사회 공학적 공격

사회 공학적 공격은 기술적인 해킹 수단보다 사람의 심리를 조작하는 데 집중하는 공격 방식이다. 이는 결코 새로운 기법이 아니며, 아주 오래전부터 보안 분야에서 다루어져 온 고전적인 수법이다. 공격자는 피해자의 신뢰를 얻거나 공포심을 유발하는 거짓 내러티브를 생성하여 시스템 내부로 침입하거나 데이터를 유출한다. 현대의 보안 시스템이 고도화됨에 따라 기술적 취약점을 찾는 대신 상대적으로 취약한 인간의 판단력을 공략하는 사례가 늘고 있다.

사회 공학적 공격은 방식에 따라 다음과 같이 분류된다.

• 피싱(Phishing): 신뢰할 수 있는 기관을 사칭하여 이메일이나 메시지를 보내 개인 정보나 금융 정보를 탈취하는 가장 일반적인 방식이다.
• 미끼 공격(Baiting): 무료 소프트웨어나 물리적 저장 매체(USB 등)를 미끼로 제공하여 사용자가 스스로 악성 코드를 설치하게 유도한다.
• 테일게이팅(Tailgating): 권한이 있는 사람의 뒤를 따라 보안 구역에 무단으로 침입하는 물리적 사회 공학 기법이다.
• 프리텍스팅(Pretexting): 가상의 시나리오를 만들어 피해자의 신뢰를 얻은 뒤 정보를 요구하는 방식이다.
• 스케어웨어(Scareware): 시스템에 문제가 발생했다는 가짜 경고를 띄워 사용자가 불필요하거나 악성인 소프트웨어를 구매 또는 설치하게 만든다.
• 워터링 홀(Watering Hole): 특정 집단이 자주 방문하는 웹사이트를 감염시켜 해당 집단의 구성원을 공격한다.

국가 간에 이루어지는 사회 공학 공격은 주로 비밀 정보 획득, 외교 협상 우위 확보, 또는 미래의 정책 변경에 대한 정보를 선점하기 위해 수행된다. 기업이나 개인을 대상으로 할 때는 금융 정보 탈취나 시스템 내 백도어 설치가 주요 목적이다.

최근에는 인공지능(AI) 기술을 활용하여 공격 수법이 더욱 정교해지고 있다. 2019년에는 AI 기반 소프트웨어를 이용해 최고경영자(CEO)의 목소리를 사칭하여 거액을 송금하게 만든 사례가 보고되기도 하였다. 공격자들은 유출된 방대한 데이터를 분석하여 피해자에게 최적화된 조작 기술을 적용한다.

사회 공학적 공격을 식별하기 위해서는 다음과 같은 징후를 주의 깊게 살펴야 한다.

1. 의심스러운 발신자: 모르는 번호나 이메일 주소, 혹은 익숙한 이름이지만 주소가 미세하게 다른 경우.
2. 긴급성 강조: 즉각적인 조치를 취하지 않으면 불이익이 발생한다고 협박하는 경우.
3. 철자 및 레이아웃 오류: 공식 기관을 사칭함에도 불구하고 문법이 어색하거나 디자인이 조잡한 경우.
4. 의심스러운 첨부 파일: 실행 파일(.exe)이나 매크로가 포함된 문서 파일.

대응 전략으로는 임직원을 대상으로 한 보안 인식 교육이 가장 중요하다. 또한 다중 인증(MFA) 도입, 엄격한 액세스 제어 정책 수립, 최신 보안 기술 적용을 통해 인간의 실수가 시스템 전체의 위기로 번지는 것을 방지해야 한다.