전체메뉴

[애플경제 전윤미 기자] 비교적 과소평가되고 있음에도 불구, 치명적인 위협이 되고 있는게 ‘소셜 엔지니어링’ 공격 이다. 이는 사용자의 심리적 조작을 통해 기밀 정보를 유출하거나, 악성 링크를 클릭하고, 시스템에 무단으로 접근하도록 유도한다.

'사이버시큐리티 인사이더', '체크 포인트', '해크리드' 등 보안매체와 관련 전문가들의 분석을 종합해보면 이들은 이른바 ‘사회 공학’적 기법을 동원한다. 그 형태에 따라 종류도 다양하다. 대표적으론 은행이나 이메일 제공업체와 같은 합법적인 기관을 사칭, 피해자를 속여 비밀번호나 신용카드 정보와 같은 민감한 정보를 유출시키는 ‘피싱’이 있다. ‘스피어 피싱’ 또한 특정 개인이나 조직을 겨냥해 개인화된 메시지로 공격하는 것으로 ‘피싱’의 한 형태다.

피싱, 비싱, 베이팅, 테일게이팅 등 종류 다양

음성 피싱의 일종인 ‘비싱’도 있다. 이는 전화나 음성 메시지로 IT 지원 담당자나 정부 당국자 등을 사칭, 민감한 정보를 수집하는 것이다. 기밀 정보를 공유하도록 조작하기 위해 허위 시나리오를 만드는 ‘프리텍스팅’도 있다. 예를 들어, 사내 감사실이나 외부 공급업체를 사칭하는 등의 수법을 쓴다. 이 밖에도 무료 소프트웨어나 USB 등으로 피해자 스스로 보안망을 허물도록 유인하는 ‘베이팅’도 있고, 보안 시설 허가자를 따라가 제한 구역으로 침입, 무단으로 접근하는 ‘테일게이팅’ 등도 있다.

하지만 이런 종류의 소셜 엔지니어링 공격에 대한 방어책도 날로 발달하고 있다. 적절한 전략을 세우고, 인식을 새롭게 하며, 사전 예방 조치를 통해 차단할 수 있게 되었다. 전문가들은 대체로 소셜 엔지니어링에 대한 확고한 이해를 바탕으로 안전한 인증체계와 보안 인프라, 불확실한 커뮤니케이션에 대한 경계심 등을 당부하고 있다.

소셜 엔지니어링 공격을 차단하는 첫 번째 단계는 사이버 범죄자들이 사용하는 전술을 파악하는 것이다. 이를 인지하는 것이야말로 방어를 위한 첫걸음이다.

이를 바탕으로 교육과 함께 정확한 인식을 심어줄 필요가 있다. 소셜 엔지니어링 공격 위험을 최소화하려면 사내 교육이 중요하다. 보안 인프라와 시스템 보안이 아무리 뛰어나도 ‘사람’이 무엇보다 중요하다. 정교하게 만들어진 소셜 엔지니어링 사기에 속아넘어 가면 그 모든 인프라가 소용없게 된다.

이메일, 링크 철저 관리, 강력한 인증과 접근 제어

평소 직원들의 이메일이나 링크에 대한 철저한 관리가 필요하다. 이메일 주소를 항상 꼼꼼히 확인하고, URL의 철자 오류 유무를 확인, 그 실체를 파악할 수 있어야 한다. 출처를 알 수 없는 링크를 클릭하거나, 첨부 파일을 함부로 다운로드해서도 안 된다.

또한 직원들이 수상한 경고 신호를 파악하도록 교육할 필요가 있다. 즉, 긴급하고 민감한 데이터를 요청해오거나, 예상치 못한 전화 또는 메시지, 확인되지 않은 연락 방법 등이 그런 경우다. 만약 외부에서 비정상적인 정보 요청이 있는 경우엔 해당 메시지에 포함된 연락처가 아닌, 해당 정보 담당자에게 직접 연락, 확인하도록 해야 한다.

‘2단계 인증(2FA)’도 필수다. 설사 자격 증명이 유출되더라도 보안을 강화하기 위해 2FA가 중요하다. 정기적인 교육 세션과 피싱 시뮬레이션을 통해 항사 전사적으로 경계를 늦추지 않도록 한다.

소셜 엔지니어링 공격 위험을 완화하는 가장 효과적인 방법 중 하나는 인증 시스템을 강화하는 것이다. 공격자가 ‘로그인’ 자격 증명을 공개하도록 유도할 경우에도, 강력한 인증 방식이 있으면, 추가적인 방어선 역할을 할 수 있다.

특히 가능하면 MFA(다단계 인증)를 구현하는게 좋다. 사용자가 시스템에 접근하기 위해선 비밀번호, 지문 또는 모바일 기기로 전송된 보안 코드 등 여러 확인 방식을 제공하도록 한다. 가급적이면 복잡한 비밀번호가 바람직하다. 길고 고유한 비밀번호일수록 더 좋다. 문자, 숫자, 특수 문자를 조합하면 공격자가 로그인 자격 증명을 추측하기 힘들고, 무차별 대입 공격을 하기도 어렵다.

비밀번호 관리자를 두는 것도 방법이다. 비밀번호를 안전하게 저장, 관리함으로써 사용자가 가짜 웹사이트에 자격 증명을 입력하도록 속이는 피싱 공격에 대응할 수 있다.

온라인 개인 정보 유출, 특히 조심

많은 소셜 엔지니어링 공격은 설득력 있고 개인화된 사기 수법에 유용한 공개 정보를 이용하는 경우가 많다. 소셜 미디어 플랫폼이나, 웹사이트 등에서 수집한 정보는 상대방을 무장해제하고, ‘신뢰’할 수 있도록 하는 무기가 된다.

또한 소셜 미디어에서 공유하는 개인 정보에 주의할 필요가 있다. 직함, 성, 휴가 계획과 같은 정보를 사용, 친밀감을 조성하는 경우가 많다. 특히 개인정보를 바탕으로 한 소셜 미디어의 문제점을 인식, 철저한 ‘개인 정보 보호’ 시스템을 구축할 필요가 있다. 개인 정보 보호를 위해 개인 정보 보호 설정을 조정하세요. 신뢰할 수 있는 사람만 민감한 데이터를 볼 수 있도록 한다.

과도하게 정보룰 공유하는 것도 금물이다. 직장, 휴가지, 생일처럼 예사로 보이는 정보조차도 불리하게 악용될 수 있다. 사이버 범죄자들은 상대에 대해 더 많이 알수록, 민감한 정보를 공개하거나 성급한 결정을 내리도록 조종하기가 더 쉬워진다.

불확실한 커뮤니케이션 요주의

소셜 엔지니어링의 특징 중 하나는 원치 않는 커뮤니케이션다. 예상치 못한 전화, 이메일, 메시지 등 어떤 형태든 상관없다. 공격자는 피해자가 생각 없이 재빨리 행동하도록 유도하기 위해 긴박감이나 위기감을 부추기는 경우가 많다.

의심스러운 커뮤니케이션에 대해선 우선 출처를 확인한다. 원치 않는 이메일이나, 전화 또는 문자 메시지에 답하기 전에 항상 발신자의 신원을 확인해야 한다. 이런 경우 커뮤니케이션에 제공된 의심스러운 정보가 아닌, 알려진 연락처 정보를 사용, 해당 기관이나 개인에게 직접 연락해야 한다.

또 문구나 단어, 표혐방식을 세밀히 살필 필요가 있다. 특히 메시지의 언어나, 어조, 형식에 불규칙성이 있는지 확인해야 한다. 맞춤법 오류나, 부자연스런 문구, 수상한 요청사항 등은 모두 경계해야 한다.

흔히 공격자들은 ‘소셜 엔지니어링’에서 “긴급히 요청한다”거나, “위급한 상황”이란 식으로 사용자가 조급한 결정을 내리도록 압박감을 조성하는 경우가 많다. 그러나 원치 않는 정보 요청에 응답하기 전에 다시 한번 침착하고 신중하게 생각해볼 필요가 있다.

강력한 사이버 보안 인프라 유지

무엇보다 강력한 사이버보안 시스템을 구축하면 소셜 엔지니어링 공격이 성공하기 어렵다. 기술적 조치만으로는 소셜 엔지니어링을 막을 수 없다. 그러나 공격으로 인한 피해를 최소화하는 데 도움이 될 수 있다.

특히 방화벽이나 바이러스 백신 소프트웨어도 필요하다. 네트워크를 방화벽으로 보호하고 모든 기기에 바이러스 백신 소프트웨어를 설치한다. 또 정기적으로 이를 업데이트해야 한다. 사이버 범죄자는 오래된 소프트웨어의 취약점을 악용하는 경우가 많다. 그러므로 운영 체제와 애플리케이션을 최신 패치로 업데이트하는 습관을 가져야 한다.

데이터 암호화도 좋은 방법이다. 저장 중인 데이터와 전송 중인 민감한 데이터를 모두 암호화하는 것이다. 이를 통해 공격자가 시스템을 침해하더라도 중요한 정보에 접근하는 것을 훨씬 어렵게 만들 수 있다.

보안에 대한 ‘경계 분위기’ 조성도 중요

그러나 회사 전체가 보안 경계 문화로 무장하는 것이야말로 소셜 엔지니어링 공격을 차단하는 가장 효과적인 방법 중 하나다. 직원들의 적극적인 태도는 위협을 더 빠르게 탐지하고 대응함으로써 공격의 영향을 줄이는 데 도움이 될 수 있다.

정기적인 보안 감사도 필요하다. 정기적인 보안 감사와 ‘침투 테스트’를 통해 시스템이나, 프로세스의 취약점을 파악해야 한다. 또한 주위의 비난이나 조롱에 대한 두려움 없이 의심스러운 이메일이나 커뮤니케이션을 편하게 신고할 수 있는 분위기 조성도 중요하다.

늘 최신 ‘소셜 엔지니어링’ 전략이나 동향을 파악해야 한다. 이를 통해 새로운 위협에 맞춰 방어 전략을 조정할 수 있다.