소셜 엔지니어링
소셜 엔지니어링은 사람들이 기밀 정보를 넘겨주도록 조종하는 기술입니다. 모든 사이버 범죄는 소셜 엔지니어링 공격으로 시작됩니다. 소셜 엔지니어링이 어떻게 작동하는지, 그리고 이로부터 자신을 보호하는 방법을 알아봅시다.
소개
사이버 보안에 대해 이야기할 때 대부분의 사람들은 SQL 삽입, 크로스 사이트 스크립팅, 중간자 공격 또는 악성 소프트웨어와 같은 기술적 공격을 떠올립니다. 그러나 가장 흔하고 효과적인 공격은 종종 기술적인 것이 전혀 아닙니다. 소셜 엔지니어링은 사람들이 기밀 정보를 넘겨주도록 조종하는 기술입니다. 모든 사이버 범죄는 소셜 엔지니어링 공격으로 시작됩니다.
여기 위키백과에서의 정의를 참고하세요:
정보 보안의 맥락에서 소셜 엔지니어링은 사람들을 심리적으로 조종하여 행동을 수행하거나 기밀 정보를 공개하게 만드는 것입니다. 정보 수집, 사기 또는 시스템 접근을 위한 일종의 신뢰 속임수로, 종종 더 복잡한 사기 계획의 여러 단계 중 하나로서 전통적인 "컨"과는 다릅니다.[1] 또한 "사람을 설득하여 그들의 이익에 반할 수도 있는 행동을 하게 하는 모든 행위"로 정의되기도 합니다."
범죄자들이 찾는 정보의 종류는 다양할 수 있지만, 개인이 대상이 되는 경우 범죄자들은 주로 비밀번호, 개인 정보, 또는 컴퓨터에 대한 접근 권한을 얻어 비밀리에 악성 소프트웨어를 설치하려고 합니다. 이렇게 하면 비밀번호 및 은행 정보에 접근할 수 있고, 컴퓨터를 제어할 수 있게 됩니다.
소셜 엔지니어링은 어떻게 작동하나요?
소셜 엔지니어링 공격은 하나 이상의 단계에서 이루어집니다. 대부분의 소셜 엔지니어링 공격은 공격자와 피해자 간의 실제 소통에 의존합니다. 종종 피해자는 여러 명의 공격자로부터 장기간 동안 표적이 되며, 공격은 탐지를 피하기 위해 신중하게 설계됩니다. 성공적인 공격은 다음의 단계를 포함합니다:
-
조사: 공격자는 목표물에 대한 정보, 잠재적인 접근 지점 및 약한 보안 프로토콜과 같은 공격을 수행하기 위해 필요한 정보를 수집합니다. 오늘날 세상에서는 온라인에서 사람에 대한 정보를 찾는 것이 매우 쉽습니다. 예를 들어, 소셜 미디어 프로필에서 사람의 이메일 주소, 전화번호, 그리고 심지어 집 주소까지 찾을 수 있습니다. 또한 그들이 어디서 일하는지, 무슨 일을 하는지, 누구와 일하는지도 알 수 있습니다. 이 정보는 다음 단계에서 매우 설득력 있는 피싱 이메일이나 전화 통화를 만드는 데 사용할 수 있습니다.
-
후킹: 공격자는 그 정보를 사용하여 피해자가 공격자가 원하는 일을 하도록 유도하는 믿을 수 있는 시나리오를 만듭니다. 예를 들어, 공격자는 은행의 고객 서비스 직원이라고 주장하며 전화로 피해자에게 계정 정보를 확인해 달라고 요청할 수 있습니다. 또는 회사의 직원에게 전화해서 IT 지원 직원이라고 주장하며 그들의 비밀번호를 재설정해 달라고 요청할 수도 있습니다.
-
감정 이용: 공격자는 피해자를 즉각적으로 행동하게끔 유도하기 위해 감정을 이용합니다. 예를 들어 공격자는 피해자가 즉시 요청에 응하지 않으면 벌금, 처벌 또는 기소와 같은 위협을 할 수 있습니다. 또는 피해자의 탐욕을 자극해, 그들이 도움을 주면 큰 돈이나 보상을 받을 것이라고 약속할 수도 있습니다.
-
실행: 공격자는 공격을 실행하며, 이는 다양한 형태를 취할 수 있습니다. 예를 들어 그들은:
- 피해자를 속여 컴퓨터에 악성 소프트웨어를 설치하게 할 수 있습니다.
- 피해자를 속여 이메일이나 전 화로 민감한 정보를 공개하게 할 수 있습니다.
- 피해자를 속여 공격자에게 돈을 송금하게 할 수 있습니다.
- 피해자가 이메일이나 문자 메시지에서 악성 링크를 클릭하도록 유도할 수 있습니다.
위의 단계는 매우 짧은 시간 안에 이루어질 수도 있고, 몇 주 또는 몇 달에 걸쳐 이루어질 수도 있습니다. 공격자는 한 사람을 표적으로 할 수도 있고, 다수의 사람들을 표적으로 할 수도 있습니다. 연결은 전화, 이메일, 문자 메시지 또는 소셜 미디어 채팅을 통해 이루어질 수 있습니다. 그러나 궁극적으로는 정보 공유나 악성 소프트웨어에 노출되는 등의 행동을 취하게 됩니다.
소셜 엔지니어링 공격의 유형들
많은 유형의 소셜 엔지니어링 공격이 있으며, 각각의 목적과 목표가 있습니다. 여기 가장 흔한 소셜 엔지니어링 공격의 몇 가지 유형이 있습니다:
스팸 피싱
스팸 피싱은 가장 일반적인 소셜 엔지니어링 공격 유형입니다. 이는 공격자가 무작위로 수백만 개의 이메일을 발송하여 그 중 일부가 사기에 걸리기를 기대하는 피싱 공격의 한 형태입니다. 이메일은 보통 가짜 이메일 주소에서 발송되며, 종종 악성 웹사이트로 연결되거나 악성 첨부파일이 포함되어 있습니다. 공격의 목표는 피해자가 링크를 클릭하거나 첨부파일을 열도록 유도하여 컴퓨터에 악성 소프트웨어를 설치하는 것입니다.
사례
당신이 갑자기 받은 이메일이 “당신이 백만 달러의 당첨금을 받았다”며 지금 당장 상금을 청구하라는 선동적인 제목을 가지고 있다고 상상해 보세요. 이메일 제목에는 “1,000,000 달러를 당첨되었다”고 적혀 있으며, 당신이 즉시 상금을 청구해야 한다고 주장합니다.
이메일을 열면 예상치 못한 복권에 당첨되었다는 축하 메시지를 발견합니다. 메시지에는 인생을 바꿀 큰 돈에 관한 과장된 약속이 포함될 수 있습니다. 이메일에는 상금을 청구하기 위한 링크나 연락처 정보가 포함되어 있습니다.
이 이메일은 스팸 피싱 공격의 전형적인 징후를 보여줍니다:
-
고의적인 접근: 당신은 복권이나 콘테스트에 참여한 적이 없기 때문에 어떤 상도 받을 이유가 없습니다.
-
너무 좋은 것은 사실이 아니다: 명백한 이유 없이 큰 돈을 약속하는 것은 피해자를 유혹하기 위해 사용되는 일반적인 전술입니다.
-
긴급한 행동 요청: 이메일은 상금을 청구하기 위해 빠른 행동을 촉구하며 긴박감을 조성할 수 있습니다.
-
개인 정보나 돈 요청: 상금을 "청구"하기 위해, 당신은 개인 정보나 수수료를 지불하거나 처리 비용을 충당하기 위해 돈을 송금하라는 요청을 받을 수도 있습니다.
스피어 피싱
스피어 피싱은 특정한 개인 또는 그룹을 타겟으로 하는 피싱 공격 유형입니다. 공격자는 목표에 대해 조사를 한 후 신뢰할 수 있는 출처에서 온 것처럼 보이는 맞춤형 이메일을 발송합니다. 이메일에는 보통 악성 웹사이트로의 링크 또는 악성 첨부파일이 포함되어 있습니다. 공 격의 목표는 피해자가 링크를 클릭하거나 첨부파일을 열도록 유도하여 컴퓨터에 악성 소프트웨어를 설치하는 것입니다. 스팸 피싱과 달리, 스피어 피싱 공격은 매우 정교하고 맞춤형으로 이루어지며 성공률이 훨씬 높습니다.
사례
이 스피어 피싱 시나리오에서는, 당신이 동료로부터 온 것처럼 보이는 이메일을 받는다고 가정해 보세요. 이메일 제목은 중요한 보안 공지임을 암시합니다. 스피어 피싱이 일반적인 피싱과 다른 점은 공격자가 특정 개개인을 타겟으로 하고, 종종 타겟에 대한 일부 정보를 가지고 있다는 점입니다.
이메일을 열면 당신의 IT 고문인 찰스가 보낸 것처럼 보이는 메시지가 있습니다. 메일은 전체 이름으로 시작하여, 작업 계정에 대한 보안 침해가 발생했다고 알립니다. 이메일은 계정을 보호하기 위해 링크를 클릭하거나 첨부파일을 다운로드하라는 요청을 합니다. 당신이 링크를 클릭하면 회사 로그인 페이지와 똑같이 보이는 웹사이트로 이동합니다. 당신이 해당 페이지에 사용자 이름과 비밀번호를 입력하면, 공격자가 지금 당신의 계정에 접근할 수 있게 됩니다.
이 이메일은 스피어 피싱 공격의 전형적인 징후를 보여줍니다:
-
개인화: 이메일은 전체 이름으로 당신을 부르며, 그럴듯한 모습을 띠고 있습니다.
-
긴급함: 메시지는 보안 문제를 해결하려면 즉각적인 조치가 필요하다는 긴박감을 전달합니다.
-
행동 요청: 이메일은 링크를 클릭하거나 첨부파일을 다운로드하도록 요청합니다. 이러한 링크나 첨부파일은 종종 악성 소프트웨어나 피싱 사이 트를 포함하고 있습니다.
미끼
미끼는 공격자가 피해자의 개인 정보를 얻기 위해 무엇인가 매력적인 것을 제공하는 소셜 엔지니어링 공격 유형입니다. 예를 들어 공격자는 무료 선물 카드나 무료 영화 다운로드를 제공하며 피해자의 이메일 주소를 획득할 수 있습니다. 공격의 목표는 피해자로부터 개인정보를 수집해 신분 도용이나 사기를 저지르는 것입니다. 이는 피해자의 호기심이나 탐욕을 이용합니다.
사례
이 미끼 시나리오에서 공격자들은 커피숍이나 주차장과 같은 공공장소에 USB 드라이브를 남겨둡니다. USB 드라이브에는 "기밀" 또는 "개인용"이라는 라벨이 붙어 있으며, 이를 컴퓨터에 연결하면 컴퓨터에 악성 소프트웨어를 설치하는 프로그램이 포함되어 있습니다. 공격의 목표는 피해자를 속여 USB 드라이브를 컴퓨터에 연결하게 하여 악성 소프트웨어를 설치하는 것입니다.
당신은 USB 드라이브를 컴퓨터에 연결하고 중요한 정보를 발견하기를 기대합니다. 파일의 이름은 "기밀_프로젝트_데이터.csv"입니다. 파일을 열려고 하면 숨겨진 스크립트로 인해 컴퓨터에 악성 소프트웨어가 설치됩니다.
이 미끼 공격에서:
- 미끼는 "기밀" 또는 "개인용"이라는 라벨이 붙은 USB 드라이브로, 특히 직장이나 전문적인 환경에서 이를 발견할 경우 매우 유혹적일 수 있습니다.
- 호기심 요소: 인간의 호기심을 취약점으로 활용하여 사람들이 평소에는 피할 행동을 취하도록 유도합니다.