IT Life

사회공학적 해킹, 사람의 심리를 겨냥하다!

2017.02.09 09:30

지난해, 보안 업계는 그 어느 때보다도 뜨거웠습니다. 2015년을 뜨겁게 달구었던 랜섬웨어[각주:1]는 2016년에도 보안 이슈로 주목받았는데요. 사용자의 정보를 인질로 삼는 방법으로 엄청난 규모의 피해액을 발생시키며 랜섬웨어 공포에 떨게 하였었죠. 물론, 보안 위협 방식이 랜섬웨어에 국한된 것은 아니었습니다. 이외에도, IoT 기기를 이용한 봇넷[각주:2] 구축, 파일리스 공격[각주:3] 등 날로 교묘해지는 다양한 해킹 기법으로 이용자의 보안 환경을 위협하고 있습니다.



지난 1월, 알약에서는 2017년도에 예상되는 보안 이슈 TOP 5를 발표하였습니다. 랜섬웨어를 포함하여 빅데이터, 머신러닝, IoT 관련 보안 이슈가 제기되었는데요. 이중 오늘 소개해드리고 싶은 키워드는 ‘사회공학적 공격 기법’입니다. 2017년 예상 보안 이슈 5위로 매겨진 위협요소인데요. 기존의 보안 위협 방법이었던 ‘시스템의 취약점’을 겨냥하는 것이 아니라 사람의 심리를 겨냥하여 원하는 정보를 얻는 공격 기법입니다.



 사회공학적 해킹, 사람의 심리를 겨냥하다

사회공학적 해킹이란, 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격 기법을 말합니다. 인간의 감정이나 인지적 특성을 이용하여 표적의 보안 시스템을 무력화하는 비기술적인 방법으로, 시스템의 취약점을 공략하는 DDoS 공격과 같은 기술적인 해킹과는 구분됩니다.

l 메일 반송을 위장한 피싱 메일(좌), 장학금 신청 결과로 위장한 스미싱 문자(우)


해커들은 온라인 및 오프라인상에서 공격 대상으로 삼은 사람의 성향, 동향, 추세 등을 파악하며 정보를 수집합니다. 그렇게 수집한 정보를 바탕으로 정부기관이나 회사를 사칭하여 흥미를 끌 만한 키워드로 내용을 작성하죠. 그렇게 작성된 내용을 사람들은 의심 없이 열어볼 수밖에 없고, 악성코드가 담긴 파일이 담긴 피싱(Phishing)[각주:4] 메일, 스미싱(Smishing)[각주:5] 등이 퍼져나가게 되는 것입니다.


공격 대상이 된 사람은 발신자가 정부기관이나 회사로 보이고, 수신 내용도 자신에게 해당하는 것으로 보이니, 별다른 의심 없이 열람하여 악성 파일을 다운로드하고 악성 링크에 접속합니다. 그럼, 해커들은 기술적인 방법 없이도 손쉽게 상대의 시스템에 접근하는 데 성공한 것입니다.



위와 같은 접근 방식을 통해, 키로깅(keylogging)[각주:6] 프로그램을 이용하여 상대의 계정 비밀번호를 가로채는 수법을 이용하거나, 사용자를 위장 웹사이트로 유인하여 입력한 개인정보를 절도하는 파밍(Pharming)[각주:7] 수법 등이 시도되고 있습니다.


 사회공학적 해킹, 왜 2017년 보안 이슈로 떠올랐나?

사실 사회공학적 공격은 보안컨설턴트 ‘케빈 미트닉’에 의해 처음 정의됐던 개념으로, 이미 1990년대부터 등장했던 개념입니다. 케빈 미트닉은 현 보안컨설턴트이기 이전에, 전직 해커로서 1990년대 사회공학적 해킹법을 가장 잘 사용하기로 유명했습니다. 케빈은 시스템을 이루는 요소 중, 수많은 변수를 지닌 사람의 심리를 공략하는 사회공학적 기법이 가장 효과적인 공격법이었다고 했습니다.

실제로, 시스템을 거치지 않고 단순한 전화통화만을 이용한 보이스피싱 기법으로 여러 번의 해킹에 성공하였으며, 모토로라 최신 휴대폰의 핵심 소스코드까지 전화 통화만으로 탈취해낸 사건은 유명한 일화로 기록되고 있습니다.


이렇게, 기술적으로 명확한 차단과 방어를 할 수 있는 시스템과는 달리, 사람은 상대적으로 보안에 취약한 요소로 여겨집니다. 그러므로, 보안 체계가 잘 갖춰진 시스템을 공략하기보다는 비기술적인 방법을 동원하여 지능적으로 시스템에 접근하려는 시도가 더욱더 늘어나고 있습니다.

최근 보안업체의 조사 결과, 지능형 지속공격(APT)[각주:8]의 91%가 스피어 피싱[각주:9] 메일로 시작되고, 랜섬웨어의 감염경로 중 피싱 메일이 93%에 이른다고 합니다. 즉, 대부분의 지능적 해킹이 사람을 이용한 사회공학적 해킹을 시작으로 시도되고 있다는 것이죠.

페이스북, 트위터와 같은 SNS의 발달은, 전 세계 사람들 간의 소통을 스마트폰 터치 한 번으로 가능하게 해주었습니다. 하지만 이러한 소셜 채널의 형성은 지능적 해킹의 시작인 사회공학적 해킹의 원천인 동시에 수단으로 작용할 수 있습니다.


SNS를 통해 공유하는 일상은 해커들에게는 더할 나위 없이 좋은 정보 제공요소로 작용합니다. 최근에는 공격 대상에게 온라인 친구를 맺고 교류하면서, 직접 친분을 맺어 신뢰를 쌓아 접근하는 초 지능적 범죄 시도가 많이 포착되었다고 합니다. 또한, 유명 인사들을 겨냥한 웨일링(Whaling)[각주:10] 수법을 통한 해킹 접근이 많이 시도된다고 합니다. 이러한 정황으로 인해 비기술적인 지능형 범죄의 시초인 사회공학적 해킹 문제가 계속 제기되고 있어, 2017년 주요 보안 이슈로도 선정이 되었다고 합니다.



 사회공학적 해킹 예방법, 어렵지 않다!

그렇다면, 예방방법은 어떤 것이 있을까요? 여러분도 기본적인 해킹 대응책을 통해 보안사고를 예방할 수 있습니다.


① 통합 백신, 운영 체제 및 오피스 프로그램의 주기적 보안 패치

사회공학적 방법으로 인해 해킹의 위협에 놓여있다 하더라도, 최신 공격 패턴에 대한 바이러스 백신, 운영 체제 업데이트가 이루어져 있다면, 어느 정도의 해킹 시도는 감지하여 사전에 차단할 수 있습니다. 그리고 오피스 프로그램의 보안 패치도 신경 써주어야 할 부분입니다. 피싱 메일에 자주 삽입되는 문서형 파일에서 악성 매크로 시도가 많이 발견되기 때문에, 오피스 프로그램의 보안 패치도 주기적으로 해줄 필요가 있습니다.

 



② 메일•문자에 삽입된 파일•URL에 대한 의문 품기


"기업 정보 보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다." – 케빈 미트닉


사회공학적 해킹은 인간의 신뢰를 이용하여 접근하는 방법입니다. 그러므로 ‘의심’이 해킹 예방의 첫 번째 단계가 될 수 있습니다. 수신이 예정되어있지 않은 메일•문자에 미확인 파일•URL이 삽입되어 있다면, 먼저 해당 링크에 대하여 의문을 품을 수 있어야 합니다.



③ 바이러스토탈(VirusTotal) 활용


l 피싱 메일에 포함된 악성 파일의 바이러스토탈 조회 결과


바이러스토탈에서는 의심스러운 파일과 URL을 분석하고 다양한 종류의 악성 코드를 탐지하는 서비스 제공 웹사이트입니다. 혹시 PC, 스마트폰 이용 중에 피싱 메일•스미싱으로 의심되는 메일•문자를 수신한 경우, 의심스러운 파일과 URL을 바이러스토탈에 업로드하여 검사해보는 것이 좋습니다. 만약 1개 이상의 탐지 결과에서 이상을 보인다면, 해킹 시도임을 충분히 의심해볼 수 있습니다.


● 바이러스토탈(VirusTotal)

https://www.virustotal.com/



 내 컴퓨터를 지키는 보안 습관

보안 기술이 빠르게 발전하고 있지만, 그에 못지않게 해킹 기술도 다양한 방법으로 발전하는 모습을 볼 수 있었습니다. 단순 시스템 기술의 발전이 아닌, 인간의 심리를 이용한 해킹 방식이 한편으로는 놀라울 정도입니다. 아무리 보안의 기술이 발전하여도, 해킹 피해를 막는 가장 좋은 방법은 해킹 위험 요소를 스스로 줄이는 것일 것입니다. 


유해 사이트로 의심되는 URL이 있는 사이트 접속을 자제하고, 출처가 의심되는 파일 혹은 메일, 문자 등의 접속을 자제하는 습관을 들이는 것이 필요합니다. 어쩔 수 없이 내용을 확인해야 하는 경우, 예방책에 소개된 방법처럼 미리 검사해 보는 것도 좋을 것 같습니다. 내 컴퓨터를 지킬 수 있는 보안 예방법을 습관화하여, 해킹의 위협에서 벗어나시길 바랍니다.



글 | LG CNS 대학생기자 강동구 

* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


  1. 랜섬웨어(Randsom ware) : 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램 [네이버 지식백과] [본문으로]
  2. 봇넷(Bot net) : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비 PC들로 구성된 네트워크 [네이버 지식백과] [본문으로]
  3. 파일리스 공격(Fileless Attack) : 악성코드가 파일로 존재하지 않고 메모리 또는 레지스트리 상에서만 동작하여 기존의 파일 기반 탐지만으로는 탐지가 어려운 공격 유형 [ITdaily 뉴스] (출처 : http://www.itdaily.kr/news/articleView.html?idxno=81938) [본문으로]
  4. 피싱(Phishing) : 불특정 다수에게 이메일을 보내 개인정보를 불법으로 뽑아내는 신종 해킹 수법 [네이버 지식백과] [본문으로]
  5. 스미싱(Smishing) : 문자메시지(SMS)와 피싱(Phishing)의 합성어로 '무료쿠폰 제공', '돌잔치 초대장' 등을 내용으로 하는 문자메시지내 인터넷주소 클릭하면 악성코드가 설치되어 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인•금융정보 탈취하는 수법 [사이버경찰청] [본문으로]
  6. 키로깅(Keylogging) : 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위 [위키백과] [본문으로]
  7. 파밍(Pharming) : 악성코드에 감염된 PC를 조작해 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱(가짜)사이트로 유도되어 범죄자가 개인 금융 정보 등을 몰래 빼가는 수법 [사이버경찰청] [본문으로]
  8. 지능형 지속공격(APT) : 조직이나 기업을 표적으로 정한 뒤 장기간에 걸쳐 다양한 수단을 총동원하는 지능적 해킹 방식[네이버 지식백과] [본문으로]
  9. 스피어 피싱(Spear Phishing) : 특정인을 목표로 개인정보를 훔치는 피싱 공격 [네이버 지식백과] [본문으로]
  10. 웨일링(Whaling) : 개인 정보를 활용해 특정 인물에 대해 가해지는 공격 [Ciokorea] (출처 : http://www.ciokorea.com/news/29352) [본문으로]
저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로