소셜 엔지니어링이란 무엇인가요? 소셜 엔지니어링은 데이터나 정보에 액세스하기 위해 조작과 속임수를 사용하는 사이버 공격의 한 형태입니다. 소셜 엔지니어링의 목표는 사람들이 신뢰할 수 있는 사람과 상호작용하고 있다고 믿게 만들어 비밀번호나 네트워크 세부 정보와 같은 민감한 정보를 유출하도록 속이는 것입니다.
경우에 따라 소셜 엔지니어는 악의적인 목적으로 사용될 수 있는 소프트웨어인 멀웨어를 사용자 모르게 컴퓨터에 다운로드하도록 유도하기도 합니다.
소셜 엔지니어링이란 무엇인가요? 정의
소셜 엔지니어링은 사람들을 조종하여 특정 행동을 수행하거나 기밀 정보를 유출하는 행위입니다. 해킹의 한 형태이지만, 소셜 엔지니어는 컴퓨터에 침입하는 대신 직원을 속여 정보를 제공하거나 멀웨어를 다운로드하도록 유도하여 컴퓨터에 액세스하려고 시도합니다.
소셜 엔지니어링 기법: 소셜 엔지니어링은 어떻게 작동하나요?
- 소셜 엔지니어링은 전화, 이메일 또는 문자 메시지를 통해 수행될 수 있습니다. 소셜 엔지니어는 회사에 전화를 걸어 제한 구역에 대한 액세스를 요청하거나 다른 사람이 대신 이메일 계정을 개설하도록 하기 위해 다른 사람을 사칭할 수 있습니다.
- 소셜 엔지니어는 목표를 달성하기 위해 다양한 수법을 사용합니다. 예를 들어, 회사의 헬프 데스크에서 전화를 걸어 사용자의 컴퓨터나 네트워크에서 문제를 해결하기 위해 원격 액세스를 요청할 수 있습니다. 또는 은행 계좌 문제를 해결하기 위해 비밀번호나 은행 자격 증명과 같은 기타 개인 정보가 필요하다고 주장할 수도 있습니다.
- 경우에 따라 소셜 엔지니어는 법 집행 기관을 사칭하여 사용자가 정보 요구를 거부하면 법적 조치를 취하겠다고 협박하기도 합니다. 기업이 이러한 위협을 심각하게 받아들이는 것이 중요하지만, 경찰은 절대로 전화로 비밀번호를 물어보지 않는다는 사실을 기억하세요!
소셜 엔지니어링의 목적
소셜 엔지니어링은 신뢰할 수 있는 출처에서 보낸 것처럼 보이지만 실제로는 사용자의 개인 정보를 훔치기 위한 이메일인 피싱 공격에 자주 사용됩니다. 이메일에는 일반적으로 악성 소프트웨어(흔히 멀웨어라고 함)가 포함된 첨부 파일이 포함되어 있으며, 이 파일을 열면 컴퓨터가 감염됩니다.
소셜 엔지니어링의 목표는 항상 동일합니다. 노력하지 않고도 가치 있는 무언가에 접근할 수 있도록 하는 것입니다.
1. 민감한 정보 도용
따라서 소셜 엔지니어는 이메일 계정이나 소셜 미디어 프로필에 액세스하여 이전 거래에서 신용카드 번호, 은행 계좌 정보 등의 개인 정보를 훔칠 수 있도록 사용자를 속여 비밀번호와 로그인 자격증명(예: 사용자 아이디/이메일 주소)을 알려주도록 유도할 수 있습니다. Instagram에서 판매하는 방법을 알고 있지만, 소셜 엔지니어로부터 소규모 비즈니스와 계정을 보호할 수 있는 충분한 지식을 갖추고 있나요?
2. 신원 도용
또한 이 정보를 사용하여 피해자의 신원을 추정하고 피해자가 즉시 파기하지 않을 경우 피해자를 사칭한 악의적인 활동을 수행할 수도 있습니다.
자세히 알아보기 사이버 공격자들이 일반적으로 사회공학을 사용하는 이유.
소셜 엔지니어링 공격은 어떻게 식별하나요?
1. 직감을 믿으세요
의심스러운 이메일이나 전화를 받으면 신원을 확인할 때까지 어떤 정보도 제공하지 마세요. 회사에 직접 전화하거나 이메일을 보낸 것으로 추정되는 사람에게 확인하거나 음성 사서함에 메시지를 남기면 됩니다.
2. 개인 정보를 제출하지 마세요.
누군가가 주민등록번호나 기타 개인 정보를 묻는다면 이는 사용자의 신뢰를 이용해 나중에 불리하게 이용하려는 신호일 수 있습니다. 꼭 필요한 경우가 아니라면 어떤 정보도 제공하지 않는 것이 좋습니다.
3. 컨텍스트가 없는 비정상적인 요청
소셜 엔지니어는 대개 맥락을 설명하지 않고 많은 양의 요청을 합니다. 돈이나 기타 리소스가 필요한 이유를 설명하지 않고 요청하는 경우, 뭔가 수상한 일이 벌어지고 있을 가능성이 높습니다. 은행 계좌에 대한 액세스 권한으로 어떤 피해가 발생할지 모르기 때문에 누군가가 이와 같은 거액의 요청을 할 때는 주의를 기울이는 것이 좋습니다!
다음은 소셜 엔지니어링 공격을 발견할 수 있는 몇 가지 방법입니다:
- IT 부서에서 왔다고 주장하는 사람으로부터 비밀번호를 재설정하고 이메일이나 문자 메시지로 비밀번호를 제공하라는 이메일을 받은 경우
- 은행을 사칭하는 사람으로부터 계좌 번호나 비밀번호와 같은 개인 정보를 요구하는 이메일을 받은 경우
- 은행을 사칭하는 사람으로부터 계좌 번호나 비밀번호와 같은 개인 정보를 요구하는 이메일을 받은 경우
- 회사 인사 부서에서 왔다고 주장하는 사람이 회사에 대한 정보를 요청하는 경우
이메일 기반 소셜 엔지니어링 공격
피싱 이메일 - 합법적인 출처에서 보낸 것처럼 보이지만 실제로는 사용자를 속여 첨부 파일을 열거나 악성 웹사이트를 방문하도록 유도하는 이메일입니다.
스피어 피싱 - 자세히 보기 스피어 피싱 공격은 피싱 이메일보다 더 표적화되어 있으며 사용자에 대한 정보를 사용하여 더 신뢰할 수 있는 것처럼 보이게 합니다.
CEO 사기 - 기업 CEO 사기 는 민감한 정보에 액세스하기 위해 CEO 또는 고위급 임원을 사칭하는 피싱 사기의 한 유형입니다. 여기에는 은행 계좌 번호, 송금 세부 정보, 심지어 직원 급여 정보까지 포함될 수 있습니다.
다른 소셜 엔지니어링 유형에 대해 알아보기 소셜 엔지니어링 유형 공격에 대해 알아보세요.
소셜 엔지니어링을 방지하는 방법?
소셜 엔지니어링 공격을 예방하고 이러한 공격으로부터 자신을 보호하는 방법에 대한 몇 가지 팁을 알려드립니다.
- 디바이스와 컴퓨터에 최신 바이러스 백신 소프트웨어가 설치되어 있는지 확인하세요.
- 신뢰 범위에 속하지 않는 사람이 보낸 의심스러운 이메일이나 첨부 파일을 열지 마세요(은행이나 신용카드 회사를 사칭하는 사람이 보낸 이메일도 포함).
- 아는 사람이 보낸 이메일이라도 안전하다고 확신하지 못하면 이메일에 포함된 링크를 클릭하지 마세요! 이메일이 합법적인지 의심스러운 경우, 온라인에서 자세한 정보를 먼저 찾기보다는 발신자에게 전화나 문자 메시지로 직접 문의하세요.
- "사실이라고 하기에는 너무 좋은" 것을 제안하는 원치 않는 전화나 문자 메시지에 주의하세요(여기에는 무료 경품이나 무료 평가판 등의 가입 제안이 포함될 수 있습니다).
- 사용 2단계 인증 즉, 다른 사람이 내 비밀번호를 알고 있더라도 계정에 액세스하려면 일회용 코드와 같은 다른 정보가 필요합니다.
- 다음과 같은 이메일 인증 프로토콜을 설정합니다. DMARC 과 같은 이메일 인증 프로토콜을 설정하여 피싱 공격, 소셜 엔지니어링 및 도메인 남용으로부터 이메일 채널을 보호하세요.
요약
소셜 엔지니어링은 금전 및 기타 개인 정보 손실은 물론 보안 시스템 손상과 데이터 유출을 초래할 수 있으므로 이를 방지하는 것이 중요합니다.
IT 팀이 사이버 공격으로부터 회사를 보호하는 데 아무리 능숙하더라도 누군가가 사회 공학적 방법을 통해 시스템에 침입하려는 위험을 완전히 제거할 수는 없습니다. 그렇기 때문에 다음을 수행하는 것이 매우 중요합니다. 직원 교육 피싱 이메일 및 기타 유형의 소셜 엔지니어링 공격을 식별하는 방법에 대해 알아보세요.
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일