번역 도구들이 발전한다 발전한다 싶더니, 공격자들이 언어의 장벽을 넘어서기 시작했다. 이제 이들은 언어와 나라를 가리지 않고 가짜 메일을 쓸 수 있게 됐다. 점점 정확해지는 번역과 마케팅 도구 덕에 구분이 더 어려운 메일들이 나타나고 있다.

[보안뉴스 문가용 기자] 사업 이메일 침해(BEC) 공격자들의 수법은 단순하다. 누군가 중요한 관계자를 사칭하여 상대방으로 하여금 큰 돈을 자기에게 보내도록 하는 것이 전부이기 때문이다. 하지만 이걸 실행한다는 게 그리 쉬운 건 아니다. 관계자가 누구인지 찾아내는 것도, 그 관계자인 것처럼 연기하고, 상대를 속이는 것도 엄청난 노력과 자원이 들어가는 일이다. 특히 사칭하려는 사람의 언어를 구사하는 게 중요하다. 그렇지 않으면 BEC 공격은 간단히 들통난다.


그렇기에 언어의 장벽은 BEC 공격자들을 가로막는 중요한 요소였다. 하지만 더는 아니다. 보안 업체 앱노멀시큐리티(Abnormal Security)가 발표한 바에 의하면 구글의 무료 번역 서비스인 구글 트랜슬레이트(Google Translate)를 활용해 다른 나라 사람들도 공략하기 시작한 공격 단체가 나왔다고 한다. 미드나잇헤지호그(Midnight Hedgehog)와 만다린카피바라(Mandarin Capybara)가 대표적인 BEC 단체들이고, 이제 거의 모든 언어로 공격을 실시하는 중이라고 한다.

앱노멀시큐리티는 보고서를 통해 “기업들을 위해 개발된 각종 마케팅 서비스와 도구들 역시 BEC 공격을 보다 쉽게 만들어주고 있다”고 짚었다. “리드(lead : 자사의 서비스나 제품에 관심을 가지고 있을 만한 잠재 고객)를 확보하고 추적해야 하는 마케팅 부서들의 경우 여러 가지 도구를 사용하는데, 이런 도구들을 공격자들이 악용하면 표적을 선정하는 데 큰 도움이 됩니다. 지역에 상관 없이 말이죠.”

사실 이런 도구들이 사용되기 전에도 BEC 공격자들은 충분한 성적을 거두고 있었다. 2021년 한 해 동안에만 24억 달러의 피해를 세계 여러 기업들에 입힌 것이다. 즉 한 해 이들의 수익이 이런 천문학적 금액이라는 뜻이 된다. 그래서인지 BEC 공격의 빈도는 해마다 폭발적으로 증가하는 중이다. 이제 새로운 도구들이 모색되고 정착하기 시작했으니 더 가파르게 늘어날 일만 남았다.

BEC 그룹들, 번역과 마케팅 도구 덕분에 호황기 맞아
앱노멀시큐리티의 크레인 해솔드(Crane Hassold)는 먼저 미드나잇헤지호그에 대해 “2021년 1월에 출현한 그룹”이라고 설명하며 “회사의 CEO를 사칭하는 것을 전문으로 하고 있다”고 말한다. “최근에는 구글 번역기를 통해 수많은 언어로 공격을 하기 시작했습니다. 총 11개 언어를 사용하는데요, 덴마크어, 네덜란드어, 에스토니아어, 불어, 독어, 헝가리어, 이탈리아어, 노르웨이어, 폴란드어, 스페인어, 스웨덴어였습니다. 구글 번역기가 얼마나 좋은지, 공격자들이 실수를 해도 알아서 잡아줍니다. 그래서 피싱 메일처럼 보일 만한 구석들이 없습니다.”

일반인들이 피싱 메일을 적발하려 할 때 눈여겨 봐야 하는 건 ‘언어’라고 많은 보안 전문가들이 주장해 왔었다. 철자와 문법적 오류를 피싱 공격자들이 자주 내기 때문이다. “저희도 일반인들에게 그렇게 알려줘 왔습니다. 철자가 이상하거나 글이 문법적으로 잘 구성되지 않을 경우 피싱 메일일 가능성이 높다고 말이죠. 그런데 갑자기 메일이 매끄러워진다? 일반인들 입장에서는 속기가 더 쉬워지는 겁니다.” 이런 미드나잇헤지호그가 피해자들에게 갈취하는 돈은 1만 7천 달러에서 4만 5천 달러 정도된다고 한다.

그 다음 앱노멀 측이 관찰한 BEC 그룹은 만다린카비바라였다. 이들 역시 기업의 고위급 임원을 사칭한 메일을 보내 피해를 입힌다. 다만 이들은 급여 대상자 목록에 자신들의 계좌 번호를 슬쩍 끼워넣는 식으로 공격을 실시한다. “이들도 최근 네덜란드어, 영어, 불어, 독어, 이탈리아어, 폴란드어, 포르투갈어, 스페인어, 스웨덴어를 구사하는 기업들을 공격하기 시작했습니다. 미국만이 아니라 호주의 영어 구사자들도 이들의 표적이 되고 있습니다. 미드나잇헤지호그가 비영어권 유럽 국가들을 주로 공략하는 것과 조금 다릅니다.”

BEC 공격자가 되기 위한 진입 장벽을 낮추다
잠재 고객을 찾기 위한 마케팅 도구들은, BEC 공격의 잠재적 피해자를 찾는 데에도 도움이 된다. “이메일 마케팅 도구나 번역 도구 모두 점점 정확해지고 사용 방법도 간단해지고 있으며 가격도 저렴해지고 있습니다. 공격자들이 활용하기 좋은 상태로 변하고 있는 것이죠. 게다가 이런 도구들을 사용하여 만든 피싱 메일들은 합법적인 느낌을 물씬 냅니다. 보안 장치와 스팸 필터 장치도 점점 잘 피하게 될 겁니다.”

그렇다면 이렇게 쉽고 정교해지는 BEC 공격을 위해 어떤 방어 장치를 마련해야 할까? 해솔드는 크게 두 가지 방법이 있다고 말한다. “소셜 엔지니어링 공격이 갈수록 정교해지고 있어서 정상 메일과 가짜 메일을 구별하는 게 점점 어려워지고 있습니다. 그렇기 때문에 먼저는 보안 교육을 강화해야 합니다. 현재의 피싱 및 BEC 공격의 트렌드를 알려주고 구분하는 방법을 확실하게 각인시켜야 합니다. 하지만 그것만으로는 충분하지 않습니다. 되도록 임직원의 메일함에 그런 편지가 도착하지 못하도록 하는 게 더 중요합니다.”

그래서 해솔드는 행동 패턴을 기반으로 한 머신러닝 및 인공지능 도구를 투입시켜 메일이나, 메일과 관련된 트래픽, 그 메일로부터 나온 첨부파일이나 링크가 비정상적인 행동 패턴을 나타내기 시작할 때 조치를 취해야 한다고 강조한다. “이제 BEC 공격은 국경을 초월하기 시작했습니다. 그러면서 더 완벽해졌어요. 어느 나라에 있든, 어떤 언어를 쓰든, BEC 공격을 지켜봐야 할 상황입니다.”

3줄 요약
1. 마케팅 편하게 하라고 도구 만들었더니, 공격자들이 편해짐.
2. 언어 장벽 넘으라고 개발했더니, 공격자들이 먼저 넘음.
3. 최신 소셜 엔지니어링 공격 기법에 대한 교육과, 보다 발전된 메일 방어 솔루션이 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>