사이버 보안 전문가와 FBI는 6가지의 주요 BEC 공격 유형을 파악했습니다. 

허위 송장 관련 사기

BEC 공격자는 회사와 협력하는 공급업체인 것처럼 가장하여 표적 직원에게 가짜 송장이 첨부된 이메일을 보냅니다. 회사가 송장 금액을 결제하면 그 돈이 곧바로 공격자에게 전달됩니다. 공격자는 이러한 공격을 더 설득력 있게 만들기 위해 실제 공급업체 송장을 가로채서 입금 계좌를 자신의 계좌로 변경하기도 합니다.

주의해야 할 것은 법원 판결(ibm.com 외부 링크)에 의하면 허위 송장에 속아 결제했더라도 실제 송장을 결제할 의무가 면제되지 않는다는 점입니다.

가장 큰 규모의 허위 송장 사기 중 하나는 페이스북과 구글을 대상으로 벌어졌습니다. 2013~2015년에 사기범은 실제 하드웨어 제조업체이자 두 회사의 협력업체인 Quanta Computer로 가장하여 페이스북으로부터 9천8백만 달러, 구글로부터 2천3백만 달러를 훔쳤습니다. 결국 사기범은 검거되고 두 회사 모두 대부분의 돈을 회수했지만, BEC 사기에서는 이러한 결과를 얻기가 쉽지 않습니다.
 

CEO 사기

사기범은 보통 CEO 등 경영진을 사칭하여 거래를 마무리해야 하거나, 연체된 송장을 결제하거나, 직원들을 위한 상품권을 구매해야 한다고 속여 직원에게 송금을 요청합니다.

CEO 사기 수법은 종종 긴박감을 조성하여 신속하고 성급하게 행동하도록 유도하거나(예: 지급이 연체되어 송장을 바로 결제하지 않으면 서비스를 이용할 수 없다), 동료에게 알리지 말고 기밀을 유지하라고 합니다(예: 이 거래는 기밀이니 아무에게도 말해서는 안 된다).

2016년에는 항공우주 제조업체인 FACC의 CEO를 사칭한 사기범이 허위 인수 합병을 마무리해야 한다고 직원을 속여 4천7백만 달러(ibm.com 외부 링크)를 송금하도록 유도한 사건이 발생했습니다. 이 사기 사건으로 인해 이 회사의 이사회는 직무 '위반'을 이유로 들어 CFO와 CEO를 해고했습니다.
 

이메일 계정 유출(EAC)

경영진이 아닌 일반 직원의 이메일 계정을 사기범이 탈취합니다. 그런 다음 이를 사용해 다른 회사에 가짜 송장을 보내거나, 다른 직원을 속여 기밀 정보를 공유하도록 할 수 있습니다. 사기꾼들은 종종 EAC를 사용하여 상위 계정의 자격 증명을 피싱하고 이를 CEO 사기에 활용합니다. 

변호사 사칭

사기범은 변호사로 위장하여 피해자에게 청구서를 지급하거나 민감한 정보를 공유하도록 요청합니다. 변호사 사칭 사기는 많은 사람들이 변호사에게 협조할 것이라는 사실에 근거하며, 변호사가 기밀 유지를 요청하는 것은 전혀 이상하지 않습니다. 

러시아 BEC 조직 Cosmic Lynx의 조직원들은 이중 사칭 공격(ibm.com 외부 링크)의 하나로 변호사를 사칭하기도 합니다.먼저, 표적이 되는 회사의 CEO에게 회사 인수 또는 기타 비즈니스 거래에 도움을 줄 '변호사'를 소개하는 이메일이 발송됩니다. 그런 다음 가짜 변호사가 CEO에게 이메일을 보내 거래를 성사시킬 수 있도록 돈을 보내달라고 요청합니다. Cosmic Lynx의 공격은 각 표적에게서 평균 미화 127만 달러를 훔쳤습니다.
 

데이터 절도

많은 BEC 공격은 인사 및 재무 담당 직원을 표적으로 삼아 개인 식별 정보(PII) 및 기타 민감한 데이터를 훔친 후 신원을 도용하거나 향후 공격에 사용합니다.

예를 들어, 2017년에 미국 국세청(ibm.com 외부 링크)에서는 회사 임원을 사칭한 사기범이 급여 담당 직원에게 직원의 주민등록번호 및 기타 민감한 정보가 포함된 직원의 급여 명세서 사본을 보내달라고 요청하여 직원 데이터를 도용하는 BEC 사기에 대해 경고한 바 있습니다. 일부 급여 담당 직원은 허위 계좌로 송금을 요청하는 후속 이메일을 받기도 했습니다. 사기범들은 급여 명세서 요청을 신뢰하고 요청에 응답한 표적에게 송금 요청을 보내면 성공 가능성이 높다고 판단했습니다.  

상품 도난

2023년 초, FBI(ibm.com 외부 링크)는 사기범이 기업 고객으로 위장하여 표적이 된 회사의 제품을 훔치는 새로운 유형의 공격에 대해 경고했습니다. 사기꾼은 다른 회사의 구매 부서 직원으로 위장하고 가짜 금융 정보를 사용하여 거액의 신용 구매를 협상합니다. 표적이 된 회사는 보통 건설 자재 또는 컴퓨터 하드웨어 등의 제품을 발송하지만, 사기범은 대금을 지급하지 않습니다.

엄밀히 말해 BEC는 스피어 피싱의 일종으로, 특정 개인 또는 개인 그룹을 표적으로 삼는 피싱 공격입니다. 스피어 피싱 공격 중에서도 BEC가 독특한 이유는 공격 대상이 기업 또는 조직의 직원 또는 관계자라는 점, 사기범들이 표적이 된 직원이 잘 알거나 신뢰하는 다른 직원 또는 관계자인 것처럼 가장한다는 점입니다.

일부 BEC 공격은 사기범 한 명이 단독으로 저지르지만, BEC 갱단이 공격을 시작하는 경우(위 참조)도 있습니다. 이러한 조직은 표적을 찾는 범행 대상 발견 전문가, 이메일 계정에 침입하는 해커, 피싱 이메일에 오류가 없고 설득력 있게 작성하는 전문 작가와 같은 전문가 등을 고용하여 합법적인 기업처럼 운영됩니다. 

사기범이나 갱단이 강탈할 기업을 선택한 후에는 BEC 공격은 일반적으로 동일한 패턴을 따릅니다.
 

표적 조직 선택

거의 모든 기업, 비영리 단체, 정부 기관이 BEC 공격의 표적이 될 수 있습니다. 막대한 자금과 많은 고객을 보유하고 거래량이 많아 BEC가 눈에 띌 가능성이 적은 조직은 명백한 표적입니다.

그러나 세계적 또는 현지의 상황으로 인해 BEC 공격자들이 더 구체적인 기회를 얻게 될 수도 있습니다. 다른 기회들보다 눈에 띄는 기회가 있습니다. 예를 들어, 코로나19 대유행 기간에는 의료 장비 및 소모품 공급업체를 사칭한 BEC 사기범들이 병원과 의료 기관에 청구서를 발행하고 있다고 FBI가 경고하기도 했습니다. 다른 한편 2021년에는 BEC 사기범들이 뉴햄프셔주 피터버러에서 유명한 교육 및 건설 프로젝트를 악용하여 마을 기금에서 230만 달러의 자금을 허위 은행 계좌로 빼돌린 사건(ibm.com 외부 링크)이 발생했습니다).
 

표적 직원 및 발신자 신원 조사

다음으로, 사기범은 피싱 이메일을 수신할 직원과 사기범이 스푸핑(사칭) 할 발신자의 신원을 파악하기 위해 표적 조직과 그 활동을 조사하기 시작합니다.

일반적으로 BEC 사기는 결재 권한이 있거나 민감한 데이터에 액세스할 수 있으면서 고위 관리자나 임원의 요청에 응하는 경향이 있는 재무 부서 또는 인사(HR) 관리자와 같은 중간급 직원을 대상으로 합니다. 일부 BEC 공격은 보안 인식 교육이 거의 또는 전혀 없거나, 적절한 결제 또는 데이터 공유 절차 및 승인에 대해 잘 알지 못하는 신입 직원을 표적으로 삼는 경우도 있습니다.

사칭할 신원의 경우, 사기범은 자신이 표적 직원에게 원하는 행동을 신뢰성 있게 요청하거나 영향을 미칠 수 있는 동료 또는 직원을 선택합니다. 일반적으로는 조직 내 고위 관리자, 임원 또는 변호사입니다. 외부인을 사칭할 때는 공급업체 또는 파트너 조직의 임원을 선택할 수도 있지만, 표적 직원이 정기적으로 거래하는 공급업체, 거래에 자문을 제공하는 변호사, 기존 또는 신규 고객 등 표적 직원의 동료 또는 자주 대화하는 사람을 가장할 수도 있습니다.

다수의 사기범은 합법적인 마케팅 및 영업 전문가가 사용하는 것과 동일한 잠재 고객 생성 도구(링크드인 및 기타 소셜 미디어 네트워크, 비즈니스 및 업계 뉴스, 잠재 고객 발굴 및 목록 작성 소프트웨어)를 사용하여 잠재적인 표적 직원과 사칭할 신원을 찾습니다.
 

표적 및 발신자 네트워크 해킹

모든 BEC 공격자가 표적 및 발신자 조직의 네트워크를 해킹하는 단계를 밟지는 않습니다. 그러나 실제 공격에 앞서 몇 주 전부터 공격 대상과 발신자를 관찰하고 정보와 액세스 권한을 축적하는 등 멀웨어처럼 행동하는 공격자들도 있습니다. 이를 통해 공격자는 다음을 수행할 수 있습니다.

• 관찰된 행동 및 액세스 권한을 기반으로 가장 적합한 표적 직원 및 발신자 신원을 선택합니다.
   

• 송장을 제출하는 방법과 결제 또는 민감한 데이터 요청을 처리하는 방법에 대해 자세히 알아내어 공격 이메일에서 더 효과적인 요청을 가장할 수 있습니다.
   

• 공급업체, 변호사 등에 대한 특정 지급 기한을 정합니다.
   

• 합법적인 공급업체 송장 또는 구매 주문서를 가로채고 이를 변경하여 공격자의 은행 계좌로 지급하도록 지정합니다.
   

• 발신자의 실제 이메일 계정을 제어하여(위의 이메일 계정 침해 참조) 사기범이 해당 계정에서 공격 이메일을 직접 보낼 수 있으며, 때로는 진행 중인 실제 이메일 대화에 사기 이메일을 끼워 넣어 진짜를 가장할 수도 있습니다.
   

공격 준비 및 실행

BEC 공격이 성공하려면 설득력 있게 사칭해야 합니다. 따라서 사기범은 신뢰할 수 있고 그럴듯한 공격 이메일을 작성하기 위해 노력합니다.

발신자의 이메일을 해킹하지 않은 경우에는 사기범은 발신자의 합법적인 이메일 주소처럼 보이도록 스푸핑 하는 가짜 이메일 계정을 생성합니다. 예를 들어 jane.smith@company.com이 실제 이메일 주소라면 jsmith@company.com 또는 jane.smith@cornpany.com처럼 이름을 살짝 바꾸거나 도메인 이름의 철자를 바꿀 수 있습니다. 보낸 사람의 회사 로고가 포함된 서명 또는 상세하지만 허위로 작성된 개인정보 취급방침과 같은 다른 시각적 단서를 추가할 수 있습니다.

공격 이메일의 핵심 구성 요소는 '구실'입니다. 즉, 공격 표적의 신뢰를 얻어 사기범이 원하는 대로 행동하도록 설득하거나 압박하기 위해 만들어 낸 그럴듯한 이야기입니다. 가장 효과적인 구실은 인지할 수 있는 상황, 긴박감 및 결과에 대한 암시를 결합하는 것입니다. BEC에 사용되는 구실의 전형적인 예를 들어보자면 "지금 비행기를 타야 하는데 연체료를 물지 않도록 이 송장(첨부)을 빨리 처리해 주시겠어요?"라는 관리자나 CEO의 메시지가 있습니다.

경우에 따라 사기범은 가짜 웹사이트를 개설하거나, 가짜 회사를 등록하거나, 표적 직원이 확인하기 위해 전화할 수 있는 가짜 전화번호를 제공할 수도 있습니다.

BEC 사기는 보안 도구가 탐지할 수 있는 악성 코드를 거의 사용하지 않기 때문에 예방하기 가장 어려운 사이버 범죄 중 하나입니다. 대신 사기범은 속임수와 조작을 사용합니다. 사기범은 표적 회사를 침해할 필요조차 없습니다. 공급업체나 고객을 침해하거나 사칭하는 것만으로도 피해자로부터 막대한 금액을 편취할 수 있습니다. 그 결과, 데이터 유출 비용 보고서에 따르면 BEC 공격을 파악하고 차단하는 데 평균 308일이 걸리며 이는 모든 침해 유형을 통틀어 두 번째로 긴 해결 시간입니다.

이러한 사기를 방지하기 위해 기업에서는 다음과 같은 조치를 취할 수 있습니다.

• 사이버 보안 인식 교육을 통해 사기범이 표적을 찾고 조사하는 데 사용하는 소셜 미디어 플랫폼과 앱에서 과도하게 공유하는 행동의 위험하다는 사실을 직원들이 이해하는 데 도움을 줄 수 있습니다. 또한 교육을 통해 직원들이 BEC 시도를 발견하고, 고액 결제 요청에 응답하기 전에 확인하는 것과 같은 모범 사례를 배울 수 있습니다.

• 이메일 보안 툴은 모든 BEC 이메일, 특히 유출된 계정에서 발송된 이메일을 잡아내지 못할 수도 있습니다. 그러나 스푸핑 된 이메일 주소를 찾아내는 데 유용할 수 있습니다.일부 툴은 BEC 시도가 의심되는 수상한 이메일 콘텐츠에 플래그를 지정할 수도 있습니다. 

• 이중 인증 또는 다중 인증을 사용하면 BEC 공격자가 이메일 계정을 해킹하기가 더 어려워질 수 있습니다. 

• 엔터프라이즈 보안 툴 보안 오케스트레이션 및 대응(SOAR), 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR)과 같은 툴은 네트워크 취약점을 악용하려는 시도를 보안팀이 파악하고 엔드포인트, 이메일 계정 등에서 해커가 정찰을 수행하는 것으로 의심되는 활동을 플래그 지정하여 BEC 공격을 더 빠르게 식별하고 차단할 수 있도록 지원합니다.