"입금 계좌가 바뀌었습니다"… 이메일 한 통에 날아간 회사 자금
AMEET AI 분석: [정희수의 이메일 해킹과 방어] 〈8〉 BEC 공격
SPECIAL REPORT | CYBER SECURITY
"입금 계좌가 바뀌었습니다"… 이메일 한 통에 날아간 회사 자금
기술 해킹보다 무서운 ‘사람 해킹’… 교묘해지는 BEC 공격의 덫
최근 한 국내 중소기업의 재무 담당자는 평소 거래하던 해외 업체로부터 한 통의 이메일을 받았습니다. "기존 은행 계좌에 문제가 생겨 이번 달 결제 대금은 새로운 계좌로 송금해달라"는 내용이었죠. 평소 주고받던 메일 형식과 말투, 심지어 담당자의 서명까지 똑같았습니다. 담당자는 별다른 의심 없이 수억 원의 대금을 보냈습니다. 하지만 일주일 뒤, 진짜 거래처로부터 대금이 미납되었다는 항의 전화를 받고서야 모든 것이 가짜였다는 사실을 깨달았습니다. 범인은 기술적인 시스템 해킹이 아니라, 사람의 심리와 신뢰를 이용한 'BEC' 공격을 벌인 것입니다.
기술이 아닌 사람을 노리는 'BEC'란 무엇인가
BEC는 'Business Email Compromise'의 약자로, 우리말로는 '기업 이메일 침해'라고 부릅니다. 이 공격은 컴퓨터 바이러스를 심거나 복잡한 시스템 구멍을 뚫는 대신, 우리가 매일 사용하는 이메일을 가로채거나 사칭하는 방식으로 이루어집니다. 해커는 공격 대상 기업의 거래 관계를 미리 꼼꼼하게 조사한 뒤, 거래처나 회사 내부 임원을 가장해 돈을 보내라고 요구합니다.
여기서 한 가지 생각해볼 게 있습니다. 해커들이 왜 귀찮게 사람을 속이는 방식을 택할까요? 보안 기술이 발전하면서 시스템을 직접 뚫는 것이 점점 어려워졌기 때문입니다. 반면, 사람은 아무리 보안 시스템이 훌륭해도 급박한 상황이거나 신뢰하는 사람의 요청이라면 경계심을 늦추기 마련입니다. 해커들은 이 '심리적 빈틈'을 파고듭니다.
한 번 속으면 끝, BEC 공격의 소름 돋는 수법
BEC 공격은 크게 세 단계로 나뉩니다. 첫 번째는 '관찰'입니다. 해커는 바로 공격을 시작하지 않습니다. 수주에서 수개월 동안 기업의 이메일 대화 내용을 몰래 훔쳐보며 누가 결제 권한을 가졌는지, 어떤 시기에 돈이 오가는지 공부합니다. 두 번째는 '준비'입니다. 거래처와 아주 유사한 가짜 도메인을 만듭니다. 예를 들어 실제 주소가 'apple.com'이라면 'appeI.com'(L 대신 대문자 i) 같은 식이죠. 눈여겨보지 않으면 절대 알 수 없습니다.
마지막 단계는 '실행'입니다. 가장 바쁜 월말이나 퇴근 직전, 혹은 거래처 담당자가 휴가를 간 시점을 노려 이메일을 보냅니다. "지금 바로 입금하지 않으면 계약이 취소된다"는 식으로 압박을 가하죠. 당황한 직원은 확인 절차를 건너뛰고 송금 버튼을 누르게 됩니다. 일단 돈이 빠져나가면 해외 여러 계좌로 쪼개져 순식간에 사라지기 때문에 회수가 거의 불가능합니다.
공격자가 주로 활용하는 속임수 유형
* 일반적인 BEC 공격 유형 비중 (복수 응답 포함 가능성)
피해를 막을 유일한 방법은 '확인 또 확인'
보안 전문가들은 BEC를 막기 위해 '다중 인증'이 필수라고 입을 모읍니다. 단순히 이메일 비밀번호를 어렵게 만드는 것만으로는 부족하다는 뜻입니다. 이메일로 송금 요청이 오면 반드시 전화나 영상 통화, 혹은 메신저 등 다른 통로를 통해 상대방이 보낸 것이 맞는지 교차 확인을 해야 합니다. 특히 계좌 번호가 바뀌었다는 요청은 100% 의심해봐야 합니다.
또한 기업 내부에서도 송금 프로세스를 깐깐하게 만들어야 합니다. 한 사람의 결정으로 큰돈이 나가지 않도록 최소 두 명 이상의 승인을 거치게 하거나, 고액 송금 전에는 반드시 유선 확인을 의무화하는 규칙이 필요합니다. 해커는 기술적으로 완벽한 보안 시스템보다, 꼼꼼하게 전화를 걸어 사실을 확인하는 직원을 더 무서워합니다.
2026년 현재, 국제 무역 환경이 급변하고 공급망이 복잡해지면서 기업 간 이메일 소통은 더욱 빈번해지고 있습니다. 교묘해지는 사기 수법 앞에 '설마 우리 회사가 당하겠어?'라는 안일함은 가장 위험한 적입니다. 오늘 받은 이메일 한 통, 다시 한번 꼼꼼히 살펴보셨나요?
SPECIAL REPORT | CYBER SECURITY
"입금 계좌가 바뀌었습니다"… 이메일 한 통에 날아간 회사 자금
기술 해킹보다 무서운 ‘사람 해킹’… 교묘해지는 BEC 공격의 덫
최근 한 국내 중소기업의 재무 담당자는 평소 거래하던 해외 업체로부터 한 통의 이메일을 받았습니다. "기존 은행 계좌에 문제가 생겨 이번 달 결제 대금은 새로운 계좌로 송금해달라"는 내용이었죠. 평소 주고받던 메일 형식과 말투, 심지어 담당자의 서명까지 똑같았습니다. 담당자는 별다른 의심 없이 수억 원의 대금을 보냈습니다. 하지만 일주일 뒤, 진짜 거래처로부터 대금이 미납되었다는 항의 전화를 받고서야 모든 것이 가짜였다는 사실을 깨달았습니다. 범인은 기술적인 시스템 해킹이 아니라, 사람의 심리와 신뢰를 이용한 'BEC' 공격을 벌인 것입니다.
기술이 아닌 사람을 노리는 'BEC'란 무엇인가
BEC는 'Business Email Compromise'의 약자로, 우리말로는 '기업 이메일 침해'라고 부릅니다. 이 공격은 컴퓨터 바이러스를 심거나 복잡한 시스템 구멍을 뚫는 대신, 우리가 매일 사용하는 이메일을 가로채거나 사칭하는 방식으로 이루어집니다. 해커는 공격 대상 기업의 거래 관계를 미리 꼼꼼하게 조사한 뒤, 거래처나 회사 내부 임원을 가장해 돈을 보내라고 요구합니다.
여기서 한 가지 생각해볼 게 있습니다. 해커들이 왜 귀찮게 사람을 속이는 방식을 택할까요? 보안 기술이 발전하면서 시스템을 직접 뚫는 것이 점점 어려워졌기 때문입니다. 반면, 사람은 아무리 보안 시스템이 훌륭해도 급박한 상황이거나 신뢰하는 사람의 요청이라면 경계심을 늦추기 마련입니다. 해커들은 이 '심리적 빈틈'을 파고듭니다.
한 번 속으면 끝, BEC 공격의 소름 돋는 수법
BEC 공격은 크게 세 단계로 나뉩니다. 첫 번째는 '관찰'입니다. 해커는 바로 공격을 시작하지 않습니다. 수주에서 수개월 동안 기업의 이메일 대화 내용을 몰래 훔쳐보며 누가 결제 권한을 가졌는지, 어떤 시기에 돈이 오가는지 공부합니다. 두 번째는 '준비'입니다. 거래처와 아주 유사한 가짜 도메인을 만듭니다. 예를 들어 실제 주소가 'apple.com'이라면 'appeI.com'(L 대신 대문자 i) 같은 식이죠. 눈여겨보지 않으면 절대 알 수 없습니다.
마지막 단계는 '실행'입니다. 가장 바쁜 월말이나 퇴근 직전, 혹은 거래처 담당자가 휴가를 간 시점을 노려 이메일을 보냅니다. "지금 바로 입금하지 않으면 계약이 취소된다"는 식으로 압박을 가하죠. 당황한 직원은 확인 절차를 건너뛰고 송금 버튼을 누르게 됩니다. 일단 돈이 빠져나가면 해외 여러 계좌로 쪼개져 순식간에 사라지기 때문에 회수가 거의 불가능합니다.
공격자가 주로 활용하는 속임수 유형
* 일반적인 BEC 공격 유형 비중 (복수 응답 포함 가능성)
피해를 막을 유일한 방법은 '확인 또 확인'
보안 전문가들은 BEC를 막기 위해 '다중 인증'이 필수라고 입을 모읍니다. 단순히 이메일 비밀번호를 어렵게 만드는 것만으로는 부족하다는 뜻입니다. 이메일로 송금 요청이 오면 반드시 전화나 영상 통화, 혹은 메신저 등 다른 통로를 통해 상대방이 보낸 것이 맞는지 교차 확인을 해야 합니다. 특히 계좌 번호가 바뀌었다는 요청은 100% 의심해봐야 합니다.
또한 기업 내부에서도 송금 프로세스를 깐깐하게 만들어야 합니다. 한 사람의 결정으로 큰돈이 나가지 않도록 최소 두 명 이상의 승인을 거치게 하거나, 고액 송금 전에는 반드시 유선 확인을 의무화하는 규칙이 필요합니다. 해커는 기술적으로 완벽한 보안 시스템보다, 꼼꼼하게 전화를 걸어 사실을 확인하는 직원을 더 무서워합니다.
2026년 현재, 국제 무역 환경이 급변하고 공급망이 복잡해지면서 기업 간 이메일 소통은 더욱 빈번해지고 있습니다. 교묘해지는 사기 수법 앞에 '설마 우리 회사가 당하겠어?'라는 안일함은 가장 위험한 적입니다. 오늘 받은 이메일 한 통, 다시 한번 꼼꼼히 살펴보셨나요?
※ 안내
본 콘텐츠는 Rebalabs의 AI 멀티 에이전트 시스템 AMEET을 통해 생성된 자료입니다.
본 콘텐츠는 정보 제공 및 참고 목적으로만 활용되어야 하며, Rebalabs 또는 관계사의 공식 입장, 견해, 보증을 의미하지 않습니다.
AI 특성상 사실과 다르거나 부정확한 내용이 포함될 수 있으며, 최신 정보와 차이가 있을 수 있습니다.
본 콘텐츠를 기반으로 한 판단, 의사결정, 법적·재무적·의학적 조치는 전적으로 이용자의 책임 하에 이루어져야 합니다.
Rebalabs는 본 콘텐츠의 활용으로 발생할 수 있는 직·간접적인 손해, 불이익, 결과에 대해 법적 책임을 지지 않습니다.
이용자는 위 내용을 충분히 이해한 뒤, 본 콘텐츠를 참고 용도로만 활용해 주시기 바랍니다.