​
　

​



어느 누구도 스캠으로부터 안전할 수 없다. 특히 기업이나 조직을 대상으로 하는 타깃형 스캠은 사회공학 기법을 이용해 치밀하게 설계된 공격 시나리오를 기반으로 진행된다. 이러한 공격은 개인 대상 스미싱, 투자 사기 또는 쇼핑몰 사기 등과 달리, 사전에 수집한 공격 대상 정보를 바탕으로 맞춤형 피싱 시나리오를 구성한다. 그래서, 피해 조직이 이를 스캠으로 인지하기 쉽지 않다.

이번 글에서는 기업과 조직을 대상으로 하는 대표적인 타깃형 스캠인 비즈니스 이메일 사기(Business Email Compromise, BEC)와 스피어 피싱 이메일을 사례를 통해 살펴보려 한다.


비즈니스 이메일 사기 (BEC)

공격 방식

BEC(Business Email Compromise, 비즈니스 이메일 사기)는 이메일을 활용한 대표적인 스캠이다. 공격자는 주로 기업이나 정부 기관 등의 조직 구성원을 표적으로 삼는데, 특히 고위 임원진이나 재무, 인사 담당자를 노린다. 이들은 피해 조직과 업무상 연관이 있는 인물로 위장하여 송금이나 기밀 정보 전송을 유도한다.


BEC 공격은 대개 치밀한 계획 하에 진행된다. 공격자는 먼저 링크드인(LinkedIn)이나 공개된 웹사이트를 통해 타깃에 대한 사전 정보를 수집한다. 이메일 발송 시에는 발신 주소 도메인 스푸핑(Spoofing) 혹은 신뢰할 만한 기관 사칭 등의 기법을 사용한다. 이후 피해자와 신뢰 관계를 쌓은 뒤, 심리적 압박을 가하는 사회공학 기법을 활용해 송금이나 정보 전송을 요구한다. 다음과 같은 몇 가지 BEC 공격 사례를 보면, 공통적으로 은행 고위 관리자를 사칭하고 시급성을 강조하며 돈을 받기 위해 민감 정보를 요구한다.

　

[표] BEC에 포함된 문구 예시



[그림 1] BEC 공격 사례

　

​AI 기술의 영향

AI 기술 발전은 BEC 공격의 진화를 가속화하고 있다. 최근 홍콩의 한 다국적 기업에서 발생한 침해 사례가 이를 잘 보여준다. 공격자들은 AI 딥페이크 기술을 활용해 회사 CFO를 사칭하는 이메일을 보냈고, 재무 담당 직원이 이를 믿고 2,500만 달러(한화 약 344억 원)를 송금하며 금전적 피해를 입었다. 당시 직원이 의심을 품고 화상 회의를 추가로 진행했다. 하지만, 회의에 참석한 CFO 포함 여러 임직원들의 모습조차 딥페이크로 조작되어 있었고, 결국 직원은 조작된 화면에 속아 공격자에게 송금했다.

AI 기술의 발전은 앞으로 BEC 공격을 더욱 정교하고 교묘하게 만들 것이다. 딥페이크와 같은 기술로 인해 사칭이 더욱 쉬워지고, BEC 공격 성공률 또한 높아질 것으로 예상된다. BEC 공격에 효과적으로 대응하기 위해 기업들은 각별한 주의와 대비가 필요한 상황이다.


스피어 피싱: 맞춤형 공격

공격자는 스피어 피싱 이메일을 통해 타겟이 악성 파일을 실행하거나, 민감한 데이터를 입력하도록 유도하는 교묘한 시나리오를 구성한다.

다음 네 가지 실제 스피어 피싱 이메일 사례를 통해 공격이 어떻게 이뤄지는지 살펴보자.


사례 1: 내부 직원 사칭

첫 번째 사례에서 공격자는 내부 직원을 사칭했다. [그림 2] 이메일은 안랩 직원을 대상으로 발송되었는데, 발신자 이메일 주소 도메인도 안랩으로 되어 있었다. 실제로는 발신자 이메일 주소가 조작된 것이었지만, 겉보기에는 동일 조직 구성원이 보낸 것처럼 보였다. 이메일에는 음성 메시지 수신을 알리는 내용과 함께 첨부 파일이 포함되어 있는데, 해당 파일은 안랩 서비스로 위장한 피싱 페이지로 연결되었다. 피싱 페이지에는 이메일 수신인 이름과 이메일 주소가 미리 입력되어 있어 가짜임을 알아보기 쉽지 않다. 수신인이 이 페이지에서 로그인을 시도할 경우, 입력한 계정 정보는 고스란히 공격자에게 전달된다.
　

[그림 2] 스피어 피싱 사례 1: 내부 직원 사칭
　

​

해당 이메일은 안랩 이메일 보안 필터링 시스템에서 차단되었다.


사례 2: 이메일 스레드로 신뢰감 형성

두 번째 사례에서 공격자는 이메일 스레드를 연결하여, 과거 여러 차례 소통이 있었던 것처럼 신뢰감을 형성했다. 이메일 제목도 ‘RE:’로 시작해 이전 대화의 연장선상에 있는 것처럼 위장했다. 또한, 기업 이메일 작성 관행을 모방하여 발신자 서명을 포함하고, 다수의 수신인과 참조인을 명시했다.


　

[그림 3] 스피어 피싱 사례 2: 이메일 스레드 연결로 신뢰감 형성

　

​나아가 ‘Caution: This email has been scanned by AVIRA ANTIVIRUS and no virus found’라는 문구를 삽입해 이메일이 안전한 것처럼 위장하고, 수신인의 의심을 피하고자 했다. 본문에서는 다음 업무를 진행하기 위해 첨부 파일을 신속히 확인해야 한다고 요구했다. 공격자는 며칠 간격으로 ‘Reminder’와 ‘Third Reminder’라는 제목의 후속 이메일을 보내 수신인을 재촉하기도 했다.


사례 3: 링크 클릭 유도로 정보 탈취 시도

세 번째 사례는 외부와 빈번히 이메일을 주고 받는 직원을 겨냥한 공격이다. 공격자는 기업의 비즈니스에 관심이 있는 척하며, 수신인이 특정 링크를 클릭하도록 유도한다. 이 링크는 악성 피싱 페이지로 연결되는데, 사례 1과 마찬가지로 이 페이지에서 로그인 정보를 입력하면 내부 계정 정보가 공격자에게 유출된다.


　

[그림 4] 스피어 피싱 사례 3: 링크 클릭 유도로 정보 탈취 시도
　

사례 4: 타깃의 사회적 관계 악용

네 번째 사례에서 공격자는 타깃의 사회적 관계를 사전에 파악하고, 실제 친분이 있는 사람을 사칭하였다. 공격자는 이메일 발신자 주소의 스펠링을 약간 변경하여 실제 주소와 유사하게 위장했다. 공격자가 사회공학적 기법을 교묘히 활용했기에, 수신인은 의심 없이 첨부된 악성 파일을 무심코 실행할 가능성이 높다.


　

[그림 5] 스피어 피싱 사례 4: 타깃의 사회적 관계 악용

​
　

보안 전문가에게도 향하는 스피어 피싱 공격 시도

공격자들은 놀랍게도 보안 전문가들을 대상으로도 맞춤형 스피어 피싱 공격을 시도한다. 구글 Threat Analysis Group (TAG)에서 발표한 New campaign targeting security researchers와 Active North Korean campaign targeting security researchers 보고서에 따르면, 북한 배후로 추정되는 공격자들이 교묘한 사회공학 기법을 이용해 보안 연구원들을 대상으로 스피어 피싱 공격을 수행한다고 밝혔다.

공격자들은 보안 연구원들의 관심사와 연구 분야를 파악하고, 이를 바탕으로 맞춤형 피싱 이메일을 보내 공격을 시도한다. 먼저, 연구원들이 관심을 가질 만한 주제로 블로그를 운영하거나, 소셜 미디어를 통해 친밀한 관계를 만든다. 이후, 최신 보안 이슈에 대한 분석 자료를 위장해 악성코드가 포함된 문서를 보내거나, 흥미로운 취약점을 발견했다며 악성 링크가 포함된 이메일을 보내는 등의 방식으로 공격을 수행한다.

2023년에는 링크드인(LinkedIn)을 통해 가짜 채용 제안을 보내 보안 연구원들을 공격하는 사례도 확인되었다. 공격자들은 채용 담당자로 위장해 접근한 뒤, 왓츠앱(WhatsApp)으로 대화를 이어가며 악성코드가 포함된 문서를 전송하는 수법을 사용했다.



고도화되는 온라인 스캠, 대응 방안은?

지금까지 온라인 스캠 시리즈를 통해 다양한 온라인 스캠 시나리오와 실제 사례들을 알아봤다. 방대한 정보들을 살펴보고 분석한 결과, 온라인 스캠은 교묘한 시나리오 및 AI와 같은 최신 기술을 바탕으로 빠르게 고도화되고 있다는 결론에 이르게 된다. 그렇다면, 우리의 자산, 또 우리가 속한 조직의 자산을 안전하게 보호하려면 어떻게 해야 할까? 이번 시리즈를 맺으며, 몇 가지 가이드를 제시한다.


#1. 최신 온라인 스캠 동향 파악하기

먼저, 최신 온라인 스캠 동향을 파악하여 스스로 판단할 수 있는 역량을 기르는 것이 효과적이다. 특히, 최근에는 스캠 공격이 AI를 활용하여 가족의 목소리를 모방한 보이스 피싱을 시도할 정도로 진화하고 있어, 본인 뿐만 아니라 조직 구성원, 주변 지인 및 가족들에게도 공격 수법과 대처 방안을 알려야 한다.

기업이나 조직이 타깃형 스피어 피싱 공격을 예방하기 위해서는 정기적인 보안 인식 교육과 훈련을 실시해야 한다. 아래는 최신 스캠 사례를 확인할 수 있는 웹사이트다. 스캠의 목적과 유형이 다양하고 국가별로 스캠 유형에 차이가 있으므로 다양한 사례를 확인하는 것이 좋다.



- 금융감독원 | 소비자경보

- Global Anti Scam Alliance (GASA) | Research

- Federal Trade Commission | Consumer Advice

- FBI | Scams and Safety

- ScamAlert | Bringing you the latest scam info

- Scamwatch | National Anti-Scam Centre

- Australian Signals Directorate | Scams

- National Cyber Security Centre | Phishing


안랩에서도 ASEC 블로그와 AhnLab TIP를 통해 온라인 스캠에 관한 최신 정보를 제공하고 있다. ASEC 블로그는 국내외에서 발생하는 개인 대상 스캠 위협 정보와 기업 및 조직을 노린 스피어 피싱 공격을 끊임 없이 파악하고 관련된 분석 정보를 제공한다.


#2. 행동에 신중을 기할 것

누군가 송금이나 결제 정보 입력, 파일 실행, 정보 회신 등의 행위를 요구한다면, 실행에 옮기기 전 상대방의 신원을 정확히 확인해야 한다. 상대방이 갑작스러운 요청을 하거나 제한된 시간 안에 특별한 기회를 잡을 수 있다는 등의 심리적 압박을 가하더라도, 객관적으로 상황을 판단하고 신중히 행동해야 한다.

특히, 과도한 금전적 요행 혹은 특별한 기회를 강조하는 경우 온라인 스캠일 가능성이 높다. 초반 몇 차례 실제 수익이 나는 경우도, 더 많은 투자금을 노리기 위한 미끼일 수 있다.

상대방에 대한 신뢰는 상대방이 제시한 정보로만 판단해서는 안 된다. 스스로 인터넷 검색이나 리뷰 확인 등 다른 채널을 통해 정보를 종합적으로 검증해야 한다. 특히 로그인 화면이나 온라인 쇼핑몰은 화면만으로는 스캠 여부를 판단하기 어려우므로, 웹사이트 주소를 검색하여 정상 사이트인지 확인하는 것이 좋다. 만약 객관적 판단이 어렵다면 주변이나 전문가에게 도움을 청하는 것을 권장한다.

최근 공격자들은 AI 기술과 치밀한 시나리오를 활용해 교묘하고 정교한 공격을 시도하고 있다. 시급해 보이는 요청이나 신뢰할만한 사람으로부터의 연락이라 할지라도, 반드시 발신인의 신원을 확인하고 요청 내용의 타당성을 꼼꼼히 따져봐야 한다.


#3. 보안 및 프라이버시 설정 올바르게 하기

강력한 검증을 위해 주로 사용하는 웹사이트 계정이나 회사 비즈니스 계정에는 2FA(Two-Factor Authentication) 설정을 해두는 것이 좋다. 2FA는 로그인 시 비밀번호 외에 추가 인증 수단을 요구하므로, 계정 정보가 유출되더라도 사고를 막을 수 있다. 또한 소셜 미디어 계정의 프라이버시 설정을 확인하여 개인 정보나 지인 목록 등을 제한된 사람들에게만 공개함으로써 스캠에 악용될 수 있는 정보 노출을 최소화할 수 있다.


#4. 보안 제품 기능 활용하기

보안 솔루션을 도입해 온라인 스캠에 대응할 수 있는 기능들을 올바르게 사용하면, 위협을 차단하고 예방하는데 큰 도움이 된다. 안랩의 솔루션 중 온라인 스캠 대응에 효과적인 솔루션과 기능들을 다음과 같이 간략하게 소개한다.


(A) AhnLab TIP

AhnLab TIP는 방대한 침해지표(IoC)와 위협 분석 보고서를 실시간으로 제공한다. 특히, 주 단위 피싱 이메일 위협 리포트, 실시간 모바일 스미싱 위협 현황 등 다양한 정보를 총망라해 종합적인 위협 인텔리전스를 제공한다. 또한, AhnLab TIP의 클라우드 샌드박스 기능은 사용자가 분석을 의뢰한 파일, URL, APK 등을 가상 환경 뿐만 아니라 실제 모바일 디바이스에서도 분석하여, 모바일 악성코드에 대한 보다 강력한 분석 역량을 지원한다.

 
[그림 6] AhnLab TIP 보고서 모음
　

[그림 7] AhnLab TIP 클라우드 샌드박스 기능

​

아울러, AhnLab TIP에서 제공하는 위협 인텔리전스는 당사에서 운영 중인 다른 보안 솔루션과도 연동 가능해 전사적인 보안 수준을 끌어올릴 수 있다.

►AhnLab TIP 포털 바로가기



(B) AhnLab V3 Mobile Plus

AhnLab V3 Mobile Plus는 정보 유출, 기기 파괴, 불법 과금 등을 유발하는 스마트폰 악성코드의 실시간 탐지와 금융 및 공공기관 애플리케이션, 스마트폰 기반 모바일 오피스 프로그램과의 간편한 연동으로 안전한 스마트폰 사용 환경을 제공한다.
　

[그림 8] AhnLab V3 Mobile Plus 악성코드 탐지 알림

　

​
온라인 금융 거래•온라인 쇼핑 등 다양한 서비스에 접속하는 기기의 악성코드 감염 여부를 검사(scan) 및 탐지하며, 악성 앱 발견 시 실시간 알림 및 악성코드 삭제 기능을 제공한다. AhnLab V3 Mobile Plus는 앱 실행 시점부터 종료 시점 동안 연동되어 실행되기 때문에 이용이 편리하며 사용자의 기기를 실시간으로 안전하게 보호한다.


(C) AhnLab MDS

안랩의 샌드박스 솔루션 AhnLab MDS는 이메일 발신자의 신원을 확인하고 스푸핑을 방지하는 ‘Scam Protection Settings’ 기능을 통해 스캠 이메일을 차단한다.
　

[그림 9] AhnLab MDS ‘Scam Protection Settings’



　

기술적 관점에서 보면 AhnLab MDS는 이메일에 첨부된 파일과 본문 내 URL을 실시간으로 동적 분석하여 악성 여부를 판단하고, 악성코드의 내부 유입을 사전에 방지한다. AI 기술을 활용해 이메일의 내용(Context) 및 주요 키워드도 분석한다. 또한, 피싱 이메일 데이터베이스를 기반으로 해당 메일과 피싱 이메일 간 유사도를 확인하여, 피싱 이메일을 탐지한다.


(D) AhnLab XDR

자사 확장형 위협 탐지 & 대응 (eXtended Detection & Response) 솔루션 AhnLab XDR은 피싱 스캠 메일로 인한 계정 탈취나 내부 자산 침해 등의 위험을 실시간으로 탐지하고 대응할 수 있다. 사용자와 자산을 리스크 별로 분류하고 영향도를 파악하며, 이벤트 로그 분석으로 스캠 위협의 심각도를 평가한다.
　

[그림 10] AhnLab XDR 행위 다이어그램


　

​
아울러, AhnLab XDR은 AhnLab TIP와 연동해 최신 보안 이슈와 조직과 연관된 침해지표들을 제공한다. 이를 통해, 최신 피싱 위협 정보를 신속히 반영해 탐지 및 대응 체계를 강화할 수 있다.


#5. 피해 발생 시 적극적으로 신고하기

만약 온라인 스캠이나 금융 사기 피해를 입었다면, 최대한 빠르게 신고하는 것이 중요하다. 개별적으로 피해 복구 업체나 법률가의 도움을 먼저 요청하는 것보다, 경찰청 혹은 국가 사이버 범죄 신고센터와 같이 공신력 있는 기관에 먼저 신고하는 것이 좋다. 스캠 피해 신고는 개인의 피해 복구 뿐만 아니라, 유사한 사례로 인한 추가 피해자 발생을 줄이는 데에도 도움이 될 수 있다.

[출처 : 안랩(((www.ahnlab.com)]