보안 전문가들은 사용자들이 낡고 낡은 수법에도 여전히 속아 넘어가는 것을 알고 모의 해킹 테스트로 활용하기도 한다. 여기 해커, 피셔(phishers), 소셜 엔니지어들이 전화, 온라인, 직접 시도하는 낡은 수법 9가지를 소개하겠다. 고전적인 것들이니 잘 알아두고 독자 여러분들은 속지 않기를 바란다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
스캠머(Scammer)들은 종종 한창 기승을 부리며 많은 컴퓨터를 감염시키고 있는 해킹 사건 같이 시의적인 사건이 주는 이점을 활용하곤 한다. 컴퓨터에 능통하지 못한 보통 직장인들은 IT 전문가가 전화를 통해 설명하는 기술적 문제들에 당황하고 만다.
미국 콜로라도에 사는 보안 컨설턴트인 크리스 니커슨은 "그러면 '제가 고쳐드리면 어떨까요? 비밀번호를 알려주세요. 문제를 해결하면 다시 연락을 드리겠습니다'라고 말한다"라고 자신의 경험을 전했다.
이는 사람들의 공포와 기술에 대한 무지에 의존하는 수법이다.
"런던에서 꼼짝달싹 못하고 있어! 도와줘!"
페이스북 같은 소셜 네트워킹 사이트에서 최근 들어 부쩍 횡행하며, 이른바 419 스캠으로 알려져 있는 '속임수'다. 스캐머들은 특정 계정을 해킹해 친구에게 메시지를 보내, 외국에서 돈이 떨어져 꼼짝 못하는 신세가 됐다고 말한다.
소포스(Sophos)의 그래험 클루리는 "여행을 하다 강도를 당했다며 친구들에게 송금해 달라는 거짓말을 하는 속임수다"라고 말했다.
"문 좀 열어주세요"
니커슨은 보안이 철저한 건물에 몰래 들어갈 때 가장 많이 사용하는 전술로 흡연구역에 있다가 해당 건물에 근무하는 직원을 따라가는 방법을 들었다.
니커슨은 "소셜 엔지니어들의 '가장 친한 친구'는 담배다"라고 말했다.
또 특정 건물에 근무하는 직원들에게 출입 카드를 잃어버렸다며 건물에 들어갈 수 있도록 도와달라는 방법도 많이 쓰인다. 이른바 따라붙기(tailgating)로 알려진 방법이다.
"네 이야기를 하고 있는 블로그가 있던데 봤어?"
페이스북과 트위터에서 만연해 있는 속임수다. 사용자의 호기심을 자극하는 질문을 통해 가짜 로그인 화면으로 유도를 하는 방법이다.
소포스의 컬리는 이런 방법은 고전적인 피싱 전략에 해당한다고 언급했다. 소셜 엔지니어들은 스팸을 보내기 위해 당신의 계정 정보를 조사하거나, 처음에 언급한 419 스캠을 위해 당신을 흉내 낼 수 있다.
"은행 계좌가 만료됐습니다"
당신을 공포에 질리게 만들 또 다른 속임수이다. 소셜 엔지니어들은 이 스캠을 통해 은행 계좌 정보를 넘겨주기를 희망한다.
렉시스넥시스(LexisNexis)의 데브 가이스터는 이 사기가 통상 피싱 이메일 형태로 시도되며, 수신자가 가짜 메시지를 열어보기 희망한다고 설명했다. 수신자가 이메일을 열면, 중요한 데이터를 훔치는 트로이의 목마가 시스템에 설치된다. 특히 이 트로이 목마는 온라인 은행 정보를 훔치는데 중점을 두고 있다.
"늦었어요. 서둘러야 해요! 저 좀 들어가게 해주세요!"
영화 유니버셜 스니커즈(Sneakers)의 유명한 장면 하나를 연상하면 된다. 주인공인 로버트 레드포드는 딸의 생일 파티에 늦은 아버지 행세를 한다. 그의 손에는 생일 케이크가 들려있고, 동료 한 명은 배달원 행세를 한다. 영화 속 주인공과 동료는 경비원의 주의를 분산시켜 신원 확인을 받지 않고 건물 안으로 잠입했다.
이렇게 소셜 엔지니어링과 관련 전문 사기꾼을 그리고 있는 영화들이 많으니 참조해보기 바란다.
"허리케인 피해 복구를 위해 기부하세요"
대형 지진, 쓰나미, 기타 자연재해가 있고 나면 가짜 기부 사이트들이 속속 등장하곤 한다. 이와 관련 SANS 시큐리티(SANS Security)가 허리케인 샌디(Sandy) 이후 이런 트렌드를 조사한 결과가 있다. 당시 스캐머들이 'relief(구제)', '샌디' 등의 단어가 들어간 도메인을 등록한 횟수가 순식간에 수천 건에 달했었다.
당연히 선한 의도를 갖고 있는 사람들을 속여 구호 활동에 기부하도록 하는 사기에 목적이 있다. 이들 가짜 사이트 기부자들은 신용카드 정보나 돈을 잃어버리게 된다.
"무료 스타벅스 상품권 받아가세요!"
소포스의 위협 담당 수석 연구원 베스 존스는 무료 상품권이 개인 정보를 훔쳐 판매하려는 악의적인 의도의 신분 도난 사기의 수단으로 사용되고 있다고 설명했다. 그는 이를 회피해야 한다고 강조했다. 소매업체들은 설문조사에 응했다는 이유만으로 무료 상품권을 주지 않는다.
GFI 소프트웨어의 위협 담당 수석 연구원 크리스토퍼 보이드에 따르면, 이는 텀블러와 핀터레스에서 흔히 사용되는 속임수 전술이다.
교황 선출
트위터에서 무언가 트렌드가 발생했다고 가정하자. 소셜 엔지니어들이 이를 악용, 악성코드가 가득한 링크로 번창시키는 데는 오랜 시간이 걸리지 않는다.
예를 들어, 이번 달 새 교황 선출 직후, 스캐머들은 교황의 이름을 이용해 스스로 교황이라고 주장하는 계정들을 만들었다.