당신의 빈틈을 노리는 범죄, 사회공학적 해킹

안녕하세요, 보안클라우드입니다. 코로나가 가져온 언택트 시대에 따른 비대면 서비스! 이 비대면 서비스로 인해 최근에 모르는 연락처로 자주 전화나 문자가 오게 되면서 대출 전화와 대출 문자와 같은 스팸이 기승하고 있습니다. 오늘은 스팸전화, 스팸문자와 같은 사회공학적 해킹에 대해 이야기하려 합니다.

 

사회공학적 해킹은 뭔가요?

사회공학적 해킹이란 해커가 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보나 자산 등을 획득하는 행위를 말합니다. 앞서 말한 사회공학적 해킹이 사람을 속여 정보나 자산을 획득한다고 하였는데요, 어떻게 이루어지는가에 대해 알아보겠습니다. 사회공학적 공격은 전화사기, 이메일 피싱, 우편물 등과 같이 비 기술적인 침입 방법을 이용하여 사람을 속여 사람의 신뢰를 이용하여 접근하게 됩니다. 피해자는 접근한 공격자를 의심하지 않고 공격자가 원하는 의도(악성 파일이 첨부된 메일 열람, 정보 제공 등..)를 따르게 되며 사회공학적 공격이 이루어지게 됩니다. 전화사기, 이메일 피싱뿐만 아니라 도청, 어깨너머로 훔쳐보기 또한 사회공학적 공격에 해당하게 됩니다. 사회공학적 공격의 종류에는 공격 기법과 접근 방법에 따라 다음과 같이 나뉠 수 있습니다.

공격 기반

접근 방법

설명

인간 기반

직접적인 접근

조직에서 높은 위치나 인간관계를 이용하여 신뢰할 수 있는 사람으로 가장하거나 동정심을 호소하여 정보, 돈 등을 획득하는 수법

도청

도청장치 등을 이용하여 타인의 대화, 전화 통화를 엿듣는 행위

어깨너머로 훔처보기

어깨너머로 훔쳐보면서 개인 정보, 자료 등을 입수하는 수법

휴지통 뒤지기

공격 대상과 관련된 문서들을 휴지통에서 수거하여 필요한 정보 수집하는 행위

테일게이팅

출입통제 시스템에서 신원 확인된 앞사람을 따라 출입하는 행위

컴퓨터 기반

피싱, 파밍, 스피어 피싱, 웨일링, 워터링 홀, 베이팅

[표 1. 사회공학적 공격 종류]

 

다음은 사회공학적 공격 중 휴대전화, 이메일 스팸에 대한 통계를 나타내었습니다.

한국인터넷진흥원「스팸수신량 조사」

출처 : https://www.index.go.kr/potal/main/EachDtlPageDetail.do?idx_cd=1365

스마트폰 보급률이 늘어남에 따라 휴대전화 스팸이 늘어나고 있습니다. 그렇다면 늘어나는 휴대전화 스팸에는 무엇이 있는지 또 다른 사회공학적 공격은 무엇이 있는지 밑에 사례를 들어보겠습니다.

사례 1

재난지원금 관련 스미싱 사례

출처 : https://www.fss.or.kr/fss/kr/promo/bodobbs_view.jsp?seqno=23718

휴대전화 스팸에는 음성 스팸, 문자 스팸이 있는데 다음은 문자 스팸인 실제 재난지원금 안내를 사칭 스미싱 사례입니다.

실제 스미싱 사례

공격자는 재난지원금을 알려주는 기관으로 사칭하여 개인 정보를 갈취하고 있었습니다. 이러한 교묘한 스미싱 수법이 등장하면서 실제인지 허위인지 판단에 어려움이 있을 수 있습니다.

사례 2

L사 스피어피싱 사례

다음은 다른 사회공학적 공격 기법 스피어피싱 사례입니다.

L사 스피어피싱 사례

석유화학 제품을 만들기 위해 사우디아라비아의 A사와 거래하였던 L사는 “납품 대금 계좌가 변경됐다”라는 이메일을 받고 아무 관계가 없는 제3자의 계좌에 거래 대금 240억을 송금하였던 사례입니다.

이 사례로 대기업도 타 기관을 사칭한 사회공학적 공격에 결코 안전하지 않다는 것을 알려준 사례입니다.

대응하기 위해서는?

휴대전화 보급률 상승과 기술의 발전과 코로나로 인한 언택트 문화에 따라 사회공학적 해킹은 증가하고 있습니다. 코로나로 인해 언택트 시대를 도래하게 되었는데요, 사회공학적 해킹은 언택트 즉 비대면을 악용하기에 상대방의 신분을 알 수 없다는 점과 나의 개인 정보를 알고 있는 것이라면 안전한 공공기관, 기업 등... 일 것이라는 안일한 생각에서 나오기도 합니다. 그래서 위에 언급한 재난지원금 사례와 같이 사칭 스미싱의 피해가 나타나는 것이죠. 그렇다면 이러한 공격을 막기 위해서는 어떻게 대응을 해야 하는지 알려드리고자 합니다.

 

1. 통합 백신, 운영 체제, 오피스 프로그램의 주기적인 보안 패치하기

 

2. 메일, 문자에 삽입된 파일이나 URL에 의심하기

-> 삽입되어 있는 파일이나 URL를 확인해야 한다면 VirusTotal 사이트 활용하기

3. 유해 사이트로 의심되는 사이트 접속 자제하기

4. 개인 정보를 타인에게 알려줘야 할 사항이라면 항상 신중하고 조심하기

지금까지 사회공학적 해킹에 대해 이야기해보았는데요. 끝으로 미국의 유명한 해커 케빈 미트닉이 남긴 유명한 말을 남기며 다음 시간에 다른 주제로 찾아뵙겠습니다.

보안에 있어 최대의 취약점은 ‘사람’입니다.

케빈 미트닉(Kevin Mitnick)

  • 이전 해커들의 새로운 놀이터, 게임 생태계
  • 다음 django, Flask 웹 프레임워크와 SW 개발보안