CWN(CHANGE WITH NEWS) - 해킹, 사람의 신뢰 악용한다?...′사회공학기법′ 기반 사이버 공격

해킹에 여러 종류가 있으며, 기술적인 해킹만이 존재하는 것이 아닌 사람의 신뢰도를 이용한 즉, 인적 해킹도 존재한다.

사회공학기법을 인적 해킹의 예시로 볼 수 있다. 정확히 말하자면, 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 속이면서 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위를 말한다.

보안 침해 피해 발생 사례와 지속적인 피해 가능성 대부분 기술적인 해킹이 아닌 사회공학적 해킹이 발생 원인이 된다.

피싱(Phishing)과 파밍(Pharming), 문자메시지를 이용한 스미싱(SMiShing), 불특정 다수에게 전화를 걸어 개인 정보를 빼내는 비싱(Vishing) 등이 대표적인 사회공학적 기법의 사례이며, 사회공학적 위협이 증가하면서 관심도 커지고 있다.

현재 다양하고 정교해진 보안장비로 기술적 침입이 어려워져 해커는 특별한 기술이나 지식 없이도 쉽게 사용할 수 있는 사회공학적 보안을 악용하며, 이는 향후 사이버 보안의 문제를 일으킬 것이다.

사회공학 기법은 인간 기반과 컴퓨터 기반 공격으로 나누어 볼 수 있다.

인간 기반의 공격은 공격 대상에게 공격자가 직접 접근하는 방법이며, 주로 다음과 같은 형태로 나타난다.

- 기업 대표 등 조직 내 높은 지위에 있는 이를 사칭하여 접근해서 정보 획득
- 가족 관계 등의 개인 정보 탈취 후 신원을 위장하여 정보 획득
- 물리적으로 가까운 공간에서 도청
- 작업 중인 이들의 뒤에서 몰래 작업 정보를 훔쳐보면서 업무 관련 정보나 비밀번호를 알아내기
- 공격하고자 하는 조직에 대한 정보를 수집하기 위해 삭제된 파일 중, 해당 정보를 담은 파일 찾기

컴퓨터 기반 공격은 악성코드, 컴퓨터 프로그램, 웹사이트 등을 이용하여 접근하는 방법이다.컴퓨터가 수행하는 업무가 다양해지면서 컴퓨터 기반 사회공학 기법도 더 다양해지고 있다. 그중 대표적인 방법은 다음과 같다.

- 버려진 하드 디스크나 컴퓨터 이용
- USB에 악성코드를 담아 공격 대상의 시스템에서 몰래 실행
- 검색엔진을 통해 공격 대상과 관련된 정보 수집하기
- 이메일로 악성 링크를 보내 접속 유도 후, 신용 정보 입력 요구

사회공학은 사람의 취약점을 이용하므로 훌륭한 보안 시스템도 쉽게 무력화시킬 수 있다. 사회공학 공격에 대응하기 위해서는 충분한 보안 관련 교육을 수행하고, 사회 공학 기법 공격에 대한 경각심과 보안 의식을 가져야 한다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]