비즈니스 이메일 사기(BEC)는 기업을 대상으로 금전이나 민감한 정보를 탈취하기 위한 정교한 사기 수법입니다. 본 가이드는 BEC 공격의 실행 방식, 조직에 미치는 영향, 효과적인 예방 전략을 살펴봅니다.
BEC 위협에 대응하기 위한 직원 교육 및 인식 제고의 중요성을 알아보세요. BEC를 이해하는 것은 조직이 재무 자산과 민감한 데이터를 보호하는 데 필수적입니다.
BEC(비즈니스 이메일 침해)란 무엇인가요?
비즈니스 이메일 침해는 대부분 해킹되거나 위조된 이메일 계정에서 시작됩니다.
사기꾼들은 신뢰할 수 있는 공급업체나 회사 임원을 가장하여, 일반적으로 도난당한 또는 허위 자격 증명을 사용하여 직원들을 속여 금융 승인 권한이나 기밀 정보 접근 권한을 넘기게 합니다. 여기에는 불법적인 제3자에게 송금을 하는 것도 포함될 수 있습니다. 고위 경영진의 송금 지시라고 오인한 직원들은 공격자에게 직접 자금을 송금함으로써 자신도 모르게 사기 행위에 가담하게 됩니다.
기업 계좌에서 자금이 빠져나가면 영원히 사라집니다. 대부분의 경우 자금은 해외 은행 계좌로 유입되며, 범죄자들은 추적을 피하기 위해 이 계좌를 자금 수취처로 활용합니다.&
사회공학의 일종인 BEC는 공격자가 표적 직원에게 자금을 요청하는 것이 합법적이라고 설득하여 송금을 진행하도록 요구합니다. 공격자는 BEC 공격을 실행하기 전에 정찰 활동을 수행하여 사칭하는 공급업체나 임원, 그리고 요청 대상인 직원에 대한 충분한 정보를 확보할 수 있습니다.&
사회공학적 기법은 공격자가 비밀번호를 탈취하고 합법적인 계정을 해킹하는 경우에도 널리 사용되며, 계정위조(스푸핑)하는 방식과는 다릅니다.
비즈니스 이메일 침해 사례
BEC의 첫 단계는 일반적으로 표적형 피싱(일명 스피어 피싱) 공격이나 키로거를 통한 인증 정보 탈취입니다. 예를 들어, 최고 경영진(C-suite) 임원이 피싱 공격을 받아 원격 접근 트로이 목마(RAT)를 설치하여 자격 증명 및 기타 유용한 비즈니스 정보를 수집할 수 있습니다.
이후 해당 계정은 가짜 공급업체로부터의 송금 요청을 완료하도록 다른 직원들에게 지시하는 데 사용될 수 있습니다. 이러한 이메일은 종종 극도의 긴급함을 강조하는 어조를 사용하며, 표적 직원이 거래를 비밀로 유지하도록 촉구한다는 점을 유의해야 합니다. 위장하거나 해킹한 최고 경영진의 계정을 사용하여 다음과 같은 내용의 내부 이메일을 보낼 수 있습니다.
비즈니스 이메일 침해(BEC)는 얼마나 많은 비용을 초래할까?
미국 연방수사국(FBI) 산하 인터넷범죄신고센터(IC3)가 수집한 통계에 따르면, 2013년부터 2021년까지 국내외에서 총 241,206건의 BEC 사건이 발생했습니다. 이로 인해 노출된 피해액은 총 $43 billion.
이 공지사항는 "이러한 증가는 부분적으로 COVID-19 팬데믹 기간 동안 정상적인 비즈니스 관행에 가해진 제한으로 인해 더 많은 직장 및 개인이 일상적인 업무를 가상으로 수행하게 된 데 기인할 수 있습니다." FBI는 또한 암호화폐와 관련된 BEC 관련 신고 건수가 증가했다고 언급했습니다.
BEC는 2020년 이전에도 여전히 문제였습니다. 통계에 따르면, 2019년 미국에서 랜섬웨어로 인한 피해는 사건당 평균 약 4,400달러로 총 900만 달러에 조금 못 미치는 수준이었습니다. 이에 비해 BEC로 인한 손실은 사건당 75,000달러로 약 17배 더 높았으며, 같은 기간 총 17억 달러 이상의 재정적 손실을 기록했습니다.
2019년 FBI가 기록한 인터넷 범죄로 인한 총 재정 손실액 약 35억 달러 중 BEC가 약 50%를 차지했습니다:
비즈니스 이메일 사기 수법
일반적인 비즈니스 이메일 사기 수법은 아래와 같은 일정을 따릅니다.
1. 대상 식별
공격자는 대상을 찾은 후 가능한 한 많은 정보를 수집합니다. 이를 위해 온라인에서 공개된 정보를 추출하여 회사 및 경영진에 대한 프로필을 작성합니다.
2. 접촉
스피어 피싱 이메일이나 전화는 피해자의 회사(주로 재무부서 구성원)를 대상으로 합니다. 공격자는 신뢰 관계를 구축하기 위해 표적 직원과 일련의 이메일을 주고받습니다. 종종 신뢰할 수 있는 공급업체나 직원인 척하며 결제나 민감한 데이터에 대해 문의합니다.
3. 자금 요청
신뢰 관계가 구축되면 사기꾼은 자금 이체를 요청합니다. 직원은 이를 합법적인 거래로 진심으로 믿기 때문에 즉시 의심하지 않습니다. 경우에 따라 공격자는 다시 연락하여 추가 이체를 요청하기도 합니다. 
비즈니스 이메일 사기(BEC) 발생 후 조치 사항
직원이 자신이 표적이 되었다고 의심하는 즉시, 회사 전체를 보호하기 위해 취해야 할 몇 가지 조치가 있습니다.
- 해당 사건을 회사 IT 부서에 알리고 해킹당한 이메일 계정을 보호하십시오.
- 해킹당한 모든 계정의 비밀번호를 재설정하거나 변경하십시오.
- 자금 송금 기관에 연락하여 환불 또는 취소 요청하기
- FBI 인터넷 범죄 신고 센터
- 모든 직원과 관리자에게 추가적인 BEC 공격으로부터 안전하게 보호받는 방법을 지속적으로 교육하십시오.
다행히도 비즈니스 이메일 침해(BEC)를 악용하는 사기꾼들을 미리 막을 수 있는 간단하면서도 효과적인 방법이 있습니다.
BEC 공격 방어 방법
비즈니스 이메일 사기는 이메일, 사람, 송금이라는 세 가지 상호 연관된 요소를 중심으로 이루어집니다. BEC 공격으로부터 보호하기 위해 조직은 다층적 방어 전략의 일환으로 각 요소에 대한 보안을 우선시할 수 있습니다.
송금 요청 확인하기
기업은 이메일 이외의 다른 수단을 통해 송금 요청을 확인해야 합니다. 다음 방법을 통해 전화로 요청을 확인할 수 있습니다:
- 이메일에 기재된 번호가 아닌 알려진 합법적인 회사 번호,
- 승인된 업무용 통신 채널, 또는
- 대면 또는 화상 회의 소프트웨어를 통한 확인.
조직은 송금에 대한 2차 확인 정책도 시행하는 것이 모범 사례입니다. 직원들은 이메일 외 다른 매체를 통해 소통을 시작하지 않는 요구 사항(공격자들이 흔히 제안하는 방식)에 대해 의심해야 합니다.
다중 인증(MFA) 활성화
공격에 완전히 면역되지는 않지만, 이메일 계정에 다중 요소 인증(MFA)을 활성화하면 큰 도움이 됩니다. MFA는 때때로 2단계 인증이라고도 불리는 MFA는 사용자의 신원을 확인하기 위한 추가적인 방법을 요구함으로써 대부분의 계정 탈취 시도를 방지할 수 있습니다.
생체 인식 또는 하드웨어 보안 키 Yubikey와 같은 생체 인식 또는 하드웨어보안 키는 MFA 구현을 위한 또 다른 대안입니다.
악성 이메일 탐지
이메일은 오랫동안 악의적인 행위자들의 가장 좋은 친구로 입증되어 왔습니다. 모든 기업 공격의 80%에서 95%가 이메일을 통해 전파되는 것으로 추정되므로, 악성 이메일로부터 사용자를 보호하기 위한 전략을 마련하는 것이 방어의 중요한 축입니다.
이메일의 실제 텍스트 내용 외에도, 일반적으로 이메일과 관련된 두 가지 주요 기술적 위험이 있습니다: 악성 첨부 파일과 링크입니다.&
악성 첨부 파일 관리
비즈니스 이메일 침해(BEC) 공격에서 공격자는 첨부 파일을 이용해 실행 코드를 실행할 수 있으며, 이를 통해 원격 접근 툴(RAT)을 배포하여 키로거, 백도어 등을 설치할 수 있습니다. 공격자들은 이러한 도구와 기타 사후 악용 도구를 사용하여 자격 증명과 연락처, 이전 이메일 서신과 같은 유용한 데이터를 훔칩니다.
BEC 사기꾼들은 일반적으로 가능한 한 설득력 있는 내용을 작성하기 위해 피해자를 프로파일링하는 데 시간을 할애하여 사기의 사회공학적 측면의 성공률을 높입니다. 따라서 첨부 파일이 코드를 실행하지 못하도록 방지하는 다양한 옵션을 검토하는 것이 중요합니다. 첨부 파일 필터링은 코드 실행을 완화하는 데 여러 방식으로 활용될 수 있습니다. 예를 들어, 이메일 스캐닝 소프트웨어를 사용하여 첨부 파일의 파일 형식을 변경함으로써 숨겨진 코드가 실행되지 못하도록 할 수 있습니다.
이는 어느 정도 효과적일 수 있지만, 편집이 필요하거나 원본 형식으로 복원해야 하는 문서로 일반 업무 작업을 수행하는 것을 방해할 수도 있습니다. 이러한 영향으로 인해 사용자의 거부감이 클 수 있습니다.
더 나은 해결책은 첨부 파일을 분해하여 유해한 내용을 제거하는 콘텐츠 무해화 및 재구성(CDR)을 활용하는 것입니다. 이 방법은 매우 효과적일 뿐만 아니라 사용자 수준에서 프로세스가 투명하게 진행되기 때문에 사용자 저항도 낮습니다.
매크로, 아카이브 및 화이트리스트에 대한 모범 사례
BEC(비즈니스 이메일 사기) 방어에는 매크로, 아카이브 및 화이트리스트에 대한 방어 체계 구축도 포함됩니다. 사용자가 따를 수 있는 모범 사례는 다음과 같습니다:
- 가능한 한 매크로를 비활성화하거나 제한하십시오: 많은 공격이 Microsoft Office의 VBA 스크립팅 언어를 이용하여 C2 서버에 접속하고 악성 페이로드를 다운로드합니다.
- 이메일 스캐닝 소프트웨어가 압축 파일을 올바르게 처리하도록 하십시오: 압축 파일을 완전히 압축 해제하지 않는 경우 일부 단순한 스캐닝 엔진을 우회할 수 있습니다. 공격자들은 일부 보안 소프트웨어가 간과할 수 있는 이미지 같은 다른 파일에 아카이브 파일을 추가하는 것으로 알려져 있습니다.
- 확장자로 파일을 화이트리스트에 추가할 때 주의하세요: 공격자는 실행 파일의 확장자를 실행 불가능한 파일 확장자로 변경하여 화이트리스트 규칙을 우회하려고 합니다. 사용자가 첨부 파일을 화이트리스트에 추가할 경우, 가장 쉬운 우회 방법을 방지하기 위해 파일 형식(파일 스캔을 통한 포맷 검사) 기준으로 화이트리스트를 적용하는 정책을 사용하는 것이 좋습니다.
링크 및 발신자 검증 관리
악성 링크가 포함된 이메일을 차단하기 위해 일부 조직은 이메일 내 하이퍼링크를 클릭 불가능하게 무력화합니다. 사용자는 링크를 복사하여 브라우저에 직접 붙여넣어야 하며, 이는 의식적인 과정으로 사용자가 잠시 멈춰 자신의 행동을 고려할 기회를 제공합니다.
문제는 보안이 생산성과 편의성에 영향을 미칠 때마다 사용자의 저항이 발생할 수 있다는 점입니다. 이 보안 조치는 불편함과 오류 가능성이라는 두 가지 단점을 지닙니다: 지연은 사용자에게 불편함을 주고, 지연을 도입해도 사용자가 링크를 방문하지 않을 것이라는 보장은 없습니다.
고려해볼 만한 또 다른 전략은 발신자 인증입니다. DMARC 및 SPF/DKIM과 같은 인증 방법을 통해 발신자를 검증하는 것입니다. 이러한 방법은 스푸핑된 계정과 같은 가짜 발신자 신원을 식별하는 데 도움이 될 수 있지만, 공격자에 의해 침해된 조직의 합법적인 구성원에게 속한 계정의 경우에는 도움이 되지 않을 수 있습니다.
마지막으로, 모든 엔드포인트에 AI 기반 보안 솔루션을 적용하여 악성 첨부 파일과 악성 링크 모두로부터 보호하는 것이 중요합니다. 이 솔루션은 파일 기반이든 파일리스든, 링크든 매크로든 출처에 관계없이 악성 코드가 실행을 시도할 때 이를 탐지하고 차단할 수 있습니다.
심층적인 위협 인텔리전스 확보
SentinelOne 위협 추적 서비스 WatchTower가 어떻게 더 큰 인사이트를 확보하고 공격에 대응하는 데 도움이 되는지 알아보세요.
자세히 알아보기SentinelOne으로 보호를 유지하세요
위협 행위자가 공격을 시도하는 것을 막는 것은 어렵지만, 공격이 네트워크 깊숙이 확산되기 전에 탐지하는 것은 가능합니다.
SentinelOne와 같은 자율적 보안 솔루션은 BEC 공격이 발생할 때 이를 탐지할 뿐만 아니라, RAT, 키로거 및 기타 악성 코드 설치 시도를 즉시 차단합니다.
비즈니스 이메일 침해 사기는 생산성을 높이기 위해 분주한 직원들처럼 '가장 취약한 연결고리'를 노리지만, 조직이 이러한 사이버 보안 위협을 예방하고 탐지하기 위해 취할 수 있는 각 단계는 차이를 만들어낼 것입니다.
SentinelOne의 Singularity 플랫폼이 이메일 기반 사이버 보안 공격으로부터 귀사를 어떻게 보호하는지 확인하려면, 지금 바로 무료 데모를 신청하세요. .
이 글이 마음에 드셨나요? LinkedIn, 트위터, YouTube 또는 Facebook에서 저희가 게시하는 콘텐츠를 확인하실 수 있습니다.
사이버 보안에 대해 자세히 알아보기
- SentinelOne의 Singularity 플랫폼으로 시작하는 RSAC 2020
- 해커티비즘이란 무엇인가? 그리고 기업이 주목해야 하는 이유는?
- Mac도 바이러스에 감염될 수 있을까? 사실에 대해 이야기해봅시다Facts
- 사이버 보험 및 정보 보안 | 사이버 보험에 대한 정보 보안 전문가들의 비판은 타당한가?
- 랜섬웨어 격퇴 | 공공-민간 협력을 통한 공격자 우회
- 스토리지에서 SaaS 사이버 보안으로: 그 이유&
- 우리 병원에 바이러스가 침투했습니다 | 의료계가 사이버 위협에 시달리는 이유
비즈니스 이메일 침해 FAQ
비즈니스 이메일 사기(BEC)는 범죄자가 기업 이메일 계정을 위조하거나 해킹하여 직원을 속여 자금을 이체하거나 민감한 데이터를 공유하도록 유도하는 사이버 공격 유형입니다. 이들은 종종 경영진, 공급업체 또는 파트너를 사칭하며, 신중하게 작성된 이메일을 통해 긴급성을 조성하고 일반적인 보안 통제를 우회합니다.
"BEC 공격자는 일반적으로 재무 부서, 경영진 또는 인사팀이 있는 조직을 노립니다. 중소기업과 대기업 모두 피해자가 될 수 있습니다. 공격자는 결제 승인 권한이 있는 직원, 기밀 정보 접근 권한이 있는 직원 또는 공급업체를 표적으로 삼아 합법적인 거래를 조작하여 사기를 저지릅니다.
"공격자는 신뢰받는 이메일 계정을 사칭하거나 접근 권한을 획득한 후, 가짜 청구서, 자금 이체 요청 또는 기밀 정보 문의를 발송합니다. 수신자가 신속하게 행동하도록 압박하기 위해 긴급성이나 비밀성을 조성하며, 종종 확인 절차를 우회합니다. 이러한 이메일은 합법적으로 보이기 때문에 성공 가능성이 높아집니다.
"특히 정상 업무 시간 외에 발생하는 송금 요청이나 민감한 데이터 요구와 같은 비정상적인 요청. 비밀 유지나 신속한 행동을 촉구하는 이메일. 이메일 주소나 도메인의 미세한 변경, 이름 오기, 익숙하지 않은 송금 지침. 기존 절차와 일치하지 않는 요청은 위험 신호입니다.
"MFA는 무단 계정 접근을 차단하는 데 도움이 되지만 완벽한 방어 수단은 아닙니다. 많은 BEC 사기는 스푸핑이나 사회공학적 기법을 이용하며, 이는 계정 정보 유출 없이도 가능합니다. MFA를 사용자 교육, 이메일 필터링, 거래 확인과 결합하여 위험을 효과적으로 줄이세요.
"일반적인 유형으로는 CEO 사기(경영진 사칭), 청구서 사기(가짜 공급업체 청구서), 계정 탈취(해킹된 이메일 계정), 변호사 사칭 등이 있습니다. 각 유형은 사회공학적 기법을 활용해 직원을 속여 무단 행동을 유도하며, 종종 금전적 손실을 초래합니다.
"이메일 계정에 다중 인증과 강력한 비밀번호를 의무화하세요. 피싱 및 사회공학적 기법 식별 방법을 직원들에게 교육하십시오. 콜백과 같은 엄격한 결제 확인 절차를 도입하세요. DMARC와 같은 고급 이메일 필터링 및 스푸핑 방지 기술을 활용하십시오. 이메일 및 재무 워크플로우를 정기적으로 감사하여 이상 징후를 확인하세요.
"영향을 받은 계정의 비밀번호를 즉시 변경하고 세션 토큰을 취소하십시오. 결제가 이루어졌는지 확인하고, 가능하다면 거래를 취소하거나 차단하십시오. 재무팀과 법 집행 기관 등 관련 당국에 알리십시오. 완전한 조사를 수행하고, 보안 통제를 업데이트하며, 재발 방지를 위해 교육을 재조정하십시오.
"