FBI는 3월 3일에 이어 두번째로 클라우드 기반 이메일 서비스를 이용한 BEC 공격에 대한 경고를 발표하였다.

2014년 1월 ~ 2019년 10월까지 IC3(Internet Crime Complaint Center)에서 Microsoft Office 365와 Google G Suite를 겨냥한 BEC 공격으로 총 손실이 21억 달러를 넘는다고 밝혔다. 관련하여 대부분의 클라우드 기반 이메일 서비스에는 BEC를 방지할 수 있는 보안 기능이 있지만, 수동으로 구성하고 활성화하는 기능이 다수라고 한다.

클라우드 기반 이메일 서비스를 악용하기 위해 대규모 피싱 캠페인을 통해 사용하는 서비스 인터페이스를 모방한 사이트로 리다이렉션시켜 직원을 속이고 계정 자격 증명을 탈취하는 것으로 알려졌다.

이러한 피싱을 통해 각 자격증명과 관련된 서비스를 찾아 서비스 인터페이스를 표시하며, 탈취한 계정의 정보를 수집한 뒤 이를 분석하여 금융 거래 정보를 탈취한다. 이런 거래 정보를 통해 고객사, 공급업체 등을 사칭하여 공격자의 계좌로 거래를 유도한다. 또한, 탈취한 고객 정보를 통해 2차 피싱 작업을 위한 정보 수집을 진행한다.

이와 유사한 사례로 최근 미래에셋 홍콩법인의 비행기 인수 해킹 사건이 발생하기도 하였다.

공격자는 이미 오랜 기간 침투하여 거래의 상황을 지켜보았고 이를 통해 인수금의 마지막 거래를 포착, 이를 통해 500만 달러(61억)을 탈취한 것으로 알려졌다.

현재 BEC 공격은 COVID-19와 관련되어서도 지방 자치 단체를 대상으로 증가하고 있다.

또한, 2019년 범죄 보고서에 따르면 BEC는 2019년 18억 달러에 달하는 피해자 손실이 가장 큰 사이버 범죄로 분류되고 있다.

FBI에서는 이러한 BEC 공격을 방어하기 위해 클라우드 기반 이메일 서비스에 BEC 차단 기능을 활성화 해야 한다고 권고하며 다음과 같은 조치사항을 권장하였다.

- 이메일을 외부주소로 자동 전달하는 것을 금지

- 조직 외부에서 온 메시지에 전자 메일 배너를 추가

- 다중 인증을 우회하는 데 사용할 수 있는 POP, IMAP 및 SMTP와 같은 기존 전자 메일 프로토콜을 금지 

- 사서함 로그온 및 설정 변경 내용이 90일 동안 기록 및 유지되는지 확인

- 외부 로그인과 같은 의심 활동에 대한 경고 활성화

- 피싱 방지 및 스푸핑 방지 정책과 같은 보안 기능 활성화

- 레거시 계정 인증을 비활성화

- 전자 메일의 유효성 검사를 위해 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-Based Message Authentication Reporting and Conformance)를 구성

또한 사용자는 다음과 같은 권장 사항에 따라 BEC에 따른 피해를 방지할 수 있다.

- 모든 이메일 계정에 대한 멀티 인증 활성화

- 모든 지불 변경 및 거래를 직접 또는 알려진 전화 번호를 통해 확인

- 피싱 이메일 식별 방법 및 의심 사항의 대응 방안과 예방 전략을 포함하여 직원들에게 BEC에 대한 교육을 진행