LG화학이 최근 무역 거래 업체를 사칭한 사이버 범죄 조직의 이메일에 속아 240억원을 날렸다. 이메일을 통한 ‘스캠(Scam)’ 공격의 전형이라는 것이 해킹 관련 전문가들의 중론이다.

전세계적으로 이메일 스캠 공격은 기업 전반으로 확대되는 추세다. / 트렌트마이크로 제공
전세계적으로 이메일 스캠 공격은 기업 전반으로 확대되는 추세다. / 트렌트마이크로 제공
스캠은 말 그대로 ‘사기’ 행위를 의미한다. 고도의 해킹 공격이라기보다는 다분히 사회공학적 공격의 성격이 강하다. 이번 사건도 범죄 조직이 거래를 위해 주고받는 두 기업 간 이메일 정보를 이용해 결제 계좌를 바꿔치기해 대금을 가로챈 것으로 알려졌다.

이 사건은 단순한 담당자 부주의로 치부되기도 하지만, 실상 스캠 공격이 성공하기까지는 은밀하고 치밀한 과정을 거쳤다. 보안 업계는 이런 류의 무역 사기를 ‘나이지리아 스캠’이라고 부른다. 주로 나이지리아에 소재한 범죄 조직이 즐겨 사용하는 수법이기 때문이다.

나이지리아 스캠은 타깃 기업 담당자의 이메일 계정을 획득하는 것에서 시작한다. 범죄 조직은 악성코드를 첨부한 스팸 메일이나 해당 기업 담당자를 겨냥해 정교하게 제작된 스피어 피싱(Spear Phishing) 기법을 이용한다. 이메일을 이용한 스피어 피싱은 대규모 지능형 지속 위협(APT) 공격에서도 자주 사용된다.

범죄자는 이후 담당자의 이메일 주소와 유사한 이메일 계정을 만든다. 담당자의 이메일 주소가 ‘admin@company.co.kr’라면 알파벳 하나만 바꾼 ‘admln@company.co.kr’을 만드는 식이다. 평소 자주 연락을 주고 받는 상대의 이메일 주소까지 유심히 살피는 경우는 그리 많지 않다는 점을 악용한 것이다.

범죄자는 두 기업 사이에 끼어 이메일을 전달하면서 어떤 내용이 오가는지를 살핀다. 이 과정에서 범죄자는 전혀 모습은 드러내지 않고 대금 결제 계좌를 비롯해 거래 내용, 대금 규모와 같은 중요한 정보를 수집한다. 이러한 기법을 ‘중간자 공격(Man-in-the-middle Attack)’이라고 하는데, 네트워크 해킹에서도 많이 사용된다. 이메일을 사용하기 때문에 이메일 스푸핑(e-mail Spoofing)이라고도 한다.

범죄자는 결정적인 때를 노려 유사 이메일로 자연스럽게 결제 계좌 바꿔치기를 시도한다. “감사 때문에 계좌가 변경됐으니, 이번 대금은 이쪽 계좌로 보내 달라”는 식이다. 대금 규모에서 결제 기한까지 거래 당사자가 아니면 알 수 없는 내용을 언급하며 신빙성을 높인다.

담당자가 별 의심 없이 바꿔치기한 계좌로 돈을 입금하면 범죄 조직은 돈을 챙긴 뒤 흔적을 감추고 사라진다. 담당자는 실제 거래 업체로부터 대금 결제가 되지 않았다는 연락을 받은 뒤에야 사기를 당한 사실을 알게 된다.

통합 보안 솔루션 전문 업체 파이어아이가 집계한 자료를 보면 2015년까지 스캠 공격에 의한 피해 규모는 54개국 2328명에 달한 것으로 집계됐다. 또 사이버 범죄 조직은 특히 영어에 익숙하지 않은 비영어권 아시아 지역의 기업을 주요 타깃으로 삼는 것으로 나타났다. 이들은 비록 고도의 해킹 기술을 보유하지 있지는 않지만, 개발자에게 돈을 지불하고 해킹 툴을 구입하는 사례가 증가해 기업의 보안 시스템 강화가 요구된다.

인터넷 보안 관련 업계 한 관계자는 “이메일이 업무의 기본 수단이 되면서 이메일을 통한 보안 위협은 이제 규모를 떠나 모든 기업들이 관심을 가져야 할 이슈”라며 “갈수록 사이버 범죄자들의 공격 기법이 교묘해지고 있기 때문에 적절한 보안 솔루션 도입하고 임직원의 보안 의식을 제고해야 막대한 손실을 피할 수 있다”고 말했다.