부동산, 거래 구조도 복잡하고 큰 돈 오가는 위험한 현장
BEC와 EAC 피해 커...임직원 대상으로 보안 교육부터 해야

[보안뉴스 문가용 기자] 부동산 업계는 이미 10년도 넘는 기간 동안 사이버 공격자들의 좋은 먹잇감이었다. 그런데 최근 FBI의 발표에 의하면, 부동산을 노리는 사이버 공격자들의 수가 급증하고 있다고 한다. 특히 사업 이메일 침해 공격(BEC)과 이메일 계정 침해(EAC) 공격에 취약하다고 한다.


부동산 산업 내 만연한 BEC 공격과 EAC 공격은 사람이나 단체를 가리지 않는다. 부동산 공증 기관은 물론 법률 사무소, 공인중개 사무소, 구매자나 매입자 모두 이 공격에 노출되어 있다. 작년 9월 한 피해자는 1천 8백만 달러의 피해를 입기도 했다. 보안 업체 프루프포인트(Proofpoint)는 “사람들의 선량함과 일을 매듭짓고 싶어 하는 심리를 공격자들이 노린다”고 설명한다. 프루프포인트의 위협 분석 책임자인 셰로드 드그리포(Sherrod DeGrippo)는 블로그를 통해 “부동산 산업은 지금 매우 위험하다”고 경고하기도 했다.

드그리포는 “부동산 거래를 한 번 하려면 전자 서명을 해야 하고, 무수히 많은 문서를 이메일 등으로 교환해야 하며, 평소라면 잘 만나지 않았을 전문가들과 연락을 주고받아야 한다”며 “이런 낯선 거래 시스템 속에 큰 돈이 오가는 상황”이라고 묘사한다. “수천만에서 수백만 달러가 오가는 게 부동산 거래입니다. 해커들의 구미가 당길 수밖에요.”

부동산 업체인 리딩 리얼 이스테이트(Leading Real Estate Companies of the World)의 부회장인 제시카 에드거튼(Jessica Edgerton)은 “이미 이런 종류의 위협과 수년 째 싸워오고 있다”고 말한다. “현대의 부동산 거래는 매우 복잡한 구조를 가지고 있습니다. 거래 하나에 수많은 관계자들이 엮이게 되는 구조죠. 게다가 전부 민감한 정보를 교환해야 하는데, 요즘은 또 이러한 정보 저장 및 교환이 전자 장비로 이뤄지죠. 관계자도 많고, 정보도 많고, 돈도 많은 거래니 당연히 위험이 커질 수밖에 없습니다.”

드그리포는 부동산 업계가 현재 마주하고 있는 가장 큰 위협을 다음 다섯 가지로 정리한다.
1) 뱅킹 트로이목마 : 사용자와 온라인 뱅킹 세션 사이에 개입하는 멀웨어다. 사용자의 크리덴셜을 취득하면 사실 상 거래에 드는 모든 금액을 훔칠 수 있게 된다.

2) 파일 다운로더 : 공격자들은 첨부파일이나 링크를 이메일에 포함시켜 보낸다. 사용자가 이를 클릭하는 순간 공격자들은 사용자 기기에 침투할 수 있게 된다. 거기서부터 공격자들은 민감하고 값어치가 나가는 정보를 훔치기 시작한다. 요즘은 다운로더라는 유형의 멀웨어를 먼저 심고, 그것을 통해 추가 멀웨어를 심고 공격한다.

3) 정보 탈취 멀웨어 : 정보를 훔치는 멀웨어를 설치하는 데 성공해도 공격자는 피해자의 장비에 접근할 수 있게 된다. 이 멀웨어를 통해 사용자의 브라우저나 파일 시스템에 저장된 비밀번호, 세금 관련 세부사항 등의 민감한 정보를 훔칠 수 있기 때문이다.

4) 기업의 크리덴셜 피싱 : 해커들이 대기업 브랜드를 사용해 사용자들의 클릭을 유도하는 방식도 요즘 많이 보인다. 유명 브랜드 앞에 대부분 사용자는 경계심을 내려놓는다. 미국의 부동산 업계에서는 도큐사인(DocuSign) 로고가 많이 활용된다고 한다.

5) 소비자 크리덴셜 피싱 : 위 4)번과 비슷한데 대기업의 유명 브랜드 대신 평소 사용자들에게 자주 알림문자나 메일을 보내는 일반 소비재 브랜드를 사용해 유혹하는 것이다. 아마존이나 페이스북이 여기에 속하기도 한다. 그리고 가짜 거래로 이끈다.

보안 업체 체크포인트(Check Point)의 고급 위협 분석가인 개드 나베(Gad Naveh)는 “부동산 업계에 있는 보안 담당자라면 제일 먼저 이러한 위협이 도사리고 있다는 걸 임직원들에게 알리는 것부터 시작해야 한다”고 주장한다. “BEC나 EAC는 몰라서 당하는 경우가 참 많습니다. BEC와 EAC의 사례를 알고만 있어도 위험이 조금은 줄어들 수 있습니다.”

나베는 “엔드포인트 보안도 중요하다”고 말한다. “먼저는 임직원들이 똑같은 비밀번호를 반복 사용하지 못하도록 해야 합니다. 비밀번호 확인을 해주는 엔드포인트 솔루션과 비밀번호 재사용을 막는 규정을 사용해 이런 방면의 위험을 최소화시켜야 합니다.” 중개사들 역시 사무실 내 모든 사람들을 대상으로 보안 교육을 시켜야 한다고 나베는 덧붙였다. 에드거튼은 “중개사가 구매자나 매입자에게도 보안 교육을 할 수 있다면 정말 최고”라고 말했다.

또한 에드거튼은 “도큐사인 등 유명 브랜드에서 온 메일이라고 해서 메일에 포함된 모든 요소들을 클릭해서는 안 된다”고 강조했다. “도큐사인에서 알림 메일이 왔다면, 메일 내용만 읽고 클릭은 하지 마세요. 궁금한 내용이 있다면 도큐사인 공식 웹사이트에 직접 찾아 들어가서 해당 내용을 찾아보는 게 더 안전합니다.”

3줄 요약
1. 부동산 거래, 너무나 복잡한 구조라 해커가 중간에 개입하기 알맞음.
2. 게다가 엄청나게 큰 돈이 오가니, 해커로서는 군침이 돌 수밖에 없음.
3. BEC와 EAC 위협 특히 크므로 임직원에 대한 보안 교육부터 실시해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>