이메일 위조: 세계적으로 30조원이 넘는 피해를 안긴 해킹 수법

A hacker using a laptop

여느 이메일처럼, 회사의 CEO가 보낸 메일이 재무 담당에게 왔다.

"거래가 성사됐으니 800만 달러를 이 계좌로 최대한 빨리 보내주게. 오늘 중으로 끝내야 해. 고맙네."

직원은 별생각 없이 돈을 계좌로 보냈다. 그날의 할 일 목록에서 이를 지우고 퇴근하려 했다.

그러나 문제가 생겼다. 합병되는 기업에서 왜 아직 돈이 안 들어왔느냐고 전화가 온 것이다.

조사가 시작됐다. 분명 800만 달러가 송금됐는데 대체 어디로 간 것일까?

아마도 영원히 알 수 없을 것이다.

800만 달러 중 일부는 은행에 의해 회수됐지만 대부분은 해커들이 챙겨간 후였다. 이들은 정교한 돈세탁 네트워크를 통해 돈을 빼내고 다음 피해자를 찾아 떠났을 것이다.

재무 담당자는 참담한 기분으로 남겨졌고 회사는 어리둥절한 상태가 됐다.

분명 문제의 이메일은 CEO의 메일 주소로 왔는데 CEO의 메일 계정은 해킹되지 않았다.

사이버보안 전문가들은 회사에 좋지 않은 소식을 가져왔다. 이메일은 신뢰할 수가 없다는 것이다.

Image copyright Getty Images

CEO 사칭

이는 'CEO 사칭' 등으로 일컬어지는 사이버공격 수법의 실제 사례다.

이 수법은 상대적으로 높은 기술력이 필요하지 않다. 전통적인 해킹보다는 속임수에 더 의존하는 편.

사이버범죄자들은 회사 대표의 이메일 주소를 위조해 의심하지 않을 법한 직원에게 그럴싸한 요청을 한다.

마치 대표에게서 온 메일처럼 보이지만 실제로는 위조된 이메일로 말이다.

보통 이런 지시는 급박한 것처럼 들리기 때문에 직원은 지시대로 행동하기 쉽다. 그렇게 실수로 범죄자들에게 막대한 금액을 보내게 되는 것.

이런 사기 사례가 늘어나고 있다. 미국 FBI에 따르면 2016년 이후 이런 류의 사기로 전 세계적으로 260억 달러(약 31조 원)의 피해가 발생했다.

이달 초 이러한 사기법을 기반으로 한 전 세계적인 사이버범죄 네트워크에 속한 10개국 해커 용의자 281명이 대규모 수사 작전의 일환으로 체포됐다.

4개월 넘게 진행된 FBI의 수사 작전으로 나이지리아에서 167명, 터키에서 18명, 가나에서 15명, 그리고 미국, 프랑스, 이탈리아, 일본, 케냐, 말레이시아, 영국 등지에서 총 281명을 체포했다.

과거 연구에 따르면 나이지리아는 가짜 이메일 공격의 최대 근원지이다. 시맨텍의 사이버보안 전문가들은 이 사기 수법이 최초의 이메일 금융 사기로 알려진 '나이지리안 419'에서 진화한 것이라고 추측한다.

가상의 나이지리아 왕자를 돕기 위해 소액을 기부하면 부자로 만들어준다고 약속하는 메일을 여러 명에게 보내는 식이었다. 사기범은 이제 비슷한 수법으로 기업들을 노리고 있다.

프루프포인트 사의 사이버보안 전략 부사장 라이언 칼렘버는 이렇게 말했다. "이메일 사기는 사이버보안 부문 전체를 통틀어 가장 돈이 많이 드는 문제입니다. 피해액으로 봤을 때 사이버범죄 중 이만한 범죄가 없어요."

프루프포인트는 이 기사의 서두에서 언급한 사건을 해결하기 위해 고용됐다.

칼렘버와 그의 팀은 사기 수법이 점점 진화하는 것을 봐왔으며 잠재적 피해자들에게 해줄 수 있는 경고와 흥미로운 사실들을 알려주었다.

Image copyright Getty Images

비임원급 목표물

이메일 사기의 전통적인 목표물은 CEO나 CFO(최고재무책임자) 등, 직책명에 C자가 붙는 최고위급 사람들이었다.

그러나 최근에는 범죄자들이 보다 낮은 가지에 달린 포도를 노리고 있다.

"최근 저희가 보는 피해자들은 회사의 VIP인 경우가 드물어요. 오히려 쉽게 찾을 수 있는 메일 주소를 가진 경우가 많습니다."

"요즘에는 조직들이 VIP의 이메일 주소를 잘 숨기고 있기 때문에 VIP는 조직 내에서 드러나는 일이 적은 편이죠."

사이버보안 전문기업 코펜스도 이러한 추세를 인지하고 있다.

몇몇 사례에서는 직원의 이메일을 위조해 범죄자들이 인사 담당 부서에 급여를 새로운 계좌로 보내달라고 요청하기도 했다.

"규모는 작아도 사기를 칠 수 있는 베이스가 넓으면 감시를 피할 수 있다는 장점이 있고 통제권은 작아도 여전히 괜찮은 수익을 낼 수 있죠." 코펜스의 데이브 마운트는 말했다.

월요일을 조심하라

사기 이메일은 월요일 아침에 오는 경우가 많다.

프루프포인트에 따르면 기업 대상 사기 이메일의 30% 이상이 월요일에 온다고 한다. 직원들이 주말이 지나고 일이 쌓인 상태를 해커들이 노린다는 것이다.

"범죄자들은 사람들 그리고 기업이 어떻게 돌아가는지를 알아요. 실수를 저지르는 사람에게 의존하고 어떤 방법이 통하는지에 대해 많은 경험을 갖고 있죠. 이런 것들은 기술적 취약성의 문제가 아니라 인간이 저지르는 오류에 관한 겁니다." 칼렘버는 말했다.

가짜 회람 기능

최근 진화한 기법 중에는 가짜 이메일 스레드가 있다.

메일 제목 앞에 'Re:' 또는 'Fwd:' 같은 문구를 달아서 이미 회신을 주고받은 이메일인 것처럼 보이게 만드는 것이다.

어떤 경우에는 더 그럴싸하게 보이게 하려고 심지어 메일 본문 밑에 가짜 이메일 답장 메시지들을 늘어놓기도 한다.

연구자들에 따르면 이런 기법을 사용하는 사기 시도가 전년 대비 50% 이상 증가했다 한다.

칼렘버는 이런 추세들이 모두 우리들 자신의 예측 가능한 행동 패턴을 따른다고 말한다.

"이게 특히 해결하기 어려운 문제인 이유 중 하나는 우리가 이메일을 의사소통의 도구로 신뢰하기 때문입니다." 그는 말했다.

기업과 직원들에게는 안타깝지만 이메일 사기는 사라지지 않을 듯하다.

이메일 위조는 기술적으로 매우 단순하며 무료로 제공되는 이메일 온라인 서비스 때문에 진입 장벽도 낮다.

그러나 기업과 직원들에겐 대비책도 많다. 어떤 공격들이 일어나는지를 알고 경계를 늦추지 않는 것도 그중 하나다.

기업이 돈을 보낼 때 2단계 인증을 반드시 요구하는 것도 하나의 방법이다.

물론 이러한 것들은 회사에서 가장 중시하는 속도와 효율성을 저해할 수 있다.

관련 기사 더 보기