기업 이메일 침해(BEC) 공격, 기업들 돈과 데이터 무자비하게 탈취
공격에 특별한 기술이나 정교함 필요 없고, 사이버 보험도 적용 안 돼

[보안뉴스 오다인 기자] 일명 ‘BEC 공격’이 극성이다. BEC 공격은 ‘기업 이메일 침해(Business Email Compromise)’를 줄여 일컫는 말로, 기업 관계자를 사칭한 이메일을 보내 돈이나 데이터를 탈취하는 사이버 공격 수법을 뜻한다. 이 공격은 지금 기업들을 집어 삼키는 중이다.


더 암울한 건 BEC 공격이 먹히는 데 별다른 정교함이 필요치 않다는 사실이다. 기술적인 정교함이든 다른 수준의 정교함이든 그 어떤 것에서도 말이다. 보안 업체 체크포인트(Check Point)가 어제(15일) 발표한 보고서에 따르면, 석유 및 가스 산업을 겨냥해 최근 성공한 BEC 캠페인은 단 한 사람에 의해 벌어진 일이었다고 한다.

“공격자의 사이버 기술 수준이 낮다는 사실이 특히 충격적이었다. 그가 보낸 가짜 이메일들은 대충 쓰인 데다 정교함이라곤 찾아보기 어려웠다. 이메일을 작성하는 데 어떤 연구나 사회공학적 수법도 사용하지 않았다고 봐도 될 수준이다. 게다가 그가 사용한 멀웨어도 옛날에나 쓰던 것으로 온라인에서 언제든지 구할 수 있는 일반적인 종류였다. 그는 프리웨어를 사용해 기업 웹사이트에서 이메일 주소를 ‘긁어낸’ 뒤 공격 대상으로 사용했다.” 체크포인트 연구팀의 설명이다.

다시 말해, 체크포인트가 수개월 간 추적한 공격의 배후에 사이버 범죄 조직 따위는 없었다. 암시장의 골치 아픈 공급망이나 복잡한 지휘 체계 같은 건 애초에 존재하지 않았다. 그저 20대 중반의 한 평범한 남성이 넷와이어 트로이목마(NetWire Trojan)와 호크아이 키로깅(Hawkeye keylogging) 애플리케이션을 이용해서 전 세계 4,000개 기업을 가짜 야후 이메일 계정 몇 개로 공격한 게 사실의 전부다. 그를 추적한 연구자들은 그가 몇 군데의 대기업도 공격하는 데 성공했다고 밝혔다.

바로 여기에 BEC 공격의 문제가 놓여 있다. BEC 공격은 정교한 수준이 낮은 데서부터 매우 발달한 수준까지 다양하다. 시스코의 2017 사이버 보안 중간보고에 따르면, BEC 공격은 지난 3년간 약 6조 원(53억 달러)을 빨아들인 것으로 나타났다. BEC 공격의 전략은 단순하다. 대규모 송금을 담당하는 누군가의 계정 또는 그 사람과 관련된 사람, 예컨대 상사, 고객, 파트너 같은 사람의 계정을 침해하는 것이다. 이런 사람의 이메일을 침해하는 데 성공한 다음 공격자는 특정 계좌로 돈을 보내라고 지시하고 돈을 보내야하는 이유들도 보충한다. 피해자는 큰 의심 없이 범죄자의 계좌로 스스로 돈을 보내게 되는 것이다.

“지금까지 BEC 공격은 ‘CEO 공격’이나 ‘CFO 공격’으로도 불려왔습니다. 기업 내의 중요한 사람을 사칭해서 기업 정보를 요청하기 때문이죠.” 국제보안전문기관 SANS 인터넷스톰센터(SANS Internet Storm Center)의 센터장 요한 울리히(Johannes Ulrich)는 최근 한 인터넷 방송에서 BEC 공격에 대해 이렇게 말했다. 그러나 최근에는 BEC 공격이 더 자동화돼 예전보다 넓은 범위의 사용자가 공격 대상이 되고 있다고 그는 지적했다.

울리히는 부동산 업계가 무자비하게 공격당하고 있다는 사실도 지적했다. 부동산 업자나 중간수탁자(escrow agent), 모기지 브로커(mortgage broker) 등 이 업계의 먹이사슬은 통째로 공격당하고 있다. 특히 부동산 업자는 여러 이해관계자를 중개하는 사람이기 때문에 공격하기 더 좋다. 부동산 업자는 새로운 고객이나 잠재 고객을 더러 만나기도 하므로 처음 보는 사람과 정보를 교환하는 데 더 열려있기도 하다. 부동산 업자는 일반적인 웹 메일 시스템, 문서 공유 서비스, 전자서명 시스템을 사용하는 경향이 있기 때문에 이메일을 도용해 정보를 빼돌리는 것도 더 쉽다. 적잖은 부동산 업자가 기술적으로 정교하지 않은 데다 내부에 IT 부서를 갖고 있지도 않다. 무엇보다 부동산 업자는 고객과 중간수탁자 사이의 신뢰받는 중개자로서 송금 정보를 보내는 사람이다.

울리히가 지적한 한 사례를 보자. 어느 부동산 업자는 잠재 고객으로 보이는 사람에게서 이메일 한 통을 받았는데, 집을 구할 때 어떤 것부터 해야 하는지 조언을 구하는 내용이었다. 이 부동산 업자가 답장을 하자 이 사람은 링크가 포함된 이메일을 보냈다. 그 링크는 구글 드라이브에 올라가 있는 은행 선승인 문서(pre-approval letter, 모기지 신청인의 대출 자격을 확인한 문서)로 연결된 것처럼 보였다. 이 링크가 실제로 연결한 곳은 구글 계정 정보를 탈취하기 위한 가짜 로그인 화면이었다.

울리히는 “첫 번째로 보낸 이메일 몇 개는 자동화한 것일 가능성이 높다”고 설명했다. “처음 몇 건의 이메일 내용은 충분히 예측 가능했다는 점을 미루어볼 때, 부동산 업자의 데이터베이스를 탈취하는 스크립트가 있다고 해도 과언이 아닐 것 같습니다. 이메일 주소를 모으고, 처음 인사말을 건네는 이메일을 자동으로 보내고, 부동산 업자가 뭐라고 답변하든 악성 PDF 파일로 연결되는 링크를 보내는 일련의 시나리오 말입니다.”

울리히가 지적한 사건의 부동산 업자는 속아 넘어가지 않았다. 그 업자는 SANS 인터넷스톰센터에 해당 이메일을 전달했다. 만약 이 업자가 공격자에게 크리덴셜을 넘겨주게 됐다면, 공격자는 이 업자의 이메일을 쭉 훑어본 뒤 부동산을 구입하려는 고객이 송금을 어디로 하면 되냐고 물어볼 때까지 기다렸을 것이다. 바로 그때 BEC 공격자가 고객에게 잘못된 계정 정보를 보내는 건 하찮을 만큼 쉬운 일이다. 고객이 실제로 구매하려는 사람이 아니라 어느 사기꾼의 계정에 돈을 보내도록 만드는 것 말이다.

위와 같은 사례는 BEC 공격이 이뤄내는 수많은 창의적인 방법 중 하나에 불과하다. 그러나 BEC 공격이 얼마나 단순하게 이뤄지는지 보여주는 좋은 사례인 점은 분명하다. 수만 달러에서 수십만 달러가 돌이킬 수 없는 사기성 송금에 넘어가고 있다.

더 무서운 사실은 BEC 공격을 펼치는 데 어떤 복잡한 해킹 기술도 필요치 않기 때문에 이 공격에 당하면 사이버 보험으로 보상받지도 못할 것이라는 점이다. 바로 이번 달에 관련 뉴스가 있었다. 기계설계 업체와 미국 보험회사 트래블러스(Travelers Insurance) 간 벌어진 소송에 대한 판결이었다. 아메리칸 툴링 센터(ATC: American Tooling Center)라는 기계설계 업체는 BEC 공격에 의해 약 9억 원(800,000달러)을 잃었다. 사기꾼은 미리 침해한 이메일 계정을 이용해 돈을 받아야 할 타 업체인 척하고 가짜 송금 정보를 보냈는데, 이 업체는 인보이스가 타당해 보였으므로 돈을 송금했다. 판사는 “ATC 컴퓨터 시스템에 어떤 침입이나 ‘해킹’도 없었”으므로 피해를 보상받을 자격이 안 된다는 이유를 들어 보험회사의 손을 들어줬다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>