비즈니스 이메일 손상(BEC)은 피해자를 속이는 것을 목표로 하는 이메일 기반 소셜 엔지니어링 공격입니다. BEC 공격 캠페인은 종종 기존 이메일 필터를 우회합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
비즈니스 이메일 손상(BEC)은 이메일을 통해 발생하는 일종의 소셜 엔지니어링 공격입니다.BEC 공격에서 공격자는 이메일 메시지를 위조하여 피해자가 일부 작업을 수행하도록 속이며, 대부분 공격자가 제어하는 계정이나 위치로 돈을 이체합니다.BEC 공격은 다음과 같은 몇 가지 주요 영역에서 다른 유형의 이메일 기반 공격과 다릅니다.
BEC 공격에는 맬웨어, 악의적 링크, 위험한 이메일 첨부 파일, 이메일 보안 필터가 식별할 수 있는 기타 요소 등이 포함되지 않으므로 특히 위험합니다. BEC 공격에 사용되는 이메일에는 일반적으로 텍스트만 포함되어 있어 공격자가 일반 이메일 트래픽 내에서 이메일을 위장하는 데 도움이 됩니다.
이메일 보안 필터를 우회하는 것 외에도 BEC 이메일은 수신자를 속여 이메일을 열고 포함된 메시지에 따라 조치를 취하게 만들도록 특별히 설계되었습니다. 공격자는 맞춤화를 이용하여 대상 조직에 맞게 이메일을 조정합니다. 공격자는 의도한 피해자가 이메일을 통해 정기적으로 연락하는 사람을 가장할 수도 있습니다. 일부 BEC 공격은 이미 존재하는 이메일 스레드의 중간에서도 발생합니다.
일반적으로, 공격자는 조직의 상위 사용자를 가장하여 피해자가 악의적인 요청을 수행하도록 동기를 부여합니다.
BEC 공격을 정확히 찾아내기 어려운 기타 이유는 다음과 같습니다.
일반적으로 BEC 이메일에는 몇 줄의 텍스트가 포함되어 있으며 링크, 첨부 파일, 이미지는 포함되지 않습니다. 이 몇 줄에서 공격자는 대상자가 특정 계정으로 자금을 이체하거나 보호된 데이터 또는 시스템에 대한 무단 액세스 권한을 부여하는 등 공격자가 원하는 조치를 취하도록 하는 것을 목표로 합니다.
BEC 이메일의 다른 공통 요소는 다음과 같습니다.
보안 이메일 게이트웨이(SEG)는 이메일 공급자와 이메일 사용자 사이에 위치하는 이메일 보안 서비스입니다. 보안 이메일 게이트웨이는 방화벽에서 악의적 네트워크 트래픽을 제거하는 것처럼 악의적일 가능성이 있는 이메일을 식별하고 필터링합니다. SEG는 대부분의 이메일 공급자가 이미 제공하는 내장 보안 조치 외에도 추가 보호 기능을 제공합니다(예: Gmail 및 Microsoft Outlook에는 이미 몇 가지 기본 보호 기능이 있습니다).
그러나 기존 SEG는 위에서 설명한 이유(작은 볼륨, 명백한 악의적 콘텐츠 부족, 겉보기에 합법적인 이메일 소스 등)로 인해 잘 구성된 BEC 캠페인을 감지하는 데 어려움을 겪습니다.
이러한 이유로 사용자 교육 및 추가 이메일 보안 조치가 비즈니스 이메일 손상을 방지하는 데 매우 중요합니다.
비정상적이거나 예기치 않거나 갑작스러운 요청은 BEC 공격일 가능성을 나타내는 징후입니다. 사용자는 BEC일 가능성이 있는 메시지를 보안 운영 팀에 보고해야 합니다. 또한 이메일의 출처를 다시 확인할 수도 있습니다.
회계사 Bob이 CFO인 Alice로부터 이메일을 받았다고 상상해 보세요.
Bob,
난 고객이 좋아하는 피자 레스토랑의 상품권 카드를 고객에게 보내야 해요. $10,000짜리 피자 상품권 카드를 구매해서 이 고객의 이메일 주소로 전송해주세요. customer@example.com
빨리 해주시기 바랍니다. 시간이 아주 중요하거든요. 이 고객을 놓치고 싶지 않으니까요.
비행기를 탈 거니까 앞으로 몇 시간 동안 연락이 되지 않을 거예요.
-Alice
이 요청은 Bob에게 비정상적인 것으로 보입니다. 고객에게 피자 상품권 카드를 배달하는 것은 보통 회계 부서의 업무가 아닙니다. Bob은 Alice가 아직 "비행기에 탑승"하지 않았을까 봐 Alice에게 전화합니다. Alice는 전화를 받지만, 방금 Bob에게 보냈다고 하는 요청을 알지 못합니다. Alice는 비행기에 탑승하지도 않았습니다. Bob은 방금 BEC 공격임을 감지했습니다.
일부 이메일 보안 공급자는 명령 및 제어(C&C) 서버, 가짜 웹 사이트, 공격자가 BEC 캠페인 또는 피싱 공격에 사용할 기타 요소를 감지하기 위해 웹을 미리 크롤링합니다. 이를 위해서는 웹 크롤러 봇을 사용하여 인터넷의 많은 부분을 스캔해야 합니다(검색 엔진도 웹 크롤러 봇을 사용하지만, 용도가 다릅니다). 공격 인프라를 미리 식별하면 불법 이메일이 전송되는 경우 보안 필터를 통과할 수 있더라도 공급자가 즉시 차단할 수 있습니다.
머신 러닝은 결과를 예측하는 프로세스를 대규모 데이터 세트를 기반으로 자동화하는 방법입니다. 머신 러닝은 비정상적인 활동을 감지하는 데 사용할 수 있습니다. 예를 들어 Cloudflare 봇 관리는 봇 활동을 식별하는 한 가지 방법으로 머신 러닝을 사용합니다. BEC 공격을 차단하기 위해 머신 러닝은 비정상적인 요청, 비정상적인 이메일 트래픽 패턴 등의 이상을 식별하는 데 도움이 될 수 있습니다.
BEC 공격자는 이메일에 합법성을 추가하기 위해 기존 스레드에 회신을 시도하는 경우가 많습니다. 따라서 일부 이메일 보안 공급자는 스레드를 모니터링하여 스레드 내의 "발신자" 또는 "수신자" 이메일이 갑자기 변경되었는지 확인합니다.
이는 이메일에서 핵심 문구를 찾아보면 주어진 이메일 연락처 집합이 일반적으로 어떤 주제에 해당하는지 알 수 있음을 의미합니다. 예를 들어, 조직 내의 특정인이 송금, 고객 관계, 기타 주제에 대해 누구와 이메일을 주고받는지 추적할 수 있습니다. Bob이 고객 관계를 다루는 이메일을 거의 받지 않는 경우(앞서의 예에서), "Alice"가 보낸 이메일에 "고객" 및 "이 고객을 놓치다"와 같은 문구가 포함되는 것은 해당 이메일이 BEC 공격의 일환이라는 신호일 수 있습니다.
Cloudflare Area 1 Email Security는 대부분의 SEG가 감지할 수 없는 BEC 공격을 포착하도록 설계되었습니다. 이렇게 하기 위해 앞서 설명한 많은 방법(공격 인프라를 위한 인터넷 크롤링, 머신러닝 분석 사용, 이메일 스레드 분석, 이메일 콘텐츠 분석 등)을 사용합니다.
이메일은 여전히 가장 큰 공격 벡터 중 하나이므로 오늘날 조직에서는 이메일 보안이 그 어느 때보다 중요해지고 있습니다.Cloudflare Area 1 Email Security의 작동 방식을 자세히 알아보세요.