사이버안전센터 운영

비즈니스 이메일 침해 공격인 BEC공격
제목 비즈니스 이메일 침해 공격인 BEC공격
작성자 사이버보안팀 등록일 2023-12-22 조회수 1256
내용

2022년 ~ 2023년 월별 BEC 이메일의 공격량( 출처 : trustwave ) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C45.png
악성 이메일의 유형별 위협 ( 출처 : slashnext ) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C456.png

BEC 공격이란


BEC는 Business Email Compromise의 약자로 비즈니스 이메일 침해 공격이라는 뜻입니다. 공격자가 기업을 표적으로 삼아 회사를 속이고, 전 세계 모든 산업 분야의 모든 규모의 조직을 대상으로 하며, 파트너에게 송금을 정기적으로 보내는 회사 직원들을 대상으로 하는 지능형 이메일 사기입니다. 대량의 메일을 무작위로 보내는 피싱 메일과는 달리 특정 타깃을 정해 일정기간동안 회사 프로세스와 절차, 메일 내용까지 정보를 수집하여 분석 후 메일을 보내기 때문에 탐지가 쉽지 않아 현존하는 피싱 공격 중 피해 규모가 가장 큽니다. 

신뢰하는 고객이나 협력사의 이메일 주소 중 하나를 살짝 바꿔서 마치 고객이나 협력사, 또는 내부 직원인 것 처럼 메일을 보내 가짜 청구서의 지불 또는 다른 사기에서 사용할 중요한 데이터를 요구합니다. 2023년 악성메일의 타입별 위협 조사 결과에서는 피싱메일이 2022년 4분기부터 2023년 3분기까지 967% 증가하였고, 그중 텍스트 기반 및 BEC공격이 피싱 메일 공격 중 68%를 차지하였습니다. 

2023년 상반기 상위 BEC 유형 통계 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C4567.png

BEC 공격의 유형


2023년 집계된 통계에서는 공격 중 절반이 급여와 관련된 주제를 사용하고 있음을 보여줍니다. 급여와 관련된 전술은 공격자가 대상 회사의 직원인 것 처럼 가장하여 급여를 자신의 은행 계좌로 변경하려고 시도하거나, 긴박한 상황을 조성하기 위해 급여일에 맞춰 비용을 지불해야하는 상황이라거나, 급여를 받지 못하면 밀린 대금을 지불 할 수 없다는 등 급여 관리자를 서두르게 만듭니다. 

개인 연락처를 요청하는 문의 이메일은 여전히 널리 사용되고 있으며, 급여 다음으로 높은 순위를 차지하는 주제입니다. 공격자는 이메일을 첫번째 연락지점으로 활용하여, 공격대상을 성공적으로 속이고 전화번호나 메신저 등 수신자의 연락처 정보를 얻어 대화의 탐지를 피할 가능성이 더 높은 모바일로 공격대상을 유인합니다. 

다음으로는 긴급한 업무, 또는 업무에 대한 도움을 요청하면서 공격 대상에게 접근하거나, 공격대상이 사무실에 있는지 상태를 물어보는 간단한 메일을 보내어 접근을 시도합니다. 

BEC 공격의 수행 단계 ( 출처 : mdpi )  

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C45678.png

BEC 공격의 공격 방식  

첫번째로 공격자는 잠재적인 피해자의 취약점을 조사하고 조사결과를 바탕으로 어떻게 활용할 것인지 결정합니다. 이후 웹 검색을 통해 조직의 구성을 식별하고 조직 내 개인을 공격 대상으로 설정합니다. 공격자는 이전에 조사한 자료를 통해 이메일을 조작하여 보냅니다. 스푸핑, 유사 도메인, 가짜 이메일 이름과 같은 전술을 활용하여 악의적인 의도를 식별하기 어렵습니다. 마지막으로 CEO나 재무부서 내의 다른 개인과 같은 회사 내부 개인을 사칭하여 공격자가 개인과의 신뢰를 성공적으로 구축하고, 금전적 이득이나 데이터를 침해합니다. 


BEC 공격은 표준 사이버 방어로 분석할 수 있는 악성 코드나 악성 URL을 사용하지 않고, 공격의 표적 특성과 사회 공학 기술을 사용하여 사람들을 속이기 때문에 탐지 가 쉽지 않아 공격을 조사하는것과 해결하는 것을 어렵고 시간이 많이 걸리게 만듭니다. BEC 사기는 도메인 스푸핑, 유사 도메인 등 다양한 사칭 기술을 사용하며, 도메인 오용과 도메인 스푸핑을 차단하는 것과 추가적으로 모든 잠재적인 유사 도메인을 예측해서 막는것은 쉽지 않습니다. 

결론


BEC 공격은 내용이 짧고 조직내의 한 명의 직원으로 위장합니다. 시간이 지남에 따라 이러한 공격은 훨씬 더 정교한 사회 공학 기술이 사용되어 끊임없이 진화하고 있습니다. 이처럼 끊임없이 진화하는 사회공학 수법에 맞서기 위해 조직은 기술 및 인적 사이버 보안 방어를 강화해야 합니다. 


BEC 공격으로부터 보호하는 방법 


• BEC 공격은 조직의 직원을 표적으로 삼기 때문에 이메일 보안 인식 교육은 사이버 보안에 필수적입니다. BEC 공격을 식별하고 대응하는 방법에 대한 직원 교육은 이러한 형태의 피싱 위협을 최소화 할 수 있습니다. 

• BEC 공격은 일반적으로 내부 이메일 주소의 도메인과 유사한 도메인을 사용하여 사용자를 속이려고 시도합니다. 회사의 외부에서 오는 전자메일은 따로 관리할 수 있도록 설정하면 공격으로 부터 보호하는 데 도움이 될 수 있습니다. 

• 직원들은 조치가 필요한 이메일에 응답하기 전에 이상여부를 눈으로 확인하는 습관을 들여야 합니다. 또한, 메일의 내용이 의심스러울 경우 빠른 전화통화만으로도 비정상적인 요청을 확인할 수 있습니다. 

• 일부 BEC 공격은 일부 직원의 해킹된 게정을 사용하기 때문에 성공합니다. 이는, 메일 시스템에 접근하는 모든 사람에 대해 2단계인증, 또는 다단계 인증을 통해 방지할 수 있습니다. 


이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.  



  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.4점 / 24명 참여