[커버스토리]전세계 ‘비즈니스 e메일 공격’ 기승

‘사장입니다. 지금 급한 거래처 대금 결제가 필요합니다. 당장 실행해 주기 바랍니다.’

기업 재무담당자인 당신이 최고경영자(CEO)로부터 이런 e메일을 받는다면 당신은 어떻게 행동할까? CEO의 지시에 따라 서둘러 결제 절차를 마쳤을 것이다. 하지만 발신인이 CEO의 이름과 정확하게 일치하더라도 선뜻 돈을 보내선 안 된다. CEO를 사칭한 e메일을 보내 금전이나 정보를 탈취하는 해킹이 늘어나고 있기 때문이다.
○ ‘CEO 사칭’ e메일로 작년 15조 원 털려

글로벌 보안기업 파이어아이가 8일(현지 시간) 미국 워싱턴에서 개최한 ‘사이버 디펜스 서밋 2019’의 사전 기자간담회에서 이 회사 마이클 헐턴 부사장은 “CEO를 사칭한 e메일 공격이 달마다 10% 이상 빠르게 늘어나고 있다”며 “지난 한 해 전 세계 기업, 기관이 이를 통해 입은 유무형의 손실이 125억 달러(약 14조8750억 원)에 이른다”고 밝혔다.

이 같은 해킹 방식을 ‘비즈니스 e메일 부정조작(Business Email Compromise) 공격’이라고 한다. 2016년 LG화학이 글로벌 기업을 사칭한 e메일로 사기를 당하며 240억 달러를 날린 사례가 이에 해당한다. 불특정 다수를 대상으로 하는 스팸 e메일과 달리, 특정 조직의 특정 업무 담당자를 정확하게 겨냥해 발신자를 사칭하는 게 특징이다.

e메일 사칭 공격은 지난 한 해 동안 133% 증가했다. 그중에서도 CEO를 사칭한 수법이 늘어나는 건 그 효과가 크기 때문이다. ‘긴급한 상황’이란 CEO 이름의 e메일을 받는 직원은 심리적으로 이를 충분히 검증할 시간을 갖기 어렵다. 헐턴 부사장은 “CEO이기 때문에 돈은 물론이고 민감한 내부 정보를 요청하는 게 자연스러워 피해가 크다”며 “CEO를 사칭한 e메일 공격이 늘어나는 건 범죄자들이 이게 장사가 되는 걸 알기 때문”이라고 말했다.

문제는 이런 사기 사건이 발생해도 자신이 당했는지 바로 알아채기 어렵고, 막대한 돈을 들인 보안프로그램의 레이더에 걸리지 않는다는 점이다. 파이어아이에 따르면 e메일 사칭 사기를 당했다는 걸 알아채는 데 걸리는 시간은 평균 78일에 이른다. 피해 금액은 건당 평균 390만 달러로 집계됐다. 또 이런 수법은 악성코드(멀웨어)를 포함하지 않는 경우가 대부분이어서 보안프로그램으로 사전에 예방하기 어렵다.

e메일 사칭 공격 자체는 기술적으로 매우 쉽다. 세계적으로 하루 약 2810억 건의 e메일이 발송되는데, 발신자 주소를 유사하게만 만들면 된다. 가령 영어 소문자 ‘m’ 대신 비슷한 모양의 ‘rm’을 넣거나 대문자 ‘O’ 대신 숫자 ‘0’을 넣는 식이다.

하지만 그 배후에는 치밀한 해킹이 있다. 기업 내부 전산망에 침투해 내부 직원 명단과 e메일 주소, 재무 정보 등을 빼내는 사전 작업이 수반되는 경우가 많다는 것이다. 정확한 타깃 설정을 위해 돈이나 정보를 다루는 직원을 파악하고, 성공률을 높이기 위해 속아 넘어갈 만한 적당한 금액을 정하기도 한다. 파이어아이 집계에 따르면 e메일 사칭 공격은 은행을 비롯한 금융기관이 27%(2017년 대비 2018년) 증가해 증가폭이 가장 컸고 △병원, 연구소 등 헬스케어 관련 기업 및 기관(22%) △교육기관(12%) 등의 순이었다.

국내에서도 기업과 기관 담당자를 대상으로 한 e메일 사칭 피해 건수는 매년 급증하고 있다. SK인포섹은 올해 악성 메일 총 탐지 건수가 약 34만2800건을 웃돌 것으로 전망했다. 전년 대비 2배, 2015년 대비 5배 이상으로 늘어난 수치다. 한국인터넷진흥원(KISA)은 이러한 e메일 해킹은 회사 임원으로 위장해 송금 요청을 하거나 기존 거래 회사의 계좌번호를 해커의 계좌로 변조하는 식으로 공격해 성공률이 65%에 달한다고 밝혔다.

루크 맥나마라 파이어아이 수석분석가는 “암 발병률이 급증하고 있는 중국에서 관련 연구데이터를 노리고 미국 의료센터나 연구기관을 노리는 경우가 늘고 있다”고 말했다. 또 마이크로소프트 등 소프트웨어 서비스 제공 기업을 사칭해 e메일 비밀번호 등을 요구하는 수법도 증가하고 있는 것으로 나타났다.

워싱턴=황태호 기자 taeho@donga.com