Spaceship 블로그

비즈니스 이메일 침해(BEC)란 무엇인가요?

에 업데이트됨
6분 읽기

매년 범죄자들은 수십억 달러를 챙겨 달아납니다. 화려한 미술관이나 은행 금고를 털어서가 아니라, 적절한 시점에 적절한 사람에게 적절한 이메일을 보내서입니다. 그들이 이런 일을 어떻게 하는지 살펴보겠습니다.

이 글에서 알아볼 내용:

  • 비즈니스 이메일 침해란 실제로 무엇인가

  • 이런 공격이 단계별로 어떻게 실행되는가

  • 가장 흔한 BEC 공격 유형

  • 3,700만 달러 공격의 실제 사례

  • 표적이 되기 전에 비즈니스를 보호하는 방법

사이버 보안에서 비즈니스 이메일 침해란 무엇인가요?

비즈니스 이메일 침해는 범죄자가 당신이 신뢰하는 사람을 사칭해 돈을 보내거나 민감한 데이터를 넘기도록 속이는 사이버 공격입니다. 이것이 위험한 이유는 인내와 치밀한 계획 때문입니다. 공격자들은 몇 주 동안 회사가 어떻게 소통하는지, 누가 권한을 쥐고 있는지, 언제 공격해야 하는지를 학습합니다. 이메일이 도착할 때쯤이면, 그것은 아는 사람이 보낸 평범한 이메일처럼 보입니다.

비즈니스 이메일 침해 공격은 어떻게 작동하나요?

이런 공격에는 검증된 전형적인 수법이 있으며, 사기범들은 매번 그 수법을 따릅니다.

1단계 – 표적 찾기

비즈니스 이메일 침해 공격의 핵심은 그럴듯해야 한다는 점입니다. 공격자들에게 다행스럽게도 인터넷은 잠재적 표적에 대한 정보의 보고입니다. 소셜 미디어 프로필만 잠깐 살펴봐도 직업, 가까운 친구들, 심지어 말투까지 드러날 수 있습니다. 여기에 향후 회사의 움직임에 대한 보도자료와 회사 웹사이트의 소개글까지 짜 맞추면, 충분히 신뢰할 만해 보이기 시작합니다.

공격자들은 그 모든 정보를 긁어모아 몇 초 안에 진짜처럼 보이고 들리는 이메일을 만들어낼 수 있습니다.

2단계 – 받은편지함 침투하기

이메일 내용이 진짜처럼 보이려면 공격자들은 그것을 번듯하고 믿을 만한 포장으로 감싸야 합니다. 이메일 주소가 신뢰할 수 있는 출처에서 온 것처럼 보이지 않으면, 사기 전체는 힘을 잃게 됩니다.

공격자들은 acmecorp.com 대신 acme-corp.com 같은 이름을 등록해 도메인을 스푸핑할 수 있습니다. 또는 충분히 영리하다면 실제 받은편지함을 해킹해, 진짜 메시지와 구별하기 거의 불가능하게 만들 수도 있습니다.

결국 오리처럼 보이고 오리처럼 꽥꽥거리면, 대부분은 그것을 오리라고 생각합니다.

3단계 – 신뢰 쌓기

이런 공격에서는 인내가 핵심입니다. 공격자들은 해킹한 받은편지함에 몇 주 동안 숨어 이메일 스레드를 읽고 소통 방식을 익힐 수 있습니다. 마침내 이메일이 도착하면, 이전 이메일들과 자연스럽게 섞이며 대화의 어조와 흐름을 그대로 따라 합니다.

4단계 – 요청하기

공격자들이 당신의 말투, 동료들의 이름과 직함, 회사에서 돌아가는 상황까지 속속들이 파악하고 이메일에도 성공적으로 침투하면, 요청이 전송됩니다.

보통은 쉽게 되돌릴 수 없는 일입니다. 은행 계좌로 돈을 보내거나 민감한 정보를 공유하는 일이 될 수 있습니다. 핵심은 반드시 되돌릴 수 없어야 한다는 점입니다. 

표적이 뭔가 잘못됐다는 사실을 깨달을 때쯤이면, 공격자는 이미 피해가 발생한 상태이길 원합니다. 더 교활한 경우라면 모두의 경계심이 느슨해지고 성공 가능성이 더 커지는 연휴 기간에 이를 보내기도 합니다.

5단계 – 흔적 없이 사라지기

자금이 송금된 뒤에는 일련의 중개 계좌를 거쳐 빠르게 이동됩니다. 이런 계좌들은 대개 해외에 있어, 법 집행 기관조차 자금 흐름을 추적하기가 매우 어렵습니다.

비즈니스 이메일 침해 사례

비즈니스 이메일 침해는 디지털 공격의 최종 보스입니다. 보통 대기업과 눈이 휘둥그레질 만큼 큰 금액이 관련됩니다. 

2019년, Toyota의 주요 공급업체 중 하나는 단 한 번의 송금으로 수천만 달러를 잃었습니다. 공격자는 Toyota Boshoku의 이메일 시스템에 침입했습니다. 그들은 메시지를 읽으며 회사의 소통 방식을 파악했습니다. 큰 금액의 송금이 대화에 오르자, 회사에서 자금을 이동시킬 권한이 있는 사람에게 송금용 은행 계좌 정보를 업데이트하라고 요청했습니다. 그것은 합법적으로 보였고, 돈은 송금되었습니다.

그렇게 단번에 3,700만 달러가 사라졌습니다.

비즈니스 이메일 침해 공격의 유형

모든 비즈니스 이메일 침해 사례가 똑같아 보이지는 않습니다. 물론 목표는 언제나 사람들을 속여 가능한 한 많은 돈을 넘기게 만드는 것이지만, 접근 방식은 매우 다를 수 있습니다.

CEO 사기(임원 사칭)

이것은 가장 널리 알려진 BEC 형태입니다. 공격자는 고위 임원, 보통 CEO나 CFO를 사칭해 재무 담당자에게 자금을 이동하라고 압박합니다. 이것이 통하는 이유는 권력 관계 때문입니다. 상사가 무언가를 원하면 대부분의 사람은 왜 그런지 멈춰서 묻지 않습니다. 여기에 그럴듯한 배경 이야기까지 더해지면, 누군가가 두 번 생각하지 않고 행동하게 만들기에 충분합니다.

공급업체 이메일 침해

공격자들은 회사 내부 인물을 사칭하기보다 회사 외부의 관계를 노립니다. 신뢰받는 공급업체와 벤더를 표적으로 삼아 기존 이메일 대화에 끼어들고, 실제 결제 정보를 자신들의 정보로 바꿔치기합니다. 피해자 입장에서는 오랫동안 거래해 온 공급업체가 보낸 일상적인 청구서 업데이트처럼 보입니다.

계정 탈취

이것은 스푸핑이 전혀 개입되지 않기 때문에 가장 위험한 변형입니다. 공격자는 실제 계정을 사용합니다. 이메일은 실제 주소에서 오고 올바른 어조를 사용합니다. 메시지는 완전히 정상적으로 보이는데, 기술적으로도 실제로 정상적이기 때문입니다.

급여 전환

이 유형은 회사의 자금을 노리지 않습니다. 대신 직원을 노립니다. 공격자들은 HR 또는 직원을 사칭해 급여 정보 업데이트를 요청하고, 급여가 자신들이 통제하는 계좌로 조용히 우회 송금되도록 합니다. 

피해자는 급여일이 되어서야 이를 알아차리며, 금액이 더 작고 요청도 정상적으로 보이기 때문에 사기 경보가 울리는 경우는 드뭅니다. 이것은 더 느린 형태의 BEC이지만, 충분한 수의 직원을 노리면 피해는 빠르게 커집니다.

BEC와 피싱 – 차이점은 무엇일까요?

피싱 이메일은 오래전부터 존재해 왔고, 대부분의 사람들은 그것이 어떻게 생겼는지 알고 있습니다. 상을 받았다고 하거나 나이지리아 왕자가 당신의 도움이 필요하다고 말하는 바로 그런 이메일입니다. 이런 이메일은 대량으로 발송되며, 누군가의 방심을 노리기 위해 물량에 의존합니다.

피싱이 그물이라면 BEC는 저격수입니다. 공격자들은 몇 주 동안 한 회사를, 때로는 특정 인물 한 명을 조사합니다. 이메일이 도착할 때쯤이면, 그것은 아는 사람이 보낸 화요일 아침 메시지처럼 보입니다.

피싱은 보통 로그인 자격 증명을 노리지만, BEC는 그 단계를 아예 건너뛰고 곧바로 돈이나 데이터를 노립니다.

비즈니스 이메일 침해 공격을 식별하는 방법

BEC 공격은 정상적으로 보이도록 설계됩니다. 하지만 무엇을 봐야 하는지 안다면, 징후는 분명히 있습니다.

  • 재촉— 확인하고 검증할 틈도 없이 빨리 돈을 옮기라고 압박하는 이메일.

  • 갑작스러운 변경 — 공급업체나 동료가 느닷없이 결제 정보를 업데이트했다고 하는 경우.

  • 거의 맞는 주소 — 발신자 이메일이 실제 주소와 단 한 글자만 다른 경우.

  • 어딘가 어색한 어조— 뭔가 이상하게 느껴지고, 지나치게 격식 있거나 너무 캐주얼하거나, 유난히 비밀스러운 경우.

  • 뜬금없는 요청 — 보통이라면 다른 채널을 통해 처리될 일을 하라고 요청받는 경우.

비즈니스 이메일 침해 공격을 예방하는 방법

이런 공격이 어떻게 작동하는지 아는 것은 절반의 승리입니다. 나머지 절반은 당신의 비즈니스가 쉬운 표적이 되지 않도록 하는 것입니다.

전화기를 드세요

이메일에서 돈을 송금하거나 결제 정보를 업데이트하라고 요청하더라도, 그 이메일에 답장하지 마세요. 이메일에 적힌 번호가 아니라 이미 알고 있는 번호로 그 사람에게 직접 전화하세요. 30초면 되고, 이것이 당신이 할 수 있는 가장 효과적인 한 가지입니다.

2단계 인증을 켜세요

공격자가 누군가의 로그인 자격 증명을 손에 넣더라도, 2FA는 받은편지함 전체 탈취를 막을 수 있습니다. 모든 것을 막아주지는 않지만, 계정 침해를 훨씬 더 어렵게 만듭니다.

팀에게 무엇이 정상인지 가르치세요

BEC가 무엇인지, 어떻게 작동하는지, 그리고 위험 신호가 어떤 모습인지에 대한 정기적인 교육은 직원들을 방어선으로 바꿀 수 있습니다.

도구가 일부 어려운 일을 대신하게 하세요

스팸 필터와 SPF, DKIM, and DMARC 같은 도메인 인증 도구는 BEC 시도를 팀에 도달하기 전에 걸러낼 수 있습니다. AI 기반 탐지는 한 걸음 더 나아갑니다. 조직 내부에서 정상적인 이메일 행동이 어떤 모습인지 학습하고, 수상한 모든 것을 표시합니다.

자주 묻는 질문

비즈니스 이메일 침해는 범죄자가 이메일을 통해 당신이 신뢰하는 사람인 척하며 돈을 보내거나 민감한 정보를 공유하도록 속이는 것입니다. 공격자들은 회사 이메일의 어조를 그대로 반영한 설득력 있는 이메일을 보내며, 심지어 회사 이메일 주소에서 온 것처럼 보이기도 합니다.

서로 관련은 있지만 같지는 않습니다. 피싱은 넓은 그물을 던져 가능한 한 많은 사람에게 일반적인 이메일을 보냅니다. BEC 공격은 표적형입니다. 공격자들은 특정 회사, 특정 인물, 특정 시점을 조사합니다. 그 결과는 훨씬 더 설득력 있고, 비용도 훨씬 더 큽니다.

대부분의 비즈니스 이메일 침해 사기는 조사에서 시작됩니다. 공격자들은 회사의 구조와 소통 방식을 연구합니다. 충분히 파악하고 나면, 신뢰받는 이메일 주소를 스푸핑하거나 실제 이메일 계정을 탈취합니다.

CEO 사기입니다. 공격자는 고위 임원을 사칭하고 재무 담당자에게 신속히 자금을 이체하라고 압박합니다. 대부분의 사람들은 상사의 긴급한 요청을 의심하지 않기 때문에 이런 수법이 통합니다.

그렇습니다. 비즈니스 이메일 침해 방어는 사람에서 시작됩니다. 팀이 위험 신호를 식별하고, 전화로 결제 요청을 확인하며, 2FA와 DMARC 같은 도구를 사용해 이메일이 침해되기 어렵게 만들도록 교육하세요. 어떤 단일 조치도 완벽하지는 않지만, 올바른 조합은 당신을 훨씬 더 어려운 표적으로 만듭니다.

Josh Horritt의 프로필 사진
작성자

Josh Horritt

Josh는 영국 맨체스터 출신의 카피라이터이자 UX 라이터입니다. 그는 BBC에서 기자로 경력을 시작했으며, 현재 Spaceship의 이메일 제품을 담당하며 블로그와 사용자 중심 카피를 작성하고 있습니다. 일하지 않을 때는 대개 산에 있거나 친구들과 음악을 만들고 있습니다.
Josh Horritt의 더 많은 기사

이 기사 평가하기

5/52 리뷰
이 기사 공유

추천 기사

Spacemail이 추적으로부터 사용자를 보호하는 방법
이메일 활동이 본인도 모르는 사이에 추적되고 있을 수 있습니다. 기능 손실 없이 추적 링크를 제거하는 방법을 알아보세요.
Jamie L.
4분 읽기
이메일 위협의 다양한 유형
가장 흔한 이메일 사기에 익숙해져서 이에 대비해 자신을 보호하세요.
Jamie L.
15분 읽기
디지털 시대에 이메일을 안전하게 사용하는 방법
인터넷 범죄의 상당 부분은 이메일을 통해 발생합니다. 이 이메일 안전 팁으로 비즈니스에서 이메일 보안을 구현하는 가장 쉬운 방법을 알아보세요.
Jamie L.
8분 읽기
효과적인 이메일 스팸 차단 방법
스팸으로 가득 찼나요? 이 가이드는 받은편지함을 되찾고 온라인 보안을 지킬 수 있도록 도와줍니다.
Stefania S.
5분 읽기

귀하의 의견을 공유하세요

10자 이상 필요합니다.
공개 표시를 위한 귀하의 신원.
이메일 주소 제공은 선택 사항입니다. 제3자와 공유되지 않습니다.

우리 블로그를 개선하는 데 도움을 주세요

빠른 2분 설문조사에 의견을 공유하세요.

유효한 이메일이 필요합니다