대기업 등 포춘 500대 기업 노린, 이메일 사기 공격 주의

국내 주요 대기업을 노린 '비즈니스 이메일 침해(BEC)' 공격 주의보가 내렸다.

국제 사이버 범죄 조직이 포춘 500대 기업을 표적으로 사기 이메일을 보내 무역 대금을 가로채는 사례가 늘었다.

IBM X포스 침해 대응&인텔리전스서비스(IRIS)는 포춘 500대 기업을 노린 BEC 공격을 경고했다. 삼성전자, 현대자동차, SK주식회사, 한국전력공사, LG전자, 포스코, 기아자동차, 한화, 현대중공업, 현대모비스, 삼성생명, 롯데쇼핑, 삼성 C&T, LG디스플레이, GS칼텍스 등이 포춘 500대 기업에 속한다.

포춘500대 기업을 노린 BEC가 늘었다. GettyImagesBank
포춘500대 기업을 노린 BEC가 늘었다. GettyImagesBank

IBM은 나이지리아에 근거지를 둔 것으로 보이는 조직이 지난해 가을부터 기업 계정을 탈취하는 피싱과 사회공학 공격을 확대했다고 분석했다. BEC는 기술 수준이 낮은 사이버 공격이지만 성공하면 얻는 금전 이익이 크다. 2016년 국내 L사가 피해를 입었다. 주로 글로벌 무역 거래를 하는 기업이 대상이다.

IBM은 공격자가 오랜 기간 기업 표적 정보를 수집한 후 공격을 시도했다고 밝혔다. 공격자는 표적한 기업 직원 이메일을 사회공학 방법으로 수집한다. 이후 사업과 연관된 문서가 링크된 이메일을 보낸다. 피해자가 링크를 클릭하면 가짜 '다큐사인(DocuSign)' 포털로 이동시킨다. 해당 포털은 피해자에게 문서를 보려면 기업 이메일 인증을 받으라고 유도한다. 해커는 여기서 피해 기업 이메일 ID와 비밀번호를 수집한다.

BEC 피싱 이메일. (자료: IBM X-Force).
BEC 피싱 이메일. (자료: IBM X-Force).
링크를 누르면 나타나는 가짜 다큐사인 사이트 (자료: IBM X-Force).
링크를 누르면 나타나는 가짜 다큐사인 사이트 (자료: IBM X-Force).

다큐사인 포털이나 이메일에는 악성코드가 들어있지 않아 기업 보안시스템에서 탐지되지 않는다. 공격자는 주로 1단계 인증만 거치는 기업 웹 포털 이메일을 공격에 활용했다. 사용자 이름과 비밀번호만으로 로그인하는 기업 웹 포털 이메일이 주요 대상이다. 웹 포털 이메일 계정을 탈취하면 기업 네트워크를 해킹하지 않고 공격이 가능하다. 공격자는 재무부서 직원을 표적했다. 공격자는 표적한 기업 구조와 재무 프로세스, 협력업체 등을 모두 파악했다. 재무와 결제 승인 프로세스 등을 학습한다.

이후 해당 정보로 거래 업체 간 주고받은 메일을 오랫동안 면밀하게 지켜보다가 송금과 관련 된 내용이 있을 때 중간에 끼어든다. 거래처가 이메일 보낸 것처럼 속이고, 바뀐 계좌 정보를 보내 거래대금을 빼돌린다.

트렌드마이크로가 최근 발표한 보고서에 따르면 2016년 53억 달러였던 BEC 피해액은 올해 90억 달러로 증가한다. 미연방수사국(FBI)는 BEC 공격은 미국을 포함해 131개국에 보고됐다.

IBM은 BEC 대응책으로 이메일 이중인증(2FA)를 제안했다. 외부에서 기업 내부로 들어오는 이메일을 식별하는 배너 적용을 권고했다. 조직 외부에서 오는 자동 응답 이메일을 차단하는 것도 방법이다.

공격 구성도(자료: IBM X-Force).
공격 구성도(자료: IBM X-Force).

김인순 보안 전문기자 insoon@etnews.com