비즈니스 이메일 손상(BEC)이란?

비즈니스 이메일 손상(BEC)은 피해자를 속이는 것을 목표로 하는 이메일 기반 소셜 엔지니어링 공격입니다. BEC 공격 캠페인은 종종 기존 이메일 필터를 우회합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 비즈니스 이메일 손상(BEC)의 정의
  • BEC 이메일의 일반적인 기능 중 일부 나열
  • BEC 캠페인을 중지하는 방법 설명

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

비즈니스 이메일 손상(BEC)이란?

비즈니스 이메일 손상(BEC)은 이메일을 통해 발생하는 일종의 소셜 엔지니어링 공격입니다.BEC 공격에서 공격자는 이메일 메시지를 위조하여 피해자가 일부 작업을 수행하도록 속이며, 대부분 공격자가 제어하는 계정이나 위치로 돈을 이체합니다.BEC 공격은 다음과 같은 몇 가지 주요 영역에서 다른 유형의 이메일 기반 공격과 다릅니다.

  1. 맬웨어, 악성 링크, 이메일 첨부 파일이 포함되지 않습니다
  2. BEC 공격은 조직 내의 특정 개인을 대상으로 합니다
  3. BEC 공격은 대상 피해자에게 맞춤화되며 해당 조직에 대한 사전 조사가 이루어지는 경우가 많습니다

BEC 공격에는 맬웨어, 악의적 링크, 위험한 이메일 첨부 파일, 이메일 보안 필터가 식별할 수 있는 기타 요소 등이 포함되지 않으므로 특히 위험합니다. BEC 공격에 사용되는 이메일에는 일반적으로 텍스트만 포함되어 있어 공격자가 일반 이메일 트래픽 내에서 이메일을 위장하는 데 도움이 됩니다.

이메일 보안 필터를 우회하는 것 외에도 BEC 이메일은 수신자를 속여 이메일을 열고 포함된 메시지에 따라 조치를 취하게 만들도록 특별히 설계되었습니다. 공격자는 맞춤화를 이용하여 대상 조직에 맞게 이메일을 조정합니다. 공격자는 의도한 피해자가 이메일을 통해 정기적으로 연락하는 사람을 가장할 수도 있습니다. 일부 BEC 공격은 이미 존재하는 이메일 스레드의 중간에서도 발생합니다.

일반적으로, 공격자는 조직의 상위 사용자를 가장하여 피해자가 악의적인 요청을 수행하도록 동기를 부여합니다.

BEC 공격을 감지하기 어려운 이유는?

BEC 공격을 정확히 찾아내기 어려운 기타 이유는 다음과 같습니다.

  • 작은 볼륨임: 이메일 트래픽이 비정상적으로 급증하면 이메일 보안 필터에 공격이 진행 중이라고 나타날 수 있습니다.그러나 BEC 공격은 매우 작은 양이며 하나 또는 두 개의 이메일로만 구성되는 경우가 많습니다.따라서 이메일 트래픽의 급증 없이 이루어질 수 있습니다.이러한 작은 볼륨으로 인해 BEC 캠페인은 소스 IP 주소도 정기적으로 변경할 수 있으므로 캠페인을 차단하기가 더 어려워집니다.
  • 합법적인 소스 또는 도메인을 사용함: 대규모 피싱 공격은 빠르게 차단 목록에 추가된 IP 주소에서 발생하는 경우가 많습니다.BEC 공격은 볼륨이 적기 때문에 중립적이거나 평판이 좋은 IP 주소를 소스로 사용할 수 있습니다.또한 이메일 도메인 스푸핑을 사용하여 이메일이 실제 사람이 보낸 것처럼 보이게 합니다.
  • 실제로 합법적인 이메일 계정에서 온 것일 수도 있습니다. BEC 공격은 이전에 손상된 이메일 받은 편지함을 이용하여 자신도 모르는 사이에 개인을 대신하여 악의적 메시지를 보낼 수 있으므로 이메일이 실제로 합법적인 이메일 주소에서 올 수도 있습니다.(이를 위해서는 공격자 측에서 훨씬 더 많은 노력이 필요하지만, 이러한 집중적인 노력을 하는 것이 BEC 캠페인의 특징입니다.)
  • DMARC 검사를 통과합니다. 도메인 기반 메시지 인증, 보고 및 적합성(DMARC)은 권한 없이 도메인에서 전송된 이메일을 식별하기 위한 프로토콜입니다.DMARC 검사는 도메인 가장을 방지하는 데 도움이 됩니다.BEC 캠페인은 다음과 같은 몇 가지 이유로 DMARC를 통과할 수 있습니다. 1) 조직에서 이메일을 엄격하게 차단하도록 DMARC를 구성하지 않았을 수 있습니다. 2) 공격자는 합법적인 출처에서 이메일을 보낼 수 있습니다.

BEC 이메일에는 일반적으로 무엇이 포함될까요?

일반적으로 BEC 이메일에는 몇 줄의 텍스트가 포함되어 있으며 링크, 첨부 파일, 이미지는 포함되지 않습니다. 이 몇 줄에서 공격자는 대상자가 특정 계정으로 자금을 이체하거나 보호된 데이터 또는 시스템에 대한 무단 액세스 권한을 부여하는 등 공격자가 원하는 조치를 취하도록 하는 것을 목표로 합니다.

BEC 이메일의 다른 공통 요소는 다음과 같습니다.

  • 시간 민감도: "긴급", "빠른", "알림", "중요", "곧"과 같은 단어가 BEC 이메일, 특히 제목 줄에 표시되는 경우가 많습니다. 수신자가 사기의 대상이 될 수 있음을 깨닫기 전에 가능한 한 빨리 행동하도록 만들려는 의도입니다.
  • 신뢰할 수 있는 발신자: BEC 공격자는 조직에서 중요한 사람(예: CFO 또는 CEO)인 것으로 가장합니다.
  • 철저한 발신자 사칭: BEC 이메일은 이메일 주소를 스푸핑하거나, 개인의 글쓰기 스타일을 모방하는 등의 전술을 사용하여 합법적인 발신자(예: 조직의 CFO)를 가장해서 피해자를 속일 수 있습니다.
  • 요청 이유 제공: 때로는 비정상적인 요청을 합법적인 것처럼 보이게 하려고 BEC 이메일은 조치가 왜 필요한지에 관해 몇 가지 이유를 제공합니다.이에 따라 요청에 긴급하다는 느낌이 추가됩니다.
  • 구체적인 지침: 공격자는 돈을 어디로 얼마를 보내야 하는지와 같은 명확한 지침을 제공합니다. 금액을 특정하므로 합법적이라고 느껴질 가능성이 더 커집니다.공격자는 이 정보를 초기 이메일에 포함할 수도 있고 피해자가 회신하는 경우 후속 이메일에 포함할 수도 있습니다.
  • 발신자에게 연락하지 않도록 지시: 의도된 피해 대상자가 다른 통신 채널을 통해 BEC 이메일의 출처로 추정되는 위치에 도달할 수 있는 경우 해당 이메일이 가짜임을 식별할 수 있습니다.이를 방지하려고 공격자는 신속하게 행동한다는 명목으로 발신자에게 연락하거나 다른 사람에게 해당 요청을 확인하지 말라고 피해자에게 지시하는 경우가 많습니다.

보안 이메일 게이트웨이(SEC)로 BEC 캠페인을 차단할 수 있을까요?

보안 이메일 게이트웨이(SEG)는 이메일 공급자와 이메일 사용자 사이에 위치하는 이메일 보안 서비스입니다. 보안 이메일 게이트웨이는 방화벽에서 악의적 네트워크 트래픽을 제거하는 것처럼 악의적일 가능성이 있는 이메일을 식별하고 필터링합니다. SEG는 대부분의 이메일 공급자가 이미 제공하는 내장 보안 조치 외에도 추가 보호 기능을 제공합니다(예: Gmail 및 Microsoft Outlook에는 이미 몇 가지 기본 보호 기능이 있습니다).

그러나 기존 SEG는 위에서 설명한 이유(작은 볼륨, 명백한 악의적 콘텐츠 부족, 겉보기에 합법적인 이메일 소스 등)로 인해 잘 구성된 BEC 캠페인을 감지하는 데 어려움을 겪습니다.

이러한 이유로 사용자 교육 및 추가 이메일 보안 조치가 비즈니스 이메일 손상을 방지하는 데 매우 중요합니다.

BEC 캠페인이라고 의심될 경우 어떻게 해야 할까요?

비정상적이거나 예기치 않거나 갑작스러운 요청은 BEC 공격일 가능성을 나타내는 징후입니다. 사용자는 BEC일 가능성이 있는 메시지를 보안 운영 팀에 보고해야 합니다. 또한 이메일의 출처를 다시 확인할 수도 있습니다.

회계사 Bob이 CFO인 Alice로부터 이메일을 받았다고 상상해 보세요.

Bob,

난 고객이 좋아하는 피자 레스토랑의 상품권 카드를 고객에게 보내야 해요. $10,000짜리 피자 상품권 카드를 구매해서 이 고객의 이메일 주소로 전송해주세요. customer@example.com

빨리 해주시기 바랍니다. 시간이 아주 중요하거든요. 이 고객을 놓치고 싶지 않으니까요.

비행기를 탈 거니까 앞으로 몇 시간 동안 연락이 되지 않을 거예요.

-Alice

이 요청은 Bob에게 비정상적인 것으로 보입니다. 고객에게 피자 상품권 카드를 배달하는 것은 보통 회계 부서의 업무가 아닙니다. Bob은 Alice가 아직 "비행기에 탑승"하지 않았을까 봐 Alice에게 전화합니다. Alice는 전화를 받지만, 방금 Bob에게 보냈다고 하는 요청을 알지 못합니다. Alice는 비행기에 탑승하지도 않았습니다. Bob은 방금 BEC 공격임을 감지했습니다.

BEC 공격을 감지하고 차단할 수 있는 다른 기술적 조치는 무엇일까요?

고급 피싱 인프라 감지

일부 이메일 보안 공급자는 명령 및 제어(C&C) 서버, 가짜 웹 사이트, 공격자가 BEC 캠페인 또는 피싱 공격에 사용할 기타 요소를 감지하기 위해 웹을 미리 크롤링합니다. 이를 위해서는 웹 크롤러 봇을 사용하여 인터넷의 많은 부분을 스캔해야 합니다(검색 엔진도 웹 크롤러 봇을 사용하지만, 용도가 다릅니다). 공격 인프라를 미리 식별하면 불법 이메일이 전송되는 경우 보안 필터를 통과할 수 있더라도 공급자가 즉시 차단할 수 있습니다.

머신 러닝 분석

머신 러닝은 결과를 예측하는 프로세스를 대규모 데이터 세트를 기반으로 자동화하는 방법입니다. 머신 러닝은 비정상적인 활동을 감지하는 데 사용할 수 있습니다. 예를 들어 Cloudflare 봇 관리 활동을 식별하는 한 가지 방법으로 머신 러닝을 사용합니다. BEC 공격을 차단하기 위해 머신 러닝은 비정상적인 요청, 비정상적인 이메일 트래픽 패턴 등의 이상을 식별하는 데 도움이 될 수 있습니다.

이메일 스레드 분석

BEC 공격자는 이메일에 합법성을 추가하기 위해 기존 스레드에 회신을 시도하는 경우가 많습니다. 따라서 일부 이메일 보안 공급자는 스레드를 모니터링하여 스레드 내의 "발신자" 또는 "수신자" 이메일이 갑자기 변경되었는지 확인합니다.

자연어 처리

이는 이메일에서 핵심 문구를 찾아보면 주어진 이메일 연락처 집합이 일반적으로 어떤 주제에 해당하는지 알 수 있음을 의미합니다. 예를 들어, 조직 내의 특정인이 송금, 고객 관계, 기타 주제에 대해 누구와 이메일을 주고받는지 추적할 수 있습니다. Bob이 고객 관계를 다루는 이메일을 거의 받지 않는 경우(앞서의 예에서), "Alice"가 보낸 이메일에 "고객" 및 "이 고객을 놓치다"와 같은 문구가 포함되는 것은 해당 이메일이 BEC 공격의 일환이라는 신호일 수 있습니다.

Cloudflare Area 1 Email Security는 BEC를 어떻게 감지할까요?

Cloudflare Area 1 Email Security는 대부분의 SEG가 감지할 수 없는 BEC 공격을 포착하도록 설계되었습니다. 이렇게 하기 위해 앞서 설명한 많은 방법(공격 인프라를 위한 인터넷 크롤링, 머신러닝 분석 사용, 이메일 스레드 분석, 이메일 콘텐츠 분석 등)을 사용합니다.

이메일은 여전히 가장 큰 공격 벡터 중 하나이므로 오늘날 조직에서는 이메일 보안이 그 어느 때보다 중요해지고 있습니다.Cloudflare Area 1 Email Security의 작동 방식을 자세히 알아보세요.