직장의 안전 단어: 당신의 회사에 구두 비상 장치가 필요한 이유

아무도 이야기하지 않는 555억 달러 문제

비즈니스 이메일 사기(BEC)는 세계에서 가장 큰 재정적 피해를 입히는 사이버 범죄입니다. FBI 인터넷범죄신고센터에 따르면, BEC로 인한 누적 전 세계 피해액은 555억 달러이며, 2024년에만 27.7억 달러가 도난당했습니다. 그러나 대부분의 기업은 이에 대해 들어본 적도 없고, 방어 수단을 갖춘 기업은 더 적습니다.

BEC가 효과적인 이유는 기술이 아닌 신뢰를 악용하기 때문입니다. 공격자는 CEO, 거래처, 동료를 사칭하고 송금, 자격 증명 공유, 결제 정보 변경을 설득합니다. 이메일은 진짜처럼 보입니다. 전화는 진짜처럼 들립니다. 이제 딥페이크 음성 복제와 영상으로, 인간의 인식 수준에서 실제로 진짜가 될 수 있습니다.

Arup 딥페이크: 영상 통화 한 번에 2,500만 달러 사라지다

2024년 2월, 홍콩에 있는 엔지니어링 회사 Arup의 재무부 직원이 회사 CFO와 여러 동료가 참여하는 것처럼 보이는 화상 회의에 참가했습니다. 화면 속 모든 얼굴이 딥페이크였습니다. AI가 생성한 참가자들이 5건의 거래를 통해 2,500만 달러를 이체하라고 지시했습니다. 직원은 지시를 따랐습니다. 사기가 발견되었을 때, 돈은 여러 은행 계좌에 분산되어 사라진 뒤였습니다.

이것은 국가 차원의 정교한 공격이 아니었습니다. 상업적으로 이용 가능한 딥페이크 도구를 사용한 범죄 조직이었습니다. 직원이 동료처럼 보이고 들리는 사람들을 보고 듣고 있었기 때문에 공격이 성공한 것입니다. 시각적 및 청각적 확인 — 인간 신뢰의 기반 — 이 완전히 무력화되었습니다.

"딥페이크 영상과 음성이 BEC 사기의 일부로 점점 더 많이 사용되고 있습니다. 예전에는 이메일 주소 하나를 사칭하면 됐지만 이제는 사람 전체를 사칭합니다." — FBI 사이버 부서, 2024

MGM 리조트: 전화 한 통, 1억 달러의 피해

2023년 9월, 해킹 그룹 Scattered Spider가 MGM 리조트의 IT 헬프데스크에 전화하여 직원을 사칭했습니다. 통화 시간은 약 10분이었습니다. LinkedIn에서 수집한 정보를 활용하여, 발신자는 헬프데스크 기술자를 설득해 해당 직원의 자격 증명을 재설정하게 했습니다. 이 한 통의 전화가 공격자에게 MGM의 전체 네트워크에 대한 접근 권한을 주었습니다.

결과: 라스베이거스 전역의 슬롯 머신이 작동을 멈추고, 호텔 키 카드가 작동하지 않았으며, MGM의 운영이 10일간 마비되었습니다. 추정 피해액은 1억 달러를 초과합니다. IT 헬프데스크 직원이 전화 건 사람의 실제 신원을 확인할 수 없었기 때문에 벌어진 일입니다.

기존 보안이 여기서 실패하는 이유

기업들은 방화벽, 엔드포인트 탐지, 다중 인증에 수십억을 지출합니다. 하지만 이 중 어느 것도 신뢰하는 내부 인원이 전화로 사회공학적 공격을 받는 것을 막지 못합니다. 공격자가 IT를 설득해 MFA를 재설정하면 MFA는 소용없습니다. 이메일 필터는 전화 공격을 잡지 못합니다. 엔드포인트 보안은 사람이 송금을 승인하는 것을 막지 못합니다.

• 다중 인증 — 공격자가 IT를 사회공학적으로 조작하여 재설정하게 만듭니다
• 이메일 보안 필터 — 전화나 영상을 통한 공격에는 무관합니다
• 발신자 번호 — 어떤 번호로든 쉽게 변조할 수 있습니다
• 영상 통화에서의 시각적 확인 — 실시간 딥페이크로 무력화됩니다
• 보안 인식 교육 — 피싱 이메일을 식별하도록 가르치지만, 실시간 음성 사칭은 다루지 않습니다

빠진 층: 구두 검증

안전 단어는 공개 정보에서 파생되지 않기 때문에 딥페이크가 복제할 수 없습니다. 이것은 공유된 비밀입니다 — 직접 만나서 합의한 사람들의 기억 속에만 존재하는 지식입니다. 아무리 LinkedIn을 조사하고, 음성을 복제하고, 영상을 딥페이크로 만들어도 이것을 만들어낼 수 없습니다.

NIST 특별 간행물 800-63B — 미국 정부의 디지털 신원 지침 — 는 공중 교환 전화망(PSTN)을 통한 음성 기반 대역 외 인증을 명시적으로 승인합니다. 원칙은 건전합니다: 공격자가 가로챌 수 없는 공유된 지식을 사용하여 별도의 채널로 신원을 확인하는 것입니다.

직장 안전 단어 구현 방법

• 전체 회의에서 직접 공유하는 팀 안전 단어를 설정하세요 — 이메일이나 채팅으로는 절대 안 됩니다
• 정책 수립: 기준 금액(예: 500만 원) 이상의 금융 거래는 구두 안전 단어 확인이 필요합니다
• IT 헬프데스크는 비밀번호 또는 MFA 재설정 전에 부서 안전 단어를 확인해야 합니다
• 분기마다 안전 단어를 교체하세요 — 다음 대면 회의에서 새로운 단어를 공지합니다
• 거래처 결제: 주요 거래처와 결제 변경 요청을 위한 안전 단어를 설정하세요
• 임원 소통: CEO가 긴급 요청으로 전화하면, 누구든 행동하기 전에 안전 단어를 제시해야 합니다

거래처 사칭: 가장 빠르게 성장하는 BEC 공격 벡터

Abnormal AI에 따르면, 현대 BEC 공격의 60%가 이제 임원 사칭이 아닌 거래처 사칭을 포함합니다. 공격자가 거래처의 이메일을 침해하고 청구서 발행 패턴을 모니터링한 다음 설득력 있는 메시지를 보냅니다: "은행 계좌가 변경되었습니다. 기록을 업데이트하고 다음 결제를 이 새 계좌로 보내주세요."

경리팀과 각 주요 거래처 사이에 공유된 안전 단어가 있다면 이것을 완전히 차단할 수 있습니다. 결제 정보 변경이 처리되기 전에, 거래처가 알려진 연락처에게 알려진 번호로 전화하여 공유 확인 단어를 제시해야 합니다.

재택근무가 상황을 악화시켰습니다

같은 사무실에서 근무할 때는 누군가의 책상으로 걸어가서 직접 요청을 확인할 수 있었습니다. 재택 및 하이브리드 근무는 그 옵션을 없앴습니다. 이제 모든 확인이 디지털 채널을 통해 이루어집니다 — 바로 딥페이크가 침해할 수 있는 그 채널입니다. 안전 단어는 원격 상호작용에 대면 신뢰 계층을 복원합니다.