CEO가 보낸 메일 무심코 열었다가…사이버 범죄 급증

기업 최고경영자(CEO)나 고위 간부를 사칭한 이메일 범죄가 급증했다. 고위간부 요청 사항을 거절하기 쉽지 않은 점을 노렸다.

한국트렌드마이크로는 `허위 송금 이메일(BEC:Business Email Compromise)` 증가를 경고했다. 임원으로 위장해 표적 기업 최고재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 속인다. 미국 연방수사국(FBI)에 따르면 2013년 10월부터 2016년 5월까지 BEC 공격 피해액이 약 31억달러에 달한다. 세계 2만2000곳 기업이 BEC에 당했다. 2015년 이후 BEC 평균 공격 피해액은 14만달러에 달한다.

CEO가 보낸 메일 무심코 열었다가…사이버 범죄 급증

BEC 공격은 중소중견은 물론 대기업 등 규모와 무관하게 모든 기업이 피해를 입는다. BEC 공격은 보안 소프트웨어로 감지되지 않는 사회공학 수법을 쓴다. 재무 부문을 특정 표적으로 임원 지시에 따를 수밖에 없는 상황을 악용한다.

FBI가 발표한 BEC 피해
FBI가 발표한 BEC 피해

BEC 공격은 무역회사에 가짜 송장을 보내는 방식과 CEO 등 임원을 가장한 이메일 도용 등이 있다. 아예 직원 이메일 계좌를 해킹해 등록된 협력사에 이메일을 보내 송금을 시도한다. 변호사처럼 행동하는 공격도 있다. 공격자는 기업 CEO나 직원에 로펌 변호사를 사칭한다. 변호사는 기업이 민감해 하는 내용을 이야기하고 가능한 빨리 사건을 종결하라고 독촉한다. 이런 공격은 주로 업무가 끝나는 시간에 발생한다. 정보 유출 공격도 있다.

BEC 공격의 주요 표적(자료:트렌드마이크로)
BEC 공격의 주요 표적(자료:트렌드마이크로)

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격과 피해사례를 조사했다. 전체 공격 40.38%가 CFO를 노렸다. 31%가 CEO를 사칭했다. BEC 공격에서 가장 많이 사용되는 이메일 제목은 `송금(Transfer)` `요청(Request)` `긴급(Urgent)` 등 간단하지만 직접적 표현이다.

BEC 공격에 쓰는 악성코드는 온라인에서 50달러면 구매할 수 있다. 낮은 비용으로 높은 효과를 얻으면서 공격이 늘었다.

사기에 이용되는 직군(자료:트렌드마이크로)
사기에 이용되는 직군(자료:트렌드마이크로)

트렌드마이크로는 BEC 공격은 교묘하고 은밀해 기본 주의사항이나 보안 대책만으로 충분치 않다고 밝혔다. 무엇보다 직원 보안 의식을 높이는 게 BEC 공격 피해를 줄이는 길이라고 제안했다.

김인순 보안 전문기자 insoon@etnews.com