푸에르토리코의 산업개발공사, 입금 계좌 변경해달라는 속임수에 당해
BEC 공격, 국가와 산업 가리지 않고 큰 피해 일으켜...송금 시 거듭 확인 필수

[보안뉴스 문가용 기자] 푸에르토리코 정부 기관이 피싱 사기에 당해 260만 달러의 피해를 입었다고 AP통신이 보도했다. 보도에 의하면 푸에르토리코 정부가 소유 및 운영하고 있는 산업개발공사(Industrial Development Company)가 이메일을 기반으로 한 피싱 공격의 피해자라고 한다. 산업개발공사는 푸에르토리코 경제 발전에 중추적인 역할을 하는 곳으로 알려져 있다.


공격자들이 보낸 가짜 메일의 내용은 “송금 받을 은행 계좌를 변경해 달라”는 것이었다. 공사와 계약을 맺고 있는 해외 노동자들의 고향으로 급여를 보낼 때 사용하는 계좌였고, 공사는 이 요청을 받아들여 돈을 잘못 송금했다. 일이 일어난 건 1월 17일이었다. 현재 푸에르토리코는 이 사건을 대단히 엄중하게 받아들이고 있으며, 수사를 진행 중에 있다.

경찰에 정식 수사를 의뢰한 상황이긴 하지만 아직까지 사기 범죄 사실을 어떻게 알아냈으며, 공사의 일반 업무에 어떤 차질이 빚어지고 있는지 등 사건과 관련된 내용은 밖으로 전혀 알려지지 않은 상황이라고 한다.

피싱 공격은 끊임없이 기업들에 적잖은 피해를 입히고 있는 상황이다. FBI가 발표한 IC3 사이버 범죄 관련 보고서에 의하면 피싱 및 BEC 공격은 2019년 한 해 동안 크게 증가했으며, 총 17억 달러의 피해를 일으켰다고 한다. 그리고 그 형태와 수법이 계속해서 진화하고 있어 피해는 갈수록 커질 전망이라고도 밝혔다.

2019년 한 해 동안 발생한 피싱 공격의 대표적 사례는 다음과 같다.
1) 니케이 : 2900만 달러
2) 텍사스 교육구 : 230만 달러
3) 공동체 거주와 관련된 비영리 단체 : 120만 달러
4) 플로리다 주 오칼라 시 : 74만 2천 달러
5) 브런즈윅의 한 교회 : 175만 달러

보안 전문가들과 사법 기관 요원들은 피싱 및 BEC 공격을 효과적으로 방어하려면 송금 요구에 대해 다른 경로로 확인을 한 번 더 해보라고 권고한다. 그러나 보안 업체 노비포(KnowBe4)는 “최근에는 가짜 메일을 보내고, 피해자에게 문자까지 한 번 더 전송하는 하이브리드 공격이 증가하고 있다”고 경고하기도 했다.

3줄 요약
1. 푸에르토리코 정부 기관, 피싱 공격에 당해 260만 달러 피해 입음.
2. 경찰에 신고 접수했다는 것 외에는 알려진 사항 없음.
3. BEC 공격 심각하게 증가하는 추세. 전략과 방식도 계속 진화.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>