WhiteMail
블로그로 돌아가기
·WhiteMail 보안팀#weekly-report#BEC

주간 보안 리포트 #1 — BEC는 사라진 게 아니라 조용해졌다

WhiteMail의 첫 주간 보안 리포트입니다. 매주 우리가 분석한 이메일에서 두드러진 것들 — 패턴, 알아둘 만한 기법, 그리고 바로 실행할 수 있는 조언 — 을 정리합니다.

이번 주

새해는 어김없이 비즈니스 이메일 탈취(BEC)의 물결을 몰고 옵니다. 예산이 새로 잡히고, 청구서가 쌓이고, 재무팀은 빠르게 움직입니다. 공격자가 가장 바라는 조건입니다.

이번 주 샘플에서 눈에 띈 점은, 위험도가 가장 높았던 메일에 링크도, 첨부도, 악성코드도 없었다는 것입니다. 문장 몇 줄이 전부였습니다. 경영진이나 알고 지내는 거래처에서 온 듯한 짧은 메모로, 결제 전에 입금 계좌를 바꿔 달라거나, "하루 종일 회의라" 조용히 송금을 진행해 달라는 식입니다.

이런 메일은 악성 페이로드를 스캔하는 어떤 도구에도 보이지 않습니다. 페이로드 자체가 없기 때문입니다. 공격은 전적으로 문장과, 그 문장이 빌려 쓴 관계 속에 있습니다.

집중 분석: 신뢰 발신자 가로채기

가장 효과적인 BEC는 모르는 사람을 사칭하지 않습니다. 수신자가 이미 신뢰하는 정체성에 올라탑니다.

  • 표시이름은 일치하지만 도메인은 다름 — 이름은 "CFO 박지은"으로 보이는데 실제 주소는 무료 웹메일 계정입니다.
  • From과 다른 Reply-To — 익숙한 이름을 읽고 답장하지만, 그 답장은 조용히 공격자에게 갑니다.
  • 평소 절차를 깰 그럴듯한 이유 — 긴급함, 비밀 유지, 출장 중, 마감 임박.

이 중 어느 것도 그 자체로는 악성이 아닙니다. 하지만 적절한 스레드, 적절한 순간에 합쳐지면 그것이 공격의 전부가 됩니다.

무엇을 할 수 있나

  • 계좌·결제 정보 변경 요청은 매번, 예외 없이 검증의 신호로 다루세요. 이미 신뢰하는 별도 채널로 확인하고, 절대 그 이메일에 답장으로 확인하지 마세요.
  • 표시이름과 실제 주소의 차이, 그리고 From과 Reply-To의 차이를 살피세요.
  • 메일이 서두르라고 말하는 바로 그 순간에 가장 조심하세요. 긴급함은 정당함의 증거가 아닙니다. BEC에서 긴급함은 수법 그 자체입니다.

이것이 바로 WhiteHat가 모든 메일에서 수행하는 대조 작업입니다. SA-01은 신원을, SA-04는 의도를 봅니다. 사람이 알아차리기 전에 신뢰 발신자 가로채기가 먼저 드러납니다.


의심스러운 메일을 분석 콘솔에 붙여넣으면 에이전트별 분석 결과를 직접 확인할 수 있습니다.