사회공학적 해킹

사회공학적 해킹은 기업 및 개인 정보 보안에 있어 가장 치명적인 위협 중 하나다. 방화벽, 백신 프로그램, 침입 탐지 시스템과 같은 기술적 보안 장치를 직접 공격하는 대신, 해당 시스템을 사용하는 사람의 실수나 신뢰를 이용한다. 공격자는 신뢰할 수 있는 인물로 가장하거나 위협적인 상황을 연출하여 피해자가 자발적으로 정보를 제공하거나 보안 수칙을 어기도록 유도한다. 이러한 방식은 기술적 해킹보다 방어가 어렵고 탐지하기 힘든 특징이 있다. 실제로 사이버 공격의 약 98%가 사회공학적 요소를 포함하고 있는 것으로 알려져 있다.

사회공학적 해킹은 매체와 수단에 따라 다양한 형태로 나타난다.

• 피싱(Phishing): 이메일이나 메시지를 통해 가짜 사이트로 유도하여 로그인 정보나 금융 정보를 탈취하는 가장 일반적인 방식이다.
• 스피어 피싱(Spear Phishing): 특정 개인이나 조직을 정밀하게 겨냥하여 맞춤형 정보를 제공함으로써 신뢰를 얻는 고도화된 피싱이다.
• 프리텍스팅(Pretexting): 공격자가 특정 인물이나 IT 부서 직원, 수사 기관 등을 사칭하여 시나리오를 짜고 정보를 요구하는 수법이다.
• 베이팅(Baiting): 악성 코드가 담긴 USB나 파일을 유인물처럼 방치하여 사용자의 호기심을 자극해 시스템에 연결하게 만드는 기법이다.
• 테일게이팅(Tailgating): 물리적 보안 구역에 출입증 없이 앞사람을 따라 들어가는 무단 침입 방식이다.
• 퀴드 프로 쿼(Quid Pro Quo): 기술 지원이나 경품 제공 등 대가를 미끼로 사용자의 비밀번호나 정보를 요구하는 방식이다.
• 고전적 기법: 주변 대화를 엿듣거나 모니터를 훔쳐보는 '숄더 서핑(Shoulder Surfing)', 버려진 문서나 휴지통을 뒤지는 '덤스터 다이빙(Dumpster Diving)' 등이 포함된다.

공격자는 피해자의 판단력을 흐리게 하기 위해 인간의 본능적인 심리 요소를 활용한다.

1. 권위 사칭: 공공기관, 상급자, 법적 기관 등 권위 있는 인물을 사칭하여 피해자가 의구심 없이 복종하도록 유도한다.
2. 긴급성 강조: 계좌 동결이나 시스템 삭제 등 즉각적인 조치가 필요하다고 압박하여 피해자가 신중하게 생각할 시간을 빼앗는다.
3. 호기심과 탐욕: 흥미로운 콘텐츠나 경제적 이익을 제공할 것처럼 속여 악성 링크 클릭이나 파일 다운로드를 유도한다.
4. 신뢰와 친밀감: 지인이나 거래처와의 익숙한 관계를 악용하거나, 사전에 수집한 정보를 바탕으로 친밀감을 형성하여 경계심을 늦춘다.

사회공학적 공격은 일반적으로 다음과 같은 단계를 거쳐 수행된다.

사회공학적 해킹은 기업에 막대한 경제적 피해와 신뢰도 하락을 야기한다.

• 인터파크(2016): 직원의 가족을 사칭한 이메일로 악성코드를 유포하여 약 1,030만 명의 고객 정보가 유출되었다.
• LG화학(2016): 거래처의 납품대금 계좌가 변경되었다는 가짜 이메일에 속아 약 240억 원을 허위 계좌로 송금한 사례가 있다.
• 케빈 미트닉(1990년대): 전화와 심리 조작을 통해 미국 국방부 등 주요 기관의 시스템 접근 권한을 획득하여 사회공학의 위험성을 알렸다.

사회공학적 해킹은 기술적 수단만으로는 완벽히 막을 수 없으므로 사용자 교육과 정책적 보완이 필수적이다.

• 보안 인식 교육: 임직원을 대상으로 최신 공격 수법을 교육하고 모의 훈련을 실시하여 경각심을 높여야 한다.
• 다요소 인증(MFA) 도입: 비밀번호 외에 추가적인 인증 수단을 사용하여 계정 탈취 시 피해를 최소화한다.
• 정보 확인 절차 강화: 이메일이나 전화를 통한 정보 요청 시, 반드시 공식적인 경로를 통해 상대방의 신원을 재확인해야 한다.
• 물리적 보안 강화: 외부인의 무단 출입을 통제하고, 출처가 불분명한 저장 매체의 사용을 금지한다.