홈
topics
비즈니스 이메일 손상
비즈니스 이메일 침해(BEC)는 기업에서 돈 또는 민감한 데이터를 훔치려는 스피어 피싱 이메일 사기입니다.
BEC 공격에서 사이버 범죄자(또는 사이버 범죄 조직)는 대상 조직의 직원들에게 동료 직원이나 공급업체, 파트너, 고객 또는 다른 동료들로부터 온 것처럼 가장한 이메일을 보냅니다. 이 이메일은 직원을 속여 허위 인보이스를 지불하거나, 가짜 은행 계좌로 송금하거나, 고객 데이터, 지적 재산 또는 기업 재무와 같은 민감한 정보를 누설하도록 유도합니다.
드물긴 하지만, BEC 사기범이 피해자에게 첨부 파일을 열거나 악성 링크를 클릭하도록 요청하여 랜섬웨어 또는 멀웨어를 유포하려고 시도하는 경우도 있습니다. 또한 공격 대상이 되는 직원과 사칭하는 신원을 면밀히 조사하여 이메일이 합법적인 것처럼 보이도록 합니다. 이메일 주소 스푸핑 및 프리텍스팅과 같은 소셜 엔지니어링 기술은 가장된 발신자가 보낸 것처럼 보이고 읽히는 그럴듯한 공격 이메일을 만드는 데 도움이 됩니다.
경우에 따라 사기범이 실제로 발신자의 이메일 계정을 해킹하여 가로챔으로써 공격 이메일이 정상적인 이메일 메시지와 거의 구별되지 않을 정도로 그럴듯해 보이는 경우도 있습니다.비즈니스 이메일 침해 공격은 회복 비용이 가장 많이 드는 사이버 공격 중 하나입니다.
IBM의 2022년 데이터 유출 비용 보고서에 따르면 BEC 사기는 두 번째로 비용이 많이 드는 침해 유형으로, 평균 489만 달러의 비용이 발생한다고 합니다. FBI 인터넷 범죄 신고 센터의 인터넷 범죄 보고서(ibm.com 외부 링크)에 따르면, 미국 내의 BEC 사기 피해자들은 2022년에 총 27억 달러의 손해를 입었습니다.
IBM Security X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
사이버 보안 전문가와 FBI는 6가지의 주요 BEC 공격 유형을 파악했습니다.
BEC 공격자는 회사와 협력하는 공급업체로 가장하여 대상 직원에게 가짜 송장이 첨부된 이메일을 보냅니다. 회사가 송장을 지불하면 돈은 공격자에게 바로 전달됩니다. 공격자는 이러한 공격을 더 설득력 있게 만들기 위해 실제 공급업체 송장을 가로채서 입금 계좌를 자신의 계좌로 변경하기도 합니다.
주의해야 할 것은 법원 판결(ibm.com 외부 링크)에 의하면 허위 송장에 속아 결제했더라도 실제 송장을 결제할 의무가 면제되지 않는다는 점입니다.
가장 큰 규모의 허위 송장 사기 중 하나는 페이스북과 구글을 대상으로 벌어졌습니다. 2013~2015년에 사기범은 실제 하드웨어 제조업체이자 두 회사의 협력업체인 Quanta Computer로 가장하여 페이스북으로부터 9천8백만 달러, 구글로부터 2천3백만 달러를 훔쳤습니다. 결국 사기범은 검거되고 두 회사 모두 대부분의 돈을 회수했지만, BEC 사기에서는 이러한 결과를 얻기가 쉽지 않습니다.
사기꾼은 임원(일반적으로 CEO)을 사칭하고 직원에게 어딘가에 송금하도록 요청합니다. 이러한 요청은 거래 성사, 연체된 송장 결제, 심지어 동료 직원을 위한 상품권 구매 등의 형태로 이루어지는 경우가 많습니다.
CEO 사기 수법은 종종 긴박감을 조성하여 신속하고 성급하게 행동하도록 유도하거나(예: 지급이 연체되어 송장을 바로 결제하지 않으면 서비스를 이용할 수 없다), 동료에게 알리지 말고 기밀을 유지하라고 합니다(예: 이 거래는 기밀이니 아무에게도 말해서는 안 된다).
2016년에는 항공우주 제조업체인 FACC의 CEO를 사칭한 사기범이 허위 인수 합병을 마무리해야 한다고 직원을 속여 4천7백만 달러(ibm.com 외부 링크)를 송금하도록 유도한 사건이 발생했습니다. 이 사기 사건으로 인해 이 회사의 이사회는 직무 '위반'을 이유로 들어 CFO와 CEO를 해고했습니다.
사기범은 비임원 직원의 이메일 계정을 탈취한 후 다른 회사에 가짜 송장을 보내거나 다른 직원을 속여 기밀 정보를 공유하도록 유도합니다. 사기범들은 종종 EAC를 사용하여 상위 계정의 자격 증명을 피싱하고 이를 CEO 사기에 활용합니다.
사기범은 변호사로 위장하여 피해자에게 청구서를 지급하거나 민감한 정보를 공유하도록 요청합니다. 변호사 사칭 사기는 많은 사람들이 변호사에게 협조할 것이라는 사실에 근거하며, 변호사가 기밀 유지를 요청하는 것은 전혀 이상하지 않습니다.
러시아 BEC 조직 Cosmic Lynx의 조직원들은 이중 사칭 공격(ibm.com 외부 링크)의 하나로 변호사를 사칭하기도 합니다. 먼저, 표적이 되는 회사의 CEO에게 회사 인수 또는 기타 비즈니스 거래에 도움을 줄 '변호사'를 소개하는 이메일이 발송됩니다. 그런 다음 가짜 변호사는 CEO에게 이메일을 보내 거래를 성사시키기 위해 송금을 요청합니다. Cosmic Lynx의 공격은 각 표적에게서 평균 미화 127만 달러를 훔쳤습니다.
많은 BEC 공격은 HR 및 재무 직원을 대상으로 개인 식별 정보(PII) 및 기타 민감한 데이터를 훔쳐 신원 도용 또는 사이버 범죄를 저지르는 데 사용합니다.
예를 들어, 2017년에 IRS는 직원 데이터를 훔친 BEC 사기에 대해 경고했습니다(ibm.com 외부 링크). 사기범들은 회사 임원을 사칭하여 급여 담당 직원에게 직원의 주민등록번호 및 기타 민감한 정보가 포함된 직원의 급여 명세서 사본을 보내달라고 요청했습니다. 일부 급여 담당 직원은 허위 계좌로 송금을 요청하는 후속 이메일을 받기도 했습니다. 사기범들은 급여 명세서 요청을 신뢰하고 요청에 응답한 표적에게 송금 요청을 보내면 성공 가능성이 높다고 판단했습니다.
2023년 초, FBI(ibm.com 외부 링크)는 사기범이 기업 고객으로 위장하여 표적이 된 회사의 제품을 훔치는 새로운 유형의 공격에 대해 경고했습니다. 사기범은 다른 회사의 구매 부서 직원으로 위장하고 가짜 금융 정보를 사용하여 거액의 신용 구매를 협상했습니다. 표적이 된 회사는 건설 자재 또는 컴퓨터 하드웨어 등의 제품을 발송했지만 사기범은 대금을 지급하지 않았습니다.
엄밀히 말해 BEC는 스피어 피싱의 일종으로, 특정 개인 또는 개인 그룹을 표적으로 삼는 피싱 공격입니다. BEC는 스피어 피싱 공격 중에서도 유일무이한 것으로, 기업이나 조직의 직원이나 동료를 대상으로 하며, 사기범은 표적이 알고 있거나 신뢰할 수 있는 동료를 가장합니다.
일부 BEC 공격은 사기범 한 명이 단독으로 저지르지만, BEC 갱단이 공격을 시작하는 경우도 있습니다. 이러한 조직은 표적을 찾는 범행 대상 발견 전문가, 이메일 계정에 침입하는 해커, 피싱 이메일에 오류가 없고 설득력 있게 작성하는 전문 작가와 같은 전문가 등을 고용하여 합법적인 기업처럼 운영됩니다.
사기범이나 갱단이 강탈할 기업을 선택한 후에는 BEC 공격은 일반적으로 동일한 패턴을 따릅니다.
거의 모든 기업, 비영리 단체, 정부 기관이 BEC 공격의 표적이 될 수 있습니다. 막대한 자금과 많은 고객을 보유하고 있으며, 거래량이 많아 BEC가 눈에 띌 가능성이 적은 조직은 명백한 표적이 됩니다.
그러나 세계적 또는 국지적으로 발생하는 상황을 계기로 BEC 공격자들은 더 구체적인 기회를 얻을 수 있으며 그중 일부는 보다 확연하게 두드러집니다. 예를 들어, 코로나19 대유행 기간에는 의료 장비 및 소모품 공급업체를 사칭한 BEC 사기범들이 병원과 의료 기관에 청구서를 발행하고 있다고 FBI가 경고하기도 했습니다.
경제적 피해를 입힌 또 다른 예로, 2021년에는 BEC 사기범들이 뉴햄프셔주 피터버러에서 유명한 교육 및 건설 프로젝트를 악용하여 마을 기금에서 230만 달러의 자금을 허위 은행 계좌로 빼돌린 사건(ibm.com 외부 링크)이 발생했습니다.
다음으로, 사기범은 피싱 이메일을 수신할 직원과 사기범이 스푸핑(사칭) 할 발신자의 신원을 파악하기 위해 표적 조직과 그 활동을 조사하기 시작합니다.
BEC 사기는 일반적으로 지급 권한이나 민감한 데이터에 액세스할 권한이 있고 고위 관리자 또는 임원으로부터 이러한 요청을 받을 때 따르게 되는 중간급 직원(예: 재무 부서 또는 인사(HR) 관리자)을 대상으로 합니다. 일부 BEC 공격은 보안 인식 교육을 거의 또는 전혀 받지 않았거나, 적절한 지급 또는 데이터 공유 절차 및 승인에 대해 잘 알지 못하는 신입 직원을 표적으로 삼기도 합니다.
발신자 신원을 사칭할 대상으로, 사기범은 표적 직원에게 신뢰감을 주면서 특정 행동을 하도록 요청하거나 유도할 수 있는 동료 또는 업무 파트너를 선택합니다. 일반적으로는 조직 내 고위 관리자, 임원 또는 변호사가 해당합니다.
외부인을 사칭할 때는 공급업체 또는 파트너 조직의 임원을 선택할 수도 있고, 표적 직원이 정기적으로 거래하는 공급업체, 거래에 자문을 제공하는 변호사, 기존 또는 신규 고객 등 표적 직원의 동료 또는 협력자를 가장할 수도 있습니다.
다수의 사기범은 합법적인 마케팅 및 영업 전문가가 사용하는 것과 동일한 잠재 고객 생성 도구(링크드인 및 기타 소셜 미디어 네트워크, 비즈니스 및 업계 뉴스, 잠재 고객 발굴 및 목록 작성 소프트웨어)를 사용하여 잠재적인 표적 직원과 사칭할 신원을 찾습니다.
모든 BEC 공격자가 표적 및 발신자 조직의 네트워크를 해킹하는 단계를 밟지는 않습니다. 그러나 해킹하는 공격자는 멀웨어처럼 실제로 공격하기 몇 주 전에 표적과 발신자를 관찰하고 정보와 액세스 권한을 축적합니다. 이를 통해 공격자는 다음을 수행할 수 있습니다.
관찰된 행동 및 액세스 권한을 기반으로 가장 적합한 표적 직원 및 발신자 신원을 선택합니다.
송장을 제출하는 방법과 결제 또는 민감한 데이터 요청을 처리하는 방법에 대해 자세히 알아내어 공격 이메일에서 더 효과적인 요청을 가장할 수 있습니다.
공급업체, 변호사 등에 대한 특정 지급 기한을 정합니다.
합법적인 공급업체 송장 또는 구매 주문서를 가로채고 이를 변경하여 공격자의 은행 계좌로 지급하도록 지정합니다.
발신자의 실제 이메일 계정을 제어하여 사기범이 해당 계정에서 공격 이메일을 직접 보낼 수 있으며, 때로는 진행 중인 실제 이메일 대화에 사기 이메일을 끼워 넣어 진짜를 가장할 수도 있습니다.
BEC 공격이 성공하려면 설득력 있게 사칭해야 합니다. 따라서 사기범은 신뢰할 수 있고 그럴듯한 공격 이메일을 작성하기 위해 노력합니다.
발신자의 이메일을 해킹하지 않은 경우에는 사기범은 발신자의 합법적인 이메일 주소처럼 보이도록 스푸핑하는 가짜 이메일 계정을 생성합니다. 예를 들어 jane.smith@company.com이 실제 이메일 주소라면 jsmith@company.com 또는 jane.smith@cornpany.com처럼 이름을 살짝 바꾸거나 도메인 이름의 철자를 바꿀 수 있습니다. 보낸 사람의 회사 로고가 포함된 서명 또는 상세하지만 허위로 작성된 개인정보 취급방침과 같은 다른 시각적 단서를 추가할 수도 있습니다.
공격 이메일의 핵심 구성 요소는 '명분'입니다. 즉, 공격 표적의 신뢰를 얻어 공격 표적이 공격자가 원하는 대로 행동하도록 설득하거나 압박하기 위해 만들어 낸 그럴듯한 이야기가 필요합니다. 인지할 수 있는 상황에 긴급성과 결과의 영향이 결합된 명분이 가장 효과적입니다. BEC에 사용되는 명분의 전형적인 예로, "지금 비행기를 타야 하는데 연체료를 물지 않도록 이 송장(첨부)을 빨리 처리해 주시겠어요? "라는 관리자나 CEO의 메시지를 들 수 있습니다.
경우에 따라 사기범은 가짜 웹사이트를 개설하거나, 가짜 회사를 등록하거나, 표적 직원이 확인을 위해 전화할 수 있는 가짜 전화번호를 제공할 수도 있습니다.
BEC 사기는 보안 툴이 탐지할 수 있는 멀웨어를 거의 사용하지 않기 때문에 예방하기 가장 어려운 사이버 범죄 중 하나입니다. 대신 사기범은 속임수와 조작을 이용합니다. 사기범은 표적 기업에 침입할 필요조차 없습니다.
이들은 공급업체나 고객을 침해하거나 사칭하는 것만으로도 피해자로부터 막대한 금액을 편취할 수 있습니다. 그 결과, 데이터 유출 비용 보고서에 따르면, BEC 공격을 파악하고 차단하는 데는 평균 308일이 걸리며 이는 모든 침해 유형을 통틀어 두 번째로 긴 해결 시간이라고 합니다.
이러한 사기를 방지하기 위해 기업에서는 다음과 같은 조치를 취할 수 있습니다.
사이버 보안 인식 교육을 통해 사기범이 표적을 찾고 조사하는 데 사용하는 소셜 미디어 플랫폼과 앱에서 과도하게 공유하는 행동의 위험하다는 사실을 직원들이 이해하는 데 도움을 줄 수 있습니다. 또한 교육을 통해 직원들이 BEC 시도를 발견하고, 고액 결제 요청에 응답하기 전에 확인하는 것과 같은 모범 사례를 배울 수 있습니다.
이메일 보안 툴은 일부 BEC 이메일, 특히 유출된 계정에서 발송된 이메일은 잡아내지 못할 수도 있습니다. 그러나 스푸핑된 이메일 주소를 찾아내는 데는 효과적일 수 있습니다. 일부 툴은 의심스러운 이메일 콘텐츠에 플래그를 지정하여 BEC 시도를 알려주기도 합니다.