15가지 유형의 사회공학 공격

사회공학 공격은 급속히 발전하는 디지털 환경에서 개인과 기업이 직면하는 가장 큰 위협 중 하나일 것입니다. 일반적인 사이버 공격이 소프트웨어나 네트워크 취약점을 공략하는 데 초점을 맞추는 반면, 주요 사회공학 공격 유형은 가장 취약한 연결고리인 인간을 악용합니다. 공격자들은 신뢰, 호기심, 두려움, 압박감과 같은 인간의 자연스러운 성향을 악용하여 피해자로 하여금 민감한 정보를 유출하거나 자신은 물론 조직 전체의 보안까지 위협하는 행동을 취하도록 유도합니다. 실제로 사이버 공격의 98%가 사회공학적 전술에 의존하며, 이는 공격자들이 목표 달성을 위해 인간 행동 조작에 얼마나 의존하는지를 보여줍니다.

광범위한 악성 공격은 기만과 인간 상호작용을 기반으로 하며, 공격자는 신뢰할 수 있는 주체로 위장하여 피해자가 기밀 정보를 공개하거나 보안 검사를 우회하도록 유도합니다. 이러한 형태에는 피싱 이메일, 사기 전화, 대면 사칭 등이 포함되며, 보안 인식이 부족한 모든 환경에서 번성합니다. 기술이 발전함에 따라 정교한 사회공학적 전술도 진화하여 탐지 및 방어가 점점 더 어려워지고 있습니다. 본질적으로 연결된 세상에서 데이터와 시스템을 더욱 안전하게 보호하기 위해 개인과 기업이 반드시 이해해야 할 것이 바로 이러한 방법들입니다.

본 글에서는 사회공학적 공격이 무엇인지 논의하고 다양한 형태의 사회공학적 공격에 대한 세부 사항을 심층적으로 살펴봅니다.

15가지 유형의 사회공학적 공격

사회공학적 공격은 인간의 심리를 악용하여 기밀 정보를 유출하거나 개인의 행동에 영향을 미쳐 보안을 침해합니다. 소셜 엔지니어링은 다양한 수단을 통한 기만이나 설득에 더 의존한다는 점에서 전통적인 해킹과는 완전히 다릅니다. 기술이 변화하듯 사이버 범죄자들의 전술도 변화합니다. 따라서 가장 중요한 방어 수단은 인식과 교육입니다. 가장 흔한 사회공학 공격 유형은 다음과 같으며, 각각 고유한 방법과 목적을 지닙니다:

1. 피싱: 피싱은 가장 흔한 사회공학적 공격 형태 중 하나입니다. 이 공격은 피해자로부터 민감한 정보를 빼내기 위해 설계된 악성 이메일, 메시지 또는 웹사이트를 포함합니다. 대부분의 사기 행위는 은행 계좌나 신뢰할 수 있는 기업과 같은 합법적인 출처로 위장하여 사람들을 속여 악성 링크를 클릭하거나 심지어 개인 인증 정보를 제공하도록 유도합니다. 이로 인해 신원 도용, 금전적 손실 또는 민감한 데이터에 대한 무단 접근이 발생할 수 있습니다. 대량 피싱 공격은 성공 확률을 높이기 위해 수백만 명의 수신자에게 발송됩니다. 피싱 공격에 걸린 피해자는 도둑에게 민감한 정보를 도난당할 수 있으며, 이는 신원 도용, 무단 접근 또는 금융 사기로 이어질 수 있습니다.
2. 스피어 피싱: 스피어 피싱은 보다 표적화된 피싱 형태입니다. 여기서 사이버 공격자는 개인이나 조직에 대해 심층적인 조사를 수행하여 성공 가능성을 높일 수 있도록 고도로 맞춤화된 메시지를 작성합니다. 일반적으로 대량으로 발송되는 일반 피싱 공격은 경영진이나 핵심 직원과 같은 고가치 대상에 집중하는 경향이 있습니다. 이러한 공격은 기업 스파이 활동이나 중요 데이터 탈취의 기반이 될 수 있으므로 매우 파괴적일 수 있습니다. 문제는 스피어 피싱이 지나치게 맞춤화되어 신중한 사람조차 피싱 공격의 피해자가 되어 기밀 정보를 누설할 수 있다는 점입니다. 대부분의 스피어 피싱 공격은 내부 시스템을 침투할 경우 성공적인 기업 스파이 활동이나 비즈니스 민감 데이터 도난으로 이어집니다. 조직 전체의 보안이 훼손되는 것은 대개 내부 시스템 침투 이후에 발생합니다.
3. 보이스 피싱(Vishing): 보이스 피싱 은 음성 통신(주로 전화)을 통해 피해자로부터 민감한 데이터를 빼내는 피싱의 한 유형입니다. 사이버 공격자는 은행 직원이나 공무원 등 피해자가 신뢰하는 권위 있는 인물인 척하며 피해자에게 개인 데이터를 넘기도록 설득합니다. 이 과정은 컴퓨터 기반 피싱 공격보다 더 개인적이고 진정성 있게 느껴질 수 있는 음성 상호작용을 사용하기 때문에, 특히 공격자의 발신자 표시 번호가 위조된 경우 비싱에서 특히 효과적일 수 있습니다. 비싱은 또한 상당 부분 인간 상호작용에 의존하기 때문에, 때로는 사이버 피싱보다 더 합법적이거나 진실된 것처럼 보일 수 있습니다. 위조된 발신자 ID 역시 이 유형의 공격에서 속임수의 일부입니다. 발신자 ID에 표시된 정보를 바탕으로 전화가 합법적인 출처에서 걸려온 것으로 인식됩니다.
4. 스미싱(SMS 피싱): 이는 또 다른 피싱 방법입니다. 사이버 해커가 신뢰할 수 있는 출처의 이름으로, 또는 웹사이트를 열 수 있는 링크가 포함되어 있다고 주장하는 짧은 문자 메시지(일반적으로 SMS라고 함)를 전달하는 기법입니다. SMS는 사용자에게 직접 개인 정보를 입력하거나 시스템에 설치된 악성 코드를 다운로드하도록 요청합니다. 모바일 기기는 스미싱에 유용합니다. 사람들은 이메일과 달리 문자 메시지에 매우 빠르게 반응하기 때문입니다. 공격자들이 휴대폰을 악용하기에 스미싱은 훨씬 더 접근성이 높습니다. 사람들은 이메일 대신 문자 메시지에 즉각적으로 반응하기 때문입니다. SMS의 즉각성은 사용자가 생각 없이 반응하게 만듭니다. 한편, 스미싱 링크는 진짜 기관인 척하는 웹사이트로 사용자를 유도하여 피해자로 하여금 개인 정보를 넘기도록 속일 수 있습니다.
5. 프리텍스팅: 프리텍스팅은 공격자가 피해자로부터 접근 권한이나 정보를 얻기 위해 시나리오나 구실을 만드는 행위입니다. 예를 들어, 공격자는 동료, IT 지원 담당자, 심지어 법 집행관인 척하며 민감한 정보가 합법적인 업무 활동의 일부라고 주장할 수 있습니다. 프리텍스팅의 성공 여부는 공격자가 피해자에게 신뢰와 신빙성을 얼마나 잘 구축하느냐에 달려 있습니다. 프리텍스팅의 성공은 공격자가 피해자와 신뢰와 신빙성을 구축하는 능력에 달려 있습니다. 공격자는 도움을 주고자 하는 욕구나 권위에 복종하려는 심리를 악용하여 로그인 자격 증명이나 개인 식별 정보와 같은 가치 있는 데이터를 추출할 수 있습니다. 따라서 프리텍스팅은 특히 무심코 권한 없는 접근을 허용하는 직원들이 있는 기업 환경에서 심각한 데이터 유출을 초래하는 수단입니다.
6. 베이트(Baiting): 미끼 공격은 무료 소프트웨어, 무료 음악, 심지어 돈과 같이 피해자가 원하는 것을 약속함으로써 유인합니다. 공격자는 공공장소에 USB 드라이브를 놓아두는 등 물리적 미끼를 사용할 수 있습니다. 의심하지 않는 사람이 이 드라이브를 컴퓨터에 삽입하면 악성코드가 설치되어 공격자가 시스템에 접근할 수 있게 됩니다. 무료 또는 매력적인 항목은 피해자를 위험한 결정으로 이끌 수 있습니다. 미끼 공격은 인간의 호기심이나 탐욕을 이용해 피해자를 위험한 선택으로 유인합니다. 이러한 미끼를 통해 악성코드가 설치되면 전체 네트워크의 보안이 훼손될 수 있습니다. 이로 인해 컴퓨터와 관련된 다양한 형태의 보안이 결국 침해될 수 있습니다. 사이버 공간에서도 미끼 공격이 발견되는데, 사용자가 완벽히 합법적으로 보이는 파일이지만 숨겨진 악성코드를 포함하고 있는 파일을 다운로드하도록 속이는 방식입니다.
7. 대가성 공격(Quid Pro Quo): 대가성 공격에서 공격자는 정보와 교환으로 서비스나 혜택을 제공합니다. 대표적인 예로 사이버 범죄자가 IT 지원 담당자로 위장하여 시스템 문제를 해결해 주겠다고 주장하면서, 사전에 피해자의 계정 인증 정보를 요구하는 경우가 있습니다. 이 기법은 피해자가 도움을 받고자 하는 욕구를 이용해 공격자가 민감한 정보를 더 쉽게 획득할 수 있도록 합니다. 퀴드 프로 콰 공격은 피해자가 어떤 형태의 지원이나 도움이 필요하다는 점을 악용하여 기밀 데이터를 제공할 가능성을 높입니다. 공격자가 이러한 자격 증명을 획득하면 시스템에 접근하거나 정보를 추출하거나 컴퓨터에 악성 코드를 설치할 수 있습니다. 이는 직원들이 기술적 문제를 가능한 한 빨리 해결하기를 열망하는 모든 기업 환경에서 매우 위험합니다.
8. 테일게이팅(꼬리달기): 테일게이팅은 권한이 없는 사람이 권한이 있는 사용자를 따라 제한 구역으로 들어가는 물리적 사회공학적 공격입니다. 예를 들어, 출입 카드를 잊어버렸다고 주장하는 사람이 직원을 따라 출입문을 통과하는 경우가 있습니다. 따라서 공격자는 출입이 허용되지 않은 구역에 진입할 수 있으며, 데이터 유출이나 절도까지 저지를 수 있습니다. 내부 진입 후 해커는 접근 권한이 없는 구역으로 이동하여 기밀 정보 도난, 데이터 유출, 심지어 사보타주까지 시도할 위험이 있습니다. 테일게이팅은 피해자의 친절함이나 도움 제공 의지를 악용하므로 물리적 보안 통제를 우회하는 비교적 단순하면서도 효과적인 방법입니다. 이러한 공격은 보안 환경에서 접근 통제가 엄격히 시행되어야 함을 보여줍니다.
9. 쓰레기통 뒤지기(Dumpster Diving): 쓰레기통 뒤지기는 공격자가 쓰레기통을 뒤져 계좌 번호, 비밀번호 또는 기타 민감한 정보를 찾아내는 해킹 기법입니다. 주로 피싱이나 프렉스팅과 같은 2차 공격에 활용할 수 있는 정보를 얻기 위해 사용됩니다. 조직은 적절한 폐기 절차를 보장하고 이 방법을 통한 공격 가능성을 차단해야 합니다. 쓰레기통 뒤지기는 때때로 눈치채지 못할 수 있지만, 공격자에게 노출될 수 있는 많은 정보를 포함하고 있습니다. 따라서 조직 내에서 사용된 종이는 파쇄하거나 민감한 데이터를 안전하게 삭제하는 등 적절히 폐기하여 이러한 공격에 노출되지 않도록 해야 합니다. 사소해 보이고 관련 없어 보이는 세부 사항조차도 공격자가 더 복잡한 사회공학적 공격을 설계하는 데 도움이 될 수 있습니다.
10. 워터링홀 공격: 워터링홀 공격에서 사이버 범죄자들은 특정 집단이나 조직이 주로 방문하는 웹사이트를 해킹합니다. 악성코드에 감염된 웹사이트는 방문자의 노트북에 악성코드를 주입하며, 방문자는 이를 무심코 자신의 시스템에 다운로드합니다. 이 공격은 특정 사용자 집단을 대상으로 하며, 사용자들이 공유된 디지털 환경을 사용하는 조직에 특히 위험합니다. 워터링홀 공격은 고도로 표적화되어 있으며, 특히 공통 디지털 플랫폼을 공유하는 조직에 위험합니다. 악성코드는 탐지되지 않은 채 방대한 양의 데이터를 훔치거나 시스템을 완전히 장악합니다. 이러한 공격은 익숙한 웹사이트에 대한 신뢰를 악용하므로, 식별하기 위해서는 매우 진보된 사이버 보안 조치가 필요합니다.
11. 비즈니스 이메일 침해(BEC): 비즈니스 이메일 침해는 사이버 사기꾼이 합법적인 비즈니스 이메일 계정을 해킹하여 직원이 금전이나 민감한 정보를 이체하도록 속이는 표적 공격입니다. 대부분 고위 경영진으로 위장하여 긴급성을 강조해 수락을 강요합니다. BEC 공격은 금전적 손실뿐만 아니라 정보 유출까지 초래하는 파괴적입니다. 따라서 공격자가 합법적인 이메일 주소를 사용하는 것은 특히 설득력이 있습니다. 기업은 다중 인증과 같은 엄격한 이메일 보안 규칙을 도입하여 이러한 BEC 공격을 막아야 합니다.
12. 허니 트랩: 공격자는 인터넷을 통해 피해자와 감정적인 대화를 나누며, 이를 허니 트랩이라고도 합니다. 일단 접촉이 시작되면 피해자는 비밀번호, 기업 기밀, 심지어 금전까지 공유하며 공격자의 함정에 빠집니다. 허니 트랩은 피해자의 감정을 악용하여 조작에 더 취약하게 만듭니다. 공격자가 신뢰를 얻기 위해 수주 또는 수개월을 투자한 후 공격하기 때문에 매우 개인화된 형태로 진행됩니다. 피해자가 조직 내 민감한 직위에 있다면 이러한 공격은 대규모 개인적·재정적 손실로 이어질 수 있습니다.
13. 불량 보안 소프트웨어: 사이버 공격자는 진짜처럼 보이는 가짜 보안 소프트웨어를 사용해 사용자의 컴퓨터에 허위 악성코드 감염을 보고합니다. 다운로드되면 해당 소프트웨어는 실제 악성코드를 설치하여 데이터를 훔치거나 몸값을 요구합니다. 끊임없이 팝업과 보안 경고를 표시해 사용자가 급하게 행동하도록 유도하는 것이 그들의 유일한 수단입니다. 이로 인해 민감한 정보가 유출되거나 전혀 존재하지 않는 사이버 범죄 상황에 대금이 지급됩니다. 이 공격은 실제 안티바이러스 프로그램을 무력화시켜 시스템을 취약하게 만들 수 있습니다. 피해자는 신원 도용이나 데이터 유출(예: 금융 정보 관련 데이터 도난)을 당할 수 있습니다.
14. 소셜 미디어 악용: 이처럼 고도로 연결된 세상에서 소셜 네트워킹 사이트는 정보, 소통, 관계 형성을 위한 필수 매체입니다. 반면, 악의적이거나 사악한 사람들이 자신의 목적을 위해 이용하거나 악용하기에 안성맞춤인 환경을 제공합니다. 사이버 범죄자들은 소셜 네트워킹 사이트를 통해 표적에 대한 정보와 정찰 자료를 수집하며, 다양한 전술로 사람들을 조종하거나 속여 자신들에게 민감한 데이터를 노출시키곤 합니다. 가장 흔한 사기 수법 중 하나는 유령 프로필을 사용하거나 친구, 친척, 동료, 심지어 기관이나 권위 있는 조직으로 위장하는 것입니다.
15. 사칭: 사칭 공격은 공격자가 시스템이나 데이터에 접근하기 위해 IT 직원이나 관리자 등 알려진 신뢰받는 인물로 가장할 때 발생합니다. 이들은 피해자와 인식된 권위자 사이의 신뢰 관계를 악용합니다. 공격자는 실제 이름, 내부 정보, 기업 용어 등을 활용해 진정성을 가장하므로 위조 여부를 식별하기 어렵습니다. 신뢰받는 영역에 접근한 공격자는 민감한 시스템이나 데이터를 탈취하거나 심각한 보안 침해 및 기밀 정보 유출까지 초래할 수 있습니다. 대부분의 경우 공격자가 제한된 영역이나 민감한 계정에 접근하면 사칭은 심각한 결과를 낳습니다.

사회공학 공격을 방지하는 방법?

사회공학 공격 방지는 사전 예방적 차원에서 교육, 기술, 정의된 프로세스가 필요합니다. 사이버 범죄자들은 인간 심리 조작을 기반으로 활동하므로 조직 내 보안 인식 제고가 매우 중요합니다. 다음은 사회 공학 공격의 위험을 완화하기 위한 몇 가지 효과적인 전략입니다.

• 직원 교육: 사회 공학 공격의 전술에 대해 직원을 교육하면 보안 의식이 높은 문화를 구축하는 데 도움이 됩니다. 정기적인 교육 세션만으로도 직원들이 의심스러운 행동을 식별하고, 다양한 형태의 사회공학적 기법을 이해하며, 흔한 사기에 빠지지 않도록 할 수 있습니다. 시뮬레이션 피싱 연습과 같은 상호작용형 학습 방법은 학습 효과를 강화하고 직원들이 잠재적 위협에 효과적으로 대응할 수 있도록 준비시킵니다. 지속적인 교육은 직원들이 사이버 범죄자들이 사용하는 최신 기법에 대해 최신 정보를 유지하도록 합니다.

• 다단계 인증(MFA) 사용: 다단계 인증(MFA)을 사용하면 공격자가 접근하기가 훨씬 더 어려워집니다. 로그인 자격 증명이 도난당한 경우, MFA는 로그인 절차를 완료하기 위해 모바일 기기로 전송된 일회용 코드나 생체 인식과 같은 또 다른 인증 방법을 요구합니다. MFA를 사용하면 시스템 및 데이터에 대한 무단 접근의 전반적인 위험을 줄일 수 있습니다.

• 민감한 정보 요청 확인: 민감한 정보에 대한 모든 요청은 반드시 확인되어야 합니다. 특히 출처나 채널이 불분명한 경우에 해당됩니다. 이 경우 직원들은 이메일, 전화 통화, 심지어 문자 메시지를 통해 이러한 요청을 받는 방식에 대해 특별히 경계해야 합니다. 직원들은 알려진 번호로 요청자에게 직접 연락하거나 상사에게 문의하는 등 신중하게 접근하여 민감한 정보를 제공하기 전에 반드시 적절히 확인해야 합니다.

• 이메일 필터링 솔루션 구현: 피싱 이메일 및 기타 의심스러운 메시지가 직원 수신함에 도달하기 전에 탐지할 수 있는 고급 이메일 필터링 기술을 적용하십시오. 사전 정의된 요소에 기반한 이메일 필터는 피싱 링크나 첨부 파일을 포함한 잠재적 악성 콘텐츠를 포착하여 추가 조사를 위해 표시할 수 있습니다. 필터의 정기적 업데이트와 미세 조정을 통해 정교한 필터링을 구현하여 피싱 시도를 차단하고 위협을 제거합니다.

• 민감 정보 접근 제한: 최소 권한 원칙을 조직 전반에 적용하여 민감한 데이터 및 시스템 접근 권한은 정당한 사유가 있는 자에게만 부여해야 합니다. 이는 공격자가 무단 접근에 성공할 경우의 영향을 완화합니다. 역할과 책임에 기반한 접근 권한의 정기적 검토 및 업데이트를 통해 더 이상 필요하지 않은 접근 권한을 즉시 제거할 수 있습니다.

• 비정상 활동 모니터링: 네트워크 활동과 사용자 행동을 예의주시하며, 특히 무단 로그인, 비정상적인 데이터 접근 패턴, 의심스러운 파일 전송과 같은 악의적인 활동을 집중적으로 감시해야 합니다. SIEM 도구는 조직의 실시간 이상 탐지를 지원할 수 있습니다. 의심스러운 행동에 기반한 경고는 위협이 더 심각해지기 전에 조직이 신속하게 대응할 수 있도록 합니다.&

자세한 내용은 다음을 참조하세요: 사회공학적 공격 방지 방법

결론

현대 사이버 보안 환경에서 사회공학적 공격이 증가하고 점점 더 지속적이어짐에 따라, 오늘날의 위협에 대해 더 깊이 있게 다루는 것이 필수적입니다. 사회 공학 공격은 피싱 및 프렉스팅과 같은 가장 직접적인 형태부터 스피어 피싱 및 워터링 홀 공격과 같은 고급 공격에 이르기까지, 인간의 심리와 사회적 상호 작용을 악용하여 민감한 정보나 시스템에 대한 무단 접근을 얻는 공격 중 하나입니다.

다시 말하지만, 예방은 직원의 인식과 교육에서 시작됩니다. 다중 인증, 이메일 필터링, 네트워크 모니터링과 같은 건전한 보안 조치와 함께 보안 의식이 높은 문화가 조성된다면 이러한 위험은 크게 최소화될 것입니다.

사회공학적 공격에 관한 자주 묻는 질문