이메일 사기 중 하나인 BEC(Business Email Compromise) 공격은 공격자가 기업을 대상으로 하는 사이버 범죄다. 평소 신뢰하는 고객이나 협력사의 이메일 주소를 도용하거나 매우 유사하게 해 일상적인 거래관계처럼 이메일을 발송한 후 송금이나 거래 계좌 변경등을 요청하는 식이다. 금전 갈취가 가장 대표적인 수법이다.
이메일 사기 공격를 당한 기업은 해커에게 거액을 송금하거나 내부 정보를 발송하는 등 직접적인 피해를 입기도 한다. 적절한 차단 솔루션을 도입하는 등 적극적인 예방책 마련이 필수다.
보안업계 관계자는 23일 "BEC는 악성 첨부파일이나 URL 없이 이메일 본문 내용만으로 피해를 주는 형태며, 전 세계적으로 피해가 확대되고 있다"며 "기존의 이메일 보안 솔루션이나 엔드포인트 보안 솔루션으로 탐지하고 대응하기도 어렵다"고 말했다.
BEC는 주로 ▲도메인 스푸핑(공격자의 조직 도메인 사칭) ▲이메일 주소의 디스플레이 이름을 조작해 사칭 ▲유사 도메인 사칭 ▲피싱, 악성코드, 무차별 공격 등을 통한 계정 탈취 등으로 분류된다. 특히 계정 탈취의 경우 계정 자체를 해킹한 사기이기 때문에 사전에 이를 미리 알아차리기도 힘들고 피해 규모도 커질 수 있다.
프루프포인트 등 보안업체는 일일 이메일 사칭공격 시도 차단 건수는 4만5000건에 달하며 분기별 급여계좌 사기 시도 차단 건수는 1만 8000건에 달한다고 밝혔다. CEO 1명이 사칭된 횟수는 102건 등이다. 이로 인해 발생하는 잠재적인 손실은 270만달러(36억원)에 달한다.
BEC 예방에는 조직과 협력사 및 고객사에 ‘DMARC’라는 이메일 인증 프로토콜을 구현하는 것이 중요하다. DMARC(Domain-based Message Authentication, Reporting & Conformance)는 발송자가 진짜 그 사람인지 아닌지 여부를 판단해준다. 미국이나 유럽 등의 국가들은 이미 상당수의 기업이 강력한 이메일 인증을 위해 DMARC를 구현해왔다.
이석호 대표는 "최근 이슈가 되고 있는 BEC 공격은 임직원 타겟인 BEC(Inbound BEC)와 고객 협력사를 타깃으로 한 BEC(Outbound BEC) 등으로 나눌 수 있다"며 "완전한 BEC 공격에 대응하기 위해서는 인바운드 공격과 아웃바운드 공격에 모두 대응할 수 있어야 한다"고 설명했다.
이 대표는 "프루프포인트는 BEC 공격 탐지, 피싱·계정탈취 공격 탐지, VAP(Very Attacked Person) 가시성 제공, URL 격리, 악성 이메일 자동 회수 기능, 폭넓은 맬웨어·스팸 탐지 및 차단 등이 가능하다"며 "프루프포인트의 인바운드는 TAP(Targeted Attack Protection)을 통해 인바운드 공격을 막아낼 수 있다"고 말했다.
이어 "DMARC 솔루션은 세팅이 까다로워 제대로 세팅하지 않으면 스팸뿐 아니라 정상적인 메일도 차단하는 등 부작용이 발생해 기업들이 꺼려하는 경우도 있다"며 "따라서 해당 분야 전문가가 세밀하게 직접 세팅을 하는 것이 중요하다"고 덧붙였다.
이유정 기자 uzzoni@chosunbiz.com