사회공학기법과 방어 방법

사회공학기법과 방어 방법

(Social engineering tactics used by hackers and how to defend against them)

사회공학기법은 개인을 속여서 기밀 정보를 누설하거나 공격자에게 이익이 되는 행동을 하는 것을 말한다. 해커들은 민감한 정보나 시스템에 접근하기 위해 종종 소셜 엔지니어링 전술을 사용한다. 즉 사회 공학기법은 심리적 조작과 기만을 이용하여 개인을 속여 기밀 정보를 누설하거나 공격자에게 이익이 되는 행동을 뜻하며 이는 종종 해커들이 기술적인 수단을 사용하지 않고도 민감한 정보나 시스템에 접근할 수 있는 방법으로 사용된다.

해커들이 사용하는 일반적인 사회공학기법은 다음과 같다:

피싱: 이는 가짜 이메일을 보내거나 신뢰할 수 있는 출처에서 온 것으로 보이는 가짜 웹사이트를 만들어 피해자를 속여 로그인 권한을 취득하거나 중요한 정보를 노출시키는 것이 포함된다.

프리텍스트: 공격자가 피해자를 '설득'해 값진 정보나 서비스, 시스템에 대한 액세스 권한을 넘겨주도록 유도하는 공격 방법으로 기술자 또는 법 집행위원을 사칭하는 등 피해자의 신뢰를 얻기 위해 거짓 시나리오나 이야기를 만드는 것이 포함된다.

베이팅: 베이팅은 불특정 다수에 대한 물리적 수법으로 예를 들면, 회사에 방문객으로 위장해 들어가 USB를 떨어뜨려놓고 직원이 주워가면 USB를 주운 피해자가 컴퓨터에 장치를 삽입하여 공격자가 시스템에 액세스할 수 있도록 USB 드라이브와 같은 물리적 개체를 찾을 수 있는 위치에 두는 것이 포함된다.

쿼드 프로쿼: 여기에는 로그인 자격 증명과 교환하여 기술 지원을 제공하는 것과 같은 정보와 교환하여 가치 있는 무언가를 제공하는 것이 포함된다.

- IT 지원을 가장하는 경우: 회사의 전화번호마다 수십 번 수백 번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십 번 전화하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산 시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."

 

숄더 서핑(Shoulder Surfing): 숄더 서핑은 ATM을 이용하는 사람의 어깨 너머로 비밀번호(PIN) 등을 확인한 뒤 거래를 종료하지 않고 떠난 빈자리에서 곧장 현금 등을 인출해 가는 범죄 수법이다. 대부분 ATM은 거래를 마친 뒤 로그인된 상태에서 영수증 등을 인쇄하고 다른 거래를 원하느냐고 묻는다. 이때 다른 거래를 할 것이냐고 묻기까지 1~2초의 시간이 소요되고 그틈에 예금주가 ATM을 떠나면 숄뎌서퍼는 즉시 자리를 차지하고 로그인된 상태에서 마음대로 현금 등을 인출한다.

 

사회공학기법을 예방하기 위해서는 아래 사항을 조심하는 것이 중요하다:

정보를 제공하기 전에 원하지 않는 전자 메일, 전화 또는 메시지를 의심하고 보낸 사람의 신원을 확인하여야 한다.

강력하고 고유한 암호를 사용하고 가능한 경우 이중 인증을 사용하여야 한다.

직원과 사용자에게 사회 공학기법의 위험성 이를 인식하는 방법과 예방하는 방법에 대해 교육하여야 한다.

엄격한 액세스 제어를 구현하고 의심스러운 활동에 대해 시스템을 모니터링하여야 한다.

최신 패치 및 업데이트를 통해 소프트웨어 및 보안 시스템을 최신 상태로 유지하여야 한다.

이러한 기법을 인식하고 자신을 보호하기 위한 조치를 취함으로써 사회 공학적 공격의 희생양이 될 위험을 줄일 수 있다.