최윤환 프루프포인트 매니저 “랜섬웨어보다 더 심각한 BEC 공격…새로운 관점에서 대응해야”

데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 프루프포인트 코리아 최윤환 매니저는 ‘이메일, 당신을 속이는 4가지 기법’을 주제로 강연을 진행했다.

세계 최고의 전기자동차 기업인 테슬라는 지금도 수많은 사이버 공격의 대상이 되고 있다. 전기차부문 뿐만 아니라 스페이스X, 메타 등 다양한 사업분야에서 타겟이 되고 있다. 그래서 이들은 정보보안 수준을 항상 세계 최고의 수준으로 유지하려고 노력한다. 그런 테슬라가 프루프포인트(Proofpoint) 최대 레퍼런스 중에 하나다.

프루프포인트는 미국에서 23년된 보안회사다. 세계 1위의 이메일 보안 사업자이고, 휴먼 센트릭 보안의 철학을 가진 회사다.

최윤환 매니저는 “휴먼 센트릭은 우리가 지난 6년간 세상에 적극적으로 알린 메시지다. 최근 가트너에서 이 메시지를 주목하기 시작했다. 휴먼 센트릭을 간단히 소개하자면, 74%의 사이버 공격은 인간의 취약점을 이용하여 공격하게 때문에 인간을 중심으로 정보보안을 전개해야 한다는 의미다. 그리고 이러한 철학은 우리 프루프포인트 제품 개발의 핵심이다”라고 소개했다.

◆BEC, 이메일 사기…랜섬웨어보다 훨씬 더 심각한 피해 발생

그는 ‘이메일, 당신을 속이는 4가지 기법’을 소개하기 위해 먼저 BEC의 개념에 대해 설명했다.

BEC는 사이버 범죄인 이메일 사기를 뜻한다. 첨부파일/URL 없이 이메일 본문만으로도 사람을 속여서 피해를 끼치는 그러한 범죄를 의미한다.

BEC가 화두가 된 것은 해커들이 더 이상 복잡한 인프라를 직접 뚫으려고 하지 않기 때문이다. 그보다 공격하기 쉬운 사람을 타겟으로 공격하고 있다.

FBI에 따르면 연간 3조원의 이메일 사기 피해가 보고되고 있다. 이는 우리가 알고 있는 랜섬웨어보다 훨씬 더 심각한 규모의 피해액이다.

그는 이러한 BEC 공격을 우리나라에서 탐지가 어려운 이유가 있다고 한다.

보통 우리나라에서 APT 공격을 받으면 최초로 유입된 이메일을 악성코드와 URL 관점에서 탐색하게 된다. 그리고 어떤 랜섬웨어인지, 왜 네트워크와 엔드포인트에서 막지 못했는지 이유를 찾는다. 정작 처음 시작된 사회공학적 공격메일에는 관심이 없다. 또 그러한 메일이 들어왔는지 가시성 조차 확보가 되어 있지 않다. 그래서 BEC공격의 탐지가 어렵다고 전했다.

최근 활동하고 있는 스캐터드 스파이더라는 그룹을 소개하겠다. 이들은 피싱 공격으로 계정탈취 후 임직원으로 위장해 클라우드/온프레미스 인프라에 침투하는 새로운 공격기법을 사용하는 범죄그룹이다.

이들이 작년에 거대 카지노/리조트 회사를 공격해 약 1,300억원의 불법 이득을 취했다.

미국 FBI와 CISA에서 공개한 프로세스에 따르면, 지속적으로 임직원을 타겟으로 공격을 전개한 것으로 확인된다. 특히 최초 피싱 이후에 전화/문자 등으로 임직원들을 지속적으로 속이고 기만하는 방법은 방어하기가 상당히 어렵다.

◆BEC 공격의 4가지 기법

이러한 BEC 공격의 4가지 기법은 다음과 같다.

먼저 신분 사칭 기법이다. 해커가 자신의 발신자 도메인 정보를 속여서 수신자를 믿게 하는 공격이다. 이러한 이메일을 받으면 해커가 아닌 거래처나 정부기관 등으로 착각해 회사의 주요 정보를 회신하거나 송금을 하는 사태가 벌어진다.

다음은 메일 텍스트로 속이는 방법이다. 첨부파일/URL없이 이렇게 변경된 계좌로 송금을 요청하는 방법이다. 수신자는 기존 거래처로 착각해 송금하거나, 사내 시스템에서 발송된 메일로 착각해 비밀번호를 전달하는 등 피해를 입을 수 있다. 특히 이러한 공격은 긴급함을 호소해 수신자의 심리를 흔들어 놓는 사회공학적 기법들을 적극적으로 사용한다.

다음은 QR코드를 이용한 공격이다. Quishing이라는 용어로 부른다. 메일 내 QR코드에 접속하게 되면 해커가 준비한 악성 URL로 접속하여 피해를 입을 수 있다. QR코드라는 매체를 사용해 수신자를 혼란스럽게 하고 기존의 보안인프라에서 QR코드를 탐지하는 기술이 거의 없기 때문에 기존 보안 인프라를 우회할 수 있는 새로운 공격 기법이다.

마지막으로 토드(Toad) 기법이다. 토드는 이메일과 전화, 문자메시지를 적극적으로 사용해 속이는 기법이다. 아까 카지노 회사의 예시가 이에 해당한다. 피해자는 메일과 전화로 모두 속이는 공격을 간파하지 못하고 투팩터(2 Factor) 인증을 한 것처럼 느끼기 때문에 스스로 인지하고 방어하기 매우 어려운 공격이다.

◆BEC 공격에 대응 방법

그는 이러한 이메일 사기 기법들에 대해 대응하는 방법에 대해 다음과 같이 설명했다.

먼저 신분사칭기법은 DMARC 정책을 도입해 확인 절차를 통해 도메인 스푸핑을 방지하는 것이 좋다. 그리고 도메인 평판 관련 인텔리전스를 보유하여 유사한 도메인으로 공격하는 것을 예방하는 것이 좋다.

다음은 메일 텍스트로 속이는 기법에 대한 대응이다. 이러한 공격은 제목과 본문의 텍스트에 대한 구문분석을 할 수 있는 기술을 보유하고 있어야 한다. 그리고 계좌번호와 같은 특수정보를 구분해 낼 수 있는 솔루션이 있어야 한다.

다음은 Quishing에 대한 대응이다. 퀴싱은 레거시 보안인프라를 우회할 수 있기 때문에 QR코드를 스캔해낼 수 있는 기술이 게이트웨이에 있어야 한다.

다음은 토드다. 토드는 보안 인프라 외적인 사회공학적 기법이 사용되기 때문에 솔루션으로는 방어가 어렵다. 그래서 다양한 BEC 공격대응 기술을 보유하고 특히 임직원들을 주기적으로 교육해 스스로 인지하고 대응할 수 있도록 해야 한다.

결국 BEC 공격에 대한 대응은 새로운 관점에서 준비해야 한다고 강조했다.

생소한 BEC라는 공격에 대해 가시성을 확보하고 DMARC, 임직원 보안 교육 등 그동안 집중하지 않았던 것에 집중을 해야 할 필요가 있다.

특히 BEC는 단순히 탐지기술과 솔루션으로 대응이 어렵다. 그래서 임직원들을 훈련하고 교육시켜서 스스로가 기업을 지키는 정보보안의 보호막 역할을 수행할 수 있게 해야 한다.

◆프루프포인트, BEC 공격 탐지 및 대응 솔루션 제공

그는 마지막으로 프루프포인트의 기술에 대해 설명했다.

먼저 PPS다. 이메일 게이트웨이 기본 모듈이며 머신러닝 기반의 엔진으로 BEC 공격을 탐지해낸다. 심층헤더 분석을 통해 스푸핑/유사도메인 등을 색별해 낸다. 기존에 메일 주고받은 기록이 있다면 분석해 사람과 사람과의 관계를 구분해낸다. 송신자가 해커 그룹에 속해 있다면 인텔리전스를 통해 색출해낸다. 머신러닝 기술로 구문 분석을 통해 제목과 본문의 텍스트를 탐지해낸다. 그리고 메일 내용을 바탕으로 BEC 공격의 유형을 구분하여 메일에 라벨을 부착하여 수신자에게 발송하는 기능도 보유하고 있다.

다음은 TAP다. 기본적으로 첨부파일과 URL에 대한 샌드박싱을 수행한다. 하지만 그보다 강력한 기능은 바로 어떤 임직원이 얼마나 공격을 많이 받는지, 어떤 임직원이 취약한 임직원인지 보여주는 가시성을 확보해주는 것이다. 특히 취약한 임직원의 대부분은 임원들과 중요 직책을 맡고 있는 사람들이 타겟이 되어 공격을 받기 때문에 반드시 기업에서 알아야 할 정보다. 이러한 정보를 정리해서 가시성을 확보하게 하는 솔루션이 바로 프루프포인트 솔루션이다.

그외 탐지되지 않은 수상한 메일이 수신자에게 도달하더라도 URL을 클릭 시 안전한 브라우저 환경에서 디스플레이해주는 격리 모듈과, 수신 당시 정상이었지만 추후 악성으로 바뀐 메일을 사후 탐지해 자동으로 메일서버에서 찾아 삭제까지 하는 TRAP이라는 모듈도 보유하고 있다.

이러한 강력한 BEC 이메일 게이트웨이와 함께 임직원들의 훈련과 교육이 중요하다. PSAT는 이메일 모의훈련을 하는 템플릿과 에디터 기능을 제공하고, 수백여 가지의 온라인 동영상 및 퀴즈, 시뮬레이션 등의 교육 컨텐츠를 제공한다. 그리고 훈련 성과를 기록해 추후 교육에 전략을 수립할 수 있게 한다.

또한 자사의 이메일 게이트와 연동하면 실제 환경과 훈련환경에서 분석된 데이터를 통합한 가시성을 확보할 수 있게 된다. 이러한 데이터는 취약한 임직원을 구분해내는데 더욱 확실한 가시성을 제공하며 결국 사람중심의 보안관점에서 기업의 취약점을 해결하는데 큰 도움을 주게 된다.

아래 영상을 통해 프루프포인트 코리아 최윤환 매니저의 K-CTI 2024 강연을 좀더 상세히 들을 수 있다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.