사이버 공격자는 컴퓨터 시스템과 소프트웨어가 아닌 인적 요소를 표적으로 삼는 공격 유형인 사회 공학을 사용합니다. 공격자는 사람을 속여 피해자의 컴퓨터에 액세스할 수 있는 작업을 수행하도록 유도합니다.
이러한 공격의 가장 일반적인 유형 중 하나는 중간자 공격입니다. 중간자 공격은 공격자가 다른 사람을 사칭하여 대화형 음성 응답, 이메일, 인스턴트 메시징, 웹 회의와 같은 정규화 프로토콜을 통해 피해자가 서로 직접 대화하고 있다고 믿도록 속일 때 발생합니다.
사람의 조작을 통한 해킹은 외부에서 직접 해킹하는 것보다 실행하기가 더 쉽습니다. 이 문서에서는 SE 공격이 증가하는 이유와 사이버 공격자들이 이러한 전술을 주로 사용하는 이유에 대해 설명합니다.
사이버 공격자가 소셜 엔지니어링을 사용하는 이유: 가능한 원인 및 이유
소셜 엔지니어링 공격 은 오늘날 해커들이 사용하는 가장 인기 있고 효과적인 방법 중 하나입니다. 이러한 공격은 직원의 신뢰와 친숙함, 직원과 고객 간의 물리적 근접성 등 인간 대 인간 관계를 악용하는 경우가 많습니다.
a. 인적 요소는 기존 보안에서 가장 취약한 고리입니다.
공격은 사람의 상호작용에 의존할 때 더 효과적인 경향이 있으며, 이는 기술로는 공격으로부터 우리를 보호할 방법이 없다는 것을 의미합니다.
공격자에게 필요한 것은 공격 대상의 습관이나 선호도에 대한 약간의 정보와 피해자에게 자신을 드러내는 방법에 대한 창의력뿐입니다.
그 결과 공격자는 조직의 네트워크를 해킹하거나 회사 시스템에 침입하는 등 더 복잡한 기술을 사용하지 않고도 원하는 것을 얻을 수 있습니다.
b. 고급 해킹 기술이 필요하지 않습니다.
소셜 엔지니어링 공격은 사람들의 신뢰를 이용하여 시스템이나 네트워크에 액세스합니다. 이러한 공격은 공격자가 고급 해킹 기술을 사용하여 네트워크에 무차별적으로 침입하는 대신 쉽게 액세스할 수 있기 때문에 효과적입니다.
공격자는 일반적으로 피싱, 스피어 피싱, 프리싱킹과 같은 심리적으로 조작하는 기법을 사용합니다.
피싱은 공격자가 합법적으로 보이지만 사용자가 비밀번호나 신용카드 정보와 같은 개인 정보를 제공하도록 속이기 위해 고안된 이메일을 보내는 것을 말합니다.
스피어 피싱은 공격자가 피싱과 동일한 방법을 사용하지만 다른 사람을 사칭하는 등 더 발전된 기술을 사용하여 사용자를 속여 정보를 유출하는 것을 말합니다.
구실 삼기란 공격자가 피해자로부터 도용을 시도하기 전에 피해자의 신뢰를 얻기 위해 구실을 사용하는 것을 말합니다.
공격자가 시스템이나 네트워크에 액세스하면 내부에서 프로그램을 설치하거나, 파일을 수정하거나, 심지어 삭제하는 등 원하는 모든 작업을 수행할 수 있으며, 보안 시스템이나 관리자가 네트워크 내부에서 무슨 일이 일어나고 있는지 알고 있다면 이를 막을 수 있습니다!
c. 덤스터 다이빙은 네트워크에 대한 무차별 강제 침입보다 쉽습니다.
쓰레기통 다이빙은 버려진 자료에서 정보를 검색하여 소셜 엔지니어링 공격을 수행하는 행위입니다. 이 기법은 쓰레기통을 뒤져서 스티커 메모에 적힌 액세스 코드나 비밀번호와 같은 보물을 찾는 것을 포함합니다. 덤스터 다이빙은 해커가 실제로 침입하지 않고도 네트워크에 액세스할 수 있기 때문에 이러한 활동을 쉽게 수행할 수 있습니다.
덤스터 다이버가 발굴하는 정보는 전화번호 목록이나 캘린더와 같은 일상적인 정보부터 조직도처럼 겉보기에는 아무 문제가 없어 보이는 데이터까지 다양합니다. 하지만 공격자가 소셜 엔지니어링 기술을 사용하여 네트워크에 액세스하는 데 도움이 되는 무해한 정보일 수도 있습니다.
또한 컴퓨터를 폐기한 경우 사이버 공격자에게는 보물창고가 될 수 있습니다. 지워지거나 부적절하게 포맷된 드라이브를 포함한 저장 매체에서 정보를 복구할 수 있습니다. 저장된 비밀번호와 신뢰할 수 있는 인증서는 컴퓨터에 저장되어 있는 경우가 많으며 공격에 취약합니다.
폐기된 장비에는 TPM(신뢰할 수 있는 플랫폼 모듈)에 민감한 데이터가 포함되어 있을 수 있습니다. 이 데이터는 암호화 키와 같은 민감한 정보를 안전하게 저장할 수 있기 때문에 조직에 중요합니다. 소셜 엔지니어는 조직이 신뢰하는 하드웨어 ID를 활용하여 사용자를 상대로 잠재적인 익스플로잇을 만들 수 있습니다.
d. 사람들의 두려움, 탐욕, 긴박감을 이용합니다.
소셜 엔지니어링 공격은 인적 요소에 의존하기 때문에 수행하기 쉽습니다. 사이버 공격자는 매력, 설득 또는 협박을 사용하여 사람의 인식을 조작하거나 사람의 감정을 악용하여 회사에 대한 중요한 세부 정보를 얻을 수 있습니다.
예를 들어, 사이버 공격자는 회사에 불만을 품은 직원과 대화하여 숨겨진 정보를 입수한 다음 네트워크에 침입하는 데 사용할 수 있습니다.
불만을 품은 직원은 현재 고용주로부터 부당한 대우를 받거나 학대를 당하고 있다고 느끼는 경우 공격자에게 회사에 대한 정보를 제공할 수 있습니다. 불만을 품은 직원은 다른 직장이 없고 곧 실직할 예정인 경우에도 회사에 대한 정보를 제공할 수 있습니다.
보다 고급 해킹 방법에는 멀웨어, 키로거, 트로이 목마와 같은 고급 기술을 사용하여 네트워크에 침입하는 것이 포함됩니다. 이러한 고급 기술은 네트워크 침입에 사용할 수 있는 숨겨진 정보를 얻기 위해 불만을 품은 직원과 대화하는 것보다 훨씬 더 많은 시간과 노력을 필요로 합니다.
영향력의 6가지 주요 원칙
사회 공학 사기는 인간 정신의 6가지 특정 취약점을 악용합니다. 이러한 취약점은 심리학자 로버트 시알디니가 그의 저서 "영향력: 설득의 심리학"이라는 저서에서 밝힌 바 있습니다:
➜ 상호성 - 호혜성은 호의를 현물로 보답하려는 욕구입니다. 우리는 도움을 준 사람들에게 빚을 졌다고 느끼는 경향이 있으며, 그들을 도와주는 것이 우리의 책임이라고 생각합니다. 따라서 누군가 비밀번호, 재무 기록에 대한 액세스 권한 등 무언가를 요청할 때 이전에 도움을 받은 적이 있다면 응할 가능성이 더 높습니다.
➜ 헌신과 일관성 - 우리는 한 번에 일을 처리하기보다는 시간을 두고 처리하는 경향이 있습니다. 요청의 일부 또는 여러 부분에 이미 동의한 적이 있다면 요청에 동의할 가능성이 더 높습니다. 누군가 이전에 재무 기록에 대한 액세스를 요청한 적이 있다면 다시 요청하는 것이 그리 큰 문제가 아닐 수도 있습니다!
➜ 사회적 증거 - 주변 사람들이 이끄는 대로 따르는 경향이 있다는 사실("밴드왜건 효과"라고도 함)에 의존하는 속임수 기법입니다. 예를 들어, 다른 직원이 요청에 응했다는 거짓 증거를 제시하는 위협 행위자에 의해 직원들이 흔들릴 수 있습니다.
➜ 좋아요 - 해커는 책임자처럼 보이는 사람을 좋아하므로 해커가 사용자의 이메일 주소로 상사나 친구 또는 관심 있는 분야의 전문가가 보낸 것처럼 보이는 메시지를 보낼 수 있습니다. 메시지에는 "이봐요! 당신이 이 프로젝트를 진행 중이라는 것을 알고 있는데 도움이 필요합니다. 언제 한 번 만날 수 있을까요?" 일반적으로 도움을 요청하며, 이에 동의하면 민감한 정보를 제공하게 됩니다.
➜ 권위 - 사람들은 일반적으로 권위 있는 인물을 따르고 순종해야 할 '올바른' 인물로 여기기 때문에 복종합니다. 따라서 사회 공학 전술은 권위 있어 보이는 사람을 신뢰하여 원하는 것을 얻으려는 우리의 경향을 악용할 수 있습니다.
➜ 희소성 - 희소성은 인간의 본능으로, 우리 두뇌에 단단히 배어 있습니다. 희소성은 "지금 당장 필요하다" 또는 "이것을 가져야 한다"는 느낌입니다. 따라서 사람들은 소셜 엔지니어에게 사기를 당하면 가능한 한 빨리 돈이나 정보를 포기해야 한다는 긴박감을 느끼게 됩니다.
소셜 엔지니어링에 취약한 성격과 그 이유는?
사이버 보안 회사인 Forcepoint X-Labs의 인간 행동 수석 연구 과학자인 마가렛 커닝햄 박사에 따르면, 사회공학적 익스플로잇에 가장 취약한 성격 특성은 동의와 외향성이라고 합니다.
호의적인 사람들은 신뢰가 높고 친절하며 의심 없이 지시를 따르는 경향이 있습니다. 이들은 진짜인 것처럼 보이는 이메일의 링크를 클릭하거나 첨부 파일을 열 가능성이 높기 때문에 피싱 공격의 좋은 표적이 될 수 있습니다.
외향적인 사람들은 종종 다른 사람들과 어울리는 것을 선호하고 다른 사람들을 더 신뢰하기 때문에 사회공학적 공격에 더 취약합니다. 내향적인 사람보다 타인의 동기를 의심할 가능성이 높기 때문에 사회 공학자에게 속거나 조종당할 수 있습니다.
소셜 엔지니어링에 탄력적인 성격과 그 이유는?
사회공학적 공격에 회복력이 있는 사람들은 양심적이고 내성적이며 자기효능감이 높은 경향이 있습니다.
양심적인 사람들은 자신의 필요와 욕구에 집중함으로써 사회 공학 사기에 저항할 가능성이 가장 높습니다. 또한 다른 사람의 요구에 순응할 가능성도 적습니다.
내향적인 사람들은 자신만의 시간을 갖고 고독을 즐기기 때문에 외부의 조작에 덜 민감하게 반응하는 경향이 있으며, 이는 사회적 신호나 자신에게 영향을 미치려는 강압적인 사람들의 영향을 덜 받는다는 것을 의미합니다.
자기효능감은 자신을 믿도록 도와주어 타인이나 외부의 압력에 저항할 수 있다는 자신감을 갖게 해주기 때문에 중요합니다.
PowerDMARC로 소셜 엔지니어링 사기로부터 조직을 보호하세요.
소셜 엔지니어링은 직원과 고객을 조종하여 데이터를 훔치거나 파괴하는 데 사용할 수 있는 민감한 정보를 유출하도록 유도하는 행위입니다. 과거에는 은행이나 고용주 등 합법적인 출처에서 보낸 것처럼 보이는 이메일을 전송하여 이러한 정보를 얻었습니다. 오늘날에는 이메일 주소를 스푸핑하는 것이 훨씬 더 쉬워졌습니다.
PowerDMARC는 SPF, DKIM, DMARC와 같은 이메일 인증 프로토콜을 배포하여 이러한 유형의 공격으로부터 보호합니다. DMARC p=거부 정책을 사용자 환경에 배포하여 직접적인 도메인 스푸핑 및 이메일 피싱 공격의 위험을 최소화합니다.
소셜 엔지니어링 공격으로부터 자신과 회사, 고객을 보호하는 데 관심이 있으시다면, 저희의 무료 DMARC 평가판 지금 바로!
- 비즈니스에 가장 적합한 DMARC 솔루션 제공업체를 찾는 방법은? - 2024년 4월 25일
- 도메인 보안을 강화하기 위해 파트너십을 체결한 PowerDMARC와 Zendata - 2024년 4월 25일
- 중동 지역의 이메일 보안 관행을 발전시키기 위해 CNS와 협력하는 PowerDMARC - 4월 24, 2024