이메일 스푸핑과 BEC 사기는 무엇인가요?

이메일 스푸핑은 보낸 사람의 이름이나 이메일 주소를 가짜로 만들어 메시지가 익숙하게 보이도록 하는 것을 의미합니다. 소유주, 회계 담당자, 거래처, 은행, 심지어는 본인 회사의 도메인에서 온 것처럼 보일 수도 있습니다.

비즈니스 이메일 침해(Business email compromise) 또는 BEC 사기(BEC fraud)는 더 넓은 범주의 사기입니다. 범죄자는 이메일(때로는 문자 메시지나 전화)로 팀이 신뢰하는 사람을 가장합니다. 목적은 보통 송금, 결제 지침 변경, 민감한 파일 탈취, 또는 로그인 코드 획득입니다.

모든 스푸핑 이메일이 BEC 사기로 이어지지는 않지만, 스푸핑은 흔히 쓰이는 도구 중 하나입니다. 일부 BEC 공격은 기술적인 속임수 없이도 진행될 수 있습니다. 예를 들어 비슷한 주소(유사 이메일), 해킹된 메일함, 또는 급여, 청구/인보이스, 실제 프로젝트 기간에 맞춰 정교하게 타이밍을 맞춘 메시지를 사용할 수 있습니다.

소규모 비즈니스에서의 핵심은 간단합니다. 이메일이 돈, 계정 변경, 급여, 세금 서류, 기프트카드, 기밀 파일을 둘러싼 ‘긴급함’을 조성한다면, 다른 방법으로 천천히 확인하고 검증하세요.

이 사기들이 잘 먹히는 이유는 일반적인 업무 습관을 노리기 때문입니다. 팀은 바쁩니다. 사람들은 빨리 답장을 합니다. 인보이스, 결제 업데이트, 긴급 요청이 흔하므로 가짜 메시지가 자연스럽게 섞여 들어갈 수 있습니다.

피해는 금전적인 것뿐만 아닙니다. BEC 사고는 직원 기록, 고객 정보, 계약서, 은행 정보, 세금 문서 등을 노출시킬 수 있습니다. 또한 팀이 무슨 일이 있었는지 파악하고 누구에게 알릴지 정리하는 동안 업무가 중단될 수도 있습니다.

중소기업은 종종 직원 규모가 적고 승인 절차가 덜 정형화되어 있기 때문에 흔한 표적이 됩니다. 가족 운영 기업이나 성장 중인 회사는 신뢰와 빠른 결정을 기반으로 운영할 수 있는데, 이는 속도에는 도움이 되지만 명확한 검증 규칙이 없다면 위험할 수 있습니다.

이런 이유로 많은 오너들이 관리형 IT 서비스(managed IT services)를 문의합니다. 관리형 서비스 제공자, 즉 MSP는 비즈니스 기술을 관리하고 지원하도록 돕는 외부 업체입니다. NodeBridge IT는 그 업무를 제공하지 않습니다. 대신 일반적인 교육을 제공하며, 외부 도움이 필요하다면 제공자 찾기를 도와드립니다.

때로는 가짜가 분명합니다. 메시지에 문법이 어색하거나 표현이 이상하거나 주소가 낯설 수 있습니다. 하지만 많은 스푸핑 이메일은 잘 정돈되어 있고 실제 이름, 서명, 로고, 이전 메시지에서 복사해 온 진행 중인 대화까지 사용합니다.

흔한 예로는, 기프트카드를 요청하는 것처럼 보이는 메시지, “업데이트된(updated)” 은행 송금 정보가 포함된 인보이스, 직접 입금(direct deposit) 변경을 요구하는 급여 요청, 또는 계정/지급 담당(accounts payable)에게 새 결제 계정을 사용하라고 요청하는 거래처 메모 등이 있습니다.

다른 경우에는 범죄자가 유사 도메인을 등록합니다. 예를 들어 문자 하나를 바꾸거나 하이픈을 추가하거나, “.com” 대신 “.co”를 사용하는 식입니다. 바쁜 직원에게는 충분히 실제처럼 보일 수 있습니다.

일부 공격은 손상된 메일함(Compromised mailbox)도 포함합니다. 이는 범죄자가 실제 이메일 계정에 침입해 그 계정에서 발송하고 있다는 뜻입니다. 그래서 좋은 제공자라면 다중 인증(Multi-factor authentication, MFA)을 이야기할 수 있습니다. MFA는 비밀번호만 입력하는 것 이상의 ‘두 번째 로그인 단계’를 의미합니다.

좋은 보호는 보통 간단한 절차 규칙과 기본적인 기술적 통제가 함께 갖춰진 형태입니다. 기술적인 측면만큼 비즈니스 측면도 중요합니다. 팀이 요청을 언제 멈추고 어떻게 확인해야 하는지 알고 있으면, 비용이 큰 실수를 저지를 가능성을 줄일 수 있습니다.

탄탄한 구성에는 보통 송금 승인 절차, 거래처 은행 정보 변경 승인, 급여 변경 승인, 세금 서류나 민감한 파일 요청에 대한 문서화된 승인 단계가 포함됩니다. 또한 누구도 돈의 이동을 이메일만으로 승인하지 않는다는 간단한 규칙도 필요합니다.

기술적인 측면에서는 제공자가 이메일 보안 설정, 사용자 로그인 보호, 장치 상태, 알림을 검토할 수 있습니다. 그리고 엔드포인트 보호도 지원할 수 있습니다. 엔드포인트는 노트북, 데스크톱, 휴대폰 같은 모든 사용자 장치를 의미합니다. 또한 EDR이라는 용어를 들을 수 있는데, 이는 endpoint detection and response(엔드포인트 탐지 및 대응)로, 의심스러운 활동이 있는지 장치를 모니터링하고 제공자가 문제를 조사하는 데 도움을 주는 도구입니다.

지원 옵션을 비교한다면 먼저 기본 개념을 이해하는 것이 도움이 됩니다. 저희 답변 허브에서 더 쉬운 평이한(plain-language) 답변을 찾아보거나, 저희 서비스 페이지에서 제공자들이 보통 어떤 것을 제공하는지 알아볼 수 있습니다.

스푸핑과 BEC 사기 위험을 줄이기 위한 도움을 원한다면 실용적인 질문을 해보세요. 기술 지식이 없어도 괜찮습니다. 좋은 제공자는 내용을 명확히 설명하고, 무엇을 하는지/하지 않는지, 그리고 팀이 참여해야 하는 것이 무엇인지 알려줘야 합니다.

이메일 보안, 계정 로그인 보호, 직원 보안 인식 교육, 의심스러운 로그인 알림을 어떻게 처리하는지 물어보세요. 재무 승인과 거래처 결제 변경에 대해 무엇을 권장하는지도 물어보세요. 원격 근무 인력과 모바일 기기를 어떻게 지원하는지도 확인하면 좋습니다.

모니터링과 대응 도구에 대해서도 물어볼 수 있습니다. RMM은 remote monitoring and management의 약자로, 제공자가 시스템 상태를 지켜보고 일상적인 지원 작업을 수행하는 데 사용하는 소프트웨어입니다. 패치(patching)는 버그 및 보안 수정 사항이 포함된 업데이트로 소프트웨어와 운영체제를 최신 상태로 유지하는 것을 뜻합니다. 서비스 수준 계약(service-level agreement) 또는 SLA를 언급한다면, SLA는 응답 목표와 지원 범위를 설명하는 문서입니다.

정직한 제공자는 ‘제로 다운타임(완전 무중단)’이나 ‘해킹이 불가능한 네트워크’를 약속하지 않습니다. 여러분이 원하는 것은 위험을 줄이고 가시성을 높이며 팀이 더 안전한 습관을 만들 수 있도록 현실적이고 체계적으로 설명해주는 제공자입니다.