소셜 엔지니어링 공격의 유형과 이를 피하는 방법

컴퓨터 기반 사회공학 기법 또는 소셜 엔지니어링(Social Engineering)으로 불리는 새로운 유형의 사기는 사람들을 조종하여 개인정보 공유를 유도하거나, 멀웨어를 다운로드하게 만들거나, 유해 사이트를 방문하도록 유인하거나, 범죄자에게 송금하도록 속이거나, 개인이나 조직의 자산 또는 보안을 손상시키는 실수를 저지르게 하는 등의 심리 조작 사이버 공격입니다. 일반적으로 소셜 엔지니어링은 컴퓨터 기술을 수반함에도 디지털 시스템의 취약성이 아닌 인간의 약점을 악용하기 때문에 ‘인간 기반 해킹’이라고 부르기도 합니다.

많은 경우 소셜 엔지니어, 즉 소셜 엔지니어링 전술을 통해 해킹을 시도하는 범죄자는 신원 도용에 사용할 개인 정보(예: 로그인 자격 증명, 신용카드 번호, 은행계좌 번호, 주민등록번호)를 획득하여 피해자의 돈이나 신용을 이용해 구매하고 타인의 이름으로 대출을 신청합니다. 그러나 이러한 컴퓨터 기반 사회공학 기법은 대규모 사이버 공격의 첫 번째 단계에 불과할 수도 있습니다. 예를 들어 사이버 범죄자는 피해자를 속여 사용자 이름과 비밀번호를 알아낸 다음 해당 자격 증명을 사용해 피해자가 속한 조직의 전체 네트워크에 랜섬웨어를 심을 수 있습니다.

소셜 엔지니어링은 방화벽, 바이러스 백신 소프트웨어 및 기타 사이버 보안 기능을 해킹하는 어려운 기술을 구현하지 않고도 디지털 네트워크, 디바이스 및 계정에 액세스할 수 있기 때문에 사이버 범죄자들에게 매력적인 공격 수단이 되고 있습니다.

소셜 엔지니어링 전술과 기법은 인간의 동기 부여 이론에 기반을 두고 있습니다. 즉, 사람들이 최선의 이익이 아닌 행동을 하도록 유도하는 것으로서, 입증된 방식으로 피해자의 감정과 본능을 조종합니다. 최근의 사회공학 기법에는 컴퓨터 해킹 기술이 결합하여 피해 사례가 매년 급증하고 있습니다.

피싱은 사이버 범죄자가 이메일을 사용하여 다른 사람을 사칭해 피해자로부터 원하는 것을 얻어내는 수법입니다. 사기범은 신뢰할 수 있는 조직이나 개인, 경우에 따라 수신자가 개인적으로 알고 있는 사람이 보낸 것처럼 보이는 메시지를 만듭니다. 피싱 이메일의 목표는 사용자가 피싱 이메일을 열어 자신도 모르게 멀웨어를 다운로드하거나 가짜 웹사이트로 연결되는 링크를 클릭하도록 하는 것입니다. 피싱 공격자는 사용자를 속여 로그인 자격 증명, 주민등록번호 또는 은행 카드 번호와 같은 민감한 정보를 공개하거나 엉뚱한 사람에게 송금을 하도록 유도합니다.

피싱의 가장 일반적인 형태는 다음과 같습니다:

• 스푸핑된 이메일 주소 – 이메일은 합법적인 조직에서 보낸 것처럼 보이지만 도메인 이름은 완전히 다른 것입니다.
• 임베드 링크 – 소셜 해커는 링크를 클릭하고 계정에 다시 로그인하라는 이메일을 보낼 수 있습니다(해당 사이트에서 활동을 변경하지 않았음에도 불구하고). 스푸핑된 URL은 감염된 웹사이트로 연결됩니다.
• 이메일 첨부 파일 – 송장, 주문 확인서, 이벤트 초대장 등은 바이러스나 멀웨어를 위장하는 데 사용될 수 있습니다. 의심스러운 이메일은 열어보거나 발신자에게 답장하지 마세요.

앵글러 피싱(Angler-phishing)은 신뢰할 수 있는 회사의 고객 서비스 또는 고객 지원 팀의 공식 계정으로 위장하는 허위 소셜 미디어 계정을 통한 피싱 공격입니다. 앵글러는 낚시꾼을 의미하는 것으로 이러한 유형의 피싱 공격에서 해커는 최근 특정 고객 센터에 불만을 제기한 고객에게 연락하여 정교한 수법으로 개인 정보 또는 계정 자격 증명을 알아내려고 시도합니다.

다음은 앵글러 피싱 공격이 진행되는 예입니다:

1. 공격자는 소셜 미디어 피드를 모니터링하고 누군가가 특정 회사에 대한 불만이나 질문을 태그할 때까지 기다립니다.
2. 공격자는 가짜 소셜 미디어 계정을 사용하여 회사의 고객 지원팀으로 위장하여 불만을 제기했던 사용자에게 응답합니다.
3. 몇 번의 메시지를 통해 신뢰를 얻은 대부분의 사람들은 문제 해결을 위해 기꺼이 개인의 비밀번호와 기타 기밀 정보를 넘겨줍니다.

스피어 피싱(Spear-Phishing) 소셜 엔지니어링 공격이 성공하려면 해커는 특정 피해자에 대해 어느 정도 미리 조사를 할 필요가 있습니다. 따라서 더 많은 노력이 필요하지만 성공률도 높은 사회공학 기법입니다. 스피어 피싱은 일반적으로 사용자 정보, 컴퓨터 네트워크 또는 기업 자금에 대한 액세스 권한이 있는 특정 개인을 대상으로 합니다. 해커는 소셜 미디어 등을 통해 공격 대상을 물색하고 이 공격 대상이 알고 있고 신뢰하는 사람이 보낸 것처럼 보이거나 이미 익숙한 상황을 언급하는 메시지를 작성합니다.

웨일링, 소위 고래잡이라고 불리는 스피어 피싱은 CEO 또는 정치인 등 유명 인사를 대상으로 하는 스피어 피싱입니다. 비즈니스 이메일 도용 사기에서 해커는 손상된 자격 증명을 사용하여 회사 임원이나 회계 부서 등 비즈니스와 관련된 권위 있는 사람의 실제 이메일 계정에서 이메일 메시지를 발송하므로 사기를 탐지하기가 훨씬 더 어렵습니다.

스피어 피싱 공격은 알아차리기가 어렵지만 불가능하지는 않습니다. 자신을 보호하려면 다음의 권고를 기억하세요.

• 이메일의 출처를 확인합니다.
• 정상적인 요청처럼 들리는지 스스로에게 물어보세요.
• 의심스러운 경우 이메일에 답장하지 말고 해커가 사칭하는 당사자에게 직접 연락하세요. 상대방에게 별도의 이메일을 보내거나 전화를 걸거나 직접 통화할 때까지 기다리세요.

스미싱(Smishing) 공격은 이메일을 사용하는 피싱 공격과 달리 SMS 문자 메시지를 사용합니다. 스미싱은 개인적이고 표적화된 공격 유형인 경향이 있기 때문에 매우 효과적인 사화공학 기법입니다.

스미싱 사기범은 해킹된 데이터베이스를 통해 휴대폰 번호를 훔치거나 다크 웹에서 판매되고 있는 유출된 휴대폰 번호를 구입했을 가능성이 높습니다. 일반적인 스미싱 공격은 링크를 클릭하여 택배 배송을 재배치하라는 문자 메시지처럼 보일 수 있습니다. 또는 사용자가 거래하지도 않는 은행에서 링크를 클릭하여 신원을 확인하라는 메시지의 형태로 전송될 수도 있습니다.

이러한 스미싱 링크는 위험합니다. 더 많은 데이터를 도용할 수 있는 악성 웹사이트로 연결되거나, 링크를 클릭하면 디바이스에 멀웨어가 다운로드될 수 있기 때문입니다.

비싱(Vishing)이라고도 불리는 보이스 피싱 수법은 메시지나 이메일 대신 전화를 사용하여 신뢰할 수 있는 기관에서 연락하는 것처럼 가장합니다. 먼저, 해커는 사용자 또는 사용자가 신뢰하는 회사를 사칭하기 위해 전화번호를 스푸핑합니다. 해커는 미리 녹음된 음성 메시지, 문자 메시지 또는 음성-텍스트 합성기를 사용하여 신원을 숨길 수 있습니다. 더 그럴듯한 공격을 위해 사기 콜센터의 직원을 고용하기도 합니다.

비싱 해커는 은행 계좌에서 의심스러운 활동, 과납/미납 세금, 콘테스트 당첨금 등 그럴듯한 구실을 사용합니다. 가족이 납치되었다는 끔찍한 시나리오를 사용하기도 하지요. 보이스 피싱의 주요 목표는 사용자의 개인정보를 신원 도용에 사용하거나 민감한 온라인 뱅킹 정보를 빼내거나 송금을 하도록 만드는 것입니다.

직접 목소리로 설득하기 때문에 심리 조작을 당하기 쉽습니다. 수신 중인 전화가 보이스피싱 시도인지 확인하려면 다음 팁을 따르세요:

• 전화를 건 사람의 회사와 전화한 이유에 대해 질문합니다. 이 회사에 대해 들어본 적이 있거나 이 회사와 거래한 적이 있나요?
• 참가하지도 않은 콘테스트를 통해 비현실적인 금전적 이득을 제안하거나 들어본 적도 없는 부채를 도와주겠다고 하나요? 먼저 의심부터 하세요.
• 적대적인 언어를 사용하거나 극단적인 상황을 만들어 어떤 정보를 제공하도록 심리적 압력을 가하고 있나요? 평정심을 지키는 것이 중요합니다.

거의 모든 소셜 엔지니어링 공격에는 어느 정도의 프리텍스팅이 포함되어 있다고 볼 수 있습니다. 구실이나 명분을 의미하는 영어 단어 Pretext에서 이름을 따온 프리텍스팅 공격에서 사기범은 거짓 상황을 만들어내고 이를 해결하는 적임자인 척 가장합니다. 아이러니하게도, 사기범은 피해자가 보안 침해의 영향을 받았다고 하면서 문제를 해결하려면 피해자가 중요한 계정 정보를 제공하거나 피해자의 컴퓨터 또는 디바이스에 대한 제어 권한을 제공해야 한다고 도움을 제안합니다.

다음은 기술 지원 사기를 가장한 프리텍스팅의 예시입니다:

• 잘 알려진 회사의 기술 지원 담당자가 전화를 겁니다.
• 그리고는 고객의 편리를 개선하기 위해 내부 송금 시스템이 정확하게 작동하는지 확인하고 있다며 도움을 요청합니다.
• 동의하면 지정된 은행 계좌로 송금하고 이 회사 홈페이지의 로그인 정보를 알려달라고 요청합니다.
• 돈을 이체하면 해커가 돈과 로그인 정보를 훔칩니다.

캣피싱은 공격자가 가짜 온라인 페르소나를 만들어 소셜 네트워크에서 특정 피해자를 표적으로 삼는 교활한 사회 공학 사기 기법입니다. 사기꾼은 다른 사람으로 가장하여 피해자와 가짜 연인 관계를 맺거나, 피해자를 감시하고 가스라이팅하거나, 관계를 통해 알게된 비밀스러운 정보로 협박을 하거나, 피해자를 심리적으로 조종합니다.

온라인에서 매우 좋은 친구를 사귀었다고 생각했는데 계속 핑계를 대며 직접 만나지 않거나 자신에 대한 정보를 공유하지 않는다고요? 캣피싱 사기를 당하고 있을 가능성이 매우 높습니다. 다음은 몇 가지 경고신호입니다:

• 동정 어린 이야기와 기부 요청
• 웹캠이나 휴대폰이 작동하지 않는 이유와 같은 이상한 변명
• 만나지 않겠다는 핑계를 대거나 개인적 긴급 상황으로 인해 약속을 갑자기 취소하는 경우
• 공공장소가 아닌 사적인 장소에서 만나자고 제안하는 경우

멀웨어의 한 가지 형태로도 간주되는 스케어웨어는 두려움을 이용해 사람들이 기밀 정보를 공유하거나 멀웨어를 다운로드하도록 하는 소프트웨어입니다. 스케어웨어는 사용자를 고소하는 허위 법 집행 통지의 형태를 취하거나 사용자에게 디바이스에 멀웨어가 있음을 경고하는 허위 기술 지원 메시지 형태를 취하는 경우가 많습니다.

배달 우회 절도 또는 리디렉션 공격은 사용자를 속여 민감한 정보를 사기꾼에게 전송하도록 유도하기 위해 고안되었습니다. 원조는 배달지를 다른 곳으로 변경하여 물건을 중간에서 가로채는 고전적인 절도 수법인데요, 디지털 세상에서는 리디렉션이라는 기술을 사용합니다. 공격자는 이메일 주소를 스푸핑하여 감사 회사, 금융 기관 또는 심지어 직장의 직원인 것처럼 가장합니다.

리디렉션 공격이 성공하면 이 신종 도둑은 회사에 대한 기밀 정보, 회사 예측 및 계획이 포함된 파일, 고객 정보, 심지어 회사 직원에 대한 개인 정보까지 손에 넣을 수 있습니다.

미끼, 즉 베이팅(baiting)은 말 그대로 거액의 제안이나 귀중한 물건으로 피해자를 유인하여 고의로 또는 무의식적으로 중요한 정보를 넘기도록 만드는 수법입니다. 하지만 단순한 호기심을 이용해 피해자를 유인하기도 합니다. 예를 들어, 해커가 ‘올해 4분기 임원 연봉’과 같은 라벨이 붙은 USB를 미끼로 사용해 사무실이나 주차장에 놓아둔다고 생각해보십시오. 이를 발견한 사람들이 호기심에 이끌려 컴퓨터에 USB를 삽입한다면 그 USB 안에 숨겨진 바이러스가 빠르게 기기로 확산되겠지요.

하지만 USB 사용이 줄어들면서 이러한 미끼는 주로 P2P 웹사이트에서 사용되고 있습니다. 다음은 미끼에 걸려들지 않기 위한 몇 가지 간단한 팁입니다:

• 다운로드 중 실시간 멀웨어 탐지, 광고 차단, 웹 트래킹 차단기를 사용하세요: NordVPN에 탑재된 바이러스 및 위협 방지 기능은 이러한 모든 영역에서 도움을 줄 수 있습니다.
• 알고 있고 신뢰할 수 있는 웹사이트와 소매업체를 이용하세요: 구매하기 전에 항상 회사를 조사하세요. 웹사이트와 URL에서 철자 오류가 있는지, 등록된 회사인지 여부를 확인하세요. 편견 없는 리뷰 업체에서 게시한 고객 리뷰를 읽어볼 수도 있습니다.
• 신뢰할 수 없는 출처에서 파일을 다운로드하는 것은 자제하세요. 다운로드 전에 항상 파일 유형을 다시 한 번 확인하고 사용중인 바이러스 백신이 최신 버전인지 확인하세요.

보상(Quid pro quo) 소셜 엔지니어링 사기에서 해커는 피해자에게 중요한 정보를 제공하는 대가로 상품이나 서비스를 제공한다고 약속합니다. 가짜 콘테스트 우승이나 겉으로 보기에는 무해한 사은품(예를 들어, ‘결제에 대한 감사로 선물을 드립니다’)을 이용하여 피해자를 노립니다.

또한 보상 공격의 소셜 엔지니어는 IT 도움 센터 전문가를 사칭하기도 합니다. 피해자는 보통 장치에 사소한 문제가 있거나 소프트웨어 업데이트가 필요하기 때문에 의문을 제기하지 않습니다. 사칭자는 문제를 해결하려면 컴퓨터에 액세스해야 한다고 말하고 액세스 권한을 얻은 뒤에 악성 소프트웨어를 설치하거나 기타 민감한 정보를 훔칩니다.

연락처 탈취 스팸은 여전히 활발히 사용되는 가장 오래된 사회공학 기법 중 하나입니다. 사이버 범죄자가 이메일이나 소셜 미디어 계정을 해킹하여 피해자의 친구에게 다음과 같은 메시지로 연락을 취해 “대박 동영상이야, 확인해봐!”라는 메시지를 보냅니다. 하지만 이 링크를 클릭하면 디바이스가 멀웨어에 감염되는 것이지요.

더 심각한 문제는 이러한 바이러스가 친구의 디바이스에 퍼지면 친구의 연락처에도 동일한 메시지를 전파할 수 있다는 것입니다. 피해자의 수가 기하급수적으로 늘 수 있는 소셜 엔지니어링 공격 유형입니다.

소셜 엔지니어링 공격은 기술보다는 인간의 심리를 이용하기 때문에 예방하기가 매우 어렵습니다. 공격에 노출되는 영역도 중요한데, 대규모 조직이 경우 한 직원의 실수로 전체 엔터프라이즈 네트워크의 무결성이 손상될 수 있습니다. 전문가들이 소셜 엔지니어링 사기의 리스크와 성공률을 낮추기 위해 권장하는 단계는 다음과 같습니다.

• 

  보안 인식 교육: 많은 사용자가 소셜 엔지니어링 공격을 식별하는 방법에 대해 잘 모르고 있습니다. 그리고 일상에서 상품과 서비스를 구입하기 위해 개인의 전화번호나 생년월일과 같이 평범해 보이는 정보를 자주 제공하기 때문에 경각심 또한 갖지 않고 있습니다. 데이터 보안 정책과 결합된 보안 인식 교육은 직원이나 개인이 중요한 데이터를 보호하는 방법과 유행 중인 소셜 엔지니어링 공격을 탐지하고 이에 대응하는 방법을 이해하는 데 도움이 될 수 있습니다.
• 

  모의 침투 테스트: 조직이나 기업의 경우 실제 사회공학 기법 공격이 발생하기 전에 소셜 엔지니어링 툴킷(Social Engineering Toolkit, SET)을 사용해 침투 테스트를 시행하는 것도 좋은 방법입니다. 모의 공격을 통해 보안의 취약점을 파악하고 사전에 필요한 조치를 취할 수 있습니다.
• 

  액세스 제어 정책: 다단계 인증, 적응형 인증 및 제로 트러스트 보안 접근 방식을 포함한 보안 액세스 제어 정책 및 기술은 사이버 범죄자가 사용자의 로그인 자격 증명을 얻은 경우에도 기업 네트워크 상의 중요한 정보와 자산에 대한 액세스를 제한하는 것이 좋습니다.
• 

  개인정보 보안 기술 적극 활용: 스팸 필터와 보안 이메일 게이트웨이는 일부 피싱 공격이 직원에게 먼저 도달하는 것을 방지할 수 있습니다. 방화벽 및 바이러스 백신 소프트웨어는 네트워크에 대한 액세스 권한을 보유한 공격자가 가한 손상 정도를 완화할 수 있습니다. 최신 패치로 운영 체제를 업데이트하면 공격자가 소셜 엔지니어링을 통해 악용하는 일부 취약성을 해결할 수 있습니다.
• 

  VPN 사용: VPN은 인터넷 트래픽을 암호화하여 사용자의 신원을 숨기고 IP 주소를 변경할 수 있기 때문에 특히 특정 개인을 노리는 소셜 엔지니어링 공격을 방지하는 데 도움이 됩니다. 특히 공용 Wi-Fi에서 해커가 사용자의 통신을 가로채는 것을 방지할 수 있으며, 또한 NordVPN의 바이러스 및 위협 방지 기능은 악성 웹사이트 방문을 방지해 안전하고 쾌적한 브라우징 환경 조성할 수 있습니다.