BEC(Business Email Compromise)는 기업 내외의 신뢰 관계를 이용해 송금, 정보 유출, 사기 거래를 유도하는 이메일 공격이다. FBI보고서에 따르면 BEC 공격으로 인한 피해액은 지난 5년간 계속 증가한다. 기업 입장에서 악성코드 공격보다 훨씬 더 치명적일 수 있다. 대부분 막대한 금전적 손실로 이어지기 때문이다.
2024년 한해에만 BEC 공격으로 수십억 달러의 피해가 발생했고 이는 모든 사이버 범죄의 피해 금액 가운데 가장 큰 규모다.
해커 입장에서 BEC 공격은 아주 효율적이다. 임직원 한 명만 잘 속이면 엄청난 자금을 빼돌릴 수 있어서다. 기술적으로 낮은 난도에 높은 공격 성공률, 그리고 빠른 수익화라는 최적 조합에 암호화폐 등장으로 자금 추적까지 어렵다.
BEC 공격은 기술이 아닌 사람 간 신뢰를 역이용한다. 기업 간 거래가 증가하고 원격근무가 일상화되면서 검증 절차가 약해진 점도 BEC 공격이 늘어난 한 원인이다.
보안 솔루션은 기술적 문제(악성코드, 피싱 URL, 악의적 파일 등)를 탐지하고 대응하도록 개발됐다. 랜섬웨어 같은 기술적 공격은 보안팀을 갖춘 기업이면 탐지하고 차단할 수 있다.
반면 BEC는 기술적 결함이 아닌 사회공학적 신뢰 관계를 악용한다. CEO 사칭, 공급사 위장, 긴급 송금 요청 등 BEC 메시지는 기술적으로는 아무 문제가 없다. 방화벽이 정상 메일을 통과시키듯 메일 보안 솔루션은 '진짜처럼 보이는 가짜'를 기술적으로는 구분하지 못한다. 메일 보안 솔루션의 구조적 한계이고 여기에 심각한 역설이 도사리고 있다.
BEC는 기술만으로 완벽히 방어할 수 없는 공격이다. 문제는 BEC 공격이 더욱 치밀해지고 있다는 점이다. 공격자는 공격에 앞서 공격 대상의 조직 문화, 의사 결정 절차, 임직원 간 관계를 미리 파악한다. 실제 공격에서는 경영진 문체와 업무 스타일을 흡사하게 재현한다. 긴급성·보안성을 강조(오늘 중 처리, 비밀 유지, 회의 중이라 전화 안 됨)하면서 수신자에게 검증 여유를 주지 않는다. 신속 정확이라는 조직의 정상적 업무 특성을 악용하는 것이다.
BEC 공격의 해결책은 발신 서버의 신뢰성 검증이다. '모든 것을 의심하라'는 제로 트러스트(Zero Trust) 원칙에 따라 개발된 차세대 이메일 보안 솔루션은 정상으로 보이는 메일이라도 발신 서버의 신뢰성을 다층적으로 검증한다.
특히 수신자의 판단에 의존하지 않는다. 의심되는 서버에서 오는 모든 메일을 사전에 차단하고 격리한다. 제로 트러스트 기반 검증이야말로 '정상적으로 보이는 가짜'를 기술적으로 적발할 수 있는 실질적 방어 메커니즘이다.
BEC 공격을 100% 막아내는 것은 불가능하지만 제로 트러스트 원칙을 준용한 차세대 이메일 보안 솔루션을 사용하면 피해 규모를 획기적으로 줄일 수 있다.
sky@realsecu.net
