송금을 지시하는 메일이다보니 훨씬 정교한 메일 만들어져...클릭 확률도 높아
조사자에 따라 월요일이나 화요일이 위험하다고 꼽혀...주초가 위험한 건 동일[보안뉴스 문가용 기자] 보통은 한 기업의 메일함 25개 정도나 그 이하에 갑자기 도착한다. 보통은 주중 아침부터 몰려온다. 보통은 시간이 촉박한 사안인 것과 같은 제목이다. 보통은 직장 동료나 상사가 보낸 것처럼 보인다. 바로 기업 이메일 침해(BEC) 공격의 특징들이다. BEC는 스피어피싱 공격 중에도 아주 작은 부분만을 차지하지만, 수많은 공격자들이 이걸로 거액의 돈을 벌고 있다.
[이미지 = iclickart]
보안 업체 바라쿠다 네트웍스(Barracuda Networks)는 최근 총 150만 건의 스피어피싱 이메일을 분석해 그 특징과 트렌드를 분석했다. 이 중 BEC 공격에 해당하는 건 겨우 7%였다. 하지만 이 ‘겨우 7%’에 BEC 공격을 간과해서는 안 된다고 FBI와 같은 기관들은 강조한다. 대단히 큰 피해를 세계 여기 저기에서 입히고 있기 때문이다.
바라쿠다가 이번에 찾아낸 바는 다음과 같다.
1) 91%의 BEC 공격은 주중에 일어난다. 사무일에 보내야 많은 업무 메일 속에 파묻힐 수 있고, 그렇기 때문에 더 ‘진짜처럼’ 보인다.
2) 한 기업 당 평균 6명의 직원들을 노린다. 하지만 25명을 넘지는 않는다.
3) 공격 표적에 대한 조사를 철저히 하는 편이다. HR과 재무 부분 관리자와 회사 경영진의 실제 이름을 파악하고, 표적이 될 직원을 조사하기 시작한다.
4) 메일 받는 사람이 정상적으로 사고하는 걸 최대한 막기 위해 위급한 내용을 꾸민다. 85%의 BEC 메일에 ‘긴급’ 표시가 붙어 있고, 59%에는 ‘도움 요청’, 26%에 ‘혹시 시간 되시냐’는 내용이 제목에 들어 간다.
5) 스피어피싱 공격자의 경우 사용자는 10%의 확률로 이 이메일을 열어 본다. BEC 이메일의 경우 이 확률은 3배로 뛴다. 물론 그렇다고 이 사람들이 전부 범인의 지시에 따라 돈을 송금하는 건 아니다.
바라쿠다의 자문인 아사프 시돈(Asaf Cidon)은 “범인들의 지령은 메일마다 달라서 뭐라고 한 번에 정리하기가 힘들다”며 “누군가는 다른 웹사이트에 접속해 크리덴셜은 넘겨주기도 하고, 누군가는 엉뚱한 계좌로 돈을 송금하기도 하며, 누군가는 이런 모든 걸 그냥 무시해버리기도 한다”고 말했다. “하지만 직장 상사의 메일인 것처럼 꾸몄을 때, 클릭할 확률이 높아진다는 건 확실한 ‘사실’입니다.”
게다가 BEC 메일 중에는 받는 사람을 고려해 매우 정교하게 개인화시킨 것들도 다수라고 시돈은 설명을 덧붙였다. “BEC 메일들은 일반 스피어피싱 메일보다 더 큰 금액을 요구하는 게 보통입니다. 따라서 설득력이 높아야 하죠. 더 많이 투자할 수밖에 없습니다. 연구도 더 하고, 조사도 더 하며, 더 그럴듯한 메일을 작성합니다. 세 배나 더 많은 사람들이 클릭할 수밖에 없어요.”
이메일 보안 전문 업체인 애거리(Agari)의 사이버 첩보 부문 책임자인 크레인 해솔드(Crane Hassold) 역시 여기에 동의한다. “피해자 스스로가 ‘받을 만한 메일’이라고 인식할 만한 메일을 보내려고 BEC 공격자들은 노력합니다. ‘왜 이런 메일이 여기에 있지?’라고 의심이 드는 순간 BEC 메일은 실패거든요.” 그에 의하면 BEC 공격자들이 ‘송금 전송’을 유도하기 위한 공격을 할 때는 재무부나 인사부에 있는 직원 1~2명만을 노린다고 한다. “하지만 ‘현금’이 아니라 ‘상품권’을 전송하라는 공격을 할 때는 10명 이상의 직원들에게 메일을 보냅니다.”
또한 대부분의 BEC 공격이 월요일에 진행된다고 바라쿠다는 말했고, 애거리는 화요일이라고 주장했다. 물론 전적으로 월요일이나 화요일에만 공격이 있는 건 아니니, 이 주장의 차이가 크게 중요한 건 아니다. 또한 ‘주초에 공격이 집중된다’는 맥락에서는 두 업체가 동일한 내용을 증언하고 있다고 봐도 무방하다. “심지어 공격은 아침 9시 언저리에 많이 발생합니다. 대부분의 사람들이 책상에 처음 앉는 시간대인 것입니다.”
BEC 공격의 47%는 지메일 계정으로부터 시작된다. 악성 URL이나 첨부파일을 포함한 메일은 3% 정도에 그쳤다. 월급이나 지불 관련 업무를 처리해달라는 요청으로 공격하는 경우는 8%였다고 한다. 국가별로 봤을 때 BEC 공격의 진원지는 대부분 나이지리아였고, 그 뒤로 가나, 말레이시아, UAE가 두각을 나타내고 있었다.
BEC 공격을 막는 데 가장 효율적인 방법은 무엇일까? 시돈은 “다중 인증”이라고 답한다. “그리고 악성 이메일 공격에 대한 꾸준한 교육이 진행되어야 합니다. 요즘 공격자들이 어떤 시도를 많이 하는지, 어떤 전략이나 이메일 내용이 유행하는지 보여주면서 현실적으로 알려줘야 합니다. 이메일 보안을 위해 개발된 드마키(DMARC)를 적용하는 것도 좋은 방법입니다.”
어제 전 백악관의 CIO였던 테레사 페인 역시 BEC 공격에 대해 언급하며 방어법으로, 1) 공개되지 않은 도메인 주소로 금융 업무 및 주요 업무 처리하기, 2) 해당 업무 당담자들끼리만 공유되는 암호를 만들어 이메일이나 통화 때 맞춰보기를 권장했다.
3줄 요약
1. BEC 공격, 전체 스피어피싱 공격의 7%만 차지하지만 피해량은 엄청남.
2. 일반 스피어피싱 메일의 클릭 확률은 10%, BEC 메일의 경우는 30%.
3. 월요일과 화요일, 9시 부근에 공격 집중되는 경향 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84711&page=1&mkind=1&kind=1]
