피해자들이 일상적으로 당하는 소셜 엔지니어링 공격의 유형과 인터넷을 강타한 향후 공격에 대해 자세히 알아보기 전에 먼저 소셜 엔지니어링이 무엇인지 간략하게 살펴보겠습니다. 

쉽게 설명하자면, 사회 공학은 위협 행위자가 심리적인 조작을 통해 피해자를 악용하고 사기를 치는 사이버 공격 배포 전술을 말합니다.

사회 공학: 정의 및 예시

소셜 엔지니어링 공격이란 무엇인가요?

사이버 범죄자가 컴퓨터나 이메일 시스템을 해킹하는 것과는 달리, 사회 공학 공격은 피해자의 의견에 영향을 미쳐 민감한 정보를 노출하도록 조종하는 방식으로 이루어집니다. 보안 분석가들은 매년 인터넷에서 발생하는 사이버 공격의 70% 이상이 소셜 엔지니어링 공격이라는 사실을 확인했습니다.

소셜 엔지니어링 예시

아래 예시를 살펴보시기 바랍니다:

시간당 1000달러를 벌 수 있다는 약속으로 피해자를 유인하는 온라인 광고를 볼 수 있습니다. 이 광고에는 시스템에 멀웨어 설치를 시작할 수 있는 악성 링크가 포함되어 있습니다. 

이러한 유형의 공격은 일반적으로 온라인 미끼 공격 또는 간단히 미끼 공격으로 알려져 있으며, 사회 공학 공격의 한 형태입니다. 

아래는 또 다른 예입니다:

위에서 살펴본 바와 같이 이메일을 강력한 매개체로 사용하여 소셜 엔지니어링 공격을 수행할 수도 있습니다. 일반적인 예로 피싱 공격이 있습니다. 다음 섹션에서 이러한 공격에 대해 더 자세히 살펴보겠습니다.

소셜 엔지니어링 공격의 유형

1. 비싱 및 스미싱

오늘 은행에서 링크를 클릭하여 신원을 확인하지 않으면 계정이 비활성화된다는 내용의 문자 메시지를 받았다고 가정해 보겠습니다. 이는 사이버 범죄자들이 의심하지 않는 사람들을 속이기 위해 자주 유포하는 매우 일반적인 메시지입니다. 링크를 클릭하면 은행 정보를 요구하는 스푸핑 페이지로 리디렉션됩니다. 공격자에게 은행 정보를 제공하면 계정이 도용될 수 있으니 안심하세요. 

마찬가지로 비싱 또는 보이스 피싱은 SMS가 아닌 전화 통화를 통해 시작됩니다.

2. 온라인 미끼 / 미끼 

우리는 매일 웹사이트를 검색하면서 다양한 온라인 광고를 접합니다. 대부분은 무해하고 신뢰할 수 있는 광고이지만, 그 중에는 나쁜 광고가 숨어 있을 수도 있습니다. 이는 사실이라고 하기에는 너무 좋아 보이는 광고를 발견하면 쉽게 식별할 수 있습니다. 보통 대박을 터뜨렸다거나 엄청난 할인을 제공한다는 등의 터무니없는 주장과 미끼가 있습니다.

함정일 수 있다는 점을 기억하세요(일명 a 미끼). 너무 좋아 보이는 광고는 사실일 가능성이 높습니다. 따라서 인터넷에서 의심스러운 광고는 피하고 클릭하지 않는 것이 좋습니다.

3. 피싱

소셜 엔지니어링 공격은 이메일을 통해 이루어지는 경우가 많으며, 이를 피싱이라고 합니다. 피싱 공격은 이메일이 존재한 거의 모든 기간 동안 전 세계적으로 큰 피해를 입혀 왔습니다. 2020년 이후 이메일 커뮤니케이션의 급증으로 인해 피싱의 비율도 급증하여 크고 작은 조직에서 사기를 치고 연일 헤드라인을 장식하고 있습니다. 

피싱 공격은 스피어 피싱, 고래잡이, CEO 사기로 분류할 수 있으며, 각각 조직 내 특정 직원, 회사의 의사 결정권자, CEO를 사칭하는 행위를 의미합니다.

4. 연애 사기

미국 연방수사국(FBI)에서는 인터넷 로맨스 사기를 "범죄자가 피해자의 애정과 신뢰를 얻기 위해 가짜 온라인 신원을 사용하는 사기"로 정의합니다. 그런 다음 사기범은 낭만적이거나 친밀한 관계에 대한 환상을 이용해 피해자를 조종하거나 피해자로부터 돈을 훔칩니다." 

로맨스 사기는 공격자가 교묘한 전술을 사용하여 피해자와 친밀한 연애 관계를 형성한 후 사기를 치는 등 주요 목적을 달성하기 때문에 사회 공학 공격의 유형에 속합니다. 2021년에는 로맨스 사기가 금전적으로 가장 큰 피해를 입힌 사이버 공격으로 1위를 차지했으며, 랜섬웨어가 그 뒤를 이었습니다.

5. 스푸핑

도메인 스푸핑은 고도로 진화한 형태의 소셜 엔지니어링 공격입니다. 이는 공격자가 합법적인 회사 도메인을 위조하여 발신 조직을 대신하여 고객에게 이메일을 보내는 것입니다. 공격자는 피해자가 해당 이메일이 진짜 출처, 즉 자신이 서비스를 이용하는 회사에서 보낸 것으로 믿도록 속입니다. 

스푸핑 공격은 회사 자체 도메인에서 이메일을 전송하기 때문에 추적하기 어렵습니다. 하지만 문제를 해결할 수 있는 방법이 있습니다. 업계 전문가들이 많이 사용하고 권장하는 방법 중 하나는 스푸핑을 최소화하는 것입니다. DMARC 설정하는 것입니다.

6. 구실 만들기

프리태스팅은 소셜 엔지니어링 공격의 전 단계라고 할 수 있습니다. 공격자가 가상의 스토리를 짜서 민감한 회사 정보에 대한 자신의 주장을 뒷받침하는 것입니다. 대부분의 경우 프리싱킹은 전화 통화를 통해 공격자가 고객이나 직원을 사칭하여 회사에 민감한 정보를 요구하는 방식으로 이루어집니다.

소셜 엔지니어링에서 일반적으로 사용되는 방법은 무엇인가요?

소셜 엔지니어링에 가장 많이 사용되는 방법은 피싱입니다. 피싱이 어떻게 전 세계적으로 증가하는 위협인지 더 잘 이해하기 위해 몇 가지 통계를 살펴봅시다:

• CISCO의 2021 사이버 보안 위협 동향 보고서에 따르면 데이터 침해의 무려 90%가 피싱으로 인해 발생한다고 강조했습니다.
• IBM은 2021년 데이터 유출 비용 보고서에서 피싱이 가장 많은 재정적 손실을 초래하는 공격 벡터라는 타이틀을 차지했습니다.
• FBI의 보고에 따르면 피싱 공격의 비율은 매년 400%씩 증가하는 것으로 나타났습니다.

소셜 엔지니어링 공격으로부터 자신을 보호하는 방법은 무엇인가요?

구성할 수 있는 프로토콜 및 도구: 

• 조직에 SPF, DKIM, DMARC와 같은 이메일 인증 프로토콜을 배포하세요. 지금 바로 무료 DMARC 레코드를 생성하여 시작하세요. DMARC 레코드 생성기.
• 귀하의 DMARC 정책 p=거부로 설정하여 직접 도메인 스푸핑 및 이메일 피싱 공격을 최소화합니다.
• 바이러스 백신 소프트웨어의 도움으로 컴퓨터 시스템을 보호하세요.

개인이 취할 수 있는 조치:

• 일반적인 유형의 소셜 엔지니어링 공격, 공격 벡터 및 경고 신호에 대한 조직 내 인식을 높입니다.
• 공격 벡터와 유형에 대해 알아보세요. 지식창고를 방문하여 검색창에 '피싱'을 입력하고 엔터키를 눌러 지금 바로 학습을 시작하세요!  
• 외부 웹사이트에 기밀 정보를 제출하지 마세요.
• 모바일 장치에서 발신자 번호 식별 애플리케이션 사용 설정하기
• 은행에서는 이메일, SMS 또는 전화를 통해 계좌 정보 및 비밀번호 제출을 요청하지 않는다는 점을 항상 기억하세요.
• 항상 이메일의 발신자 주소와 회신 경로 주소를 다시 확인하여 일치하는지 확인하세요. 
• 출처의 진위 여부를 100% 확신하기 전에는 의심스러운 이메일 첨부파일이나 링크를 클릭하지 마세요.
• 온라인에서 교류하지만 실제 생활에서는 모르는 사람을 신뢰하기 전에 한 번 더 생각하세요.
• HTTPS 연결을 통해 보안되지 않은 웹사이트(예: http://domain.com)를 탐색하지 마세요.

• 정보
• 최신 게시물

유네스 타라다

Yunes는 이메일 인증 및 보안에 대한 전문 지식을 갖춘 PowerDMARC의 운영 팀장입니다. Yunes는 CompTIA A+ 등의 자격증을 보유한 Microsoft 인증 Azure 관리자 어소시에이트입니다.

Yunes Tarada의 최신 글 (전체 보기)

• SPF 소프트 페일 대 하드 페일: 차이점은 무엇인가요? - 2024년 4월 26일
• FTC, 이메일이 사칭 사기의 인기 매체라는 보고서 발표 - 2024년 4월 16일
• 서브도메인 메일링과 서브도메인 피싱의 증가 - 2024년 3월 18일