에너지기술연도 당한 비즈니스이메일침해...피해 규모가 '13조원'

한국에너지기술연구원도 당한 비즈니스이메일침해(BEC) 손실액이 120억 달러(약 13조4800억원)에 달하는 것으로 드러났다. 경제 손실을 입히는 BEC 공격이 계속 증가해 주의가 요구된다.

미연방수사국(FBI) 조사에 따르면 2013년 10월부터 올해 5월까지 BEC로 국제 피해가 120억 달러를 넘었다. 2016년 12월부터 2018년 5월 사이에 BEC 위험이 136%나 증가했다.

국내 기업과 기관도 BEC 피해에서 자유롭지 못하다. 최근 한국에너지기술연구원이 국제 공동연구를 진행하며 연구비 1억원을 엉뚱한 계좌로 넣는 사고가 발생했다. 에너지기술연구원은 6월 18일 영국 옥스퍼드대 위탁연구비 1억원을 지급할 때, 이 대학 계좌가 아닌 포루투칼 은행 계좌로 송금했다. 사고가 발생한 후 9일이 지난 6월 26일 사실을 인지한 것으로 알려졌다.

에너지기술연구소와 옥스퍼드대가 이메일을 주고받는 과정에서 해킹을 당했다. 해커가 잠복하다 연구비를 송금해야 하는 시점에 끼어든 정황이다. 해커는 수개월 간 피해자 PC에 잠복하며 이메일 내용을 숙지했다가 계좌이체 등 돈이 움직이는 순간에 계좌번호가 변경됐다는 메일을 보낸다. 해커는 C레벨 임원으로 가장해 자금 이체를 지시하는 등의 수법을 쓴다. 2016년 대기업 L사가 240억원에 달하는 무역대금을 탈취 당했다.

에너지기술연도 당한 비즈니스이메일침해...피해 규모가 '13조원'

BEC는 사회공학 기법을 사용하는 로우테크 사이버 공격이지만 높은 수익을 낸다. 해커는 기업 자금을 빼돌리기 위해 임직원 신상정보를 훔친다. 이후 임원이나 공식 공급업체 직원, 변호사 등을 가장해 이메일을 보내 지불을 요청한다.

보안기업 바라쿠타 조사에 따르면 BEC 공격 중 60%는 악의적 링크가 포함되지 않았다. 직원이나 이메일 보안 시스템에서 공격여부를 인지하기 어렵다.

바라쿠타는 3000여건의 BEC사고를 분석한 결과 대부분 일반 텍스트 이메일이 사용됐다고 밝혔다. 이중 40.1%만이 악의적 링크가 첨부됐다. 12.2% 공격은 피해자와 관계 형성에 노력했다. 예를 들어, 공격자가 피해자에게 긴급한 작업이 가능한지를 묻는 내용을 보내는 식이다. 피해자가 이런 내용에 답변을 하면 바로 계좌이체를 요청하는 형태다.

BEC 수법(자료:경찰청)
BEC 수법(자료:경찰청)

많은 BEC 공격이 CEO나 CFO를 등 고위직을 표적한다고 생각했지만 실제로 피해자 상당수는 낮은 직급이었다. 2.2%가 CEO, 16.9%가 CFO를 노렸다. 53.7%는 다른 역할을 하는 직원을 공격했다. 민감한 역할을 하는 직원만 보호해서는 BEC를 막을 수 없다.

존 클레이 트렌드마이크로 글로벌 위협커뮤니케이션 디렉터는 “BEC 공격은 사회공학 기법을 사용해 파일 기반 탐지 기능은 소용이 없다”면서 “이메일 평판 기술은 어느 정도 도움이 된다”고 설명했다. 이어 “전문 규칙을 사용하는 인공지능 기반 솔루션과 특정 이메일이 사기인지 여부를 조사하기 위해 발송자 작성 형식을 분석하는 머신러닝이 도입된다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com