소셜 엔지니어링의 정의
소셜 엔지니어링은 사람의 실수를 이용하여 개인 정보, 액세스 권한 또는 귀중한 데이터를 탈취하는 심리 조종 수법입니다. 사이버 범죄에서 이러한 '인간 해킹' 사기는 아무것도 모르는 사용자가 데이터를 노출하고, 악성 코드 감염을 퍼트리거나, 제한된 시스템에 대한 액세스 권한을 제공하게끔 유도합니다. 공격은 온라인상이나 직접 만나는 자리에서 또는 그 밖의 상호 작용을 통해 일어날 수 있습니다.
소셜 엔지니어링에 기반한 사기는 사람들의 생각과 행동 방식을 염두에 두고 계획됩니다. 따라서 소셜 엔지니어링 공격은 사용자의 행동을 조종하려는 경우에 특히 유용합니다. 공격자가 사용자의 행동을 유발하는 요인을 파악하기만 하면 사용자를 효과적으로 속이고 조종할 수 있습니다.
그 외에도, 해커는 사용자의 무지함을 이용하려 합니다. 기술의 발전 속도 덕분에 많은 소비자와 직원들은 드라이브 바이 다운로드 같은 특정한 위협이 존재한다는 걸 잘 인지하지 못합니다. 사용자들은 휴대폰 번호 같은 개인 데이터가 얼마나 큰 가치를 지니고 있는지 제대로 모를 수도 있습니다. 그 결과, 많은 사용자들은 본인의 신원과 개인 정보를 보호하는 최상의 방법을 잘 모르고 있는 실정입니다.
일반적으로 소셜 엔지니어링 공격자의 목표는 다음 두 가지 중 하나입니다.
1. 고의적인 훼손: 데이터를 파괴하거나 손상시켜 손해 또는 불편함을 유발합니다.
2. 도난: 정보, 액세스 권한 또는 현금 같은 귀중한 자산을 편취합니다.
이러한 공격이 어떤 방식으로 이루어지는지 정확히 알면 소셜
엔지니어링의 정의를 한층 더 확장할 수 있습니다.
소셜 엔지니어링은 어떻게 이루어지나요?
대부분의 소셜 엔지니어링 공격은 공격자와 피해자 간에 실제 커뮤니케이션이 이루어져야 가능합니다. 공격자는 무차별 대입 공격 같은 방법을 사용하여 데이터를 빼내는 대신, 사용자가 자신을 위험에 빠트리는 행동을 하도록 몰아가는 경향이 있습니다.
공격 주기의 특성상 이러한 범죄자들은 사용자를 속일 수 있는 탄탄한 프로세스를 확보하게 됩니다. 소셜 엔지니어링 공격 주기의 단계는 일반적으로 다음과 같습니다.
1. 준비: 사용자에 대한 배경 정보 또는 사용자가 속한 대규모 집단에 대한 배경 정보를 수집하여 준비합니다.
2. 침투: 신뢰도를 쌓는 것부터 시작해 관계를 형성하거나 상호 작용을 개시하여 침투합니다.
3. 피해자 이용: 신뢰를 쌓고 약점이 파악되면 피해자를 이용하여 공격을 진행합니다.
4. 연락 끊기: 원하는 행동을 사용자가 실행에 옮기면 연락을 끊습니다.
이러한 프로세스는 이메일 한 통으로도, 여러 번의 소셜 미디어 채팅을 통해 몇 개월에 걸쳐서도 이루어질 수 있습니다. 그리고 직접적으로 대면하는 상호 작용을 통해서도 일어납니다. 하지만 궁극적인 목적은 사용자가 개인 정보를 공유하거나, 자신의 신원을 악성 코드에 노출시키는 등의 행동을 하게끔 하는 것입니다.
소셜 엔지니어링은 혼란을 주기 위한 수단이라는 점을 아는 게 중요합니다. 많은 직원 및 소비자들은 단순한 몇 가지 정보를 알려준다고 해서 해커가 여러 네트워크 및 계정에 액세스할 수 있는 권한을 갖게 될 거라고는 생각하지 못합니다.
해커는 IT 지원 담당자에게 문의하는 정상적인 사용자로 가장하여 사용자의 이름, 생년월일, 주소 같은 개인 정보를 알아낼 수 있습니다. 그 단계가 되면 간단하게 암호를 재설정하고, 거의 무제한에 가까운 액세스 권한을 손에 넣게 됩니다. 해커는 현금을 갈취하고, 소셜 엔지니어링 악성 코드를 퍼트리는 등의 행위를 할 수 있습니다.
소셜 엔지니어링 공격의 특성
소셜 엔지니어링 공격은 공격자의 설득력과 신뢰도를 활용하는 데 중점을 둡니다. 이러한 계략에 노출되면 피해자는 평소에 하지 않을 법한 행동을 하게 될 가능성이 높아집니다.
대부분의 공격 중에서도 특히 다음과 같은 행동에 속아 넘어가기 쉽습니다.
과장된 감정: 감정을 자극하여 심리를 조종하면 공격자는 어떠한 상호 작용에서도 우위를 점하게 됩니다. 감정이 격해진 상태에서는 이성적이지 않거나 위험한 행동을 할 가능성이 훨씬 더 높아집니다. 다음과 같은 모든 감정은 피해자를 납득시키기 위한 수단으로 사용됩니다.
- 두려움
- 흥분
- 호기심
- 분노
- 죄책감
- 슬픔
긴박감: 분초를 다투는 기회를 제시하거나 요청을 하는 수법은 공격자가 자주 사용하는 또 다른 탄탄한 무기입니다. 피해자는 즉각적인 조치가 필요한 심각한 문제라는 미명 아래 자신을 위험에 빠트리는 행동을 하게 될 수 있습니다. 또는 신속히 조치를 취하지 않을 경우 상금이나 경품을 받지 못하게 된다는 사기 제안에 노출될 수도 있습니다. 이러한 각각의 접근 수법은 피해자의 비판적 사고 능력을 정지시킵니다.
신뢰도: 신뢰성은 소셜 엔지니어링 공격에 있어서 매우 중요한 필수 요소입니다. 공격자의 궁극적인 목적은 피해자에게 거짓말을 하는 것이므로, 이 과정에서 신뢰가 중요한 역할을 합니다. 공격자는 피해자에 대해 충분한 사전 조사를 하여 쉽게 믿을 만하고 의심을 살 가능성이 낮은 이야기를 꾸며냅니다.
이러한 특성을 비껴가는 몇 가지 예외적인 상황도 있습니다. 어떤 경우에 공격자는 더 간단한 소셜 엔지니어링 수법을 사용하여 네트워크 또는 컴퓨터 액세스 권한을 얻어냅니다. 일례로, 해커가 대형 사무용 빌딩의 공용 푸드코트에 자주 드나들면서 태블릿이나 노트북으로 업무를 보는 사용자들을 어깨 너머로 훔쳐보는 경우가 이러한 수법에 해당합니다. 이런 수법을 이용하면 이메일을 보내거나 바이러스 코드를 작성하지 않고도 수많은 암호와 사용자 이름을 알아낼 수 있습니다.
이제 기본적인 개념을 이해했으니, 아마 "소셜 엔지니어링 공격이란 무엇이고 어떻게 알아볼 수 있나요?"라는 의문이 드실 겁니다.
소셜 엔지니어링 공격의 종류
거의 모든 종류의 사이버 보안 공격에는 소셜 엔지니어링 공격이 어느 정도 포함되어 있습니다. 예를 들어, 고전적인 이메일 및 바이러스 사기 메시지에는 사회적인 관계를 암시하는 내용이 가득합니다.
소셜 엔지니어링은 데스크톱 기기 외에 모바일 공격을 통한 디지털 방식으로도 영향을 미칠 수 있습니다. 하지만 사람을 직접 만나는 환경에서도 위협과 쉽게 마주칠 수 있습니다. 이러한 공격이 서로 겹치고 쌓여 하나의 사기 범죄가 탄생합니다.
소셜 엔지니어링 공격자가 사용하는 몇 가지 일반적인 수법은 다음과 같습니다.
피싱 공격
피싱 공격자는 피해자가 개인 데이터 및 기타 귀중한 정보를 노출하도록 유도하고자 신뢰할 수 있는 기관이나 관계자인 척 행세합니다.
피싱을 사용한 공격은 두 가지 방법 중 하나를 대상으로 삼습니다.
- 1. 스팸 피싱 또는 대량 피싱은 많은 사용자를 표적으로 삼는 광범위한 공격입니다. 이러한 공격은 개인에게 맞춤화된 공격이 아니며 이상한 낌새를 못 알아차리는 사람이라면 누구든 낚아채려 합니다.
- 2. 스피어 피싱, 그리고 더 나아가 웨일링은 개인 맞춤화된 정보를 이용하여 특정 사용자를 표적으로 삼습니다. 웨일링 공격은 유명인, 고위 경영진, 고위 정부 관료 같은 높은 가치가 있는 대상을 주로 노립니다.
직접적인 커뮤니케이션이나 가짜 웹사이트 양식 등 각종 수단을 통해 피해자가 공유한 모든 정보는 사기꾼의 주머니로 직행합니다. 피싱 공격의 다음 단계가 포함된 악성 코드 다운로드에 속는 경우도 있습니다. 피싱에 사용되는 방법은 저마다 전달 방식이 다르며, 다음과 같은 방법이 포함되지만 이에 국한되지 않습니다.
보이스 피싱(비싱) 전화는 피해자에 대한 모든 정보를 녹음한 자동 메시지 시스템일 수 있습니다. 신뢰도와 긴박감을 높이기 위해 실제 사람이 전화를 거는 경우도 간혹 있습니다.
SMS 피싱(스미싱) 문자 또는 모바일 앱 메시지에는 위조 이메일이나 전화번호를 통해 후속 조치를 취하기 위한 웹 링크 또는 메시지가 포함될 수 있습니다.
이메일 피싱은 가장 전통적인 피싱 수단으로, 회신을 하거나 다른 방법으로 후속 조치를 취할 것을 강력하게 촉구하는 이메일을 이용합니다. 웹 링크, 전화번호 또는 악성 코드 첨부 파일이 사용될 수 있습니다.
앵글러 피싱은 소셜 미디어에서 일어나는 피싱으로, 공격자가 신뢰할 수 있는 회사의 고객 서비스 팀으로 가장합니다. 공격자는 피해자와 특정 브랜드 간의 커뮤니케이션을 가로채어 피해자의 대화를 하이재킹하고 이를 개인 메시지로 전환하며, 그 다음에는 공격을 진행합니다.
검색 엔진 피싱은 검색 결과의 맨 위에 가짜 웹사이트로 연결되는 링크를 배치하는 수법입니다. 이러한 링크는 유료 광고이며 합법적인 최적화 방법을 사용하여 검색 순위를 조작합니다.
URL 피싱 링크는 사용자가 피싱 웹사이트로 이동하도록 유도합니다. 이러한 링크는 일반적으로 이메일, 문자 메시지, 소셜 미디어 메시지, 온라인 광고를 통해 전송됩니다. 링크 단축 도구 또는 철자를 다르게 쓴 URL을 사용하여 하이퍼링크 텍스트나 버튼의 링크 안에 공격을 숨깁니다.
인세션 피싱은 정상적인 웹 탐색을 방해하는 형태로 나타납니다. 예를 들어, 사용자가 현재 방문하고 있는 페이지의 가짜 로그인 팝업 창 등이 표시될 수 있습니다.
미끼 공격
미끼 공격은 사람의 자연스러운 호기심을 악용하여 사용자가 자신의 신원을 공격자에게 노출하도록 유도합니다. 일반적으로 무료 또는 특별한 상품을 얻을 수 있다는 식으로 심리를 조종하는 수법을 통해 사용자를 이용합니다. 이 공격은 일반적으로 사용자를 악성 코드로 감염시키는 과정이 포함됩니다.
잘 알려진 미끼 공격 방법은 다음과 같습니다.
- 도서관이나 주차장 같은 공용 공간에 놓고 간 USB 드라이브.
- 무료 제품 또는 허위 무료 소프트웨어에 대한 정보가 포함된 이메일 첨부 파일.
물리적인 보안 침해 공격
물리적인 보안 침해는 이용 권한이 없는 구역이나 정보에 대한 액세스 권한을 얻기 위해 공격자가 합법적인 담당자 행세를 하는 대면 방식의 공격입니다.
이러한 종류의 공격은 정부기관, 기업체 또는 기타 조직과 같은 엔터프라이즈 환경에서 가장 흔히 발생합니다. 공격자는 해당 회사를 지원하는 잘 알려진 신뢰할 수 있는 공급업체의 담당자 행세를 할 수 있습니다. 심지어 공격자 중에는 최근에 해고되어 이전 고용주에게 앙갚음을 하려는 전 직원도 포함될 수 있습니다.
이들은 다소 애매모호하지만, 의심을 피해 갈 수 있을 정도의 그럴듯한 신원을 만들어 냅니다. 이렇게 하려면 공격자 쪽에서도 어느 정도 조사를 해야 하며 위험도도 높아집니다. 따라서 누군가가 이 방법을 시도한다면, 성공 시 높은 보상이 보장된다는 명백한 가능성을 확인하고 실행에 옮긴 것입니다.
프리텍스팅 공격
프리텍스팅 공격은 신뢰도를 형성하기 위해 허위 신분을 '구실'로 이용하는 수법으로, 특정 공급업체나 시설의 직원을 직접적으로 사칭하는 등의 행위가 해당됩니다. 이러한 접근법을 이용하려면 공격자가 피해자와 사전에 교류가 있어야 합니다. 피해자가 공격자를 합법적인 담당자라고 믿게 되면 그 다음에는 공격을 진행합니다.
액세스 꼬리물기 공격
꼬리물기 또는 목마 타기는 권한을 보유한 직원이 접근 제한 구역으로 들어갈 때 따라 들어가는 행동을 뜻합니다. 공격자는 사회적인 예의범절을 빙자하여 상대방이 자신을 위해 출입문을 잡아주게끔 하거나, 자신도 해당 구역에 들어갈 수 있는 권한이 있는 사람인 것처럼 행세합니다. 이러한 과정에서 프리텍스팅 공격도 함께 이루어집니다.
보상 공격
보상 공격의 보상(Quid Pro Quo)이라는 용어는 대략 '가는 게 있으면 오는 게 있다'는 뜻으로, 개인 정보를 제공하는 대가로 사례금이나 기타 보상을 주겠다고 유도하는 피싱의 맥락에서 사용된 말입니다. 연구 조사에 참여하여 증정품이나 무료 제품을 받으려는 경우, 이러한 종류의 공격에 노출될 수 있습니다.
이러한 공격은 약간의 투자로 가치 있는 대가를 얻을 수 있을 것이라는 피해자의 기대 심리를 악용합니다. 하지만 공격자는 아무런 보상 없이 피해자의 데이터만 가져갈 뿐입니다.
DNS 스푸핑 및 캐시 중독 공격
DNS 스푸핑은 사용자가 합법적인 URL에 접속해도 사용자의 브라우저와 웹 서버가 악성 웹사이트로 이동하도록 조작하는 것입니다. 이러한 취약점 공격에 감염되면 관련 시스템에서 잘못된 라우팅 데이터가 삭제되기 전까지는 리디렉션이 계속 일어납니다.
DNS 캐시 중독 공격은 사용자 기기의 라우팅 명령을 감염시켜 합법적인 URL 또는 복수의 URL이 변조된 웹사이트에 연결되도록 합니다.
허위 악성 코드 공격
허위 악성 코드는 당장 조치를 취해야 한다고 협박하는 데 사용되는 일종의 악성 코드입니다. 이 허위 악성 코드는 있지도 않은 악성 코드 감염을 보고하거나, 사용자의 계정에 보안 침해가 발생했다고 알리면서 불안감을 조장하는 경고 메시지를 사용합니다.
결과적으로, 허위 악성 코드는 사용자에게 가짜 사이버 보안 소프트웨어를 구매하거나, 계정 자격 증명 같은 개인 정보를 제공하도록 심리적 압박을 가합니다.
워터링 홀 공격
워터링 홀 공격은 유명한 웹페이지를 악성 코드로 감염시켜 한 번에 수많은 사용자에게 타격을 가합니다. 이 공격을 하려면 공격자 쪽에서 세심한 계획을 세워 특정 사이트의 약점을 찾아내야 합니다. 공격자는 잘 알려지지 않고 보안 패치도 없는 기존의 취약점을 물색하는데, 이러한 약점은 제로 데이 취약점으로 간주됩니다.
또는 알려진 문제에 대한 패치를 적용할 수 있도록 인프라가 업데이트되지 않은 사이트를 찾아내는 경우도 있습니다. 웹사이트 소유자는 안정적이라 생각하는 소프트웨어 버전을 유지하느라 소프트웨어 업데이트를 미루는 선택을 할 수 있습니다. 이들은 최신 버전의 시스템 안정성이 검증된 후에야 소프트웨어를 전환합니다. 해커는 이러한 관행을 악용하여 최근에 패치가 배포된 취약점을 표적으로 삼습니다.
일반적이지 않은 소셜 엔지니어링 방법
사이버 범죄자들은 복잡한 방법을 이용하여 사이버 공격을 완수할 때도 있으며, 다음과 같은 경우가 이에 해당합니다.
- 팩스 기반 피싱: 모 은행의 고객이 해당 은행에서 발송한 것처럼 위조한 가짜 이메일을 받았는데, 이 이메일에는 고객에게 액세스 코드를 확인해 달라는 메시지가 있었습니다. 그런데 확인 방법은 일반적인 이메일이나 인터넷 경로가 아니었습니다. 그런 방법 대신, 고객에게 이메일 양식을 출력하여 세부 정보를 기입한 후 해당 양식을 팩스로 보내 달라고 요청합니다. 물론 이 팩스는 사이버 범죄자의 전화번호로 연결된 것이었습니다.
- 전통적인 우편 악성 코드 배포: 일본에서는 사이버 범죄자들이 택배 서비스를 이용하여 트로이 목마 스파이웨어에 감염된 CD를 배포하는 사건이 발생했습니다. 이러한 CD는 일본 내 모 은행의 고객들에게 배송되었고, 고객들의 자택 주소는 은행의 데이터베이스에서 사전에 탈취한 것이었습니다.
소셜 엔지니어링 공격의 예시
악성 코드 공격은 자주 일어날 뿐만 아니라 장기적인 영향을 미치기 때문에 특히 주의해야 합니다.
악성 코드 개발자는 소셜 엔지니어링 수법을 사용하여 부주의한 사용자가 감염된 파일을 실행하거나 감염된 웹사이트로 연결되는 링크를 열도록 유도할 수 있습니다. 많은 이메일 웜과 기타 유형의 악성 코드가 이러한 방법을 사용합니다. 모바일 및 데스크톱 기기를 위한 포괄적인 보안 소프트웨어 제품군이 없다면 감염에 노출될 가능성이 높습니다.
웜 공격
사이버 공격자의 목표는 사용자가 링크 또는 감염된 파일에 관심을 갖게 유도한 다음, 사용자가 이를 클릭하도록 하는 것입니다.
이러한 종류의 공격에는 다음이 해당됩니다.
- LoveLetter 웜: 2000년에 수많은 기업의 이메일 서버에 과부하를 일으킨 웜입니다. 피해자들은 첨부된 러브레터를 열어보라는 내용의 이메일을 받았습니다. 피해자가 첨부된 파일을 열자, 이 웜은 피해자의 주소록에 있는 모든 연락처에 자가 복제되었습니다. 이 웜은 재정적 피해 측면에서 보았을 때, 아직까지도 가장 치명적인 웜 중의 하나로 여겨지고 있습니다.
- Mydoom 이메일 웜: 2004년 1월에 인터넷에 등장한 이 웜은 메일 서버에서 보낸 기술 메시지로 위조한 텍스트를 이용했습니다.
- Swen 웜: Microsoft에서 발송한 것으로 위장한 메시지입니다. 이 이메일은 Windows 취약점을 제거하는 패치가 첨부되어 있다는 내용이었습니다. 당연히 많은 사람들이 해당 내용을 심각하게 받아들이고 가짜 보안 패치를 설치했지만, 실제로 그건 보안 패치가 아닌 웜 파일이었습니다.
악성 코드 링크 전달 채널
이메일, ICQ 및 기타 IM 시스템은 물론 IRC 인터넷 채팅방을 통해서도 감염된 사이트의 링크가 전송될 수 있습니다. 모바일 바이러스는 SMS 메시지를 통해 전달되는 경우가 많습니다.
어떤 전달 방법을 사용하든 간에, 이러한 메시지에는 아무것도 모르는 사용자가 링크를 클릭하도록 유도하는 자극적이거나 호기심을 유발하는 문구가 주로 포함되어 있습니다. 이러한 침투 방법을 사용하면 시스템은 악성 코드가 메일 서버의 안티 바이러스 필터를 우회하도록 허용하게 됩니다.
P2P(Peer-to-Peer) 네트워크 공격
P2P 네트워크도 악성 코드를 배포하는 데 사용됩니다. P2P 네트워크에 나타나는 웜 또는 트로이 목마 바이러스는 사용자의 관심을 끌어 다운로드한 후 실행하게끔 유도하는 이름으로 되어 있습니다. 다음은 예시를 확인하십시오.
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Play Station emulator crack.exe
공격에 감염된 사용자에게 수치심을 유발하여 신고하지 못하도록 하는 사례
일부 경우, 악성 코드 개발자 및 배포자는 피해자가 감염 사실을 신고할 가능성을 낮추는 수법을 쓰기도 합니다.
피해자는 아래의 예처럼 무료 유틸리티를 제공하거나, 불법적인 혜택을 보장하는 허위 메시지에 반응을 보일 수 있습니다.
- 무료 인터넷 또는 모바일 통신 이용권.
- 신용카드 번호 생성기 다운로드.
- 피해자의 온라인 계좌 잔고를 증액할 수 있는 방법.
이러한 경우 다운로드한 파일이 트로이 목마 바이러스로 밝혀지면 피해자는 불법을 행하려 했다는 의도가 탄로나지 않게 감추려 합니다. 따라서 피해자는 아마 어떠한 사법 기관에도 바이러스 감염 사실을 신고하지 않을 것입니다.
이러한 수법의 일례를 들자면, 공격자가 취업 웹사이트에서 수집한 이메일 주소로 트로이 목마 바이러스를 발송한 사건이 있습니다. 해당 사이트에 등록한 사람들에게 가짜 채용 제안 이메일이 발송되었는데, 그 이메일에는 트로이 목마 바이러스가 포함되어 있었습니다. 이 공격의 주요 표적은 기업 이메일 주소였습니다. 사이버 범죄자들은 트로이 목마 바이러스를 수신한 직원들이 다른 일자리를 알아보다가 바이러스에 감염되었다는 사실을 차마 고용주에게 알리지 못할 거란 걸 잘 알고 있었기 때문입니다.
소셜 엔지니어링 공격을 알아보는 방법
소셜 엔지니어링 공격을 차단하려면 이러한 공격을 자각하는 법을 연습해야 합니다. 어떠한 행동을 하거나 반응하기 전에 항상 천천히 심사숙고하십시오.
공격자가 바라는 건 여러분이 위험 요소를 고려하기 전에 바로 행동하는 것이지만, 여러분은 이와 반대로 행동해야 합니다. 도움을 드리기 위해, 공격이 의심될 때 자문해 볼 수 있는 몇 가지 질문을 준비했습니다.
- 나의 감정이 고조되었나? 특히 호기심, 두려움, 기대감이 높을수록 행동의 결과에 대한 판단력이 낮아집니다. 실제로, 여러분 앞에 전개된 상황의 타당성을 제대로 고려하지 못하게 될 수 있습니다. 감정 상태가 고조되었다면 이를 위험 징후로 생각하십시오.
- 이 메시지는 합법적인 발신자가 보낸 것인가? 의심스러운 메시지를 받은 경우 이메일 주소와 소셜 미디어 프로필을 꼼꼼히 검사하십시오. 'tom@example.com'이 아닌 'torn@example.com'처럼 비슷한 주소처럼 보이게끔 철자를 따라했을 가능성이 있습니다. 내 친구의 사진 및 기타 정보를 똑같이 복제한 가짜 소셜 미디어 프로필도 흔하게 이용됩니다.
- 정말로 내 친구가 나에게 이 메시지를 보낸 게 맞는가? 메시지의 발신자가 의심스럽다면 항상 발신자에게 물어보는 게 좋습니다. 회사 동료든 사적인 관계에 있는 다른 사람이든 간에, 가능하다면 직접 만나거나 전화를 걸어 물어보십시오. 상대방이 해킹을 당한 걸 모르는 상태이거나, 누군가가 상대방의 계정을 사칭한 경우일 수 있습니다.
- 내가 방문한 웹사이트의 세부 정보가 이상한가? 일치하지 않는 URL, 조악한 이미지 화질, 오래되거나 잘못된 회사 로고, 웹페이지 오타는 모두 위조 웹사이트를 가리키는 경고 징후일 수 있습니다. 위조된 웹사이트에 들어갔다면 즉시 나오십시오.
- 이 제안은 믿기 어려울 정도로 좋은 조건인가? 증정품을 제안하는 방법 또는 그 밖의 타겟팅 방법을 사용할 경우, 금전적 제안은 소셜 엔지니어링 공격을 진행할 수 있는 강력한 동기가 됩니다. 누군가가 아무것도 얻는 것 없이 여러분에게 가치 있는 대가를 제안하는 이유를 잘 생각해 봐야 합니다. 이메일 주소 같은 기본적인 데이터조차도 해커가 수집하여 불미스러운 광고업체에 판매할 수 있으므로 항상 주의하십시오.
- 첨부 파일 또는 링크가 의심스러운가? 메시지에 있는 링크 또는 첨부 파일의 이름이 모호하거나 이상해 보이는 경우, 전체 메시지의 진위 여부를 다시 검토하십시오. 메시지 자체가 발송된 전후 관계와 시간이 이상하지 않은지, 또는 기타 경고 징후가 엿보이는지도 고려하시기 바랍니다.
- 이 사람은 자신의 신원을 증명할 수 있는가? 자신이 속해 있다고 주장하는 조직에서 이 사람의 신원을 확인할 수 없는 경우, 이 사람이 요청하는 액세스 권한을 허용하지 마십시오. 이는 대면 방식과 온라인상에서 모두 해당되는 원칙입니다. 물리적인 보안 침해는 공격자의 신원을 제대로 확인하지 않을 때 발생하기 때문입니다.
소셜 엔지니어링 공격을 예방하는 방법
공격을 식별하는 차원을 넘어서, 개인정보 및 보안을 사전에 방어할 수 있는 방법도 있습니다. 모든 모바일 및 컴퓨터 사용자라면 소셜 엔지니어링 공격을 예방하는 방법을 알아 두는 것이 매우 중요합니다.
모든 종류의 사이버 공격을 차단할 수 있는 몇 가지 중요한 방법을 소개하겠습니다.
안전한 커뮤니케이션 및 계정 관리 습관
온라인 커뮤니케이션은 특히 취약한 부분입니다. 소셜 미디어, 이메일, 문자 메시지가 주된 표적이지만, 사람을 직접 상대해야 하는 대면 상호 작용도 고려해야 합니다.
이메일 또는 메시지의 링크 클릭하지 않기. 발신자와 상관없이, URL을 주소 표시줄에 항상 수동으로 입력하는 편이 좋습니다. 하지만 추가적인 조사 단계를 진행하여 의심스러운 URL의 공식 버전을 확인하십시오. 공식 또는 합법적인 것으로 확인되지 않은 URL은 어떤 경우에도 사용해서는 안 됩니다.
다단계 인증 사용. 온라인 계정마다 여러 개의 암호를 사용하면 계정을 훨씬 더 안전하게 보호할 수 있습니다. 다단계 인증은 계정 로그인 시 신원을 확인하는 추가 조치를 강화합니다. 이러한 '단계'에는 지문이나 얼굴 인식 같은 생체 인증 또는 문자 메시지를 통해 전송되는 임시 암호가 포함될 수 있습니다.
강력한 암호(및 암호 관리자) 사용. 각각의 암호는 고유하고 복잡해야 합니다. 대문자, 숫자, 기호를 비롯하여 다양한 문자 종류를 사용하십시오. 그리고 가능한 경우 긴 암호를 사용하는 편이 좋습니다. 모든 맞춤형 암호를 관리하는 데 도움이 되는 암호 관리자를 사용하면 암호를 안전하게 보관하고 저장할 수 있습니다.
출신 학교명, 반려동물 이름, 출생지 또는 그 밖의 개인 정보 공유 금지. 보안 질문의 답이나 암호의 일부를 자기도 모르는 사이에 노출하게 될 수 있습니다. 인상적이지만 부정확한 보안 질문을 설정해 두면 공격자가 계정을 해킹하기가 더 어려워집니다. 처음 구입한 자동차가 'Toyota'인 경우 'clown car' 같은 거짓 답변을 써 두면 계정을 엿보는 해커를 완전히 떼어낼 수 있을 겁니다.
온라인에서만 만난 사람과 친구가 되는 걸 극도로 조심하기. 인터넷은 전 세계의 사람들과 연결할 수 있는 멋진 방법이지만, 소셜 엔지니어링 공격에 사용되는 주된 수단이기도 합니다. 사람의 심리 조종이나 뚜렷한 신뢰도 악용을 나타내는 조짐 또는 경고 징후가 있는지 잘 살피십시오.
안전한 네트워크 사용 습관
보안 침해에 노출된 온라인 네트워크는 사전 조사에 악용되는 또 다른 취약점이 될 수 있습니다. 나의 개인 정보가 나에게 불리하게 악용되지 않도록 하려면 연결된 모든 네트워크에서 보호 조치를 취하십시오.
모르는 사람이 나의 주 Wi-Fi 네트워크에 연결하지 못하도록 설정. 집이나 직장에서 방문객 Wi-Fi 연결에 대한 액세스를 설정해 두어야 합니다. 이렇게 하면 암호로 보호된 주 Wi-Fi 연결을 안전하게 유지하고 다른 사람이 가로채지 못하도록 할 수 있습니다. 누군가가 정보를 '도청'하려 해도, 여러분 및 다른 사람들이 비밀로 유지하려는 활동에 액세스하지 못합니다.
VPN 사용. 주 네트워크(유선, 무선 또는 셀룰러)의 누군가가 트래픽을 가로채는 방법을 찾아낸 경우, 가상 사설망(VPN)을 사용하면 이러한 공격자를 차단할 수 있습니다. VPN은 여러분이 사용하는 모든 인터넷 연결에 대해 암호화된 사설 '터널'을 제공하는 서비스입니다. 여러분의 연결을 원치 않는 사람이 보지 못하게 보호할 뿐만 아니라, 데이터를 익명화하여 쿠키 또는 기타 수단을 통해 여러분을 추적하지 못하도록 합니다.
네트워크에 연결된 모든 기기와 서비스를 안전하게 보호. 많은 사람들이 모바일 및 전통적인 컴퓨터 기기에 대한 인터넷 보안 관행은 잘 알고 있습니다. 하지만 모든 스마트 기기와 클라우드 서비스뿐만 아니라, 네트워크 자체를 안전하게 보호하는 것 또한 중요합니다. 자동차의 인포테인먼트 시스템 및 가정용 네트워크 라우터 같은 흔히 간과하기 쉬운 기기를 보호해야 합니다. 이러한 기기에서 데이터 보안 침해가 발생하면 개인에게 더욱 표적화된 소셜 엔지니어링 사기 범죄로 발전할 수 있습니다.
안전한 기기 사용 습관
기기를 안전하게 보호하는 건 그 밖의 모든 디지털 습관만큼이나 중요합니다. 아래의 팁을 참고하여 휴대폰, 태블릿, 기타 컴퓨터 기기를 보호하십시오.
포괄적인 인터넷 보안 소프트웨어 사용. 소셜 공격이 성공하면 악성 코드 감염이 일어나는 게 일반적인 결과입니다. 루트킷, 트로이 목마 및 기타 봇에 대처하려면 감염을 제거하는 동시에 출처를 추적할 수 있는 고품질 인터넷 보안 솔루션을 사용하는 게 중요합니다.
기기를 보호되지 않은 상태로 공공장소에 두고 자리 비우지 않기. 항상 컴퓨터와 모바일 기기를 잠그고, 일을 하는 중에는 특히 더 유의하십시오. 공항 및 카페 같은 공공장소에서 기기를 사용할 경우 항상 직접 소지하고 있어야 합니다.
업데이트가 제공되는 즉시 모든 소프트웨어를 최신 상태로 유지. 업데이트를 즉시 설치하면 소프트웨어에 필수적인 보안 수정 사항이 적용됩니다. 운영 체제나 앱의 업데이트를 건너뛰거나 미루면 해커가 노릴 수 있는 알려진 보안 취약점이 계속 노출된 채로 남게 됩니다. 해커는 많은 컴퓨터 및 모바일 사용자가 이런 습관을 갖고 있다는 걸 잘 알고 있으므로, 업데이트를 하지 않으면 소셜 엔지니어링 악성 코드 공격의 주요 표적이 될 가능성이 높습니다.
온라인 계정에 알려진 데이터 보안 침해가 발생했는지 확인. Kaspersky Premium 같은 서비스는 사용자의 이메일 주소에 새로운 또는 기존의 데이터 보안 침해가 발생했는지 적극적으로 모니터링합니다. 사용자의 계정이 보안 침해가 발생한 데이터에 포함된 경우, 어떤 조치를 취해야 하는지에 대한 조언과 함께 알림이 전송됩니다.
소셜 엔지니어링 공격을 막는 건 교육에서부터 시작됩니다. 모든 사용자가 위협에 대해 인지한다면 집단 사회로서의 안전도 향상될 것입니다. 여러분이 알게 된 내용을 동료, 가족, 친구들과 함께 공유하여 이러한 위험에 대한 인식을 한층 더 높이시기 바랍니다.