최근 BEC 공격자들은 인보이스 발행 전에 계좌 번호 바꾼다

2019-11-08 15:01
  • 카카오톡
  • url
작년에는 CEO인척 송금을 요구하는 전략 많이 사용...올해는 조금 달라
인보이스 발행 시기 알고, 그 전부터 계좌 정보 바꾸려 해...업무 프로세스 잘 아는 듯


[보안뉴스 문가용 기자] 10월 중순, 플로리다 주 오칼라 시의 한 공무원은 건설 회사로부터 정상적인 인보이스를 한 부 받았다. 오칼라 국제 공항의 터미널을 확장하면서 발생한 비용인 75만 달러 정도와 관련된 것이었다. 시 측은 당연히 입금을 진행했다. 그러나 돈이 가장 마지막에 도착한 곳은 건설 회사가 아니라 해외의 어떤 사이버 범죄자들의 계좌였다.


[이미지 = iclickart]

공격자들이 은행을 해킹한 걸까? 아니다. 그저 건설 회사를 정확히 흉내 냈을 뿐이다. 심지어 실제 인보이스를 발송하기 전부터 꾸준히 건설 회사를 가장해서 시청 직원과 연락을 주고받았다. 이런 사전 공격의 가장 중요한 목적은 인보이스에 기입될 계좌 정보를 바꾸는 것이었다. 진짜 건설 회사는 이런 사실도 모르고 인보이스를 발행했고, 시청은 엉뚱한 곳에 돈을 지급하게 되었다.

오칼라 시의 마케팅 및 홍보 담당자인 애슐리 돕스(Ashley Dobbs)는 “피해를 되돌릴 수는 없지만, 이 사건을 계기로 직원들에 대한 사이버 보안 훈련을 강화하겠다”고 발표했다. “또한 사이버 보안 시스템을 더욱 면밀히 보완하겠다”는 계획도 발표했다.

현재 일반 사용자들에게까지 널리 알려진 사이버 공격은 랜섬웨어다. 실제로 정부 기관이나 대기업 할 것없이 랜섬웨어 공격에 당하고 있으며, 수십억 달러의 피해를 일으키고 있다. 하지만 위에서 언급한 것과 같은 사기성 공격에도 비슷하거나 혹은 더 심한 피해가 발생한다. 공격 표적이 될 회사를 정하고, 그 회사의 일반적인 금융 거래나 관련 업무 프로세스를 파악한 뒤 그 중간에 자연스럽게 끼어드는 것이 이런 공격의 골자다. 주로 기업 이메일 침해(Business E-mail Compromise, BEC) 공격이라고 알려져 있다.

메시지 보안 전문 회사인 마임캐스트(Mimecast)에 의하면, 이메일 상에서 신분을 위장하는 행위는 최근 269%나 증가했다고 한다. “이는 멀웨어나 악성 링크를 첨부하려는 유형의 이메일 공격보다 월등히 앞서는 것으로, 신분을 속이려는 이메일 공격이 멀웨어를 첨부하는 이메일 공격보다 두 배는 더 높습니다. 또한 2018년 한 해 동안 거래처 등으로 위장해 접근해오는 이메일을 받아본 기업이 85%인 것으로 나타났습니다.”

지난 8월 플로리다 주의 네이플스 시는 약 70만 달러의 돈을 범죄자의 계좌로 입금하게 되었다. 사건이 발생하기 2개월 전 공격자들이 시와 계약을 맺은 회사인 척 계좌 정보를 바꿨기 때문이다. 10월에는 일본의 대기업인 니케이의 경우 뉴욕에 근무하던 직원 한 명이 320억 옌을 엉뚱한 곳에 송금하기도 했다. 그 직원은 니케이 본사 임원진으로부터 지시를 받았다고 생각하고 그와 같은 일을 한 것이었다.

“기업들은 이제 진지하게 사기성 이메일 공격에 대한 방어법을 마련해야 합니다. 기존 전략을 바꾸고, 직원들에 대한 훈련도 강화해야 합니다.” 마임캐스트의 위협 첩보 부문 부회장인 조시 더글라스(Josh Douglas)의 설명이다. “모든 것을 뒤집어 엎고 새로 시작하는 것보다는, 추가 장치를 마련하는 것을 권장합니다.”

공격자들은 BEC 공격 혹은 계좌 정보를 바꾸는 계좌 사기 공격을 통해 꽤나 많은 이득을 거뒀다. 일단 이런 류의 공격이 보고된 것만 해도 180개국이 넘는다. FBI에 의하면 지난 한 해 동안 발생한 피해 규모는 전년도에 비해 두 배를 넘고, 지난 3년 동안 누적된 피해액은 260억 달러가 넘는다고 한다.

“BEC 공격에 당해 잘못 전송된 금액이 도착하는 곳은 주로 중국과 홍콩의 은행들입니다. 그런데 최근 들어서는 영국, 멕시코, 터키의 은행들도 이런 공격에 많이 연루되어 가는 분위기입니다.” FBI의 설명이다. “이제 송금을 비롯한 각종 금융 업무 프로세스 자체를 새롭게 검토해야 할 때가 아닐까 합니다. 기존의 방식을 그대로 유지하면 계속해서 당할 겁니다.” 더글라스의 의견이다.

“작년 한 해 동안은 공격자들이 ‘나 CEO인데...’라는 사기를 많이 쳤습니다. 그리고 꽤나 큰 성공을 거두었습니다. 이제는 전법을 조금 바꿔 계좌 정보를 바꾸는 식으로 접근하는 게 요즘 추세입니다. 실제로 재무 및 인사 부서를 표적으로 하는 사기 메일이 급증하고 있기도 합니다. 재무 처리에 대한 근본적인 고민이 필요합니다.”

3줄 요약
1. 랜섬웨어도 무섭지만, BEC 류의 사기성 공격이 더 무서울 수도 있음.
2. 최근 공격자들은 거래처와 금융 업무 프로세스 파악해 계좌 정보 바꾸는 전략 사용 중.
3. 각 조직들은 돈이 유통되고 처리되는 프로세스를 처음부터 고민할 필요 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기