[보안뉴스 김경애 기자] 아시아 최대 규모 시큐리티 콘퍼런스 ISEC 2022 첫째 날인 18일 D트랙에서 프루프포인트(엔큐리티) 최태용 이사가 ‘Next Level 이메일 위협, BEC(이메일 사기 공격)에 대한 효과적인 대응 전략’이란 주제로 강연을 진행했다.


최태용 이사는 “사이버 보안 위협의 가장 큰 벡터인 이메일 공격은 모든 사이버 위협의 시작이 이메일이라고 할 수 있을 정도로 가장 기본적이고 전통적이며, 보편적인 해커의 공격 툴”이라며 “근래 이메일 공격은 악성 URL, 멀웨어 등을 이용한 피싱 공격에서 한 단계 발전해 사회공학적(Social-engineering) 기법을 이용한 BEC(이메일 사기) 공격이 증가하는 추세이고, 이에 따라 공격대상인 기업의 피해액도 매년 큰 폭으로 증가해 랜섬웨어 피해액보다 더 큰 것으로 보고되고 있다”고 밝혔다.

‘2021 FBI 인터넷 범죄 보고서’에 따르면 BEC 공격은 전체 사이버공격의 35%로 집계되고 있으며, BEC로 인한 피해액은 약 34조원(24억 달러)에 달한다. 이메일 사기 사건당 평균 손실 25% 증가했는데, 이는 랜섬웨어보다 49배 큰 피해액이다. BEC 공격 형태로는 키프트 카드 사기, 급여 계좌 사기, 공급업체 사기, 배송 사기 등이 있으며, 사람과 사람 사이의 관계와 신뢰를 파고드는 특징이 있다.

BEC 공격의 대응방안으로 최태용 이사는 재무, 고객지원, 건물관리 등 해커의 주 타깃이 되는 직원들을 대상으로 한 보안교육이 선행돼야 하고, 피싱 방어 고도화, 이메일 인증, BEC 인텔리전스를 통해 효과적으로 차단해야 한다고 설명했다.

한편, 10월 18일과 19일 양일간 서울 코엑스에서 열린 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’는 대한민국을 넘어 아시아 최대 보안 콘퍼런스로 자리잡았다. 올해로 16회 째를 맞이한 ISEC 2022는 그랜드볼룸과 콘퍼런스룸(북)에서 열리던 예년과 달리 코엑스 전시장(Hall C)과 콘퍼런스룸(남, 3F)으로 확장 개최되면서 더욱 많은 기업이 참여하고, 더욱 풍성한 강연이 진행됐다.

특히, 행사 기간 중 보안책임자 및 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문조사, 영상평가 등을 통해 선발한 명 강연자들을 시상하는 ‘ISEC 2022 베스트 스피커 어워즈’도 진행하는 등 콘텐츠 질적 향상 및 강연수준 제고에 끊임없이 나서고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>