의료기관, BEC스캠의 새로운 공격 타겟으로 떠오르다

게시일: 2016-12-02 l 작성자: Trend Micro

메일을 보내는 사이버 스캠의 한 형태입니다. CEO를 가장한 BEC스캠 공격 캠페인이 지난 2주 동안 미국 17개, 영국 10개, 캐나다 8개의 의료기관을 대상으로 공격을 벌이고 있던 사실이 확인되었습니다. 공격의 대상이 된 의료기관은 종합병원, 대학병원 이외에도 특수의료병원, 일반 진료소까지 포함되었습니다. 제약회사 또한 공격 대상에서 벗어나지 못했습니다. 영국 1개, 캐나다 2개의 제약회사 또한 타겟이 된 것으로 확인하였습니다.

현재까지 파악된 피해 금액은 건당 140,000달러로, BEC스캠의 피해자는 CEO를 위장한 공격자의 계좌로 돈을 송금했습니다. 트렌드마이크로는 의료기관을 노린 공격 캠페인에서 크게 2가지 공격 수법을 확인했습니다. 하나는 From(발송인) 항목을 CEO 또는 기타 임원의 메일 계정으로 위장하는 것입니다. 두 번째는 도메인 이름을 모방하여 공격 대상 의료기관의 도메인 이름과 매우 유사하게 설정합니다. 이로 인해 이메일 주소가 1~2글자 밖에 차이가 나지 않으므로, 그 차이점을 구분하기가 매우 어렵습니다. 메일 제목은 주로 다음의 간단한 문장을 적습니다:

  • 매우 긴급(Extremely Urgent)
  • 긴급 처리(Treat As Urgent)
  • 신속히 처리(Treat Very Urgent)
  • 지불 기한 초과(Due Payment)
  • 긴급 지불(Urgent Payment)

영국의 국가의료제도인 National Health Service (NHS) 기관도 동일한 수법으로 공격의 타겟이 되었습니다. 정규 도메인은 nhs.uk 이지만 모방 도메인은 nhs.co 로 변경되었습니다. 조사에 따르면, 이러한 BEC스캠 공격에 공개출처정보(OSINT)를 이용하여 공개적으로 쉽게 구할 수 있는 기관 조직도를 보고 공격의 타겟을 정하였습니다.

BEC스캠 피해를 당하지 않기 위해

다른 사이버범죄 수법과 달리 BEC스캠은 대응하기 어렵습니다. 의료기관을 타겟으로 한 이메일을 보면, 공격자는 일반적으로 발송인과 회신 항목을 위조하고, 메일 제목은 즉각적인 대응을 촉구하는 짧고 간단한 문장을 적어 의심을 피하고자 합니다. 또 주목할 점은, 악성 첨부파일 또는 URL이 포함되지 않는다는 것입니다. 따라서 의심스러운 컨텐츠를 탐지하는 기존 보안 소프트웨어는 감지할 수 없다는 것입니다.

그렇기 때문에 직원들이 BEC스캠에 대응할 수 있도록 교육하는 것이 매우 중요합니다. BEC스캠의 송금 지시는 보통 직원의 긴급 대응을 요구합니다. 따라서 지시 내용을 이중으로 확인하는 것이 중요합니다. 또한 메일의 ‘회신’ 버튼을 이용하는 것이 아닌 ‘보내기’ 버튼을 이용하여 회사의 공인된 연락처와 이메일을 확인할 수 있습니다.

트렌드마이크로의 대책

트렌드마이크로는 당사의 소셜 엔지니어링 공격 보호로 의료기관을 포함하여 중소, 중견, 대기업 모두 BEC스캠으로부터 보호합니다. 트렌드마이크로의 Smart Protection SuitesNetwork Defense 솔루션에서 제공하는 인터스캔 메시징 시큐리티와 호스티드 이메일 보안 기능은 머신러닝을 통하여 메일의 소셜 엔지니어링 공격에 관련된 의심스러운 활동을 감지하고 또한 관련 악성코드를 탐지합니다.

BEC스캠에 관한 정보와 기업이 도입할 수 있는 보안 대책 내용은 다음을 참고하십시오.


원문: CEO Fraud Email Scams Target Healthcare Institutions