현대 디지털 시대에 사이버 범죄자들은 더욱 교묘한 수법으로 기업을 공격하고 있습니다. 특히 스피어 피싱과 비즈니스 이메일 침해(BEC)는 매우 위험하며, 고위 경영진을 표적으로 삼는 경우가 많습니다. 기업을 보호하고자 하는 경영진은 이러한 표적 공격에 대한 정보를 반드시 숙지해야 합니다.
관련 기사: 최신 피싱 사기 수법: 주의해야 할 사항
스피어 피싱: 표적 공격
스피어 피싱은 공격자가 조직 내 특정 개인을 속이기 위해 고도로 표적화된 이메일을 작성하는 것을 설명하는 용어입니다. 대량 피싱과 달리 이러한 이메일은 소셜 미디어, 회사 웹사이트 또는 과거 데이터 유출에서 복사한 정보를 사용하여 실제처럼 보이도록 위장합니다.
예를 들어, 공격자는 신뢰하는 동료나 부서장을 사칭하여 민감한 정보를 요구하거나 악성 링크를 클릭하도록 유도할 수 있습니다. 이러한 이메일에는 종종 정확한 개인 정보가 포함되어 있어 더욱 그럴듯해 보이며, 따라서 성공률이 높아집니다.
비즈니스 이메일 침해: 교묘한 수법
BEC(비즈니스 이메일 사기)는 공격자가 합법적인 기업 이메일 계정에 접근하거나 이를 사칭하여 직원, 고객 또는 파트너를 속여 송금을 유도하거나 기밀 정보를 유출하게 하는 사이버 공격 유형입니다. 이러한 공격은 주로 송금 권한을 가진 고위 임원이나 재무 담당자를 대상으로 합니다. 흔히 사용되는 수법 중 하나는 CEO를 사칭하여 재무팀에 긴급하고 은밀한 거래를 요청하는 이메일을 보내는 것입니다. FBI는 BEC 사기로 인한 상당한 재정적 손실을 보고했으며, 이는 이 위협의 심각성을 보여줍니다.
경영진의 위협 환경
고위 임원들은 중요한 정보를 보유하고 자금을 관리하기 때문에 이러한 공격의 주요 표적이 됩니다. 사이버 공격자들은 임원들의 온라인 활동을 면밀히 모니터링하고, 회사 내 직책을 악용할 만한 그럴듯한 시나리오를 구상하는 데 상당한 시간을 투자합니다. 이러한 공격이 효과적인 이유는 고위 임원들의 소통이 신뢰받는다는 점 때문이며, 따라서 임원들이 경계를 늦추지 않는 것이 매우 중요합니다.
실행해야 할 완화 전략
스피어 피싱 및 BEC 공격에 대응하기 위해 경영진은 다음 사항을 시행해야 합니다.
1. 보안 인식 교육
고위 임원을 포함한 모든 직원에게 피싱 공격을 식별하고 대응하는 방법을 정기적으로 교육하십시오.
2. 이메일 인증 프로토콜
DMARC, SPF, DKIM과 같은 기술을 구현하여 수신 메일의 유효성을 인증하십시오.
3. 다중 요소 인증(MFA)
이메일 계정 및 중요 시스템에 로그인할 때 다단계 인증(MFA)을 적용하여 보안 수준을 높이세요.
4. 검증 절차
특히 금액이 크거나 지급 지침이 변경되는 금융 요청의 경우, 해당 요청의 적법성을 확인하는 방법을 활용하십시오.
5. 정기 감사
취약점을 파악하고 보안 정책이 제대로 시행되고 있는지 확인하기 위해 정기적인 보안 감사를 실시하십시오.
최종 메모
스피어 피싱과 비즈니스 이메일 침해(BEC)는 조직 보안, 특히 임원진 수준에서 심각한 위협이 됩니다. 이러한 표적 공격에 대한 경각심을 갖고 강력한 예방 조치를 시행하는 것은 조직을 이러한 정교한 사이버 공격으로부터 보호하는 데 큰 도움이 될 수 있습니다.
