온라인 스캠: 그 누구라도 피해가기 어려운 스캠

어느 누구도 스캠으로부터 안전할 수 없다. 특히 기업이나 조직을 대상으로 하는 타깃형 스캠은 사회공학 기법을 이용해 치밀하게 설계된 공격 시나리오로 진행된다. 이런 공격은 개인 대상 스미싱이나 투자사기 또는 쇼핑몰 사기 등과 달리, 사전에 수집한 공격 대상 정보를 바탕으로 맞춤형 피싱 시나리오를 구성한다. 이 때문에 피해 조직이 이를 스캠으로 인지하기 쉽지 않다. 본 글에서는 기업과 조직을 대상으로 하는 대표적인 타깃형 스캠인 비즈니스 이메일 사기(BEC)와 스피어 피싱 이메일을 사례를 통해 살펴보려 한다.

내용

1. 비즈니스 이메일 사기 (BEC)
   • 공격 방식
   • AI 기술의 영향
2. 스피어 피싱: 맞춤형 공격
   • 악성 코드 유포와 정보 탈취
   • 전문가도 속는다
3. 관련 글 보기

용어

스캠은 불법적이며 부도덕한 방법으로 상대방을 속여서 금전 또는 지적 재산을 얻거나 자산에 비인가 접근하는 사기 범죄 행위이다. 주로 직접적인 채널(전화, 문자, 이메일, 메신저, 소셜 미디어, 웹 사이트 등)을 이용하여 피해자가 자발적으로 스캐머(범죄자, 공격자)가 의도한 행동을 하도록 한다. 

---

비즈니스 이메일 사기 (BEC)

 

공격 방식

BEC(Business Email Compromise, 비즈니스 이메일 사기)는 이메일을 활용한 대표적인 스캠이다. 공격자는 주로 기업이나 정부 기관 등의 조직 구성원을 표적으로 삼는데, 특히 고위 임원진이나 재무, 인사 담당자를 노린다. 이들은 피해 조직과 업무상 연관이 있는 인물로 위장하여 송금이나 기밀 정보 전송을 유도한다. BEC 공격은 대개 치밀한 계획 하에 진행된다. 공격자는 먼저 링크드인(LinkedIn)이나 공개된 웹사이트를 통해 타깃에 대한 사전 정보를 수집한다. 이메일 발송 시에는 발신 주소 도메인을 스푸핑하거나 신뢰할 만한 기관을 사칭하는 등의 기법을 사용한다. 이후 피해자와 신뢰 관계를 쌓은 뒤, 심리적 압박을 가하는 사회공학 기법을 활용해 송금이나 정보 전송을 요구한다. 다음과 같은 몇 가지 BEC 공격 사례를 보면, 공통적으로 은행 고위 관리자를 사칭하고 시급성을 강조하며 돈을 받기 위해 민감 정보를 요구한다. 

• In respect to your unpaid payment of $3.5 Millions Dollar with the Royal Bank Of Asia.
• I work as the Foreign Operations Manager with one of the international banks here in Nigeria.
• There is an overdue unclaimed sum of USD$87.2 million US dollars (NNPC) contract payment in my bank Zenith International Bank Plc…
• reply urgently and to prove that, include your details and as soon as i receive this information I will forward you a text of an application which you will fill and send to the bank for the claim of the fund as i will direct you on what to do.

[그림1] BEC 공격 사례

AI 기술의 영향

AI 기술의 발전은 BEC 공격의 진화를 가속화하고 있다. 최근 홍콩의 한 다국적 기업에서 발생한 사고가 이를 잘 보여준다. 공격자들은 AI 딥페이크 기술을 활용해 회사 CFO를 사칭하는 이메일을 보냈고, 재무 담당 직원이 이를 신뢰하여 2,500만 달러(한화 약 344억 원)를 송금하는 피해를 입었다. 당시 직원이 의심을 품고 화상 회의를 추가로 진행했지만, 회의에 참석한 CFO를 포함한 여러 임직원들의 모습조차 딥페이크로 조작되어 있었다. 결국 직원은 조작된 화면에 속아 공격자에게 송금을 하였다.^[1] AI 기술의 발전은 앞으로 BEC 공격을 더욱 정교하고 교묘하게 만들 것이다. 딥페이크와 같은 기술을 활용한 사칭이 더욱 쉬워지고, 이에 따라 BEC 공격의 성공률 또한 높아질 것으로 예상된다. BEC 공격에 효과적으로 대응하기 위해 기업들은 각별한 주의와 대비가 필요한 상황이다.  

스피어 피싱: 맞춤형 공격

 

악성 코드 유포와 정보 탈취

공격자는 스피어 피싱 이메일을 통해 타겟이 악성 파일을 실행하거나, 민감한 데이터를 입력하도록 유도하는 교묘한 방식과 시나리오를 구성한다. 다음의 네 가지 사례는 실제로 공격에 이용된 스피어 피싱 이메일이다. 첫 번째 사례에서 공격자는 내부 직원을 사칭하였다. 하단의 이메일은 안랩 직원을 대상으로 발송되었는데, 발신자의 이메일 주소 도메인도 안랩으로 되어 있었다. 실제로는 발신자 이메일 주소가 조작된 것이었지만, 겉보기에는 동일 조직 구성원이 보낸 것처럼 보였다. 이메일에는 음성 메시지 수신을 알리는 내용과 함께 첨부 파일이 포함되어 있는데, 이 첨부 파일은 안랩 서비스로 위장한 피싱 페이지로 연결되었다. 피싱 페이지에는 이메일 수신인의 이름과 이메일 주소가 미리 입력되어 있어 신뢰감을 주었다. 만약 수신인이 이 페이지에서 로그인을 시도한다면, 입력된 계정 정보는 고스란히 공격자에게 전달된다. 

[그림2] 스피어 피싱 사례1: 내부 직원 사칭 두 번째 사례에서 공격자는 이메일 스레드를 연결하여 마치 이전에 여러 차례 소통이 있었던 것처럼 신뢰감을 형성하였다. 이메일 제목도 ‘RE:’로 시작해 이전 대화의 연장선상에 있는 것처럼 위장하였다. 또한 기업 이메일 작성 관행을 모방하여 발신자 서명을 포함하고, 다수의 수신인과 참조인을 명시하였다. 나아가 ‘Caution: This email has been scanned by AVIRA ANTIVIRUS and no virus found’라는 문구를 삽입하여 이메일이 안전한 것처럼 위장해 수신인의 의심을 피하고자 했다. 본문에서는 다음 업무를 진행하기 위해 첨부 파일을 신속히 확인해야 한다고 요구하였다. 공격자는 며칠 간격으로 ‘Reminder’와 ‘Third Reminder’라는 제목의 후속 이메일을 보내 수신인을 재촉하기도 했다. 

[그림3] 스피어 피싱 사례2: 이메일 스레드 연결로 신뢰감 형성 세 번째 사례는 외부와 빈번히 이메일을 주고받는 직원을 겨냥한 공격이다. 공격자는 기업의 비즈니스에 관심이 있는 척하며, 수신인이 특정 링크를 클릭하도록 유도한다. 이 링크는 악성 피싱 페이지로 연결되는데, 첫 번째 사례와 마찬가지로 이 페이지에서 로그인 정보를 입력하면 내부 계정 정보가 공격자에게 유출된다. 

[그림4] 스피어 피싱 사례3: 링크 클릭 유도로 정보 탈취 시도 네 번째 사례에서 공격자는 타깃의 사회적 관계를 사전에 파악하고, 실제 친분이 있는 사람을 사칭하였다. 공격자는 이메일 발신자 주소의 스펠링을 약간 변경하여 실제 주소와 유사하게 위장했다. 공격자가 사회공학적 기법을 교묘히 활용했기에, 수신인은 의심 없이 첨부된 악성 파일을 무심코 실행할 가능성이 높다. 

[그림5] 스피어 피싱 사례4: 타깃의 사회적 관계를 악용

전문가도 속는다

보안 전문가 리서처들도 공격자들의 맞춤형 스피어 피싱 공격에 속을 수 있다. 구글 Threat Analysis Group (TAG)에서 과거 발표한 New campaign targeting security researchers와 Active North Korean campaign targeting security researchers 보고서에 따르면, 북한 배후로 추정되는 공격자들이 교묘한 사회공학 기법을 이용하여 보안 리서처들을 대상으로 스피어 피싱 공격을 수행한다고 밝혔다. 공격자들은 보안 리서처들의 관심사와 연구 분야를 파악하고, 이를 바탕으로 맞춤형 피싱 이메일을 보내 공격을 시도한다. 보안 리서처들이 관심을 가질 만한 주제로 블로그를 운영하거나, 소셜 미디어를 통해 친밀한 관계를 만든다. 이후 최신 보안 이슈에 대한 분석 자료라며 악성코드가 포함된 문서를 보내거나, 흥미로운 취약점을 발견했다며 악성 링크가 포함된 이메일을 보내는 등의 방식으로 공격을 한다. 2023년에는 링크드인(LinkedIn)을 통해 가짜 채용 제안을 보내 보안 리서처들을 공격하는 사례도 확인되었다. 공격자들은 채용 담당자로 위장해 접근한 뒤, 왓츠앱(WhatsApp)으로 대화를 이어가며 악성코드가 포함된 문서를 전송하는 수법을 사용했다.^[3] 공격자들은 AI 기술과 치밀한 시나리오를 활용해 교묘하고 정교한 공격을 시도하고 있다. 우리는 시급해 보이는 요청이나 신뢰할 만한 사람으로부터의 연락이라 할지라도, 반드시 발신인의 신원을 확인하고 요청 내용의 타당성을 꼼꼼히 따져봐야 한다.   

관련 글 보기

1. 온라인 스캠: 당신은 사칭과 협박, 그리고 속임수로부터 안전하십니까?
2. 온라인 스캠: 스캠이란 무엇인가?
3. 온라인 스캠: 내 휴대전화에서 마주한 사기
4. 온라인 스캠: 협박과 농간 그리고 피해자
5. 온라인 스캠: 그저 쉽고 빠르게 돈을 벌고 싶었다
6. 온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기
7. 온라인 스캠: 그 누구라도 피해가기 어려운 스캠
8. 온라인 스캠: 그래서 우리는 무엇을 어떻게 해야 할까?

  

---

[1] Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’ | CNN [2] 해당 이메일은 안랩 이메일 보안 필터링 시스템에서 차단되었음 [3] Security researchers targeted with new malware via job offers on LinkedIn (bleepingcomputer.com)