Offcanvas

SNS / 검색|인터넷 / 라이프 / 보안

소셜 엔지니어링에 대한 5가지 착각 

2022.07.04 Michael Hill  |  CSO
소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.
 
ⓒ Getty Images Bank

프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다. 

실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다. 

착각 1. 해커는 공격 대상과 대화하지 않는다 

많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다. 
프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다.

착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다

사람들은 자신이 잘 알고 신뢰하는 컨텐츠를 이용하는 것을 선호하며 이를 안전하게 생각한다. 하지만 해커는 클라우드 스토리지 서비스, 컨텐츠 배포 네트워크(CDN)등 합법적인 서비스까지 자주 악용하며 이런 인프라에서 개인 정보를 가져가는 것은 물론 악성코드를 퍼뜨린다. 

프루프포인트는 “해커는 합법적인 서비스를 통해 악성코드를 배포하는 것을 선호한다. 공격을 위해 따로 악성코드를 심은 문서를 배포하는 것이 아닌 일반 이메일에 접근해 보안 기술을 피해 보겠다는 전략이다. 물론 합법적인 서비스에서 해킹을 방어하는 일은 쉽지 않다. 공격을 막기 위해 견고한 위협 감지 기술을 구현하거나 비즈니스에 당장 영향을 주는 서비스를 정책적으로 차단해야 할 수 있기 때문이다. 

프루프포인트의 분석 결과에 따르면, 업계 주요 해커가 가장 빈번하게 해킹을 시도하는 서비스는 마이크로소프트의 원드라이브였다. 그다음 구글 드라이브, 드롭박스, 디스코드(Discord), 파이어베이스(Firebase), 샌드그리드(SendGrid) 순으로 해킹이 자주 이뤄졌다.

착각 3. 공격자는 컴퓨터만 사용하고, 전화기는 사용하지 않는다 

흔히 소셜 엔지니어링 공격은 이메일에서 이뤄질 것이라고 생각한다. 하지만 최근 콜 센터 기반의 이메일 시스템에 대한 공격이 증가하고 있으며, 전화 통화도 해킹에 사용되고 있다. 프루프포인트는 이런 공격을 전화 지향적 공격 전송(Telephone-Oriented Attack Delivery, TOAD)이라고 정의한다.

가령 해커는 이메일에 가짜 콜센터 번호를 입력한다. 이메일 자체에는 악성 링크나 악성 파일을 포함하지 않는다. 피해자가 가짜 콜센터 번호로 전화를 거는 순간 공격은 이뤄진다. 프루프포인트에 따르면 이런 식의 공격은 매일 25만 건 넘게 벌어지고 있다.

콜센터 공격은 크게 두 가지 유형으로 진행된다. 하나는 합법적인 무료 원격 지원 소프트웨어를 이용해 돈을 탈취하는 것이고, 다른 하나는 문서처럼 보이는 악성 코드로 컴퓨터를 해킹하는 것이다. 흔히 바자콜(BazaCall)이라고 불리는 바자로더 악성 코드와 관련 있다. 

이런 유형의 공격은 수만 달러 규모의 피해를 만들기도 한다. 프루프포인트는 노턴 라이프록(Norton Liftlock) 소속 직원이라고 사칭하는 해커의 공격으로 5만 달러 가까이 잃은 피해자가 있다고 소개한다. 

착각 4. 이미 존재하는 이메일에 답장하는 것은 안전하다 

해커는 이미 존재하는 이메일은 문제가 없을 것이라고 쉽게 믿는 심리를 악용해 정보를 탈취한다. 프루프포인트는 “우리는 메일을 보내면 자연스럽게 답장을 기대하게 되는데, 피해자는 해커가 보낸 콘텐츠에도 상호작용할 가능성이 크다”라고 밝혔다. 

기존 대화를 하이재킹하기 위해 해커는 일반 사용자의 메일함에 접근한다. 접근 방법은 다양하며, 대표적으로 피싱, 악성 코드 공격, 해커 커뮤니티에 공개된 개인 정보 활용, 무차별 대입으로 비밀번호를 알아내는 기법 등을 활용한다. 또는 전체 이메일 서버나 메일함을 하이재킹해 해커가 만든 봇넷에 응답하도록 구축할 수 있다. 

2021년 이메일 데이터를 탈취하는 경우는 500건 이상이었으며, 여기에는 16종의 악성코드 계열이 관련돼있다. TA571, TA577, TA575, TA5423 등의 주요 위협자가 이메일 정보를 상습적으로 불법 탈취하고 있다.

착각 5. 해커는 기업 자료만 미끼로 이용한다 

해커는 비즈니스 종사자를 자주 노리긴 하지만 그렇다고 항상 기업 콘텐츠만 공격에 활용하는 것은 아니다. 실제로 해커는 피해자를 유인하기 위해 최신 이벤트, 뉴스, 문화 정보를 자주 활용했다. 프루프포인트 보고서는 지난해 발생한 관련 공격 사례를 다음과 같이 소개했다.
 
  • ‘바잘로더(BazaLoader)’ 공격은 꽃, 란제리 등 발렌타인 주제 콘텐츠를 이용했다.
  • TA575는 미국 이용자를 노리면서 넷플릭스 ‘오징어 게임’ 내용을 활용해 ‘드라이덱스(Dridex)’라는 은행용 트로이목마를 배포했다.
  • 미국 국세청(IRS)을 사칭하는 해커는 추가 환급을 받아야 한다고 접근해 다양한 개인 식별 정보(PII)를 가져갔다.
  • 코로나19 관련 정보를 활용해 해킹을 시도하려는 시도는 2021년 일 평균 600만 건 발생했다.

소셜 엔지니어링 방어 전략, 직원 교육이 답이다

기상천외한 소셜 엔지니어링 수법이 늘고 잘못된 통념이 퍼져 있는 것을 고려하면, 기업은 소셜 엔지니어링이 어떻게 이뤄지는지 명확히 교육을 제공해야 한다. 즉, 직원의 사고방식을 바꿔야만 이에 대응할 수 있다. 

프루프포인트 보고서는 “어떤 기업이든 공격을 방어할 수 있는 가장 효과적인 방법은 직원 스스로 언제든 해킹 위협이 올 수 있다는 인식을 심어주는 것”이라고 설명했다. 또한 “해커가 활용하는 여러 콘텐츠에 익숙해지도록 돕고, 해킹을 유발하는 콘텐츠가 어떤 모습인지 정기적으로 설명해야 한다”라고 강조했다. 

사이버 보안 컨설턴트이자 ‘인간을 해킹하는 방법: 인간을 위한 사이버 보안(How to Hack a Human: Cybersecurity for the Mind)’의 저자인 래프 무위제는 가장 그럴듯한 소셜 엔지니어링 공격은 일상적인 업무 활동처럼 진짜같이 보이고, 오히려 평소보다 더 진짜 같아 보인다는 점을 교육을 통해 직원에게 알려야 한다고 설명한다. 무위제는 CSO와의 인터뷰에서 “’랩서스$(Lapsus$)’ 공격의 경우 모바일 이중 인증 요청을 내부 보안 플랫폼을 통해 직원에게 발송했는데, 허위 요청 상당수를 담당 직원이 승인했다”라고 말했다. 

무위제는 기업 내에서 소셜 엔지니어링을 피할 수 있는 가장 좋은 방법은 의심이 가는 상황이나 문제 상황이 발생하지 않았는지 직원 스스로 경각심을 갖고 살펴보는 것이라고 설명한다. 두 가지가 동시에 발생했다면 소셜 엔지니어링 공격에 당했을 확률이 99.99%이기 때문이다. 무위제는 “물론 문제 상황이 발생했을 때 즉각적으로 보안 담당팀에 알리고, 의심 가는 정황이 발견되면 가이드를 바로 찾으라는 식의 교육이 제대로 이뤄져야 한다”라고 지적했다. 

마지막으로 무위제는 위협이 항상 외부에 있지는 않다고 강조했다. 무위제는 “특정 직위에 있는 사람에게 악의적으로 접근해 정보를 탈취할 수 있다는 사실을 간과해선 안 된다. 임직원을 계속 모니터링 해야 한다”라고 강조했다. 이런 류의 공격은 특히 언론에 별로 노출되지 않는데, 실제 통계를 보면 꽤 많다. 무위제는 “이력 확인을 거의 하지 않거나 익명의 내부 고발 메커니즘이 없는 경우, 혹은 감사 체계가 있더라도 공격자끼리 서로 팀을 이뤄 감시를 피할 수 있는 구조가 있는 곳이라면 소셜 엔지니어링과 관련해 큰 허점이 있는 것”이라고 말했다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.