비즈니스 이메일 침해(BEC): 작동 방식 및 방지법 (KO)

CEO로부터 긴급 송금 요청 이메일이 도착했습니다. 새로운 은행 계좌로, 아무에게도 알리지 말라고 합니다. 주소는 정확해 보이고, 어조도 일치하며, 요청이 의심스러울 정도는 아닙니다. 이틀 후 돈은 사라지고 — CEO는 그 메시지를 보낸 적이 없습니다.

비즈니스 이메일 침해(BEC)는 조직을 대상으로 하는 가장 높은 수익률을 내는 사기 유형 중 하나입니다. 악성코드도, 익스플로잇도 없습니다. 그저 설득력 있는 이메일과 누구도 멈춰서 확인할 새 없이 빠르게 진행되는 프로세스만 있을 뿐입니다. 이 게시물에서는 주요 BEC 변형이 각각 어떻게 작동하는지, 왜 효과적인지, 그리고 신원 인프라가 어떻게 이를 막는지를 다룹니다.

주요 내용

• BEC는 사회 공학 사기입니다. 공격자는 신뢰할 수 있는 이메일 신원을 가장하거나 침해하여 돈이나 데이터를 빼돌립니다.
• 주요 네 가지 변형(CEO 사기, 공급업체/송장 사기, 급여 변경, 계정 침해)은 모두 하나의 메커니즘을 공유합니다. 즉, 확립된 신뢰 관계를 악용하여 일반적인 통제를 우회합니다.
• 요청을 확인할 두 번째 신호가 없을 때 공격은 성공합니다. 이메일만으로는 충분하지 않습니다.
• Didit은 의심스러운 발신자 주소를 잡아내는 이메일 인증(0.03달러), 지급 대상 및 공급업체에게 지급하기 전 인증하는 신원 확인 및 KYB, 그리고 이상 결제를 실시간으로 플래그하는 거래 모니터링으로 이러한 격차를 해소합니다.
• 단 한 번의 BEC 결제를 놓치는 비용은 모든 검사를 합친 비용보다 훨씬 큽니다.

비즈니스 이메일 침해(BEC)란 무엇인가요?

BEC는 공격자가 합법적으로 보이는 이메일(주소 스푸핑, 유사 도메인 등록, 실제 계정 탈취 등)을 사용하여 직원에게 돈을 송금하거나, 결제 세부 정보를 변경하거나, 자격 증명을 공개하도록 속이는 사기입니다.

정의하는 특징은 시스템을 공격하는 것이 아니라 사람과 프로세스를 공격한다는 점입니다. 스캔할 페이로드도, 일치시킬 서명도 없습니다. 잘 만들어진 BEC 이메일은 모든 스팸 필터를 통과합니다. 필터 입장에서는 정상적인 이메일이기 때문입니다.

주요 공격 유형

CEO 사기 (경영진 사칭)

공격자는 고위 경영진(CEO, CFO, 법무 자문위원)을 사칭하여 재무팀에 새로운 계좌로 자금을 송금하라는 긴급하고 기밀 요청 이메일을 보냅니다. 긴급성과 기밀성은 의도적인 것입니다. 이는 대상자가 누구에게도 요청을 확인하지 못하도록 막습니다. 발신자는 일반적으로 유사 도메인(company.com 대신 company-corp.com) 또는 침해된 실제 계정이며, 내용은 종종 대상자의 이름과 경영진의 일정을 조사하여 작성됩니다.

공급업체 및 송장 사기

공격자는 알려진 공급업체를 사칭하여 경리팀에 공급업체의 은행 계좌가 변경되었다고 알리고, 다음 결제를 새 계좌로 리디렉션합니다. 은행 정보 변경은 일상적인 이벤트이지 특이한 요청이 아니므로 효과적입니다. 사기는 실제 공급업체가 미지급 송장을 추적할 때만 드러납니다.

급여 변경

공격자는 직원을 사칭하여 HR 또는 급여 담당자에게 다음 지급 전에 직접 입금 정보를 변경해달라고 요청합니다. 대상은 내부 급여 처리자이므로, 직원이 급여 미지급을 보고할 때까지 거래는 합법적으로 보입니다.

계정 침해 (ATO 기반 BEC)

여기서 공격자는 스푸핑하지 않습니다. 소유권을 가집니다. 실제 계정(종종 재무 또는 조달)이 자격 증명 피싱이나 크리덴셜 스터핑을 통해 탈취되고, BEC 요청은 실제 주소에서 옵니다. 이 변형은 모든 인증 신호가 발신자가 합법적이라고 말하기 때문에 가장 잡기 어렵습니다.

BEC가 비싼 이유

전신 송금은 종종 회수 기간 내에 되돌릴 수 없으므로, 합법적인 당사자가 추적할 때쯤이면 돈은 이미 이동한 상태입니다. 신뢰는 미리 확립되어 있습니다. 요청이 CEO, 공급업체 또는 직원으로부터 오기 때문에 확인이 불필요하게 느껴집니다. 긴급성과 기밀성은 이를 포착할 수 있는 통제를 억제하며, 유사 도메인 등록 비용은 몇 달러에 불과합니다. 그럴듯한 표시 이름이 있으면 대부분의 수신자는 그것을 넘어서 보지 않습니다.

Didit이 돕는 방법

BEC는 결제 체인의 세 지점에서 신원 확인의 허점을 악용합니다. 공급업체가 온보딩될 때, 지급 대상 정보가 변경될 때, 그리고 거래가 실행될 때입니다. Didit의 모듈은 이 세 가지 모두를 다룹니다.

이메일 인증 — 신뢰를 확장하기 전에 의심스러운 발신자를 포착

Didit의 이메일 인증 모듈(검사당 0.03달러)은 OTP 전송 및 확인과 위험 신호 레이어를 2초 이내에 실행합니다. BEC의 경우 위험 신호가 가장 중요합니다.

• 침해 노출 — 주소가 알려진 데이터 침해에 나타나 계정이 침해되었거나 수집되었을 수 있음을 시사합니다.
• 일회용 제공업체 탐지 — 공격을 위해 생성된 계정과 일치하는 임시 또는 일회용 도메인
• 전달 가능성 — 주소가 이메일을 수신하지 않으므로 "공급업체"는 보낼 수 있지만 답장을 받을 수 없습니다.
• 도메인 평판 — 도메인이 새로 등록되었거나, 플래그가 지정되었거나, 유사한 특성을 보입니다.

반환되는 경고 코드: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Business Console에서 각 코드가 승인, 검토 또는 거부를 트리거하도록 구성할 수 있습니다. 공급업체 또는 지급 대상 온보딩 시 DISPOSABLE_EMAIL 및 UNDELIVERABLE_EMAIL을 강제 검토로 설정하는 것은 적은 노력으로 높은 신호를 포착하는 방법입니다. 가입 시뿐만 아니라 공급업체를 온보딩하거나, 지급 대상을 등록하거나, 은행 정보 변경을 처리할 때 실행하세요.

신원 확인 — 요청자가 주장하는 사람인지 확인

급여 변경 및 내부 계정 변경 요청의 경우, 인증 세션은 반박할 수 없는 두 번째 신호를 추가합니다. 간단한 신원 확인을 요구하면 키보드 앞에 있는 사람이 등록된 직원임을 확인합니다.

KYC 핵심 흐름(ID 확인 + 수동 생체 인식 + 얼굴 매칭 1:1 + IP/장치 분석)은 세션당 0.33달러에 실행됩니다. Didit의 SDK는 웹, iOS, Android, React Native, Flutter를 지원하므로, 단일 API 호출로 HR 또는 급여 포털에 임베드하고 웹훅 또는 결정 엔드포인트를 통해 결과를 읽을 수 있습니다. 장치 신호도 도움이 됩니다. 해당 직원과 연결된 적 없는 장치 또는 IP에서 세션이 실행되면 DUPLICATED_DEVICE_FINGERPRINT 또는 EXPECTED_IP_ADDRESS_MISMATCH가 발생합니다.

사업자 확인 (KYB) — 첫 결제 전에 공급업체 유효성 검사

공급업체 송장 사기는 새로운 공급업체가 때때로 신뢰(이메일, 서명된 PDF, 전화 통화)를 기반으로 온보딩되기 때문에 작동합니다. 사업자 확인(KYB, 2.00달러부터)은 프로그래밍 방식의 체인으로 이 격차를 해소합니다.

• 등록부 조회 — 회사가 해당 관할권에 존재하고 활성 상태인지 확인합니다.
• 실질적 소유자 추출 및 임원 데이터 — 실제로 법인을 통제하는 사람을 파악합니다.
• 법인 AML 심사 — 1,300개 이상의 제재, PEP, 부정적 미디어 목록에 대해 사업체와 주요 인물을 확인합니다.
• 연결된 KYC 세션 — 각 실질적 소유자는 전체 개인 신원 확인을 거쳐 법인과 사람 사이의 고리를 닫을 수 있습니다.

새로 등록된 회사, 전달 불가능한 이메일, 등록부 존재하지 않는 공급업체는 BEC 운영자가 만드는 프로필과 정확히 일치합니다. KYB는 첫 송장이 지급되기 전에 이를 파악합니다.

거래 모니터링 — 실시간으로 이상 결제 플래그 지정

강력한 온보딩 통제가 있더라도 BEC는 기존 관계를 가로챌 수 있습니다. 실제 공급업체의 이메일을 침해한 공격자가 실제 계정의 은행 정보 변경을 요청하는 경우입니다. 공급업체는 실제이고, 송장도 실제입니다. 오직 목적지만 변경되었을 뿐입니다.

거래 모니터링(거래당 0.02달러)은 행동 이상을 포착합니다. 공급업체가 한 번도 사용하지 않은 계좌로의 결제, 과거 범위 밖의 금액, 또는 빈도의 급작스러운 변화 등입니다. 규칙 엔진은 속도, 금액, 거래 상대방, 지리적 위치를 다루는 11개의 시드 번들을 제공하며, 그 위에 사용자 지정 규칙을 계층화할 수 있습니다. 일치하는 항목은 인력 검토를 위한 사례 관리로 들어가며, AWAITING_USER 자동 수정 루프는 낮은 위험의 결제를 원래 사용자가 진행하기 전에 신원 재확인을 완료하도록 게이트할 수 있습니다.

사용 사례

매입 채무 — 공급업체 온보딩 및 은행 정보 변경

새 공급업체를 추가하거나 결제 세부 정보를 변경할 때 이메일 인증 + KYB를 실행합니다. 일회용 도메인 또는 등록부 누락은 어떠한 결제도 이루어지기 전에 사기성 공급업체를 막습니다.

HR 및 급여 — 직원 급여 계좌 변경

직원이 직접 입금 정보를 변경할 때마다 KYC 단계를 요구합니다. 생체 인식 + 라이브니스(liveness)는 직원이 현재 존재함을 확인하며, 장치 및 IP 신호는 세션이 알려진 컨텍스트에서 시작되었음을 확인합니다.

재무 운영 — 외부 송금 모니터링

외부 흐름에 대해 거래 모니터링을 실행합니다. 처음 거래하는 상대방, 과거 임계값을 초과하는 결제, 최근 추가된 계좌를 플래그하고 실행 전에 검토자에게 라우팅합니다.

플랫폼 및 마켓플레이스 지급

제품이 기업이나 프리랜서에게 자금을 지급하는 경우, BEC 스타일의 사기는 플랫폼 수준의 위험입니다. 기업 지급 대상에 대한 KYB 및 가입 시 이메일 인증은 기본 통제입니다.

Didit과 통합하는 방법

모든 검사는 Didit 인증 세션 내에서 실행됩니다. 필요한 모듈(이메일 인증, KYC, KYB, 거래 모니터링)을 포함하는 워크플로로 세션을 생성한 다음, 웹훅 또는 결정 엔드포인트를 통해 결정을 읽습니다.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

전체 참조: 이메일 인증 · KYB · 거래 모니터링 · 데이터 모델.

자주 묻는 질문

BEC가 일반적인 피싱과 다른 점은 무엇인가요?

피싱은 일반적으로 사용자에게 어딘가에 자격 증명을 입력하도록 속여 자격 증명을 훔칩니다. BEC는 그 단계를 건너뛰고, 신뢰할 수 있는 것처럼 보이는 이메일을 사용하여 대상자가 직접 돈을 송금하거나 은행 정보를 변경하도록 조작합니다. 자격 증명을 훔칠 필요가 없습니다. 대상자가 단순히 따르기만 하면 공격은 성공합니다.

공격자가 침해한 실제 계정을 사용하는 경우 이메일 인증이 어떻게 도움이 되나요?

계정 침해 변형의 경우, 침해 노출 신호가 가장 관련성이 높습니다. 주소가 알려진 침해 데이터 세트에 나타나면 계정이 탈취되었을 수 있다는 지표가 됩니다. 전달 가능성 및 도메인 평판 신호는 유사 도메인에 도움이 됩니다. 계정 침해는 주소만으로는 포착하기 가장 어려운 변형입니다. 이것이 바로 이메일 검사를 행동 거래 모니터링과 짝짓는 것이 중요한 이유입니다.

새로운 공급업체에 대해 KYB가 요구되는 시점은 언제인가요?

첫 결제 전입니다. KYB 실행 비용(법인당 2.00달러부터)은 사기성 송금에 비해 무시할 수 있는 수준입니다. 최소한 새로운 지급 대상이 추가되거나 기존 지급 대상 은행 정보가 변경될 때마다 KYB를 트리거해야 합니다.

Didit은 EU 및 미국 외 지역의 사업체를 지원하나요?

예. 사업자 확인은 220개 이상의 국가 및 지역의 등록부를 다루고, AML 심사는 1,300개 이상의 글로벌 목록을 다루며, 거래 모니터링은 법정 화폐 및 암호화폐를 처리합니다. Didit은 EU 회원국 정부(스페인 Tesoro / Banco de España / SEPBLAC)로부터 대면 확인보다 안전하다고 공식적으로 인증받은 유일한 신원 제공업체입니다.

시작할 준비가 되셨나요?

BEC는 기술적인 문제만큼이나 프로세스 문제입니다. 하지만 올바른 기술은 프로세스 통제를 대규모로 가능하게 합니다. Didit의 이메일 인증, 신원 확인, KYB, 거래 모니터링은 온보딩 및 결제 흐름에 필요한 정확한 워크플로를 구성합니다.

• 모듈 알아보기 → 이메일 인증 · KYB · 거래 모니터링
• 가격 확인 → didit.me/pricing — 이메일 인증 0.03달러, KYB 2.00달러부터, 거래 모니터링 거래당 0.02달러
• 무료 시작 → business.didit.me — 월 500회 무료 인증, 최소 요건 없음