프루프포인트 “기업 겨냥한 이메일 사기 극성··· 누구나 당할 수 있다”

[디지털데일리 이종현기자] 미국 연방수사국(FBI)이 지난 3월 발표한 인터넷 범죄 보고서(Internet Crime Report)에 따르면 2021년 전 세계 사이버범죄와 관련된 재정 손실 금액은 69억달러 가량이다. 이는 전년대비 64% 증가한 수치다.

이중 가장 많이 보고된 사건은 기업 이메일 침해(BEC, Business Email Compromise) 및 이메일 계정 침해(EAC)다. 전체 피해액의 35%가량을 차지하는 24억달러의 손실이 이메일 침해로 인해 발생했다. 기업들이 이메일 보안에 많은 공을 들일 수밖에 없는 이유다.

지난 28일 프루프포인트(Proofpoint)는 엔큐리티와 <디지털데일리>의 온라인 세미나(웨비나) 플랫폼 DD튜브를 통해 BEC 공격에 대한 트렌드와 대응방법 등을 공유했다.

최근 국내 시장에 진출한 미국 보안기업 프루프포인트(Proofpoint)는 '사람 중심(People Centric)의 보안'을 내세우는 기업으로, 이메일 사기 방지 시장 강자다. 국내 총판인 엔큐리티와 손잡고 시장을 공략 중이다.

BEC 공격에 대해 곽종범 프루프포인트 코리아 부장은 'BEC는 고도의 기술을 이용한다기 보다는 사람을 겨냥해서 공격하는 것이 대부분이다. 보이스피싱 같은 사기 범죄처럼 특정인이나 조직을 사칭하고, 사회공학적 기법을 이용해 방심을 유도하는 것이 특징'이라고 말했다.

그는 BEC 공격에 자주 활용되는 기법으로 ▲공격자가 조직 도메인을 사칭하는 '도메인 스푸핑' ▲조직이 사용하는 도메인과 유사한 도메인을 사용하는 '유사 도메인 공격' ▲이메일 주소의 표시 이름(Display Name)을 조작한 '표시 이름 스푸핑' ▲불법 취득한 계정을 이용한 '계정 탈취 공격' 등의 예시를 들었다. 한 번의 공격에 복수 기법이 병행돼 사용되는 것이 보편적이다.

단순히 사칭 사기 범죄라면 이처럼 피해가 크기 어렵다. 피해자를 속이기 위한 여러 수법이 병행된다. 가장 피해가 많은 유형은 공급망 계정 탈취를 시작으로, 장기간 거래 관련 이메일을 모니터링한 뒤 금전적인 거래가 포착될 때 송장을 조작해 돈을 가로채는 방식이다. 금액을 지불받는 측의 계정이 탈취된 상태에서 평소 업무차 연락을 주고받던 대상에게, 또 적절한 시기에 송장이 발송되는 만큼 의심하기가 어렵다는 것이 곽 부장의 설명이다.

프루프포인트는 이메일 인텔리전스를 바탕으로 BEC를 막는 기술을 대안으로 제시했다. ▲송신자 분석 ▲송신자/수신자 관계 분석 ▲심층 헤더 분석 ▲BEC 라벨링 ▲메시지 구문 분석 등을 통해 피해를 차단한다는 것이 서비스의 골자다.

사기 메일을 받을 경우 정상적인 발송자가 맞는지, 발송자나 파일에 조작은 없는지 등 탐지 후 차단한다. 인터넷주소(URL)을 이용한 피싱에도 대응하기 위해 'URL 디펜스'라는 서비스도 제공 중이다. 평판체크 및 샌드박싱을 통해 피싱 사이트라면 자동 차단된다. 만약에라도 피해를 막기 위해 웹 격리(Isolation) 기술도 제공하고 있다.

BEC 공격은 결국 사회공학적 기법을 이용하는 만큼 시스템에 대한 보안 체계 강화와 함께 메일을 주고받는 사람이 주의를 기울여야 한다. 프루프포인트는 BEC 및 피싱 등 위협에 대한 보안 인식 교육 프로그램도 운영 중이다.

곽 부장은 '교육을 하다 보면 다들 이해는 하면서도 '이런 걸 우리가 다 해야 해?'라는 질문을 던진다. 그래서 프루프포인트는 상당수를 자동화한 사람 중심의 위협평가를 제공한다'고 전했다. 인텔리전스를 기반으로 메일 발송자에 대한 정보와 평가점수를 부여하는 방식이다.

또 그는 'BEC는 조직 내 임직원을 대상으로만 이뤄지진 않는다. 고객이나 파트너사를 대상으로도 이뤄질 수 있다. 이 경우 피해는 해당 기업이 아닌 고객이나 파트너사가 지게 되는데, 이는 브랜드 이미지에 심각한 타격을 줄 수 있다'며 '인바운드와 아웃바운드, 양쪽 모두 대비해야 하고, 프루프포인트는 이와 관련된 일체의 서비스를 갖췄다'고 부연했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -