소셜 엔지니어링이란 무엇입니까?

믿을 수 있는 동료가 보낸 것처럼 보이는 이메일이 민감한 정보를 요청하거나, 국세청을 사칭한 협박성 음성 메일, 외국의 권력자가 금품을 제안하는 경우 등은 소셜 엔지니어링의 몇 가지 예에 불과합니다. 소셜 엔지니어링은 기술적이거나 디지털 측면의 시스템 취약성보다는 심리적 조작과 인간의 실수나 약점을 악용하기 때문에 '인간 해킹'이라고 불리기도 합니다.

사이버 범죄자들은 로그인 자격 증명, 신용카드 번호, 계좌번호, 주민등록번호 등 개인 정보나 금융 정보를 얻기 위해 소셜 엔지니어링 수법을 자주 사용합니다. 이들은 훔친 정보를 신원 도용에 사용하여 다른 사람의 돈이나 신용을 사용하여 구매하고, 다른 사람 명의로 대출을 신청하고, 다른 사람의 실업 수당을 신청하는 등의 행위를 합니다.

하지만, 소셜 엔지니어링 공격은 대규모 사이버 공격의 첫 번째 단계가 될 수도 있습니다. 예를 들어, 사이버 범죄자는 피해자를 속여 사용자 이름과 비밀번호를 공유하도록 유도한 다음 해당 자격 증명을 사용하여 피해자의 고용주 네트워크에 랜섬웨어를 심을 수 있습니다.

소셜 엔지니어링은 방화벽, 바이러스 백신 소프트웨어 및 기타 사이버 보안 통제를 우회하는 어려운 기술적인 작업이 없이도 디지털 네트워크, 디바이스 및 계정에 액세스할 수 있기 때문에 사이버 범죄자들에게 매력적입니다.

이는 ISACA의 2022년 사이버 보안 현황 보고서에 따르면 오늘날 소셜 엔지니어링이 네트워크 손상의 주요 원인인 이유 중 하나입니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 피싱 및 비즈니스 이메일 유출과 같은 소셜 엔지니어링 수법으로 인한 유출이 가장 많은 비용을 발생시킨 것으로 나타났습니다.

소셜 엔지니어링의 전술과 기술은 인간 동기 부여의 과학에 기초를 두고 있습니다. 이들은 피해자의 감정과 본능을 조작하여 사람들이 최선의 이익이 아닌 행동을 취하도록 유도하는 것으로 입증된 방식으로 피해자의 감정과 본능을 조종합니다.

대부분의 소셜 엔지니어링 공격은 다음 중 하나 이상의 수법을 사용합니다:

• 신뢰할 수 있는 브랜드로 사칭: 사기 행위자들은 종종 피해자가 알고 있고, 신뢰하며, 자주 또는 정기적으로 거래하는 회사를 사칭하거나 '스푸핑'하는데, 피해자는 적절한 예방 조치를 취하지 않고 반사적으로 이러한 브랜드의 지시를 따르게 됩니다. 일부 소셜 엔지니어링 사기 행위자는 널리 사용되는 키트를 사용하여 주요 브랜드나 기업의 웹사이트와 유사한 가짜 웹사이트를 제작합니다.

• 정부기관 또는 권위자로 사칭: 사람들은 정도의 차이는 있지만 권위를 신뢰하거나 존중하거나 두려워합니다. 소셜 엔지니어링 공격은 정부기관(예: FBI 또는 IRS), 정치인 또는 유명인이 보낸 것처럼 보이거나 주장하는 메시지로 이러한 직감을 자극합니다.

• 두려움이나 긴박감 유발: 사람들은 겁이 나거나 서두를 때 성급하게 행동하는 경향이 있습니다. 소셜 엔지니어링 사기는 피해자에게 공포나 긴박감을 유발하기 위해 다양한 기술을 사용할 수 있습니다. 예를 들어 피해자에게 최근 신용 거래가 승인되지 않았다는 사실, 컴퓨터가 바이러스에 감염됐다는 사실, 웹사이트에 사용된 이미지가 저작권을 위반했다는 사실 등을 알리는 행위입니다. 또한, 소셜 엔지니어링은 피해자의 고립공포감에 호소하여 다른 종류의 긴박감을 조성할 수 있습니다.

• 탐욕에 호소: 나이지리아 왕자 사기(나이지리아 왕자라고 주장하는 사람이 수신자의 계좌정보 또는 소액의 선불 수수료를 대가로 거액의 금전적 보상을 제안하는 이메일)는 탐욕에 호소하는 가장 잘 알려진 소셜 엔지니어링 사례 중 하나입니다. 이러한 유형의 소셜 엔지니어링 공격은 권위자로 추정되는 인물로부터 비롯될 수도 있으며, 이는 강력한 조합인 긴박감을 조성합니다. 이러한 사기 행위는 이메일 자체 만큼이나 오래되었지만, 피해액이 2018년 기준으로 여전히 연간 70만 달러에 달합니다.

• 도움이나 호기심에 호소: 소셜 엔지니어링은 피해자의 더 나은 본성에 호소할 수도 있습니다. 예를 들어, 친구나 소셜 네트워킹 사이트에서 보낸 것처럼 보이는 메시지는 기술적인 도움을 제공하거나 설문조사 참여를 요청하거나 수신자의 게시물이 입소문이 났다고 주장하면서 가짜 웹사이트 또는 멀웨어 다운로드로 연결되는 스푸핑 링크를 제공합니다.

피싱 공격은 수신자를 조종하여 민감한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 잘못된 사람에게 돈이나 자산을 이체하거나, 기타 유해한 조치를 취하도록 유도하는 디지털 또는 음성 메시지입니다. 사기 행위자는 피싱 메시지를 신뢰할 수 있거나 믿을 수 있는 조직이나 개인(때로는 수신자가 개인적으로 알고 있는 개인)이 보낸 것처럼 보이거나 들리도록 조작합니다.

피싱 사기에는 여러 유형이 있습니다:

• 대량 피싱 이메일은 한 번에 수백만 명의 수신자에게 전송됩니다. 국내 또는 글로벌 은행, 대형 온라인 소매업체, 유명 온라인 결제 서비스 제공업체 등 잘 알려진 대형 기업이나 조직에서 보낸 것으로 보이며 이러한 이메일은 '구매 처리에 문제가 있으니 신용정보를 업데이트해 주세요'와 같은 일반적인 요청을 합니다. 이러한 메시지에는 수신자의 사용자 이름, 비밀번호, 신용카드 데이터 등을 캡처하는 가짜 웹사이트로 연결되는 악성 링크가 포함되어 있는 경우가 많습니다.

• 스피어 피싱은 일반적으로 사용자 정보, 컴퓨터 네트워크 또는 기업 자금에 대한 권한 있는 액세스 권한을 가진 특정 개인을 대상으로 합니다. 사기 행위자는 주로 LinkedIn, Facebook 또는 기타 소셜 미디어에서 찾은 정보를 사용해 대상자를 조사하여 대상자가 알고 신뢰하는 사람이 보낸 것처럼 보이거나 대상자가 익숙한 상황을 언급하는 메시지를 작성합니다. 웨일 피싱은 CEO나 정치인 등 유명 인사를 대상으로 하는 스피어 피싱 공격입니다. 비즈니스 이메일 침해(BEC)에서는 해커가 유출된 자격 증명을 사용하여 기관 관계자의 실제 이메일 계정에서 이메일 메시지를 전송하므로 사기를 탐지하기가 훨씬 더 어렵습니다.

• 보이스 피싱 또는 비싱은 전화 통화를 통해 이루어지는 피싱입니다. 개인은 일반적으로 FBI에서 보낸 것이라고 주장하는 위협적인 녹음 통화의 형태로 비싱을 경험합니다.

• SMS 피싱, 즉 스미싱은 문자 메시지를 통한 피싱입니다.

• 검색 엔진 피싱은 해커가 인기 검색어에 대한 검색 결과에서 높은 순위를 차지하는 악성 웹사이트를 만드는 것을 말합니다.

• 앵글러 피싱은 신뢰할 수 있는 회사의 고객 서비스 또는 고객 지원 팀의 공식 계정을 가장한 가짜 소셜 미디어 계정을 통한 피싱입니다.

IBM® X-Force Threat Intelligence Index에 따르면 피싱은 전체 인시던트의 41%에서 확인된 주요 멀웨어 감염 벡터입니다. 또한 데이터 유출 비용(CODB) 보고서에 따르면 피싱은 가장 비용이 많이 드는 데이터 유출로 이어지는 초기 공격 벡터입니다.

베이팅은 가치 있는 제안이나 귀중한 물건으로 유혹하여 피해자가 고의 또는 무의식적으로 민감한 정보를 제공하거나 악성 코드를 다운로드하도록 유도하는 것입니다.

나이지리아 왕자 사기는 아마도 이러한 소셜 엔지니어링 수법의 가장 잘 알려진 예일 것입니다. 더 최근의 예로는 무료이지만 멀웨어에 감염된 게임, 음악 또는 소프트웨어 다운로드가 있습니다. 하지만 일부 형태의 미끼는 그다지 교묘하지 않습니다. 예를 들어, 일부 위협 행위자는 멀웨어에 감염된 USB 드라이브를 사람들이 쉽게 찾을 수 있는 곳에 두고, 사람들이 '공짜 USB 드라이브'라는 이유로 이를 가져가서 사용하도록 만듭니다.

'피기백(piggybacking)'이라고도 하는 테일게이팅에서는 권한이 없는 사람이 권한이 있는 사람을 밀접하게 따라다니며 민감한 정보나 귀중한 자산이 포함된 영역을 방문합니다. 테일케이팅은 위협 행위자가 잠기지 않은 문을 통해 직원을 따라다니는 등 직접 수행할 수 있습니다. 그러나 뒤쫓는 것은 개인 계정이나 네트워크에 로그인한 상태에서 컴퓨터를 방치한 경우와 같이 디지털 전술일 수도 있습니다.

위협 행위자는 프리텍스팅을 통해 피해자에게 가짜 상황을 만들고 이를 해결하기에 적합한 사람인 것처럼 가장합니다. 사기 행위자는 가장 아이러니하게도 피해자가 보안 침해로 인해 피해를 입었다고 주장한 다음, 피해자가 중요한 계정 정보 또는 피해자의 컴퓨터 또는 기기에 대한 통제권을 제공하면 문제를 해결해 주겠다고 제안하는 경우가 많습니다. (기술적으로 말하면 거의 모든 소셜 엔지니어링 공격에는 어느 정도의 프리텍스팅이 포함됩니다.)

대가성 사기에서는 해커가 피해자의 민감한 정보를 교환하는 대가로 바람직한 상품이나 서비스를 제공합니다. 가짜 콘테스트 상금이나 겉으로 보기에 무고한 로열티 보상('결제해 주셔서 감사합니다. 선물을 준비했습니다.')은 대가성 수법의 예입니다.

멀웨어의 하나의 형태로 간주되는 스케어웨어는 공포를 이용해 기밀 정보를 공유하거나 멀웨어를 다운로드하도록 사람들을 조종하는 소프트웨어입니다. 스케어웨어는 사용자를 범죄로 고발하는 가짜 법 집행 통지 또는 사용자에게 장치에 악성 코드가 있음을 경고하는 가짜 기술 지원 메시지의 형태를 취하는 경우가 많습니다.

'누군가 우물에 독을 뿌렸다'는 말에서 알 수 있듯이 해커는 공격 대상이 자주 이용하는 합법적인 웹 페이지에 악성 코드를 삽입합니다. 워터링 홀 공격은 자격 증명 도용부터 의도치 않은 드라이브 바이 랜섬웨어 다운로드에 이르기까지 모든 원인이 됩니다.

소셜 엔지니어링 공격은 기술적인 경로보다는 인간의 심리에 의존하기 때문에 이를 예방하기가 매우 어렵습니다. 공격 표면도 중요합니다. 대규모 조직에서는 직원 한 명의 실수만으로도 전체 기업 네트워크의 무결성이 손상될 수 있습니다. 소셜 엔지니어링 사기 행위의 위험과 성공을 완화하기 위해 전문가가 권장하는 일부 단계는 다음과 같습니다.

• 보안 인식 교육: 많은 사용자가 소셜 엔지니어링 공격을 식별하는 방법을 모릅니다. 또한 사용자들이 상품과 서비스를 위해 개인정보를 자주 거래하는 시대에 전화번호나 생년월일과 같이 평범해 보이는 정보를 넘겨주면 해커가 계정을 침해할 수 있다는 사실을 깨닫지 못합니다. 데이터 보안 정책과 결합된 보안 인식 교육은 직원들이 민감한 데이터를 보호하는 방법과 진행 중인 소셜 엔지니어링 공격을 탐지하고 대응하는 방법을 이해하는 데 도움이 될 수 있습니다.

• 액세스 제어 정책: 다중 인증, 적응형 인증 및 제로 트러스트 보안 접근 방식을 포함한 보안 액세스 제어 정책 및 기술은 사이버 범죄자가 사용자의 로그인 자격 증명을 획득하더라도 기업 네트워크의 민감한 정보 및 자산에 대한 액세스를 제한할 수 있습니다.

• 사이버 보안 기술: 스팸 필터와 보안 이메일 게이트웨이는 일부 피싱 공격이 애초에 직원에게 도달하는 것을 방지할 수 있습니다. 방화벽과 바이러스 백신 소프트웨어는 네트워크에 대한 액세스 권한을 얻은 공격자가 입은 피해의 범위를 완화할 수 있습니다. 운영 체제를 최신 패치로 업데이트하면 공격자가 소셜 엔지니어링을 통해 악용하는 일부 취약점을 해결할 수도 있습니다. 또한 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR)을 포함한 고급 탐지 및 대응 솔루션은 보안 팀이 소셜 엔지니어링 전술을 통해 네트워크를 감염시키는 보안 위협을 신속하게 탐지하고 무력화할 수 있도록 도와줍니다.