파이어아이, 지능화된 수법으로 타깃 기업 확대하는 스캠 공격에 대해 경고

  • 스캠 공격, 비영어권 아시아지역 중소 기업 뿐 아니라 미국, 영국 등 전 세계 대기업으로 타깃 확장
  • 대금거래정보 변경 시 전화 확인, 이메일 주소 확인 등 신중한 태도 필요

“기존 은행의 높은 수수료 때문에 거래 은행을 변경했습니다. 바뀐 계좌로 송금해 주세요.” 해외 업체와 거래하는 기업이라면 이와 같은 메일을 받을 가능성이 크다. 최근 송금 정보에 관한 변경 요청 시 아무런 의심 없이 새로운 계좌로 입금했다가 피해를 본 국내외 업체들이 증가하고 있다.

해외 송금이 잦은 글로벌 기업의 업무 특성을 악용해 중간에서 돈을 가로채는 범죄자들은 주로 나이지리아 기반 스캐머(Nigerian Scammers)들로서, 파이어아이는 지난해 나이지리아 스캐머에 관한 보고서를 발표한 바 있다. 스캠(scam)은 기업의 이메일 정보를 해킹하고 거래처로 둔갑해 무역 거래대금을 가로채는 범죄 수법을 일컫는 말이다. 이는 신종범죄가 아니라 1980년대부터 나타났으며 예전에는 편지를 사용했으나 최근에는 이메일을 사용하는 등 그 수법을 달리하며 이어져 오고 있다.

오랫동안 피해를 입혀왔던 사기수법인 만큼 스캐머들에 관한 논의가 많았지만 이들의 구체적인 사기 수법과정을 자세히 밝혀낸 것은 파이어아이의 보고서가 처음이다. 보고서에 따르면 나이지리아 기반 스캐머들에 의한 피해규모는 54개국 2,328명에 달했다. 특히 이들이 노리는 대상은 비영어권 중에서도 특히 아시아지역이었으며 중소기업을 선호했다. 그 이유는 이들의 사기수법에 기반한다.

나이지리안 스캐머들의 주요 목표는 피해 대상 업체가 지불 결제 방식을 바꾸도록 유도하는 것이다. 스캐머들은 이메일 해킹을 통해 거래 업체 간 주고받은 메일을 오랫동안 면밀하게 지켜보다가 송금과 관련 된 내용이 있을 때 중간에 끼어들어 거래처가 메일 보낸 것처럼 속인다. 스캐머들은 거래처 이메일 주소 중 한글자만 바꿔 비슷한 이메일 주소를 만들기 때문에 영어에 익숙하지 않아 바뀐 이메일 주소를 쉽게 파악할 수 없는 아시아지역 기업들을 선호하는 것이다.

보고서가 언급하고 있는 피해 사례에 따르면 한 스캐머는 int.glass@yahoo.com의 메일주소에서 g를 q로 바꿔 int.qlass@yahoo.com라는 메일 계정을 만들었다. 자세히 보지 않으면 거래처로 착각하기 쉽다. 사례에서 보듯이 스캐머들은 유사한 이메일을 쉽게 만들 수 있는 yahoo.com이나 gmail.com과 같은 무료 계정을 사용하는 기업을 선호했다. 대부분의 중소기업들은 따로 도메인을 사용하지 않고 무료 이메일 계정을 사용하기 때문에 스캐머들의 주요 표적이 될 수 밖에 없다. 또한 대기업보다 보안에 취약하다는 점도 표적이 되는 주요 이유이다.

파이어아이는 스캐머들이 직접 해킹 기술을 개발하지 않으며, 오히려 해킹 기술능력이 없어 제 3자에게 해킹 툴을 구입하고 있음을 밝혀냈다. 스캐머들은 약 200-3,600달러에 해당하는 돈을 악성 툴 개발자에게 지불했으며 피해 기업의 백신 프로그램을 안전하게 통과하는지 재차 확인하는 주도면밀함까지 보여주었다.

IT기술이 발달하기 전 나이지리아 스캐머들은 자신이 백만장자이며 돈을 송금할 경우 큰 돈으로 갚을 수 있다는 식의 수법을 사용하였다. 하지만 점점 더 IT기술이 발전함에 따라 고도의 기술을 가진 해커들까지 개입하면서 범죄의 수법은 점점 정교해지고 있다.

또한, 최근에는 미국과 영국을 중심으로 스캠 공격 피해 사례가 급증하였는데, 해당 공격들은 기존과 달리 SNS를 적극 이용하고, 대기업을 주로 타깃하여 피해 규모를 키웠다는 점에서 주목된다.

미 인터넷범죄신고센터(IC3: Internet Crime Complaint Center)에 의하면, 이 공격들은 SNS를 통해 기업의 경영진이 사무실을 비우는 기간에 대한 정보를 수집하고, 이를 공격에 적극 이용했다. 예를 들어, 타깃 기업의 파트너사의 CEO 계정으로 피싱 이메일을 작성했을 시, 이를 송부할 최적의 시기를 찾기 위해 SNS를 통해 CEO의 일정을 체크하는 것이다. 인터넷범죄신고센터는 전 세계 만 이천 개가 넘는 기업들이 이러한 스캠 공격의 타깃이 되고 있으며, 이 같은 공격을 통해 사이버 범죄자들은 약 2억 달러(한화 약 2300억원) 상당의 부당 이익을 챙겼다고 전했다.

스캠 공격은 아시아 지역의 중소기업뿐 아니라 전 세계 대기업을 타깃으로 그 피해 규모를 늘리고 있다. 이러한 스캠범죄의 피해자가 되지 않기 위해 파이어아이는 다음과 같이 충고한다.

  • 이메일 계정과 같이 기업의 민감한 정보가 포함되는 계정이 있을 경우 2중의 인증장치를 보유하고 있어야 한다. 2중의 보안장치를 설치할 경우 해커들이 악성코드를 설치했더라도 쉽게 기업 내부 정보를 유출할 수 없다.
  • 절대 알 수 없는 출처의 첨부문서는 열어보아서는 안 된다. 무역업체일 경우 다양한 바이어들이 물품거래를 요청하면서 문서를 첨부하기 때문에 악성코드가 포함 된 문서를 열어 쉽게 해커들에게 노출될 수 있다.
  • 메일을 통해 민감한 기업 정보가 거래되는 경우, 해커가 유포한 악성코드를 사전에 차단할 수 있는 행위분석 기반 보안 장치를 설치해야 기업 내부 정보 유출 사고를 막고 경제 손실을 줄일 수 있다.
  • 거래처와 대금거래를 할 경우 좀 더 주의를 기울여야 하며 은행계좌 변경을 요구할 경우 쉽게 요구사항을 수락해서는 안 된다.
  • 거래정보변경 요청이 있을 경우 이메일 뿐만 아니라 전화 등의 다른 수단을 통해 재확인 해야 한다.
  • 스캐머들은 비영어권 기업의 특성을 악용하여 거래처와 비슷한 이메일 계정을 만들기 때문에 이메일 주소를 면밀히 확인해야 한다.
  • 포렌식 방식의 조사를 이용해 기업의 감염 여부를 정기적으로 조사해야 한다.

[그림1] 나이지리아 스캐머의 스캠 공격 과정

###

 

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아         김세라 이사 / 02-559-0726 / sera.kim@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

김준경 이사 / 010-7176-5424 / joon@mincomm.com

정유림 대리 / 010-9914-5529 / yurim@mincomm.com