소셜엔지니어링(social engineering)이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미한다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용된다. 소셜엔지니어링 공격은 기존 사이버공격과 같은 결과를 야기한다. 사이버범죄자는 피해자의 기밀정보를 알아내는 데 사용될 수 있는 개인정보를 자신에게 제공하도록 유도한다. 이들은 목적은 피해자의 금전, 물품, 중요정보, 사진 등 개인데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있다. 이들은 개인정보 탈취에 아무런 거리낌이 없다는 점에서 더욱 위험하다. 이러한 공격을 방지하려면 단지 안티바이러스 등 솔루션에 의존하기만 해서는 부족하고 우선 그 수법을 이해해야 한다. 온라인 소셜엔지니어링의 주된 방식에는 피싱(phishing)과 스피어피싱(spear-phishing)이 있다.

 

 

피싱이메일

피싱이메일은 데이터침탈과 사이버공격의 1순위 원인이 되는 위협이며 이 수법이 이토록 잘 통하는 이유는 범죄자들이 스팸메일이 정상적인 메일처럼 보이도록 하는 방법을 터득했기 때문이다. 미국 국토안보부 산하 컴퓨터긴급대응팀(United States Computer Emergency Readiness Team, US-CERT)은 피싱이메일이 사용자로 하여금 정상적이라고 위장된 가짜 웹사이트로 이동하는 링크를 클릭하도록 유도한다고 설명한다.

US-CERT 원문: https://www.us-cert.gov/ncas/tips/ST04-014

 

공격자는 종종 공격 당시의 사건이나 혹은 연중 특정시기를 활용하기도 하며 그 예시는 다음과 같다.

자연재해

전염병 등 보건이슈

경제이슈

주요정치일정

휴무일

 

 

스피어피싱

피싱 중에서도 대세를 이루는 공격방식으로 특정 표적을 지정하며 고도로 지능적인 기만수법이다. 스피어피싱은 수천의 이메일을 무작위로 뿌려 몇몇 피해자의 발생을 기대하기보다는 직장동료, 멤버십, 대학동기 등 어떤 공통점을 보유한 특정 인원을 목표로 삼는다.

 

스피어피싱은 대체로 공격대상에 대한 내부정보를 먼저 확보함으로써 그들에게 정상적으로 보일만한 이메일을 제작하는 과정을 거친다. 가장 직접적인 방법으로는 공격대상의 컴퓨터나 혹은 그 회사의 컴퓨터 네트워크에 대한 해킹이 있으며 물론 이 과정은 상당히 어렵다. 이 경우 보안대책이 강력할수록 이러한 해킹을 막을 가능성이 높아지며 따라서 지능형 이메일필터링과 우수한 안티바이러스가 스피어피싱 방지에 큰 도움이 된다. 이들은 해킹에 돌입하기에 앞서 다양한 웹사이트, 블로그, 소셜네트워크 등을 검색하여 필요한 정보를 확보한다.

 

오늘날 사회는 관계 중심으로 발전함에 따라 인해 사람, 뉴스, 장소 사이의 연결이 그 어느 때보다 심화되고 있다. 사용자는 손가락만 까닥하여 온 세상과 접촉할 수 있다. 이는 곧 전례 없이 많은 정보의 공유를 의미하며 이에 따라 의도치 않게 정보를 유출하고 해커들이 이를 조합하여 사기수법과 공격에 활용하게 되는 결과를 불러일으킬 수 있다. 피싱 및 스피어피싱 메일은 대체로 비밀번호, 계좌번호, 사용자 ID, 접속코드, PIN 번호 등 개인정보를 제공해야 하는 이유를 아주 그럴듯하게 설명한다. 이들은 가짜 웹사이트에 대한 클릭을 유도하는 방법을 즐겨 사용한다.

 

이러한 수법을 물론 잘 이해하는 것도 중요하지만 피싱 이메일이 도달하기 전에 막는 솔루션을 사용할 수도 있다. 우선 가장 중요한 툴은 안티바이러스로 여기에는 대체로 불필요한 이메일과 악성 URL을 방지할 수 있는 스팸필터링 기능, 보안상 위험한 웹사이트에 대한 접속을 막을 수 있는 악성웹사이트 차단기능 등이 포함도 있다. 그 외에 사이버공격을 막을 수 있는 안타비아러스 기능으로는 아래 링크 참고.

 

소셜엔지니어링 방지요령

 

US-CERT는 소셜엔지니어링 사기수법을 방지하기 위한 몇몇 요령을 제시하며 그 내용은 다음과 같다.

요청하지 않은 개인에 의한 전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우를 조심한다. 신원불상 개인이 정상적인 기관에 소속됐다고 주장하는 경우 해당 기관에 직접 문의하여 그 개인의 신원 확인 시도한다.

개인정보 그리고 네트워크구조 등 회사정보는 상대방이 해당 정보를 보유할 권한이 있음이 명백한 경우가 아닌 이상 제공하지 않는다.

이메일에 개인정보나 금융정보를 밝히지 않고 이러한 정보를 요청하는 이메일에 응하지 않는다. 이는 이메일에 담긴 링크에 대해서도 동일하다.

웹사이트 보안이 확인되기 전에는 인터넷으로 기밀정보를 제공하지 않는다.

웹사이트 URL에 주의한다. 악성웹사이트는 정상적인 웹사이트와 똑같아 보일 수 있으나 URL에 다른 철자나 도메인이 들어갔을 수 있다(ex: .com - .net).

이메일에 의한 정보요청이 정상적인지 불확실한 경우에는 해당 회사에 직접 문의하여 이를 확인하도록 한다. 해당 요청에 제시된 웹사이트가 제공하는 연락처는 사용하지 않으며 그 연락처에 대해서는 예전에 밝혀진 내용을 확인한다. 피싱차단그룹(Anti-Phishing Working Group) 등 온라인 그룹을 통해 알려진 피싱공격에 대한 정보를 확인할 수도 있다.

이메일클라이언트와 웹브라우저의 피싱차단기능을 활용한다.

안티바이러스 소프트웨어, 방화벽, 이메일필터링을 사용하여 악성트래픽 유입을 감소시킨다.

 

사이버범죄자들은 다른 사람의 컴퓨터에 침입하기 위해 온갖 수법을 동원하므로 항상 주의하는 자세를 가지고 특히 이메일을 조심해야 한다.

 



VIPRE Security News, Social Engineering 101: Everything You Should Know, 6. 30. 2016.

https://blog.vipreantivirus.com/tech-talk/social-engineering-anyway/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.05 17:10

위로가기