메인 컨텐츠로 건너뛰기

소셜 엔지니어링 공격을 방지하는 방법

소셜 엔지니어링이란?

소셜 엔지니어링이란?

사이버 보안이라고 하면, 대부분 기술적 약점을 사용하여 데이터 네트워크를 공격하는 해커로부터 스스로를 방어하는 것으로 생각합니다. 하지만, 조직과 네트워크에 침투하는 또 다른 방법이 있으며, 이는 바로 인간적 약점을 악용하는 것입니다. 이를 소셜 엔지니어링이라 하며, 누군가를 속여 정보를 유출하게 하거나 데이터 네트워크에 액세스할 수 있게 만드는 방법입니다.

예를 들어, 침입자가 IT 헬프데스크 직원으로 가장하여 사용자에게 사용자 이름과 암호 같은 정보를 요구할 수 있습니다. 놀랍게도 많은 사람들이 두 번 생각하지 않고 이러한 정보를 자발적으로 제공하는데, 특히 적법한 담당자가 요구하는 것으로 보일 때 더욱 그러합니다.

단순히 말해, 소셜 엔지니어링은 속임수를 사용하여 데이터 또는 정보를 유출하거나 액세스 가능하게 개인을 조종하는 것입니다.

소셜 엔지니어링 공격의 종류

소셜 엔지니어링 공격의 종류는 다양합니다. 중요한 것은 소셜 엔지니어링의 정의와 그 작동 방식을 파악하는 것입니다. 기본적인 수법을 파악하면, 보다 쉽게 소셜 엔지니어링 공격을 찾아낼 수 있습니다.

미끼 공격

미끼 공격은 악성 코드를 탑재한 USB 스틱 같은 덫을 만들어 사용합니다. 무엇이 들어 있는지 호기심에 USB 스틱을 드라이브에 꽂았다가 시스템에 손상을 입는 사람들이 있습니다. 실제로 컴퓨터를 파괴할 수 있는 USB가 있는데, USB 드라이브에서 충전하다가 엄청난 전력 급증 현상으로 분리했더니, USB를 꽂은 기기가 망가지는 경우가 있습니다(USB 스틱의 가격은 54달러에 불과).

프리텍스팅

이 공격은 어떤 구실을 사용하여 관심을 얻고 피해자가 정보를 제공하도록 속이는 것입니다. 예를 들어, 인터넷 설문 조사라고 하면서 처음에는 별 문제 없어 보이지만 결국 은행 계좌 정보를 요구할 수 있습니다. 또는 어떤 사람이 클립보드를 들고 내부 시스템에 대한 감사를 진행 중이라고 말하는데, 실은 그렇지 않고 사용자로부터 귀중한 정보를 훔쳐낼 수도 있습니다.

피싱

피싱 공격은 믿을만한 출처에서 온 것인 척하는 이메일이나 문자 메시지를 이용하여 정보를 요구합니다. 잘 알려진 유형은 은행에서 보낸 것처럼 보이는 이메일로, 고객의 보안 정보를 '확인'하겠다면서 가짜 사이트로 연결하여 로그인 인증 정보를 입력하게 만드는 것입니다. '스피어 피싱'은 회사 내 한 사람을 대상으로 하며, 고위 경영진이 쓴 것처럼 이메일을 보내 중요 정보를 요구합니다.

소셜 엔지니어링 공격으로부터 스스로를 보호하는
방법

비싱 및 스미싱

이러한 유형의 소셜 엔지니어링 공격은 피싱의 변종으로서 '보이스 피싱'을 의미하며 단순히 전화를 걸어 데이터를 요구하는 것입니다. 범죄자는 동료 행세를 할 수 있는데, IT 헬프데스크인 척하면서 로그인 정보를 묻기도 합니다. 스미싱은 SMS 메시지를 사용하여 이러한 정보를 얻어내려는 것입니다.

보상 공격

흔히 '서로 주고 받았으면 강제로 뺏은 것이 아니다'라고 하지만, 이 경우는 강탈에 해당합니다. 소셜 엔지니어링 공격의 상당수는 피해자들이 데이터나 액세스 권한을 제공한 댓가로 무언가를 얻는다고 믿게 만듭니다. '허위 맬웨어'가 이런 식으로 컴퓨터 사용자에게 긴급한 보안 문제를 해결하는 업데이트를 약속하지만, 실상은 허위 맬웨어 자체가 악성 보안 위협입니다.

연락처에 스팸 발송 및 이메일 하이재킹

이 공격은 개인의 이메일이나 SNS 계정을 해킹하여 연락처에 대한 액세스 권한을 확보하는 것입니다. 연락처에 있는 이들에게 강도를 당해 신용 카드를 모두 잃어버렸다며 송금이나 계좌 이체를 요구하는 내용을 보냅니다. 또는 '친구'가 '꼭 봐야 할 영상'이라면서 맬웨어 또는 키로깅 트로이 목마로 연결되는 무언가를 보낼 수도 있습니다.

파밍과 헌팅 비교

마지막으로, 훨씬 교묘하게 발전된 소셜 엔지니어링 공격에 주의해야 합니다. 앞서 설명한 것처럼, 단순히 접근하는 식의 공격은 대개 '헌팅'의 형태입니다. 기본적으로 침투해서 정보를 얻은 후 빠져 나오는 것입니다.

하지만, 소셜 엔지니어링 공격 중에는 대상과 관계를 형성해 오랜 시간에 걸쳐 더 많은 정보를 수집하는 유형도 있습니다. 이를 '파밍'이라고 하는데, 공격자 입장에서는 들킬 가능성이 더 많다는 점에서 더 위험합니다. 하지만, 일단 잠입에 성공하면 훨씬 더 많은 정보를 얻어낼 수 있습니다.

소셜 엔지니어링 공격을 방지하는 방법

소셜 엔지니어링 공격은 호기심과 권위에 대한 존중, 이웃을 돕고 싶어하는 마음 등, 자연스러운 인간의 특성에 맞춰 운용되도록 설계되었다는 점에서 대처가 특히 어렵습니다. 소셜 엔지니어링 공격을 탐지하는 데 도움이 될 팁은 다음과 같습니다.

출처를 확인하라

이 연락이 어디에서 온 것인지 생각하고 무조건 믿지는 마십시오. 책상 위에서 USB 스틱을 발견했는데, 모르는 것입니까? 갑자기 전화가 와서 5백만 달러가 상속되었다고 합니까? 사장님에게서 이메일이 와서 직원들 개개인의 정보를 올리라고 요구합니까? 모두 어딘가 수상쩍으니 의심을 가지고 대처해야 합니다.

출처를 점검하는 것은 어렵지 않습니다. 예를 들어, 이메일의 경우 이메일 제목을 살펴 같은 발신인에게서 받았던 제대로 된 메일과 비교하십시오. 링크가 어디로 이어지는지 확인하십시오. 스푸핑된 하이퍼링크는 커서를 그 위에서 움직이기만 해도(절대 클릭하면 안 됨!) 쉽게 알 수 있습니다. 철자를 확인하십시오. 은행에서 고객 연락을 담당하는 직원들은 소정의 자격을 갖춘 이들이므로, 오류가 눈에 띄는 이메일은 아마도 가짜일 것입니다.

의심스러울 때는 공식 웹사이트를 방문하여 공식 담당자에게 문의하십시오. 해당 이메일/메시지의 위조 여부를 확인해 줄 것입니다.

무엇을 알고 있는가?

출처에 이미 알고 있으리라 생각되는 정보(예: 사용자의 성과 이름 등)가 없나요? 은행에서 전화하는 경우 고객에 대한 모든 정보를 준비한 상태일 것이고, 사용자가 계좌 중 특정 정보를 바꾸게 하려면 항상 보안 관련 질문을 먼저 하게 된다는 점을 기억하십시오. 그렇지 않다면, 가짜 이메일/전화/메시지일 가능성이 상당히 높으므로 주의해야 합니다.

순환 반복되는 루프를 끊어라

소셜 엔지니어링은 조급함이 원인이 되는 경우가 많습니다. 공격자들은 표적으로 삼은 사람들이 상황을 너무 깊이 생각하지 않기를 바랍니다. 그러므로, 잠시 생각할 여유를 가지면 공격을 막거나 그것이 가짜라는 사실을 깨달을 수 있습니다.

전화로 또는 링크를 클릭하는 식으로 바로 데이터를 보내지 말고, 공식 전화 번호로 전화하거나 공식 웹사이트 URL을 방문하십시오. 다른 소통 방식을 사용하여 출처의 신빙성을 확인하십시오. 예를 들어, 송금을 요청하는 친구의 이메일을 받는다면, 휴대폰으로 문자를 보내거나 전화하여 진짜 그가 보낸 이메일인지 확인할 수 있습니다.

ID를 확인하라

소셜 엔지니어링 공격 중 가장 쉬운 것은 큰 상자나 양손 가득 파일을 들고 가는 방법으로 보안을 우회하여 건물에 들어가는 것입니다. 친절한 누군가가 문을 열고 기다려 주기 때문입니다. 여기에 넘어가지 말아야 합니다. 항상 ID를 요청하십시오.

다른 방식에도 동일하게 적용됩니다. 정보 요청에 대한 기본 응대로, 전화하거나 묻는 사람이 누구든지 이름과 번호를 확인하고 '어디 소속이고 상사가 누구인지' 물어야 합니다. 그런 다음, 개인 정보나 데이터를 제공하기 전에 먼저 조직도나 전화 번호부를 확인합니다. 정보를 요청하는 상대가 누군지 잘 모르고 불편한 느낌이 든다면, 다른 사람에게 이중으로 확인한 후 이쪽에서 연락하겠다고 하십시오.

소셜 엔지니어링 위험과 프라이버시에 대한
위협

우수한 스팸 필터를 사용하라

이메일 프로그램이 제대로 스팸을 걸러내지 않거나 의심스러운 이메일을 표시하지 않는다면, 설정을 바꾸는 것이 좋습니다. 우수한 스팸 필터는 여러 가지 정보를 사용하여 어떤 이메일이 스팸인지 판별합니다. 가짜일 가능성이 있는지 판별하기 위해 의심스러운 파일이나 링크를 탐지하거나 수상한 IP 주소나 발신인 ID의 블랙리스트를 확보하거나 메시지의 콘텐츠를 분석하기도 합니다.

현실적인가?

일부 소셜 엔지니어링 공격은 사용자가 상황이 현실인지 판별하기 위해 시간을 들이거나 분석적 태도를 취하지 않도록 속이는 방식으로 작동합니다. 다음은 몇 가지 예입니다.

  • 정말로 친구가 중국에 갇혀 빠져나갈 방법이 없다면, 이메일을 보내거나 전화 또는 문자 메시지를 보낼 수 있을까요?
  • 나이지리아의 왕족이 유산으로 100만 달러를 남기는 게 가능할까요?
  • 은행에서 사용자의 계좌 세부 정보를 묻기 위해 전화하는 게 맞을까요? 실제로, 여러 은행에서 고객에게 이메일을 보내거나 전화로 통화하는 경우가 있습니다. 확실치 않으면 이중으로 확인하도록 하십시오.

너무 서두르지 말 것

대화할 때 조급함을 느낀다면 특히 주의하십시오. 악의적인 행위자가 표적이 문제를 제대로 생각하지 못하게 하는 수법입니다. 압박감을 느낀다면 진행 속도를 늦추십시오. 정보를 가져오는 데 시간이 걸린다거나 상사에게 물어봐야 한다거나 지금은 그 정보가 없다고 말하십시오. 진행을 늦추고 스스로 생각할 시간을 가지십시오.

대개는 공격자들이 상황이 마음대로 되지 않음을 깨닫고 멈추게 됩니다.

기기의 보안을 확보하라

혹시 소셜 엔지니어링 공격이 성공하더라도 피해를 최소화하기 위해서는 기기의 보안을 확보하는 것이 중요합니다. 스마트폰이든 기본 홈 네트워크든 주요 엔터프라이즈 시스템이든 기본 원칙은 동일합니다.

  • 맬웨어 방지 및 안티바이러스 소프트웨어를 최신 상태로 유지하십시오. 이렇게 하면 피싱 이메일로부터 유입되는 맬웨어가 자동으로 설치되지 않게 방지할 수 있습니다. Kaspersky의 안티바이러스 같은 패키지를 사용하여 네트워크와 데이터를 안전하게 유지하십시오.
  • 소프트웨어와 펌웨어를 정기적으로 업데이트하고 특히 보안 패치를 업데이트하십시오.
  • 휴대폰을 루팅하지 말고 네트워크 또는 PC를 관리자 모드에서 실행하지 마십시오. 소셜 엔지니어링 공격으로 '사용자' 계정의 암호가 넘어가더라도, 시스템을 재구성하거나 소프트웨어를 설치하지 않도록 해야 합니다.
  • 여러 계정에 동일한 암호를 사용하지 마십시오. 소셜 엔지니어링 공격으로 SNS 계정의 암호가 넘어간 경우, 다른 계정까지 모두 잠금 해제되는 상황이 되어서는 안 됩니다.
  • 중요 계정의 경우 2단계 인증(2FA)를 사용하여 암호만으로 계정에 액세스할 수 없도록 하십시오. 음성 인식이나 보안 기기 사용, 지문 인식, SMS 확인 코드 등이 필요할 수 있습니다.
  • 계정에 대한 암호를 주었는데 '엔지니어링' 당한 것 같다고 생각되면 바로 암호를 변경하십시오.
  • 새로운 사이버 보안 위험을 파악하는 방법으로 Kaspersky 리소스 센터의 정기 독자가 되는 것이 좋습니다. 새로운 공격 방법이 등장할 때마다 모든 내용을 파악하여 피해를 입을 가능성이 줄어들게 됩니다.

디지털 발자국에 대해 생각하라

디지털 발자국에 대해 생각해 본 적이 있을 것입니다. SNS 등을 통해 개인 정보를 온라인에 과도하게 공유하면 공격자들을 돕는 것이 됩니다. 예를 들어, 여러 은행에서 보안 질문으로 '처음 키웠던 반려 동물의 이름'을 썼는데, 사용자가 Facebook에 그 이름을 공유한 적이 있습니까? 그랬다면 이미 취약한 상태입니다. 아울러, 일부 소셜 엔지니어링 공격은 사용자가 SNS에 공유한 최근의 사건을 언급하면서 신용을 쌓으려고 합니다.

SNS 설정을 '비공개'로 하고 공유 내용에 주의하는 것이 좋습니다. 지나치게 걱정할 필요는 없지만 그래도 주의해야 합니다.

온라인으로 공유하는 삶의 다른 측면에 대해서도 생각해 보십시오. 예를 들어, 온라인 이력서가 있으면 주소, 전화 번호, 생년월일은 삭제해야 합니다. 모두 소셜 엔지니어링 공격을 계획하는 자에게 유용한 정보이기 때문입니다. 소셜 엔지니어링 공격 중 일부는 피해자와 깊은 관계를 갖지 않지만, 주도면밀하게 준비하는 경우도 있습니다. 이러한 범죄자들에게는 작업할 정보를 되도록 적게 주어야 합니다.

소셜 엔지니어링은 완벽하게 정상적인 상황에서 조종하여 악의적인 결과를 얻는다는 점에서 매우 위험합니다. 하지만, 그 작동 원리를 잘 이해하고 기본적인 예방책을 강구한다면 소셜 엔지니어링의 피해를 입을 가능성을 줄일 수 있습니다.

추천 제품:

소셜 엔지니어링 공격을 방지하는 방법

사이버 보안을 생각할 때 대부분은 기술적 약점을 사용하여 데이터 네트워크를 공격하는 해커로부터 스스로를 방어하는 것으로 생각합니다. 하지만, 조직과 네트워크에 침투하는 또 다른 방법이 있으며, 이는 바로 인간적 약점을 악용하는 것입니다. 이를 소셜 엔지니어링이라 하며, 누군가를 속여 정보를 유출하게 하거나 데이터 네트워크에 액세스할 수 있게 만드는 방법입니다.
Kaspersky 로고

관련 문서