[글로벌 눈] 사이버 보안 - 사회공학(Social Engineering)을 아세요?

CBSi 노컷뉴스 X 공공소통연구소

[글로벌 눈] 사이버 보안 - 사회공학(Social Engineering)을 아세요?

  • 2022-10-20 08:40:49

사회 공학은 신뢰를 바탕으로 이용자를 속여 스스로 개인정보를 제공하게 해
인간의 감정을 노리는 사기 식별할 수 있어야
소셜 미디어 많이 하는 자녀에 대한 교육은 필수

CyberSecurityAwarenessMonth©getcybersafe.gc.ca/en/cyber-security-awareness-month
사이버 보안 인식의 달(Cyber Security Awareness Month)은 대중이 사이버 보안의 중요성에 대해 더 많이 알 수 있도록 매년 10월 캐나다, 미국, 유럽 등에서 개최되는 국제적으로 인정받는 캠페인이다. 올해 캐나다 정부는 Get Cyber Safe라는 캠페인을 통해 다양한 시각적 자료를 활용하여 캐나다인들이 온라인 상에서 스스로를 보호하는 간단한 단계를 가르쳐 사이버 보안을 유지하도록 돕는다. 

사이버 안전 확보에 대한 많은 질문을 제기하게 되는데, 어떤 정보를 신뢰할 수 있는지 파악하는 것은 쉽지 않다. 오늘날 정보는 빠르게 변화하며, 무수한 답 가운데 잘못된 답을 먼저 찾기가 쉽기 때문이다. 일반 시민들을 위한 사이버 보안에 관한 질문에는 어떤 것들이 있을까?

 🤔 바이러스 백신 소프트웨어를 설치하는 것 만으로 사이버 안전을 확보할 수 있다?
바닷가에서 성공적인 하루를 보내려면 수영복과 수건 이상이 필요하다. 예를 들어, 자외선 차단제, 음료수나 간식, 비치볼 등이 필요하다. 성공적인 사이버 보안에도 견고하고 효과적인 데 도움이 되는 많은 도구가 필요하며, 안티바이러스 소프트웨어는 이러한 도구 중 하나일 뿐이다.  

🤔 피싱 사기는 쉽게 발견할 수 있으며 절대 속지 않을 것이다?
사이버 범죄자들은 피싱 메시지를 실제처럼 보이게 만드는 데 점점 더 능숙해지고 있다. 스피어 피싱(특정 개인이나 회사를 대상으로 한 피싱) 및 사회 공학 수법은 사용자를 속이기 위해 더 많은 표적 정보를 사용하기 때문에 인식하기가 매우 어려울 수 있다. 피싱 사기에 빠질 가능성을 줄이기 위해 다양한 형태의 피싱 및 사회 공학에 익숙해져야 한다.

🤔 사이버 위협은 대기업이나 대형 조직, 기관들만 대상으로 한다?
사이버 위협은 다양한 형태로 나타나며 개인과 조직 모두를 대상으로 한다. 모든 정보는 사이버 범죄자에게 중요하며 누구라도 표적이 될 수 있기 때문에 인터넷에 올리는 개인 정보에 특히 주의해야 한다.  


<사이버 보안 인식의 달>은 데이터와 가족을 안전하게 보호하기 위해 온라인 습관을 점검할 수 있는 기회이다. 올해의 테마는 가장 일반적인 유형의 사이버 공격 중 하나인 피싱에 대처하는 방법이다. 모든 사람이 피싱과 피싱의 작동 방식에 대해 더 많이 배울수록 미끼를 찾아내고 스스로를 보호할 준비를 잘 할 수 있다.

CyberSecurityAwarenessMonth©getcybersafe.gc.ca/en/cyber-security-awareness-month
2020년 이후로 디지털의 모든 것이 가속화되면서 사이버 범죄자가 우리 정보에 더 쉽게 접근할 수 있는 환경이 되었다. 그들은 창의적인 전술을 사용하는데, 일반적으로 '사회 공학(Social Engineering)'이라고 하는 기법을 활용하여 개인 정보를 넘겨주도록 설득한다.

사회 공학은 인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정보를 획득하는 것이다. 즉, 장치 자체보다는 장치를 사용하는 사람을 대상으로 한다. 사이버 범죄자는 계정, 비밀번호, 은행 정보 및 위치와 같은 개인 데이터에 액세스하여 사기 또는 기타 불법적인 온라인 활동을 시도한다. 오늘날 사이버 공격의 대부분은 사회 공학을 사용하는데, 이는 겉보기에 신뢰할 수 있는 출처를 믿고자 하는 인간의 자연스러운 성향을 목표로 하기 때문이다.

사이버 범죄자 입장에서 누군가의 계정에 접근하기 위해 은행과 같은 합법적인 소스에서 보낸 것처럼 보이는 이메일을 만드는 것이 더 쉽고 비용이 적게 든다. 소프트웨어의 취약점을 악용하여 기기나 뱅킹 앱을 해킹하려는 시도는 일반적으로 훨씬 더 어렵기 때문이다.

피싱은 기술 및 사회 심리학적 기법을 결합하여 사용자가 특정 행동을 수행하도록 유도하는 사용자 중심 공격 기법이다. 이것은 범죄자가 네트워크에 침투하여 맬웨어 또는 랜섬웨어를 설치하기 위해 개인 데이터를 훔치는 데 사용하는 가장 일반적인 전술이다. 사이버 범죄자는 소셜 미디어나 비디오 게임에서 이메일, 문자 메시지 및 다이렉트 메시지를 사용하여 사람들을 속이고 개인 정보를 획득한다. 사이버 범죄자는 훔친 누군가의 자격 증명으로 단순히 ‘로그인’할 수 있는 경우 굳이 ‘침입할 필요가 없다.


가장 큰 위험 중 하나는 소셜 미디어인데, 특히 소셜 미디어를 많이 사용하는 어린이나 청소년의 경우 무엇을 조심해야 할지 모르는 경우 매우 취약하다. 그들이 사용하는 사회 공학은 예를 들어 자녀가 애완 동물, 최근 활동 또는 친구의 사진을 게시할 경우, 해당 정보를 가져와 자녀가 온라인에서 공유한 내용(예: "새 강아지 사진을 보려면 여기를 클릭하세요" 또는 "좋아하는 상점에서 기프트 카드를 받았으면 여기를 클릭하세요")을 활용하여 메시지를 보내는 것이다. 사회 공학은 모두 감정에 관한 것이므로 아이들은 자신의 감정을 노리는 사기를 식별하는 방법을 알아야 한다.

피싱을 하는 사람들은 사용자가 스스로 개인 정보를 제공하도록 속인다. 쉽게 돈을 벌기 위해 계정에 로그인하라는 요청을 받거나, 신원을 확인하지 않으면 계정을 폐쇄하겠다고 위협할 수도 있다. 혹은 아이들에게 친숙한 브랜드를 사용한다. 아이들은 자신이 좋아하는 소셜 미디어 플랫폼이나 게임에서 받는 질문이 의미가 있는지 자문해야 한다. 사회 공학을 활용한 이러한 피싱들은 제안이 너무 좋게 들리지만 사실처럼 보인다. 자녀에게 이러한 위협에 대해 미리 가르쳐야만 자녀가 피해자가 되는 것을 막을 수 있다.


CyberSecurityAwarenessMonth©getcybersafe.gc.ca/en/cyber-security-awareness-month


피싱 사기의 일반적인 징후는 다음과 같다.
긴급 행동 촉구 또는 위협 : 보상을 내걸거나 처벌을 피하기 위해 즉시 첨부 파일을 클릭하거나 전화를 걸어야 한다고 주장하는 이메일은 의심해야 한다. 잘못된 긴급성을 만드는 것은 피싱 공격의 일반적인 속임수이다.  
처음 또는 드물게 보낸 사람 : 특히 네트워크 외부에 있는 사람에게서 처음으로 이메일을 받는 것은 드문 일이 아니지만 이것은 피싱의 신호일 수 있다.
- 맞춤법 및 문법 : 이메일 메시지에 명백한 맞춤법이나 문법 오류가 있는 경우 사기일 수 있다. 사이버 범죄자가 점점 전문화되고 있으며 이러한 유형의 명백한 오류가 덜 자주 발생한다는 점에는  유의해야 한다.
- 일반적인 인사말 :  기존에 거래가 있는 기관이나 업체라면 내 이름을 알아야 한다. 이메일이 일반적인 인사말로 시작하는 경우 이는 실제로 은행이나 쇼핑 사이트가 아닐 수 있다는 경고 신호다.
일치하지 않는 이메일 도메인 :  합법적인 도메인 이름의 매우 미묘한 철자 오류에 주의해야 한다. 두 번째 "o"가 0으로 대체된 micros0ft.com과 같은 것은 흔한 속임수이며, 타이포스쿼팅(typosquatting)이라고 한다.
의심스러운 링크나 첨부 파일 : 이메일 메시지가 사기라고 의심되는 경우 보이는 링크나 첨부 파일을 열지 않는다. 링크 위로 마우스를 가져가서 합법적으로 보이는지 확인해야 한다.
 
인터넷을 안전하게 탐색하기 위해 컴퓨터 전문가가 될 필요는 없다. 많은 사이버 보안 예방 조치는 취하기 쉽고, 자신을 위험에 빠뜨리지 않고 일상적인 온라인 활동을 수행하는 데 도움이 될 수 있다. 특히 강력하고 고유한 비밀번호는 계정 보안을 강화하는 좋은 방법이다. 모든 비밀번호를 추적하는 데 도움이 되도록 비밀번호 관리자를 사용하는 것이 좋다. 또한, 개인 신상과 일상에 대해 과도하게 공유하는 것은 삶에 여러 면에서 나쁜 영향을 미칠 수 있다. 과잉 공유는 피싱 사기 및 맬웨어(malware)의 대상이 되어 사이버 보안이 손상될 수 있으며,  다른 사람들과의 관계에도 영향을 줄 수 있으므로 자제해야 한다.

본 콘텐츠는 저작권법의 보호를 받는 바, 무단전재, 복사, 배포 등을 금합니다.
ⓒ CBS M&C노컷뉴스 X 공공소통연구소 All rights Reserved.

CBSi 노컷뉴스 X 공공소통연구소