사회공학적 공격
본 서비스가 제공하는 내용 및 자료가 사실임을 보증하지 않습니다. 시스템은 언제나 실수를 할 수 있습니다. 중요한 의사결정 및 법리적 해석, 금전적 의사결정에 사용하지 마십시오.
사회공학적 공격(Social Engineering Attack)은 시스템의 기술적 허점을 공략하는 대신, 사람의 심리적 취약점이나 신뢰 관계를 이용해 보안 절차를 우회하는 공격 방식이다. 해커는 인간의 본성인 호기심, 탐욕, 신뢰 등을 악용하여 피해자가 스스로 비밀번호를 입력하게 하거나 악성 파일을 실행하도록 유도한다. 보안 전문가 케빈 미트닉은 기업 보안에 있어 가장 큰 위협은 기술적 결함이 아닌 사람 그 자체라고 강조한 바 있다.
개요
사회공학적 공격은 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 의미한다. 이는 '사람을 해킹한다'는 개념으로 통용되며, 시스템 어딘가에 저장된 데이터를 직접 탈취하기보다 사용자가 스스로 정보를 제공하게 만드는 데 초점을 맞춘다. 1990년대 유명 해커였던 케빈 미트닉이 이 용어를 사용하면서 특정 해킹 기법으로 자리 잡았다.
주요 공격 기법
사회공학적 공격은 공격자와 피해자의 상호작용 방식에 따라 여러 유형으로 나뉜다.
- 프리텍스팅(Pretexting): 가상의 시나리오를 설정하여 피해자가 정보를 발설하도록 유도하는 행위이다.
- 테일게이팅(Tailgating): 출입 통제 구역에서 권한이 있는 사람의 뒤를 따라 무단으로 침입하는 물리적 수법이다.
- 퀴드 프로 쿼(Quid Pro Quo): '보상에 대한 대가'라는 의미로, 서비스 제공이나 문제 해결을 빌미로 사용자의 정보를 요구하는 방식이다.
- 베이팅(Baiting): 악성코드가 담긴 USB나 파일을 공공장소에 두어 피해자의 호기심을 자극해 실행하게 만드는 기법이다.
전자적 수법
매체를 이용한 전자적 수법은 현대 사회공학 공격의 핵심을 이룬다.
| 기법 | 설명 |
|---|---|
| 피싱(Phishing) | 공공기관이나 지인을 사칭해 개인 정보를 요구하는 가장 일반적인 수법이다. |
| 스피어 피싱(Spear Phishing) | 특정 개인이나 조직을 표적으로 삼아 정교하게 설계된 메시지를 보내는 방식이다. |
| 악성 메일 위장 | 배송 내역, 입사지원서, 논문 등으로 위장한 파일을 보내 악성코드를 감염시킨다. |
물리적 수법
전통적인 사회공학 공격은 물리적인 환경에서 이루어지기도 한다. 주변 대화를 엿듣거나 모니터 화면을 훔쳐보는 '숄더 서핑(Shoulder Surfing)', 버려진 문서나 휴지통을 뒤져 정보를 찾아내는 방식 등이 이에 해당한다. 이러한 행위는 시스템 접근 권한을 얻기 위한 초기 단계에서 주로 활용된다.
주요 피해 사례
사회공학적 공격은 기업과 개인에게 막대한 피해를 입힌다.
- 인터파크(2016): 해커가 직원의 가족 관계를 파악한 뒤 동생을 사칭한 악성 메일을 보내 업무용 PC를 감염시켰으며, 이로 인해 1,000만 명 이상의 고객 정보가 유출되었다.
- LG화학(2016): 거래처의 납품대금 계좌가 변경되었다는 가짜 이메일에 속아 허위 계좌로 약 240억 원을 송금하는 피해가 발생하였다.