[더테크=문용필 기자] 지난해 비즈니스 이메일을 타깃으로 한 이른바 ‘서비스형 사이버 범죄’(Cybercrime-as-a-Service, CaaS)’가 2019년과 비교해 38% 증가했다는 조사결과가 나왔다.
마이크로소프트(이하 MS)는 최근 공개한 사이버 위협 인텔리전스 요약보고서 ‘사이버 시그널’(Cyber Signals)의 4번째 에디션을 통해 이같이 밝혔다.
사이버 시그널은 매일 발생하는 43조개의 MS 보안신호와 8500명의 보안전문가로부터 수집된 보안 동향 및 인사이트를 공유하는 보고서. 이번 에디션에서는 비즈니스 이메일 침해 공격(BEC) 동향과 이를 방어하는 방법이 소개됐다.
보고서에 따르면 MS의 위협 인텔리전스 디지털 범죄팀이 지난해 4월부터 올 4월까지 탐지한 BEC 시도는 무려 3500만건으로 집계됐다. 하루 평균으로 계산하면 15만6000건에 달한다.
아울러 보고서는 BEC 공격자들이 매일 쏟아지는 이메일 트래픽과 메시지를 악용한다고 전했다. 이를 통해 피해자가 금융정보를 제공하거나 범죄자의 사기 송금에 활용되는 자금 운반책 계좌에 무의식적으로 송금하도록 유도한다는 것.
특히 이런 BEC 시도는 전화나 문자, 이메일, 소셜미디어 메시지 등 다양한 수단과 방법을 사용한다는 점에서 심각성이 작지않아 보인다. BEC 피싱 메일의 주요 유형으로는 낚시성 정보나 급여, 기프트 카드, 비즈니스 정보 등 수취인의 호기심을 끌 만한 내용이다.
보고서는 인증 요청 메시지를 스푸핑하거나 개인, 또는 회사를 사칭하는 것도 일반적 수법이라고 전했다. ‘스푸핑’(Spoofing)이란 임의로 구성된 웹사이트를 통해 이용자 정보를 탈취하는 해킹 수법의 하나다.
바수 자칼 MS 보안 부문 기업 부사장은 “사이버 위험은 IT, 컴플라이언스, 사이버 위험의 각 책임자가 비즈니스 리더, 재무 및 인사 관리자 등과 함께 다기능적인 방식으로 해결해야 하는 문제”라며 “BEC 공격이 그 이유를 잘 보여준다”고 말했다.
이어 “기업은 AI 기능과 피싱 방지를 통해 기존의 방어 시스템을 강화하고, 직원들이 경고 신호를 인식해 BEC 공격을 예방할 수 있도록 교육해야 한다”고 덧붙였다.