사회공학적 공격
본 서비스가 제공하는 내용 및 자료가 사실임을 보증하지 않습니다. 시스템은 언제나 실수를 할 수 있습니다. 중요한 의사결정 및 법리적 해석, 금전적 의사결정에 사용하지 마십시오.
사회공학적 공격(Social Engineering Attack)은 정보 보안의 가장 약한 고리인 '사람'을 공략하는 수법이다. 시스템의 기술적 허점을 찾는 대신, 인간의 본성인 신뢰, 호기심, 탐욕, 공포 등을 자극하여 피해자가 스스로 보안 정보를 제공하거나 악성 코드를 실행하도록 유도한다. 1990년대 유명 해커 케빈 미트닉이 이 용어를 사용하며 널리 알려졌으며, 현대 사이버 범죄에서 기술적 해킹보다 더 빈번하게 활용되는 핵심 전술이다.
개요
사회공학적 공격은 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 의미한다. 이는 '사람을 해킹한다'는 개념으로 통용되며, 시스템 어딘가에 저장된 데이터를 직접 탈취하기보다 사용자가 스스로 정보를 제공하게 만드는 데 초점을 맞춘다. 1990년대 미국 국방부에 침투하며 유명해진 해커 케빈 미트닉이 이 용어를 사용하면서 특정 해킹 기법으로 자리 잡았다.
주요 공격 기법
사회공학적 공격은 공격자와 피해자의 상호작용 방식에 따라 여러 유형으로 나뉜다.
| 기법 | 설명 |
|---|---|
| 피싱(Phishing) | 공공기관이나 지인을 사칭해 개인 정보를 요구하는 가장 일반적인 수법이다. |
| 스피어 피싱(Spear Phishing) | 특정 개인이나 조직을 표적으로 삼아 정교하게 설계된 메시지를 보내는 방식이다. |
| 프리텍스팅(Pretexting) | 가상의 시나리오를 설정하여 피해자가 정보를 발설하도록 유도하는 행위이다. |
| 베이팅(Baiting) | 악성코드가 담긴 USB나 파일을 공공장소에 두어 피해자의 호기심을 자극해 실행하게 만드는 기법이다. |
| 퀴드 프로 쿼(Quid Pro Quo) | 서비스 제공이나 문제 해결을 빌미로 사용자의 정보를 요구하는 방식이다. |
물리적 및 기타 수법
전통적인 사회공학 공격은 물리적인 환경에서도 이루어진다.
- 테일게이팅(Tailgating): 출입 통제 구역에서 권한이 있는 사람의 뒤를 따라 무단으로 침입하는 물리적 수법이다.
- 숄더 서핑(Shoulder Surfing): 주변 대화를 엿듣거나 모니터 화면, 키패드 입력을 훔쳐보는 행위이다.
- 덤스터 다이빙(Dumpster Diving): 버려진 문서나 휴지통을 뒤져 아이디, 비밀번호, 조직도 등의 정보를 찾아내는 방식이다.
주요 피해 사례
사회공학적 공격은 기업과 개인에게 막대한 경제적, 유무형적 피해를 입힌다.
- 인터파크(2016): 해커가 직원의 가족 관계를 파악한 뒤 동생을 사칭한 악성 메일을 보내 업무용 PC를 감염시켰다. 이로 인해 약 1,000만 명 이상의 고객 정보가 유출되었다.
- LG화학(2016): 거래처의 납품대금 계좌가 변경되었다는 가짜 이메일에 속아 허위 계좌로 약 240억 원을 송금하는 피해가 발생하였다.
- 기타: 배송 내역, 입사지원서, 논문 등으로 위장한 파일을 보내 악성코드를 감염시키는 사례가 지속적으로 보고되고 있다.
대응 및 예방
사회공학적 공격은 기술적 보안 장비만으로는 완벽히 차단하기 어렵다. 따라서 다음과 같은 예방 조치가 권장된다.
- 보안 인식 교육: 임직원을 대상으로 의심스러운 메일이나 요청을 식별하는 교육을 정기적으로 실시한다.
- 다중 인증(MFA) 도입: 비밀번호 외에 추가적인 인증 수단을 사용하여 계정 탈취 피해를 최소화한다.
- 정보 공유 제한: 소셜 미디어나 공공장소에서 업무 관련 민감 정보가 노출되지 않도록 주의한다.
- 물리적 보안 강화: 외부인의 출입을 엄격히 통제하고 중요 문서는 반드시 파쇄한다.