사이버 범죄자들이 최근의 취약점을 악용하고 원격 근무 및 클라우드 스토리지 기술의 광범위한 채택을 이용함에 따라 피싱 공격의 발생률이 크게 증가했습니다.
피싱은 악의적인 하이퍼링크를 클릭하거나 유해한 첨부 파일을 열거나 가짜 웹사이트를 방문하거나 기밀 정보를 유출하거나 사이버 공격에 취약해지도록 유도하기 위해 이메일, 문자 메시지, 전화 통화와 같은 전자 통신 채널을 통해 기만적인 수법을 사용하는 행위입니다.
피싱 공격은 점점 더 흔해져 개인과 조직 모두에 막대한 금전적 손실을 초래하고 있습니다. 다음은 기록상 가장 금전적으로 막대한 피해를 입힌 피싱 공격의 목록입니다.
페이스북과 구글
2013년부터 2015년 사이에 세계에서 가장 유명한 기술 기업 중 두 곳인 페이스북과 구글이 정교한 사이버 사기 공격의 표적이 되어 1억 달러 이상의 손실을 입었습니다. 이 사기의 배후는 리투아니아에 거주하는 에발다스 리마사우스카스로 밝혀졌으며, 그는 페이스북 및 구글과 비즈니스 관계를 맺은 대만의 유명 컴퓨터 제조업체인 콴타 컴퓨터를 사칭한 가짜 기업을 설립했습니다.
가해자는 키프로스, 라트비아 등 여러 국가에 이 유령 회사와 동일한 이름을 사용하여 일련의 은행 계좌를 개설했습니다. 이 계좌들은 자금 세탁을 목적으로 사용되었습니다.
에발다스는 페이스북과 구글을 비롯한 여러 회사로부터 대금을 받은 후 합법적으로 보이지만 실제로는 구속력 있는 계약서가 아닌 가짜 인보이스를 발송하는 절차를 시작했습니다. 그럼에도 불구하고 그의 행동은 체포되었고 이후 전신 사기 혐의로 기소되어 4,970만 달러가 압류되었습니다.
소니 픽처스
소니는 스피어 피싱 공격에 성공하여 운영에 상당한 지장을 초래하고 코미디 영화의 전 세계 개봉이 취소되었습니다. 이 사이버 공격은 2014년 소니의 직원 및 영화 라이브러리에 관한 대량의 민감한 정보를 유출한 악명 높은 해킹 그룹인 ‘가디언즈 오브 피스’에 의해 저질러졌습니다.
사이버 공격의 가해자들은 마이클 린튼(Michael Lynton) CEO를 포함한 소니의 직원들에게 전자 메일을 보내 계정에서 ‘의심스러운 활동’이 감지되었으니 Apple ID를 인증하라는 지시를 내렸습니다. 이메일에는 의심하지 않고 클릭한 사용자의 로그인 자격 증명을 도용하도록 설계된 사기 웹사이트로 연결되는 링크가 포함되어 있었습니다.
이후 조직의 Microsoft 시스템 센터 구성 관리자(SCCM)에 대한 사이버 공격이 시작되어 가해자들은 모든 직원 장치를 악성 소프트웨어로 감염시키고 방대한 양의 기밀 정보를 유출하고 소니 컴퓨터 시스템 내에 저장된 보관 기록을 삭제할 수 있게 되었습니다.
사이버 범죄자들은 다양한 P2P 공유 플랫폼을 통해 경영진의 대화, 주민등록번호, 직원 임금과 같은 민감한 정보와 함께 개봉 전 영화 4편을 노출시켰습니다. 이는 소니 픽처스가 개봉을 앞둔 코미디 영화 ‘더 인터뷰’의 개봉을 철회하라는 핵티비스트 단체의 요구와 맞물려 이뤄진 일이었습니다.
예비 평가에 따르면 회사에 대한 재무적 영향이 당초 예상보다 훨씬 클 수 있으며, 잠재적 손실이 1억 달러를 초과할 것으로 추정됩니다.
Crelan 은행
2016년 벨기에에 본사를 둔 은행인 Crelan은 비즈니스 이메일 침해(BEC) 사기의 희생양이 되어 7,580만 달러의 막대한 금전적 손실을 입었습니다. 이 사기 행위는 은행의 최고 경영자를 사칭한 개인이 재무 부서에서 언급된 금액의 이체를 승인하도록 설득하여 이루어졌습니다.
내부 감사에서 이 공격이 발견되었고 이후 법무부에 보고되었지만 가해자는 아직 밝혀지지 않았습니다. 그 결과 금융 기관은 예방 조치로 조직 프레임워크 내에 강화된 보안 프로토콜을 구현했습니다.
FACC
오스트리아에 본사를 둔 피셔 어드밴스드 컴포짓 컴포넌트(Fischer Advanced Composite Components, FACC)는 보잉, 에어버스, 롤스로이스 등 유수의 기업을 고객으로 두고 있는 항공우주 부품 공급 업체입니다.
2015/16년 이 회사는 비즈니스 이메일 침해(BEC) 사기의 희생양이 되어 약 5,500만 달러의 손실을 입은 후 안타까운 회계 연도를 경험했습니다. 이 사기 행위는 최고 경영자를 사칭한 사기범이 전자 메일을 통해 회계 부서에 ‘인수 프로젝트’의 일환으로 외국 은행에 자금을 이체할 것을 요청하면서 시작되었습니다.
사기 행위를 발견한 FACC는 즉시 조치를 취하여 1,200만 달러의 송금을 성공적으로 막았습니다. 유감스럽게도 이 사건 발생 후 회사의 최고경영자(CEO)인 월터 스테판과 최고재무책임자는 직위에서 해임되었습니다.또한 FACC는 적절한 보안 프로토콜과 감독을 준수하지 않아 두 개인에 대한 법적 절차를 시작했습니다.
업셔-스미스 연구소
미네소타에 본사를 둔 제약 회사인 업셔-스미스 연구소는 2014년 이메일을 통해 회사 최고 경영진을 사칭한 개인에게 속은 미지급금 담당자가 CEO 사기 사기의 대표적인 피해자가 되었습니다.
앞서 언급한 사기 행위로 인해 9차례에 걸친 전신 송금을 통해 불과 3주 만에 5천만 달러가 넘는 엄청난 재정 적자가 발생했습니다. 하지만 거래 과정에서 악의적인 의도를 파악하고 다행히 한 건의 이체를 취소하여 피해를 약 3,900만 달러로 최소화할 수 있었습니다.
유비쿼티 네트웍스
산호세에 본사를 둔 네트워킹 기술 전문 회사인 유비쿼티 네트웍스는 2015년에 신원 미상의 공격자가 실행한 사기 사기로 인해 4,670만 달러의 막대한 손실을 입었습니다. 공격자는 최고 경영자와 변호사를 사칭하여 재무 부서에 연락하여 기밀 인수를 위한 자금을 공개하라는 지시를 내렸습니다.
스피어 피싱 이메일을 활용하여 조직의 재무 부서를 설득하여 홍콩에 위치한 회사의 보조자로부터 범죄자의 국제 계좌로 자금을 전달하도록 했습니다.
유비퀴티는 이후 17일 동안 중국, 러시아, 헝가리, 폴란드 등 다양한 국가로 14건의 전신 송금을 실행했습니다. 사기 행위가 적발된 후 여러 국제 관할권에서 법적 조치를 취한 결과 미화 810만 달러를 회수했습니다.
레오니 AG
2016년 5월 독일에 본사를 둔 전선 및 케이블 생산업체인 레오니 AG는 루마니아의 재무 부서를 겨냥한 피싱 공격이 성공하여 약 4,400만 달러의 금전적 손실을 입었습니다. 사이버 범죄자들은 회사의 독일 최고 관리자를 사칭하여 의심하지 않는 직원에게 해외 계좌로 자금을 이체하도록 유도하는 사기 계획을 실행했습니다.
도요타 보쇼쿠 코퍼레이션
도요타 그룹의 유럽 자회사이자 저명한 자동차 부품 공급업체인 도요타 보쇼쿠 코퍼레이션은 2019년에 비즈니스 이메일 침해(BEC) 공격의 피해자가 되었습니다. 이 사이버 범죄 작전 중에 합법적인 비즈니스 직원을 사칭한 사기범이 자회사와 연락하여 알 수 없는 은행 계좌로 긴급한 금융 거래를 할 것을 요구했습니다.
가해자는 거래가 지연되면 제조 공정에 지장을 초래할 것이라고 주장하며 거래를 신속히 처리하여 회사의 재무 및 회계 부서에 약 3,700만 달러의 손실을 입혔습니다.
Xoom Corporation
2014년 12월, 전자 자금 이체 서비스를 제공하는 저명한 업체인 Xoom Corporation은 같은 기간 분기 보고서에서 비즈니스 이메일 침해(BEC) 사례로 확인된 성공적인 피싱 사기로 인해 3,080만 달러의 금전적 손실을 입었습니다.
사이버 범죄자가 Xoom의 대표로 사칭하여 재무 부서에 불법적인 해외 계좌로 자금을 이체하도록 요청하는 안타까운 사건이 발생했습니다. 그 결과 Xoom의 최고 재무 책임자 매트 히바드는 사직서를 제출했습니다.
피싱 공격으로부터 자신과 회사를 보호하세요
주로 대기업을 대상으로 하지만 수백만 명의 개인 사용자를 노리는 피싱 사기가 너무 널리 퍼져 있습니다. 이러한 공격은 직접적인 금전적 손실을 초래할 뿐만 아니라 생산성 저하, 데이터 손실, 평판 훼손, 고객 이탈로 이어집니다.
피싱 공격은 상당한 금전적 손실을 초래할 수 있기 때문에 개인과 조직 모두에게 심각한 문제가 되고 있습니다. 이러한 위험을 완화하기 위해서는 강력한 비밀번호 사용, 2단계 인증 도입, 사이버 보안 인식에 대한 직원 교육과 같은 예방 조치를 시행하는 것이 필수적입니다.