을 회수했지만, BEC 사기에서는 이러한 결과를 얻기가 쉽지 않습니다.
 

CEO 사기


사기범은 보통 CEO 등 경영진을 사칭하여 거래를 마무리해야 하거나, 연체된 송장을 결제하거나, 직원들을 위한 상품권을 구매해야 한다고 속여 직원에게 송금을 요청합니다.

CEO 사기 수법은 종종 긴박감을 조성하여 신속하고 성급하게 행동하도록 유도하거나(예: 지급이 연체되어 송장을 바로 결제하지 않으면 서비스를 이용할 수 없다), 동료에게 알리지 말고 기밀을 유지하라고 합니다(예: 이 거래는 기밀이니 아무에게도 말해서는 안 된다).

2016년에는 항공우주 제조업체인 FACC의 CEO를 사칭한 사기범이 허위 인수 합병을 마무리해야 한다고 직원을 속여 4천7백만 달러(ibm.com 외부 링크)를 송금하도록 유도한 사건이 발생했습니다. 이 사기 사건으로 인해 이 회사의 이사회는 직무 '위반'을 이유로 들어 CFO와 CEO를 해고했습니다.
 

이메일 계정 유출(EAC)


경영진이 아닌 일반 직원의 이메일 계정을 사기범이 탈취합니다. 그런 다음 이를 사용해 다른 회사에 가짜 송장을 보내거나, 다른 직원을 속여 기밀 정보를 공유하도록 할 수 있습니다. 사기꾼들은 종종 EAC를 사용하여 상위 계정의 자격 증명을 피싱하고 이를 CEO 사기에 활용합니다. 

변호사 사칭


사기범은 변호사로 위장하여 피해자에게 청구서를 지급하거나 민감한 정보를 공유하도록 요청합니다. 변호사 사칭 사기는 많은 사람들이 변호사에게 협조할 것이라는 사실에 근거하며, 변호사가 기밀 유지를 요청하는 것은 전혀 이상하지 않습니다. 

러시아 BEC 조직 Cosmic Lynx의 조직원들은 이중 사칭 공격(ibm.com 외부 링크)의 하나로 변호사를 사칭하기도 합니다.먼저, 표적이 되는 회사의 CEO에게 회사 인수 또는 기타 비즈니스 거래에 도움을 줄 '변호사'를 소개하는 이메일이 발송됩니다. 그런 다음 가짜 변호사가 CEO에게 이메일을 보내 거래를 성사시킬 수 있도록 돈을 보내달라고 요청합니다. Cosmic Lynx의 공격은 각 표적에게서 평균 미화 127만 달러를 훔쳤습니다.
 

데이터 절도


많은 BEC 공격은 인사 및 재무 담당 직원을 표적으로 삼아 개인 식별 정보(PII) 및 기타 민감한 데이터를 훔친 후 신원을 도용하거나 향후 공격에 사용합니다.

예를 들어, 2017년에 미국 국세청(ibm.com 외부 링크)에서는 회사 임원을 사칭한 사기범이 급여 담당 직원에게 직원의 주민등록번호 및 기타 민감한 정보가 포함된 직원의 급여 명세서 사본을 보내달라고 요청하여 직원 데이터를 도용하는 BEC 사기에 대해 경고한 바 있습니다. 일부 급여 담당 직원은 허위 계좌로 송금을 요청하는 후속 이메일을 받기도 했습니다. 사기범들은 급여 명세서 요청을 신뢰하고 요청에 응답한 표적에게 송금 요청을 보내면 성공 가능성이 높다고 판단했습니다.  

상품 도난


2023년 초, FBI(ibm.com 외부 링크)는 사기범이 기업 고객으로 위장하여 표적이 된 회사의 제품을 훔치는 새로운 유형의 공격에 대해 경고했습니다. 사기꾼은 다른 회사의 구매 부서 직원으로 위장하고 가짜 금융 정보를 사용하여 거액의 신용 구매를 협상합니다. 표적이 된 회사는 보통 건설 자재 또는 컴퓨터 하드웨어 등의 제품을 발송하지만, 사기범은 대금을 지급하지 않습니다.

BEC 공격의 원리

엄밀히 말해 BEC는 스피어 피싱의 일종으로, 특정 개인 또는 개인 그룹을 표적으로 삼는 피싱 공격입니다. 스피어 피싱 공격 중에서도 BEC가 독특한 이유는 공격 대상이 기업 또는 조직의 직원 또는 관계자라는 점, 사기범들이 표적이 된 직원이 잘 알거나 신뢰하는 다른 직원 또는 관계자인 것처럼 가장한다는 점입니다.

일부 BEC 공격은 사기범 한 명이 단독으로 저지르지만, BEC 갱단이 공격을 시작하는 경우(위 참조)도 있습니다. 이러한 조직은 표적을 찾는 범행 대상 발견 전문가, 이메일 계정에 침입하는 해커, 피싱 이메일에 오류가 없고 설득력 있게 작성하는 전문 작가와 같은 전문가 등을 고용하여 합법적인 기업처럼 운영됩니다. 

사기범이나 갱단이 강탈할 기업을 선택한 후에는 BEC 공격은 일반적으로 동일한 패턴을 따릅니다.
 

표적 조직 선택


거의 모든 기업, 비영리 단체, 정부 기관이 BEC 공격의 표적이 될 수 있습니다. 막대한 자금과 많은 고객을 보유하고 거래량이 많아 BEC가 눈에 띌 가능성이 적은 조직은 명백한 표적입니다.

그러나 세계적 또는 현지의 상황으로 인해 BEC 공격자들이 더 구체적인 기회를 얻게 될 수도 있습니다. 다른 기회들보다 눈에 띄는 기회가 있습니다. 예를 들어, 코로나19 대유행 기간에는 의료 장비 및 소모품 공급업체를 사칭한 BEC 사기범들이 병원과 의료 기관에 청구서를 발행하고 있다고 FBI가 경고하기도 했습니다. 다른 한편 2021년에는 BEC 사기범들이 뉴햄프셔주 피터버러에서 유명한 교육 및 건설 프로젝트를 악용하여 마을 기금에서 230만 달러의 자금을 허위 은행 계좌로 빼돌린 사건(ibm.com 외부 링크)이 발생했습니다).
 

표적 직원 및 발신자 신원 조사


다음으로, 사기범은 피싱 이메일을 수신할 직원과 사기범이 스푸핑(사칭) 할 발신자의 신원을 파악하기 위해 표적 조직과 그 활동을 조사하기 시작합니다.

일반적으로 BEC 사기는 결재 권한이 있거나 민감한 데이터에 액세스할 수 있으면서 고위 관리자나 임원의 요청에 응하는 경향이 있는 재무 부서 또는 인사(HR) 관리자와 같은 중간급 직원을 대상으로 합니다. 일부 BEC 공격은 보안 인식 교육이 거의 또는 전혀 없거나, 적절한 결제 또는 데이터 공유 절차 및 승인에 대해 잘 알지 못하는 신입 직원을 표적으로 삼는 경우도 있습니다.

사칭할 신원의 경우, 사기범은 자신이 표적 직원에게 원하는 행동을 신뢰성 있게 요청하거나 영향을 미칠 수 있는 동료 또는 직원을 선택합니다. 일반적으로는 조직 내 고위 관리자, 임원 또는 변호사입니다. 외부인을 사칭할 때는 공급업체 또는 파트너 조직의 임원을 선택할 수도 있지만, 표적 직원이 정기적으로 거래하는 공급업체, 거래에 자문을 제공하는 변호사, 기존 또는 신규 고객 등 표적 직원의 동료 또는 자주 대화하는 사람을 가장할 수도 있습니다.

다수의 사기범은 합법적인 마케팅 및 영업 전문가가 사용하는 것과 동일한 잠재 고객 생성 도구(링크드인 및 기타 소셜 미디어 네트워크, 비즈니스 및 업계 뉴스, 잠재 고객 발굴 및 목록 작성 소프트웨어)를 사용하여 잠재적인 표적 직원과 사칭할 신원을 찾습니다.
 

표적 및 발신자 네트워크 해킹


모든 BEC 공격자가 표적 및 발신자 조직의 네트워크를 해킹하는 단계를 밟지는 않습니다. 그러나 실제 공격에 앞서 몇 주 전부터 공격 대상과 발신자를 관찰하고 정보와 액세스 권한을 축적하는 등 멀웨어처럼 행동하는 공격자들도 있습니다. 이를 통해 공격자는 다음을 수행할 수 있습니다.

  • 관찰된 행동 및 액세스 권한을 기반으로 가장 적합한 표적 직원 및 발신자 신원을 선택합니다.
     

  • 송장을 제출하는 방법과 결제 또는 민감한 데이터 요청을 처리하는 방법에 대해 자세히 알아내어 공격 이메일에서 더 효과적인 요청을 가장할 수 있습니다.
     

  • 공급업체, 변호사 등에 대한 특정 지급 기한을 정합니다.
     

  • 합법적인 공급업체 송장 또는 구매 주문서를 가로채고 이를 변경하여 공격자의 은행 계좌로 지급하도록 지정합니다.
     

  • 발신자의 실제 이메일 계정을 제어하여(위의 이메일 계정 침해 참조) 사기범이 해당 계정에서 공격 이메일을 직접 보낼 수 있으며, 때로는 진행 중인 실제 이메일 대화에 사기 이메일을 끼워 넣어 진짜를 가장할 수도 있습니다.
     

공격 준비 및 실행


BEC 공격이 성공하려면 설득력 있게 사칭해야 합니다. 따라서 사기범은 신뢰할 수 있고 그럴듯한 공격 이메일을 작성하기 위해 노력합니다.

발신자의 이메일을 해킹하지 않은 경우에는 사기범은 발신자의 합법적인 이메일 주소처럼 보이도록 스푸핑 하는 가짜 이메일 계정을 생성합니다. 예를 들어 [email protected]이 실제 이메일 주소라면 [email protected] 또는 [email protected]처럼 이름을 살짝 바꾸거나 도메인 이름의 철자를 바꿀 수 있습니다. 보낸 사람의 회사 로고가 포함된 서명 또는 상세하지만 허위로 작성된 개인정보 취급방침과 같은 다른 시각적 단서를 추가할 수 있습니다.

공격 이메일의 핵심 구성 요소는 '구실'입니다. 즉, 공격 표적의 신뢰를 얻어 사기범이 원하는 대로 행동하도록 설득하거나 압박하기 위해 만들어 낸 그럴듯한 이야기입니다. 가장 효과적인 구실은 인지할 수 있는 상황, 긴박감 및 결과에 대한 암시를 결합하는 것입니다. BEC에 사용되는 구실의 전형적인 예를 들어보자면 "지금 비행기를 타야 하는데 연체료를 물지 않도록 이 송장(첨부)을 빨리 처리해 주시겠어요?"라는 관리자나 CEO의 메시지가 있습니다.

경우에 따라 사기범은 가짜 웹사이트를 개설하거나, 가짜 회사를 등록하거나, 표적 직원이 확인하기 위해 전화할 수 있는 가짜 전화번호를 제공할 수도 있습니다.

BEC 공격 방어

BEC 사기는 보안 도구가 탐지할 수 있는 악성 코드를 거의 사용하지 않기 때문에 예방하기 가장 어려운 사이버 범죄 중 하나입니다. 대신 사기범은 속임수와 조작을 사용합니다. 사기범은 표적 회사를 침해할 필요조차 없습니다. 공급업체나 고객을 침해하거나 사칭하는 것만으로도 피해자로부터 막대한 금액을 편취할 수 있습니다. 그 결과, 데이터 유출 비용 보고서에 따르면 BEC 공격을 파악하고 차단하는 데 평균 308일이 걸리며 이는 모든 침해 유형을 통틀어 두 번째로 긴 해결 시간입니다.

이러한 사기를 방지하기 위해 기업에서는 다음과 같은 조치를 취할 수 있습니다.

  • 사이버 보안 인식 교육을 통해 사기범이 표적을 찾고 조사하는 데 사용하는 소셜 미디어 플랫폼과 앱에서 과도하게 공유하는 행동의 위험하다는 사실을 직원들이 이해하는 데 도움을 줄 수 있습니다. 또한 교육을 통해 직원들이 BEC 시도를 발견하고, 고액 결제 요청에 응답하기 전에 확인하는 것과 같은 모범 사례를 배울 수 있습니다.

  • 이메일 보안 툴은 모든 BEC 이메일, 특히 유출된 계정에서 발송된 이메일을 잡아내지 못할 수도 있습니다. 그러나 스푸핑 된 이메일 주소를 찾아내는 데 유용할 수 있습니다.일부 툴은 BEC 시도가 의심되는 수상한 이메일 콘텐츠에 플래그를 지정할 수도 있습니다. 

  • 이중 인증 또는 다중 인증을 사용하면 BEC 공격자가 이메일 계정을 해킹하기가 더 어려워질 수 있습니다. 

관련 솔루션
IBM Security® QRadar® SIEM

다른 사람들이 놓치기 쉬운 지능형 위협을 포착하세요. QRadar SIEM은 분석 및 AI를 활용하여 위협 인텔리전스, 네트워크 및 사용자 이상 행동 징후를 모니터링함으로써 즉각적인 주의와 복원이 필요한 곳에 우선순위를 부여합니다.

QRadar SIEM 솔루션 살펴보기

IBM Security Trusteer Rapport®

IBM Trusteer Rapport는 금융 기관이 소매 및 비즈니스 고객을 보호함으로써 맬웨어 감염 및 피싱 공격을 감지하고 예방할 수 있도록 지원합니다.

Trusteer Rapport 살펴보기

IBM Security QRadar EDR

정교하면서도 사용하기 쉬운 EDR(엔드포인트 탐지 및 대응) 솔루션을 사용하여 사이버 공격으로부터 엔드포인트를 보호하고 비정상적인 작동을 감지하며 거의 실시간으로 문제를 해결합니다.

QRadar EDR 알아보기

자원 비즈니스 이메일 침해와 관련한 최신 정보
IBM Security에서 운영하는 사고 리더십 블로그인 Security Intelligence에서 BEC 뉴스, 동향 및 예방 기술에 대한 최신 정보를 확인하세요.
랜섬웨어란 무엇인가?
랜섬웨어는 몸값이 지급될 때까지 피해자의 장치와 데이터를 인질로 잡는 악성 코드입니다.
데이터 유출 비용
올해로 발간 17년 차에 접어든 이 보고서는 나날이 늘어가는 위협 환경에 대한 최신 인사이트를 공유할 뿐 아니라, 시간을 절약하고 손실을 제한할 수 있는 방법에 대한 권장 사항을 제공합니다.
다음 단계 안내

사이버 보안 위협은 점점 더 지능적이고 집요하게 진화하고 있습니다. 이에 따라 보안 분석가는 수많은 경보와 인시던트를 선별하는 작업에 엄청난 노력을 기울여야 합니다. IBM Security QRadar SIEM은 수익을 유지하면서도 위협을 쉽게 그리고 더욱 신속하게 해결할 수 있도록 지원합니다. QRadar SIEM은 신뢰도 높은 경보에 우선순위를 두어 쉽게 놓칠 수 있는 위협을 포착하도록 지원합니다.

QRadar SIEM에 대해 자세히 알아보기 QRadar SIEM 데모 요청하기