사회공학적 공격을 예방하는 방법?

사회공학 공격은 사이버 보안 분야에서 점점 더 흔해지고 있습니다. 이들은 인간의 심리를 악용하기 때문에 기존의 악성코드 캠페인보다 더 효과적입니다. 해커는 피해자를 설득하여 원하는 대로 행동하게 할 수 있으며, 이는 사용자가 평소 반응을 넘어선 행동을 하도록 유도할 수 있음을 의미합니다. 특정 패턴이나 수법이 있는 다른 사이버 공격과 달리, 사회공학 공격은 인간의 다층적인 감정을 이용하기 때문에 예측하기 어렵습니다.

이 가이드에서는 사회공학 공격의 작동 방식을 설명합니다. 사회공학 공격을 예방하고 대응하는 방법을 배우게 될 것입니다.

사회공학적 공격이란 무엇인가요?

사회공학 공격은 사람들의 감정을 자극하여 평소와 다르게 반응하도록 만듭니다. 공격자는 당신의 감정을 탐색하며, 민감한 정보를 유출하기 위해 약한 순간을 노립니다. 사회공학 공격은 예상치 못한 방식으로 이루어지기 때문에 위험합니다. 누구나 그런 궁지에 몰리거나 정신적으로 불안한 상황에 처하면 부정적이거나 파괴적인 반응을 보일 수 있습니다.

다양한 사회 공학 공격 유형이 있습니다. 사회 공학 공격을 방지하는 방법을 배우려면, 그 공격들을 알고 있어야 합니다. 그 공격들은 다음과 같습니다.

• 미끼 공격(Baiting)은 공격자가 USB 플래시 드라이브와 같은 물리적 장치에 악성 코드를 설치하고 쉽게 접근할 수 있는 장소에 두는 경우 발생합니다. 피해자는 이 장치를 발견하여 집어 들고 컴퓨터에 삽입함으로써 의도치 않게 악성코드를 설치하게 됩니다.
• 피싱는 공격자가 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 합법적인 이메일로 위장한 사기 이메일을 보낼 때 발생합니다. 이 메시지는 피해자를 속여 민감한 정보를 제공하게 하거나, 메시지 내에 포함된 악성 링크나 첨부 파일을 클릭하게 만듭니다.
• 스피어 피싱(Spear phishing)은 보다 정교하고 표적화된 피싱 형태입니다. 조직 내 상위 직급자를 대상으로 특별히 제작된 이메일을 사용합니다. 공격자는 수개월 또는 수주 동안 정찰 및 피해자 조사를 수행하며, 적절한 기회가 왔을 때만 표적을 삼습니다.
• 보이스 피싱(Vishing)은 음성 통신을 이용한 사회공학적 공격입니다. 공격자는 전화를 걸어 신원을 확인하기 위한 질문을 합니다. 상대방과 대화하거나 민감한 정보를 제공하면, 공격자는 피해자와 표적에 대한 정보를 추출할 수 있습니다. 이는 가장 흔한 사회공학 공격 중 하나로, 대부분의 사람들이 속아 넘어갑니다.
• 스케어웨어(Scareware) – 피해자에게 자신의 시스템이 악성코드에 감염되었다고 믿게 하여 불법 콘텐츠를 무심코 다운로드하도록 유도하는 사회공학적 공격 유형입니다. 공격자는 해당 악성코드를 제거하는 도구와 같은 해결책을 제시하며, 사용자는 속아 그 도구를 다운로드하고 사용하게 됩니다.
• 워터링홀 – 공격자가 사용자가 자주 방문하는 웹사이트를 감염시켜 네트워크 접근 권한을 획득하고 신뢰를 얻는 정교한 사회공학적 공격 방식입니다.
• 허니 트랩: 사회공학자가 매력적인 인물로 위장하여 온라인에서 상대방과 교감합니다. 가짜 온라인 관계를 형성하여 민감한 정보를 얻으려 할 수 있습니다.
• 대가성 거래(Quid pro quo) – 이 사회공학적 공격 방식은 다음과 같이 가장 간단히 설명할 수 있습니다: 한 기업에 기술적 문제가 발생했고, 귀사가 해당 제품의 일련번호를 보유하고 있습니다. 공격자는 귀사에 전화를 걸어 그 일련번호를 언급하며, 피해자인 귀사는 이를 사실로 믿게 됩니다. 그들은 귀하에게 기술적 문제가 있다고 말할 것이고, 귀하는 그것이 사실이기 때문에 믿게 될 것입니다.

사회 공학 공격은 어떻게 작동합니까?

사회 공학 공격은 귀하의 감정, 순진함, 그리고 속기 쉬운 성격을 이용한다는 전제 하에 작동합니다. 심리적 조작을 통해 사용자를 속이고, 자신도 모르게 보안 실수를 저지르도록 유도합니다.

피해자는 민감한 정보를 실수로 유출하거나 제공하거나, 가해자의 영향을 받을 수 있습니다.

그들이 알아차리기 전에 피해자의 개인 및 금융 정보가 도난당하며, 그때는 이미 아무것도 할 수 없을 때가 됩니다. 사회공학적 공격은 피해자에게 함정을 설치하고 심리전을 펼칠 수도 있습니다.

공격자의 목표는 피해자의 신뢰를 얻고 경계를 낮추는 것입니다. 그런 다음 이를 악용합니다. 웹 링크 클릭이나 악성으로 간주되는 첨부 파일 열기와 같이 자신의 권한 범위를 벗어난 안전하지 않은 행동을 하도록 유도합니다. 경우에 따라서는 공무원을 사칭하기도 합니다.

피해자는 무슨 일이 벌어지고 있는지 인지하지 못한 채 무의식적으로 공격자와 협력하게 됩니다. 공격자가 제시한 웹사이트를 방문하거나 로그인 페이지에 정보를 입력하면, 공격자는 피해자의 기기나 네트워크를 완전히 장악할 수 있습니다.

소셜 미디어의 가장 큰 위험 중 하나는 사람 간의 소통 수단으로 악용될 수 있다는 점입니다. 사회공학적 공격이 모든 대상에게 통하는 것은 아닙니다.

하지만 단 한 명의 피해자만으로도 조직에 피해를 입힐 수 있는 대규모 공격을 촉발시키기에 충분합니다. 사회공학적 공격에는 피싱 이메일, 가짜 웹사이트, 거래 가로채기, 신원 도용 등 다양한 방법이 포함될 수 있습니다. 이 공격은 예측 불가능하며, 기존 사이버 공격의 범위를 벗어나거나 그 효과를 발휘할 수 있어 탐지되지 않는 경우가 많습니다.

사회공학 공격을 탐지하는 방법?

조직 내부에서 발생할 수 있는 사회공학 공격은 내부자 공격의 결과일 수 있습니다. 따라서 직장의 분위기를 평가하고 동료들이 어떻게 행동하는지 살펴보세요. 부정적인 분위기가 없고 모두가 같은 생각을 하고 있다면, 그것은 대개 좋은 징조입니다. 직장에서 불화가 많다면 우려해야 합니다. 오늘의 원한이 미래에는 정교한 사회공학적 위협으로 확대될 수 있다는 점을 명심해야 합니다.

조직 외부에서 시작된 사회공학적 공격, 특히 피싱 메일의 경우 즉각적인 주의가 필요한 메시지에 경계하십시오. 긴급함을 호소하거나 위협을 가하는 이메일, 계정 재활성화나 자금 이체, 세금 납부를 위해 악성 링크를 너무 빨리 클릭하라고 요구하는 메일은 피하십시오.

사회공학적 공격 방지를 위한 모범 사례

사회공학적 공격을 방지하는 10가지 접근법은 다음과 같습니다:

• 웹사이트 URL에서 자물쇠 아이콘을 확인하세요. URL이 HTTPS 또는 HTTP 접두사로 시작하는지 확인하십시오. HTTPS 접두사가 있는 경우 해당 웹사이트는 안전하며 접속할 수 있습니다. 그러나 HTTP 접두사가 있다면 피해야 합니다. 또한 웹사이트의 SSL 인증서 및 기타 보안 프로토콜을 확인하세요.
• 조직 내 모든 계정에 대해 다중 인증을 활성화하세요. 정기적인 클라우드 감사를 수행하고 비활성 계정 및 휴면 계정을 확인하여 직원이 조직을 이탈하거나 입사할 때 내부자나 외부자에 의해 악용되지 않도록 하세요. 바이러스 백신 솔루션, 악성코드 방지 소프트웨어 및 웹 방화벽을 설치하십시오.
• 여러 계정에 로그인할 때는 서로 다른 비밀번호를 사용하십시오. 동일한 비밀번호를 모든 곳에 사용하지 말고, 비밀번호를 자주 변경하십시오.
• 능동적 AI 위협 탐지 기술과 보안 스캐닝 솔루션을 도입하십시오. 엔드포인트, 사용자 계정, 네트워크, IoT 기기를 스캔하면 사회공학적 공격이 조만간 발생할지 여부에 대한 단서를 얻을 수 있습니다.
• 기존 활동 패턴에서 벗어난 이상 징후가 관찰되면 공격이 준비 중임을 알 수 있습니다. 예를 들어, 직원이 평소와 다른 시간에 로그인하거나 특정 날짜에 다운로드량이 급증하는 경우, 정보 수집, 정찰 활동 또는 사회공학적 공격 준비를 하고 있을 수 있습니다. 이 두 가지 조치는 내부자 위협 기반 사회공학적 공격에 특히 적용됩니다.
• 정기적인 보안 감사와 취약점 스캔을 수행하여 인프라의 취약점을 보완하고 사각지대를 차단하십시오.
• 방화벽, 안티바이러스 및 안티멀웨어 솔루션, 피싱 탐지 소프트웨어를 설치하십시오. SentinelOne과 같은 도구를 활용하여 공격적 보안을 구현하고 공격자보다 한발 앞서 대응하십시오.
• 이메일 수신 전에 발신자 주소를 반드시 확인하십시오. 도메인 이름을 점검하고 문법, 레이아웃, 구조 또는 서식 오류 등 이메일 본문의 불일치 사항을 찾아내십시오.
• 권한 있는 공무원이라고 주장하는 알 수 없는 단체로부터 음성 통화를 받을 경우, 개인 정보를 공개하기 전에 신원을 확인하십시오. 사회공학적 공격자들은 조직과 그 구성원에 대한 많은 정보를 수집한다는 점을 기억하십시오.

사회공학적 공격의 실제 사례

다음은 사회공학적 공격의 실제 사례입니다:

• 인사이트 파트너스는 사회공학적 공격의 피해를 입었습니다. 이 사모펀드 회사는 피해 범위 파악 또는 복구에 몇 주가 소요될 것이라고 밝혔습니다. 이해관계자들에게 통보되었으며, 모든 구성원에게 경계를 강화하고 보안 프로토콜을 강화할 것을 권고했습니다. 인사이트는 상당한 사이버 보안 영향력을 보유하고 있으며, 2024년 9월 30일 기준으로 900억 달러 이상의 규제 자산 관리 규모를 기록하고 있습니다.
• 의료 분야에서는 '스캐터드 스파이더(Scattered Spider)'라는 해커 그룹이 사회공학적 전술과 도구를 활용했습니다. 이 공격은 금전적 동기로 이루어졌으며, AI를 활용해 피해자의 목소리를 위조했습니다. 결국 그들은 피해자의 기록에 접근하는 데 성공했습니다. 또한 공격자들은 IT 헬프 데스크에 전화를 걸어, 훔친 정보를 이용해 보안 질문에 정확히 답하도록 요구했습니다. Scattered Spider는 널리 사용되는 엔드포인트 보안 도구를 우회했으며, 심지어 랜섬웨어까지 배포했습니다.

결론

사회공학 공격을 막는 데는 만능 해결책이 없습니다. 이를 근절하기 위한 첫걸음은 사회공학 공격을 예방하는 방법을 배우는 것입니다. 공격 방식과 배후 메커니즘, 공격자의 사고방식을 이해하면 공격 경로를 예측하고 필요한 보안 조치를 취할 수 있습니다.

핵심은 '절대 신뢰하지 말고 검증하라'는 원칙입니다. 제로 트러스트 네트워크 보안 아키텍처를 구축하고 모든 계정에 최소 권한 원칙을 적용하세요. 누구에게도 무제한 접근 권한을 부여하지 말고 접근 권한을 제한하세요. 강력한 접근 통제를 시행하고 직원들에게 최고의 사이버 보안 관행에 대해 교육하는 것도 도움이 될 것입니다. 직원들이 최신 사회공학적 공격에 대해 인지하도록 하여 갑작스러운 공격에 당황하지 않도록 하십시오.

자세한 내용은 SentinelOne의 보안 전문가에게 문의하십시오.

FAQs