BEC 공격과 EAC 공격

1. 이메일(E-mail)

- 네트워크. 그 중에서도 주로 인터넷을 이용한 메세지 송수신 규약

- 오늘날 이메일은 가장 널리 사용되는 디지털 커뮤니케이션 방법 중 하나

[사진 1] E-mail 동작 과정

1.1 위협

- 수많은 사이버 공격이 이메일로부터 시작

- 최근 팬데믹 이후 재택근무 등 비대면 업무가 보편화되면서 이메일을 통한 공격이 증가

- 이메일을 사용해 소셜 엔지니어링, 랜섬웨어, 피싱 메일 등을 통한 사이버 위협이 증가하는 추세

 

- 아크로니스 ‘2022년 하반기 사이버 위협 및 동향 보고서’

> 피싱 및 악성 이메일 위협이 60% 증가했으며, 사건당 평균 데이터 유출 피해 비용이 500만 달러를 넘어설 것으로 예상

> 사회 공학적 공격이 지난 4개월 동안 급증하여 전체 공격의 3%를 차지

[사진 2] 아크로니스 ‘2022년 하반기 사이버 위협 및 동향 보고서’ 中 발췌

2. BEC 공격

- 기업 이메일 침해 (Business Email Compromise, BEC)

- 피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격 즉, 정당한 송신자로 위장하여 수신자를 속이는 방법

> 기업들을 위해 개발된 마케팅 서비스와 도구, 구글의 무료 번역 서비스인 구글 트랜슬레이트(Google Translate)를 활용

> 이메일 마케팅 도구나 번역 도구 모두 점점 정확해지고 사용 방법도 간단해지고 있으며 가격도 저렴해지는 추세

 

- 멀웨어를 활용하는것 보다 쉬운 공격 형태이며, 추적의 어려움 및 투자 시간 대비 높은 수익을 얻어 공격자들에게 인기

- 정상적인 내부 업무 프로세스와 절차를 악용하기에 피해 사실을 즉시 인지하기 어려움

- 공격자는 기업 인프라 외부에 위치

 

2.1 피해

- 2022년 발생한 사이버 공격 사례 중 랜섬웨어 뒤를 이어 가장 많이 발생한 공격

- 2016 ~ 2019 전 세계에서 260억 달러의 피해가 발생하였으며, 2022년 한 해 동안 누적된 피해액은 430억 달러로 집계

 

- 파이어브릭 오스트리치(Firebrick Ostrich)

> 2021년 4월부터 지금까지 151개 기업과 기관들을 사칭하고, 212개 악성 도메인들을 생성

> 자신들이 사칭하는 회사가, 공격 표적이 된 회사와 서로 사업적 관계를 맺고 있다는 것만 알면 공격을 시작

> 조사 후 사칭할 회사와 유사한 웹 도메인 생성하고, 가상의 회사를 생성해 메일을 전송

> 공격 표적에 계좌번호를 전송해 입금을 유도하는 메일 사용

 

2.2 대응

- 정당한 송신자로 위장해 수신자를 속이는 수법이므로 임직원의 보안인식 제고가 필요

> ‘늘 합리적으로 의심하라’는 교육부터 시작

> 사내 공식 프로세스를 좀 더 탄탄하게 형성 > 한두 사람의 담당자가 임의로 업무를 완료할 수 없도록

> 악성 메일 모의훈련 진행

 

- 행동 패턴을 기반으로 한 머신러닝 및 인공지능 도구를 투입

> 메일, 메일과 관련된 트래픽, 그 메일로부터 나온 첨부파일이나 링크가 비정상적인 행동 패턴을 나타내는지 확인

 

3. EAC 공격

- 이메일 계정 침해 공격 (Email Account Compromise, EAC)

- 다양한 방법을 동원해 실제 메일 계정을 침해(탈취)한 후 공격에 악용

 

3.1 피해

- 실제 이메일 계정을 탈취하므로 추가적인 공격을 수행할 수 있음

> 계정 침해가 이뤄진 다음에는 DMARC 등 이메일 보안 매커니즘이 작동하지 않음

> 메일함에 저장된 민감한 정보를 찾아 빼돌리기

> 공격자가 제어하는 또 다른 계정으로 중요한 메일을 송수신할 수 있도록 설정 변경

> 연락처에 저장된 곳으로 스팸 메일 전송

 

- 공격자가 실제로 기업의 인프라 내에 들어와 있음

> BEC 공격보다 더욱 치명적인 결과를 초래할 위험이 있음

 

3.2 대응

- 실제 공격을 통해 이메일 계정을 탈취하므로 계정에대한 보호가 필요

> 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련

> 100% 방어률을 기록하지 못한다는 것을 인지

> 외부 메일 모니터링과 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검도 실시

 

4. 참고

- https://www.boannews.com/media/view.asp?idx=93197

- https://www.boannews.com/media/view.asp?idx=113972

- http://www.boannews.com/media/view.asp?idx=69256&page=2&mkind=1&kind=1

- https://www.itbiznews.com/news/articleView.html?idxno=63857 

- https://www.cloudflare.com/ko-kr/learning/email-security/what-is-email/

- https://www.dailysecu.com/news/articleView.html?idxno=142574 

- https://www.acronis.com/en-us/lp/cyberthreats-report-2022-end-year/#registration

- https://mantos.kr/8