SECURITY NEWS
| [보안뉴스] BEC 공격 단체, 회사들 속여 130만 달러 가로채 | ||
|---|---|---|
|
||
|
플로렌틴 뱅커 그룹이라는 단체, 영국과 이스라엘의 기업들로부터 130만 달러 훔쳐 단 네 번의 거래를 가로챈 것만으로 얻은 성과...꾸준한 정찰 활동을 하는 게 비결[보안뉴스 문가용 기자] 플로렌틴 뱅커 그룹(Florentine Banker Group)이라는 사이버 범죄 단체가 고급 BEC 공격을 펼쳐 이스라엘과 영국의 금융 기업들로부터 130만 달러를 훔쳐내는 데 성공했다. 단 네 번의 금전 거래를 통해 이 많은 돈이 공격자들 수중으로 넘어갔다고 한다. 보안 업체 체크포인트가 이를 발견해 알렸다.  [이미지 = iclickart] 기존의 단순 BEC 공격은 공격자가 CEO 등 높은 임원처럼 위장해 재정부에 메일을 보내 자신의 계좌로 돈을 송금하라고 명령하는 것을 말한다. 플로렌틴의 경우 2달 간 자신들이 공격할 기업들의 네트워크에서 정찰 활동을 벌였다. 그런 후 가장 핵심적인 송금 건 네 개를 자신들의 계좌로 돌림으로써 공격을 성공시켰다. 조금 더 덜 즉흥적이고, 조금 더 장기적으로 일을 진행한 것이다. 체크포인트의 로템 핑켈스타인(Lotem Finkelstein)은 “이런 공격이 순식간에 일어난다는 걸 인지해야 한다”고 강조했다. “보통은 한 번 송금 버튼 잘못 누르면 복구할 수 없습니다. 버튼 한 번의 찰나가 모든 걸 정한다는 겁니다.” 그러면서 핑켈스타인은 지난 6개월 동안 자신들이 지켜 본 플로렌틴에 대하여 상세하게 설명했다. “먼저 공격자들은 조직에서 가장 높은 사람 두 명을 지목해 수 주 동안 피싱 이메일을 보냅니다. 그러는 과정 중 가끔씩 새로운 메일 수신자를 추가하기도 합니다. 궁극적인 목적은 피해자들로부터 이메일 계정에 대한 접근권을 얻어내거나 훔쳐내는 겁니다. 높은 권한을 가진 사람들의 이메일 계정을 가져가기 위해 피싱 공격을 시도한다는 것이죠.” 이를 성공시킨 후 플로렌틴은 이메일에 접속해 주고받은 메일들을 열람한다. 특히 회사가 얼마큼의 돈을 어디로, 어떤 이유에서, 어떤 주기나 방법으로 전송하는지 이해하기 위해 애쓴다. 돈을 주고받는 파트너사들과의 관계가 어떠하며, 고객, 변호사, 회계사, 은행 등과도 어떻게 사업적으로 얽혀 있는지도 파악한다. 핑켈스타인에 의하면 공격자는 그 다음으로 악성 메일박스 규정을 만들고 적용함으로써 피해자가 서드파티나 내부 협업 프로젝트로부터 메일을 받을 수 없도록 한다. 이번 공격의 경우 인보이스(invoice)나 반송(returned), 실패(fail)와 같은 단어가 제목에 붙어 있는 이메일들이, 사용자가 평소 사용하지 않는 RSS 폴더와 같은 곳으로 저장되도록 했다. “물론 중요한 메일 몇 가지만 옮겼습니다. 왕창 옮기면 눈에 너무 띄니까요.” 보안 업체 라스트라인(Lastline)의 글로벌 위협 첩보 분석가인 리차드 헨더슨(Richard Henderson)은 “여기까지 공격을 성공시키면 피해자의 이메일에 대한 완벽한 가시성을 확보하는 데 성공하는 것”이라고 말한다. “거기서부터는 공격자의 할 일이 뚜렷해집니다. 바로 중요한 송금 관련 메일을 기다리는 거죠. 그러면 거기서부터 내용을 살짝 바꾸거나 해서 돈이 엉뚱한 곳으로 전달되도록 조작합니다.” 공격자들은 “영국의 은행을 통해 거래하면 처리 속도가 빨라져 사업이 원활해질 것으로 보인다”는 메시지를 실제 피해자에게 전달하기도 했다. 공격자가 보낸 메일인지 까맣게 몰랐던 피해자는 “영국 은행 계좌를 보유하고 있지 않다”고 답을 보냈고, 플로렌틴은 곧바로 자신들이 보유하고 있던 영국 은행 계좌의 정보를 보냈다. 그리고 이곳으로 돈을 빼돌릴 수 있었다. 헨더슨은 “하루에도 수십~수백 통씩 메일이 날아드는데, 그 중 중요한 일부만 몰래 빼돌리는 꼼꼼함을 선보이다니, 굉장히 교활하고 치밀한 공격”이라고 설명했다. “피해자로서는 뭔가 수상하다는 느낌을 받기가 어렵습니다. 이번 피해 기업들 역시 아무 것도 몰랐습니다. 거래하던 업체에서 30일이 지난 후 ‘왜 아직 돈을 보내지 않느냐’라는 공식 문의를 하면서 알게 되었다고 하더군요.” 가트너(Gartner)의 부회장인 피터 퍼스트브룩(Peter Firstbrook)은 “랜섬웨어에 대한 관심만큼 BEC에 대한 관심도 커질 필요가 있다”고 주장한다. “BEC 공격은 2019년 한 해 동안 170억 달러의 피해를 일으킨 공격 유형입니다. 기술적으로 화려해 보이지 않는다는 이유로 관심을 못 받고 있는데, 이는 잘못된 현상입니다. 언론도 BEC에 대한 보도를 더 많이 해야 합니다.” 핑켈스타인은 “이메일 보안 솔루션은 이제 어느 조직에나 필수”라고 말한다. “하지만 이메일 보안 솔루션 하나만으로 BEC 공격 등을 막을 수 있는 건 아닙니다. 심지어 BEC 공격은 심리 공격에 가깝기도 하죠. 그러니 기술을 갖춘 후에 해야 할 일은 사람을 교육시키는 겁니다. 그 다음은 공식 송금 절차를 좀 더 안전하게 보강할 필요가 있습니다. CEO의 단독 지시만으로 송금이 되지 않도록 정책을 마련한다든지, 이중, 삼중 보안 장치를 적용시킨다면 BEC 공격으로부터 안전해질 수 있습니다.” 헨더슨은 “최고 임원들부터 보안 교육을 실시해야 한다”고 강조한다. “또한 임원들의 이메일은 반드시 이중 인증 시스템을 기반으로 운영되도록 만들어야 합니다. BEC 공격이 아니더라도 주요 임원들의 이메일은 늘 인기 높은 공격 대상이거든요. 피싱 메일이 뭔지, 어떤 식으로 구분하고, 어떤 식으로 방어하는지 알려주고 훈련도 시켜야 합니다. 일반 직원들과 마찬가지로요.” 3줄 요약 1. 플로렌틴 뱅커 그룹이라는 단체, 이스라엘과 영국의 금융 기업들로부터 130만 달러 훔침. 2. 이들이 사용한 수법은 고급 BEC 공격으로, 꽤나 공을 들여 정찰 활동을 벌였음. 3. 이메일 보안 솔루션과 피싱 메일 관련 임원 교육이 필수적이라는 주장 나옴.
[https://www.boannews.com , https://www.boannews.com/media/view.asp?idx=87847&page=1&mkind=1&kind=1] |
||
| 이전글 | [보안뉴스] 특수 언어 몇 개 보기만 하면 당신의 아이폰과 맥이 멈춘다 | |
| 다음글 | [보안뉴스] 소포스 XG 방화벽의 제로데이, 공격자들은 미리 알고 있었다 | |
