Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft Security

BEC(비즈니스 전자 메일 침해)란?

BEC(비즈니스 전자 메일 침해)의 정의

BEC(비즈니스 전자 메일)는 공격자가 전자 메일을 사용하여 상대방이 금전을 보내거나 기밀 회사 정보를 누설하도록 유도하는 사이버 범죄의 일종입니다. 공격자는 신뢰할 수 있는 인물로 가장한 다음 가짜 청구서의 지불을 요청하거나 다른 사기에서 사용할 중요한 데이터를 요구합니다. 원격 근무가 늘어남에 따라 BEC 사기도 늘고 있습니다. 작년에는 2만 건에 가까운 BEC 사건이 FBI로 접수되었습니다.1

비즈니스 전자 메일 침해 사기의 유형

전자 메일은 사이버 공격의 91%를 차지하는 시작점입니다.2 침해된 전자 메일의 가장 일반적인 유형에 대해 알아보세요.

데이터 절도

공격자가 HR 부서를 표적으로 삼아 직원의 근무 일정이나 개인 전화번호와 같은 회사 정보를 갈취합니다. 그런 다음 이 정보를 바탕으로 상대방이 속아 넘어가기 쉬운 BEC 사기를 진행합니다.

가짜 청구서 수법

공격자가 회사와 협력하는 정상적인 공급업체로 가장하여 실제 청구서와 비슷해 보이는 가짜 청구서를 전자 메일로 보냅니다. 실제 청구서와 가짜 청구서에 기재된 계정 번호가 한 자리만 제외하고 동일한 경우도 있습니다. 또는 기존에 사용하던 은행이 현재 감사 중이므로 다른 은행으로 대금을 지급하라고 요청합니다.

CEO 사기

공격자가 CEO의 전자 메일 계정을 스푸핑 또는 해킹한 다음 전자 메일을 통해 직원들에게 구매를 진행하거나 전신 송금을 통해 대금을 지급하라고 지시합니다. 공격자가 직원에게 기프트 카드를 구매하라고 한 다음 일련 번호를 촬영하여 보내라고 요구하는 경우도 있습니다.

변호사 사칭

공격자가 로펌 직원의 전자 메일 계정에 무단으로 액세스한 다음 클라이언트들에게 전자 메일로 청구서나 온라인 대금 지급 링크를 보냅니다. 전자 메일 주소는 정상적인 것이지만 은행 계좌는 그렇지 않은 것이 특징입니다.

계좌 보안 침해

공격자가 피싱 또는 맬웨어를 사용하여 금융 기관 직원(외상매출금 담당자 등)의 전자 메일 계정에 액세스합니다. 그런 다음 금융 기관의 공급자들에게 가짜 은행 계좌로의 대금 지급을 요청하는 가짜 청구서를 전자 메일로 보냅니다.

BEC 사기의 작동 방식

BEC 사기에서는 다음과 같은 일이 일어납니다.

1. 공격자가 표적에 대한 정보를 수집하여 신분을 위장할 방법을 궁리합니다. 가짜 웹 사이트를 만들거나, 진짜 회사와 같은 이름을 갖는 회사를 다른 나라에 등록하기도 합니다.

2. 전자 메일에 액세스하고 모니터링하여 대금을 보내거나 받을 만한 사람이 누구일지 알아냅니다. 이때 대화 패턴과 청구서를 살펴봅니다.

3. 공격자가 전자 메일 도메인을 스푸핑하여 전자 메일 대화에서 진짜 사용자로 위장합니다. 이때 전자 메일 주소는 진짜 주소와 문자 한두 개만 다르거나, 똑같은 전자 메일 주소 뒤에 'via'와 다른 도메인이 올 수 있습니다(예: [email protected] via fabrikam.com).

4. 공격자가 표적의 신뢰를 얻기 위해 노력한 다음 금전, 기프트 카드 또는 정보를 요구합니다.

비즈니스 전자 메일 침해의 표적

누구나 BEC 사기의 표적이 될 수 있습니다. 비즈니스, 정부, 비영리 단체, 학교, 그중에서도 특히 다음과 같은 역할이 표적이 될 수 있습니다.

1. 임원진과 리더: 회사 웹 사이트에 임원진 정보가 공개되는 경우가 많으므로 공격자가 이들을 아는 것처럼 위장할 수 있습니다.

2. 금융 기관 직원: 은행 세부 정보, 결제 방법, 계좌 번호와 같은 정보를 취급하는 정보 관리자와 외상 매입금 담당자가 표적이 되기 쉽습니다.

3. HR 매니저: 사회 보장 번호, 세금 명세서, 연락처 정보, 근무 일정과 같은 기록을 취급하는 담당자가 표적이 되기 쉽습니다.

4. 신입 직원 또는 사원급 직원: 전자 메일의 진위성을 보낸 사람에게 확인할 방법을 모르는 사람들이 표적이 되기 쉽습니다.

BEC의 위험

비즈니스 전자 메일 침해 공격을 받은 조직은 다음과 같은 상황에 처할 수 있습니다.

1. 수십만에서 수백만 달러의 손실 발생.

2. 개인 식별 정보를 도난당한 경우 광범위한 신원 도용 사건 발생.

3. 지적 재산과 같은 기밀 데이터의 우발적인 유출.

BEC 수법이 발전함에 따라 위협 방지 전략도 함께 발전했습니다. 작년에 Microsoft가 차단한 전자 메일 위협은 320억 건에 달합니다.3 Microsoft의 전자 메일 위협 방지 솔루션에 대해 자세히 알아보세요.

비즈니스 전자 메일 침해 예시

예시 1: 긴급: 대금 지급 요망

회사의 재무 부서에서 근무하는 여러분은 CFO로부터 기한이 지난 청구서에 관한 긴급한 요청 전자 메일을 받습니다. 그러나 이 전자 메일은 CFO가 보낸 것이 아닙니다. 또는 공격자가 수리 담당 거래처 또는 인터넷 제공업체로 가장하여 진짜처럼 보이는 청구서를 전자 메일로 보냅니다.

예시 2: 전화번호를 알려 주세요

회사 임원이 여러분에게 “간단한 도움이 필요합니다. 전화번호를 알려 주면 문자 보낼게요.”라는 전자 메일을 보냅니다. 문자는 전자 메일보다 안전하고 개인적으로 느껴지므로 공격자는 여러분에게 결제 정보나 기타 중요한 정보를 문자로 보내 달라고 요청합니다. 이를 “스미싱”(SMS 문자 메시지를 통한 피싱)이라고 합니다.

예시 3: 임대 기한이 다가옵니다

공격자가 부동산 업체의 전자 메일에 액세스하여 진행 중인 거래를 찾아냅니다. 그런 다음 클라이언트들에게 “사무실 임대 1년 연장 청구서입니다” 또는 “임대 보증금 지급 링크입니다”와 같은 내용의 전자 메일을 보냅니다. 최근에는 이 수법으로 50만 달러를 갈취한 사건도 있었습니다.4

예시 4: 특급 비밀 합병

상사가 여러분에게 경쟁사 합병을 위한 계약금을 지급하라고 지시합니다. 전자 메일에는 여러분이 이 요청을 확인할 방법이 없도록 “우리끼리만 알고 있어야 한다”는 내용이 있습니다. M&A 정보는 실제 인수 또는 합병이 완료되기 전까지 비밀로 유지되는 경우가 많으므로 처음에는 이러한 조치가 의심스러워 보이지 않을 수 있습니다.

BEC를 예방하는 방법

비즈니스 전자 메일 침해를 막기 위한 5가지 모범 사례를 따르세요.

보안 전자 메일 솔루션 사용하기

Office 365와 같은 전자 메일 앱은 의심스러운 전자 메일을 자동으로 분류하여 삭제하거나 사용자에게 보낸 사람이 확인되지 않는다고 알려 줍니다. 사용자는 특정 보낸 사람을 차단하고 전자 메일을 스팸으로 신고할 수 있습니다. Office 365용 Defender에는 고급 피싱 방어, 의심스러운 전달 감지와 같은 기능이 추가됩니다.

MFA(다단계 인증) 설정하기

로그인할 때 암호 외에도 코드, PIN 또는 지문을 요구하는 다단계 인증을 설정하여 전자 메일이 쉽게 침해되지 않도록 예방하세요.

직원들에게 위험 징후를 가려내는 방법 교육하기

모든 구성원이 피싱 링크, 도메인 및 전자 메일 주소 불일치를 비롯한 위험 징후를 가려낼 수 있도록 교육하세요. 실제 상황에서 공격을 알아내고 대처하는 방법을 연습할 수 있도록 BEC 사기를 시뮬레이션하세요.

보안 기본값 설정하기

관리자는 모든 사용자가 MFA를 사용하도록 요구하고, 새로운 액세스나 위험한 액세스에는 인증을 요구하고, 유출된 암호의 재설정을 강제하여 조직 전체의 보안 요구 사항을 강화할 수 있습니다.

전자 메일 인증 도구 사용하기

전자 메일을 스푸핑하기 어렵게 SPF(Sender Policy Framework), DKIM(도메인키 식별 메일) 및 DMARC(도메인 기반 메시지 인증, 보고 및 적합성)로 보낸 사람을 인증하세요.

보안 결제 플랫폼 도입하기

기존의 전자 메일 방식의 청구서에서 결제를 인증하도록 설계된 시스템으로 전환하세요.

비즈니스 전자 메일 침해 방어

다음과 같은 기능을 갖춘 Office 365용 Microsoft Defender와 같이 의심스러운 전자 메일을 감지하는 솔루션을 사용하여 조직을 보호하세요.

1. 전자 메일 인증 표준을 자동으로 검사하여 스푸핑을 감지하고 전자 메일을 격리하거나 정크 폴더로 이동

2. AI를 사용하여 각 사용자의 일반적인 전자 메일 패턴을 모델링하고 일반적이지 않은 활동 플래그

3. 사용자, 도메인 및 사서함을 기준으로 전자 메일 보호 구성

4. 위협 탐색기로 위협을 조사하고, 표적이 된 사용자를 찾아내고, 가양성을 감지하고, 공격자 식별

5. 스푸핑 인텔리전스의 고급 알고리즘으로 도메인 전체의 전자 메일 패턴을 검사하여 일반적이지 않은 활동 강조

Microsoft Security에 대한 자세한 정보

더 안전한 전자 메일을 위한 6가지 팁

전자 메일 보안 모범 사례에 따라 BEC를 막아 내세요.

기프트 카드 사기 이해하기

BEC 사기를 시도하는 공격자들이 보낸 실제 전자 메일을 읽고 실제 상황에 대비하세요.

BEC 공격 실제 사례 살펴보기

실제 비즈니스 전자 메일 침해 사건을 통해 공격자들의 행동 방식을 알아보세요.

암호 스프레이 공격 예방하기

전자 메일 공격을 막아 내는 방법을 알아보고, 조직의 취약한 사용자들을 찾아내세요.

CISO가 알아야 할 사항

보안 인식 교육의 현황을 살펴보고 직원들을 피싱에 관해 교육하는 방법을 알아보세요.

MFA가 피싱을 예방하는 방법

다단계 인증이라는 쉽고 빠른 방법을 통해 BEC 사기를 막아 내세요.

디지털 범죄 부서를 소개합니다

Microsoft의 사이버 범죄 담당팀이 제품 혁신, 연구와 AI로 BEC를 막아 내는 방법을 알아보세요.

자주 묻는 질문

  • FBI IC3(Internet Crime Complaint Center)로 사건을 접수하세요. 전자 메일을 정크 또는 스팸으로 표시하여 전자 메일 제공업체에 신고하세요. 이 옵션이 없다면 상사에게 보고하세요.

  • 피싱은 비즈니스 전자 메일 침해의 한 가지 유형입니다. BEC는 피싱, 스푸핑, 사칭, 가짜 청구서를 포괄하는 공격을 총칭하는 용어입니다.

  • 보안 전자 메일 제공업체 사용하기, MFA(다단계 인증) 설정하기, 강력한 전자 메일 암호를 선택하고 자주 변경하기, 온라인에서 개인 정보를 공유하지 않기와 같은 전자 메일 보안 모범 사례에 따라 비즈니스 전자 메일을 보호하세요. 본인이 관리자라면 Office 365용 Defender와 같은 전자 메일 보안 솔루션을 사용하고, 보안 설정을 구성하고, 이상 활동이 없는지 모니터링하세요.

  • 영업시간 이외에 발송된 전자 메일, 이름의 오타, 보낸 사람 전자 메일 주소와 회신할 사람 주소의 불일치, 긴박감을 조성하는 내용, 이상한 링크와 첨부 파일, 결제 또는 청부 정보의 변경과 같이 일반적이지 않은 상황이 발생한 경우 이를 의심하면 BEC 사기를 감지할 수 있습니다. 전자 메일 계정의 삭제된 전자 메일과 전달 규칙을 확인하여 계정이 침해되었는지 여부를 살펴보는 방법도 있습니다. 전자 메일 앱이 특정 전자 메일을 의심스러운 메일 또는 확인되지 않은 메일로 분류하는 경우에도 DEC 사기를 감지할 수 있습니다.

  • 전자 메일 스푸핑은 다른 사람이 보낸 전자 메일처럼 보이도록 하기 위해 전자 메일 주소를 위장하는 행위를 가리킵니다. 스푸핑된 전자 메일은 진짜처럼 보이지만 자세히 살펴보기 전까지는 눈에 띄지 않거나([email protected] via fabrikam.com) 미세한 오타가 있거나([email protected]) 아예 다른 도메인에서 온 경우([email protected])와 같이 다른 도메인에서 발송됩니다.

1. FBI. “2021년 인터넷 범죄 보고서”, Internet Crime Complaint Center. 2021.

2. Ganacharya, Tanmay. “코로나바이러스 관련 피싱 공격 막아 내기”, Microsoft Security 블로그 2020년 3월 20일.

3. Microsoft. “디지털 방어 보고서”, 2021년 10월.

4. 미국 사법부. “로드아일랜드주 출신 남성, 매사추세츠주 출신 변호사를 표적으로 삼은 전자 메일 침해 사기를 통해 갈취한 자금 세탁 공모 혐의 유죄 인정”, 2020년 7월 15일.


Microsoft 365 팔로우