최악의 피싱 사기는 CEO 사기와 같이 그냥 무시할 수 없는 유형입니다. 정부에서 보낸 것으로 추정되는 이메일은 미납된 세금 관련 금액을 납부하지 않으면 법적 조치를 당할 수 있다는 내용을 담고 있습니다. 학교나 대학교에서 보낸 것처럼 보이는 이메일은 미납한 등록금을 납부하라고 요구합니다. 또는 상사나 CEO가 보낸 메시지로 "호의로" 돈을 송금하라는 내용도 있습니다.

CEO 사기란 무엇인가요?

CEO 사기 공격은 사기범이 회사의 CEO를 사칭하여 직원들에게 돈을 송금하도록 유도하는 이메일 피싱 사기입니다. 이메일에는 일반적으로 회사 CEO의 실명과 직함이 포함됩니다.

이러한 이메일의 문제점은 정부, 대학 이사회, 직장 상사 등 권위자를 사칭한다는 점입니다. 이들은 중요한 사람들이므로 이들의 메시지를 무시하면 심각한 결과를 초래할 수 있습니다. 따라서 사칭 메시지가 충분히 설득력 있어 보이면 실제로 속아 넘어갈 수도 있습니다.

여러분도 CEO 사기로부터 자유로울 수 없습니다.

매년 23억 달러 규모의 사기가 발생하고 있습니다. "어떻게 기업이 단순한 이메일 사기로 그렇게 많은 돈을 잃을 수 있을까요?"라고 의아해할 수도 있습니다. 하지만 CEO 사기 이메일이 얼마나 설득력이 있는지 알고 나면 놀랄 것입니다.

2016년 마텔은 재무 담당 임원이 중국에 있는 공급업체 중 한 곳에 대금을 송금하라는 CEO의 이메일을 받고 피싱 공격으로 300만 달러를 잃을 뻔했습니다. 하지만 나중에 CEO에게 확인한 후에야 그녀는 그가 이메일을 보낸 적이 전혀 없다는 사실을 알게 되었습니다. 다행히 중국과 미국의 법 집행 기관과 협력하여 며칠 후 돈을 돌려받을 수 있었지만, 이러한 공격은 거의 발생하지 않습니다.

사람들은 이러한 사기가 자신에게 일어나지 않을 것이라고 믿는 경향이 있습니다. 그리고 이것이 바로 CEO 사기에 대비하지 않는 가장 큰 실수입니다.

피싱 사기는 조직에 수백만 달러의 비용을 초래할 뿐만 아니라 브랜드의 평판과 신뢰도에 지속적인 영향을 미칠 수 있습니다. 이메일 사기로 돈을 잃은 회사로 인식되어 민감한 개인 정보를 저장하고 있는 고객의 신뢰를 잃을 위험이 있습니다.

사후에 허둥지둥 피해 대책을 마련하는 것보다 이번과 같은 스피어 피싱 사기로부터 이메일 채널을 보호하는 것이 훨씬 더 합리적입니다. 다음은 FBI의 BEC 관련 보고서에서 조직이 통계에 포함되지 않도록 할 수 있는 몇 가지 최선의 방법입니다.

CEO 사기를 예방하는 방법: 간단한 6단계

보안에 대한 직원 교육
이 부분은 절대적으로 중요합니다. 직원들, 특히 재무 부서의 직원들은 비즈니스 이메일 침해가 어떻게 작동하는지 이해해야 합니다. 포스트잇에 비밀번호를 적어두지 말라는 지루한 2시간짜리 프레젠테이션을 말하는 것이 아닙니다. 이메일이 가짜라는 의심스러운 징후, 스푸핑된 이메일 주소, 다른 직원이 이메일을 통해 보내는 비정상적인 요청을 주의 깊게 살펴보는 방법에 대해 교육해야 합니다.
스푸핑의 명백한 징후를 찾아보세요.
이메일 사기범은 사용자가 자신의 요청에 응하도록 하기 위해 온갖 수법을사용합니다. 긴급한 요청/지시를 통해 사용자가 아무 생각 없이 신속하게 행동하도록 유도하거나, 상급자가 아직 공유할 준비가 되지 않은 '비밀 프로젝트'의 기밀 정보에 대한 액세스를 요청하는 등 다양한 수법이 있습니다. 이는 심각한 위험 신호이므로 어떤 조치를 취하기 전에 두 번, 세 번 확인해야 합니다.
DMARC로 보호받기
피싱 사기를 예방하는 가장 쉬운 방법은 애초에 이메일을 받지 않는 것입니다. DMARC는 이메일을 전달하기 전에 내 도메인에서 발송되는 이메일을 확인하는 이메일 인증 프로토콜입니다. 도메인에 DMARC를 적용하면 조직의 누군가를 사칭하는 공격자는 권한이 없는 발신자로 탐지되어 받은 편지함에서 해당 이메일이 차단됩니다. 스푸핑된 이메일을 전혀 처리할 필요가 없습니다.

DMARC가 무엇인지 알아보세요.

송금에 대한 명시적인 승인 받기
이는 잘못된 사람에게 송금하는 것을 방지할 수 있는 가장 쉽고 간단한 방법 중 하나입니다. 거래를 시작하기 전에 이메일 이외의 다른 채널을 사용하여 송금을 요청하는 사람에게 명시적인 승인을 받도록 의무화하세요. 고액 송금의 경우 구두 확인을 의무적으로 받도록 하세요.
확장명이 유사한 이메일에 플래그 지정
FBI는 조직에서 자신의 이메일과 너무 유사한 확장자를 사용하는 이메일을 자동으로 신고하는 시스템 규칙을 만들 것을 권장합니다. 예를 들어, 회사에서 '123-business.com'을 사용하는 경우 시스템에서 '123_business.com'과 같은 확장자를 사용하는 이메일을 감지하여 플래그를 지정할 수 있습니다.
유사한 도메인 네임 구매
공격자는 피싱 이메일을 보낼 때 유사한 도메인 이름을 사용하는 경우가 많습니다. 예를 들어, 조직 이름에 소문자 'i'가 있는 경우 대문자 'I'를 사용하거나 문자 'E'를 숫자 '3'으로 바꿀 수 있습니다. 이렇게 하면 누군가 매우 유사한 도메인 이름을 사용하여 이메일을 보낼 가능성을 낮출 수 있습니다.