사회공학 (보안)

3. 기술 및 유형

컴퓨터 보안 분야에서 사회공학은 인간 상호작용의 신뢰를 이용하여 사람들을 속이고 정상적인 보안 절차를 무력화시키는 비기술적 침입 수단을 의미한다. 이는 주로 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓은 뒤, 전화나 이메일 등을 통해 그들의 약점이나 선의를 이용하는 방식으로 이루어진다. 일반적인 사회공학 기법으로는 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 제대로 인지하지 못해 보안에 소홀한 점을 노리는 것, 그리고 도청 등이 있다. 이러한 방법을 통해 시스템 접근 코드나 비밀번호를 알아내 시스템에 침입하는 경우가 많으므로, 물리적 보안이나 네트워크 보안만큼 인간적인 측면의 보안 역시 매우 중요하다.

모든 사회공학 기술은 기본적으로 인간의 의사 결정 과정에 내재된 심리적 허점, 즉 인지 편향에 기반한다.^[5][6] 예를 들어, 공격자가 건물에 침입하여 회사 게시판에 마치 공식 공지처럼 보이는 안내문을 붙여 헬프 데스크 번호가 변경되었다고 알릴 수 있다. 직원이 바뀐 번호로 도움을 요청하면, 공격자는 직원에게 비밀번호와 ID를 요구하여 회사의 중요 정보에 접근 권한을 얻을 수 있다. 또 다른 예로는 공격자가 소셜 네트워킹 사이트에서 특정 대상에게 접근하여 대화를 시작하고, 점차 신뢰를 얻은 뒤 이를 이용하여 비밀번호나 은행 계좌 정보와 같은 민감한 정보를 빼내는 방식이 있다.^[7]

사회공학은 다양한 기법을 포함하는데, 대표적으로 특정 상황을 조작하여 정보를 얻어내는 프리텍스팅, 사용자가 자주 방문하는 웹사이트를 감염시키는 워터링 홀, 악성코드가 담긴 저장 매체를 미끼로 사용하는 미끼, 그리고 어깨 너머로 훔쳐보기(Shoulder surfing^영어)^[49] 등이 있다.

한편, 사회공학은 원래 컴퓨터 용어로서 컴퓨터 바이러스나 스파이웨어 같은 기술적 수단을 사용하지 않고 비밀번호 등을 알아내 시스템에 부정하게 침입(크래킹)하는 행위를 지칭하기도 한다. 이 경우 '''소셜 해킹''' 또는 '''소셜 크래킹'''이라고도 불린다.

3. 1. 프리텍스팅 (Pretexting)

3. 2. 워터링 홀 (Water Holing)

3. 3. 미끼 (Baiting)

3. 4. 기타 수법

• 중역이나 상사 (직속이 아니거나 별로 친하지 않은), 중요 고객, 시스템 관리자 등 신분을 사칭하여 전화를 걸어 비밀번호나 중요 정보를 알아낸다.
• 현금 자동 입출금기 (ATM) 등에서 단말기 본체를 조작하는 사람의 뒤에 서서 비밀번호 입력 시 키보드 (혹은 화면)를 짧은 시간 동안 응시하여 암기한다. 이를 숄더 서핑(Shoulder surfing^영어) 또는 숄더 해킹^[49]이라고 한다. ATM 조작 시 후방이나 옆에 수상한 사람이 없는지 확인하기 위해 볼록 거울을 설치하거나, 엿보이지 않도록 파티션을 설치하고 정맥을 이용한 생체 인증을 도입하는 등 대책이 강화되고 있다. 스마트폰을 이용할 때에는 스크린에 엿보기 방지 필름을 붙이는 것도 유효하다.
• ID나 비밀번호가 적힌 종이 (포스트잇 등)를 순간적으로 보고 암기하여 메모한다. 디스플레이 주변이나 책상 매트에 붙어 있는 경우가 많다.
• 특정 비밀번호로 변경하면 특전을 받을 수 있다는 등의 거짓 정보를 흘려 비밀번호를 변경하게 한다. 일본에서는 이 수법으로 비밀번호를 부정하게 입수한 인물이 2007년 3월에 서류 송검된 사례가 있다.

4. 카드 사기

컴퓨터 보안의 문제일 뿐만 아니라, 신용 카드나 현금 카드의 비밀번호를 알아내어 도난 카드나 위조 카드로 부정한 출금을 하는 수법에도 사용된다. 전화를 이용한 대표적인 사기 수법은 다음과 같다.

• 경찰을 사칭하여, 체포한 불심자가 가지고 있던 카드의 확인을 명목으로 비밀번호를 알아내는 행위
• 신용 카드 회사를 사칭하여, 착오로 과다 인출된 결제금을 계좌로 환불해 준다는 핑계로 비밀번호를 알아내는 행위

5. 개인 정보 침해

개인 정보를 알아내기 위해 사용되기도 한다. 주로 전화를 이용하며, 다음과 같은 방식으로 개인 정보를 탈취한다.^[1]

• 학교 동급생의 친척이나 경찰을 사칭하여 본인이나 다른 동급생의 주소, 전화번호 등을 알아낸다.
• 택배 기사를 사칭하여 주소를 정확히 모른다는 핑계로 상세 주소를 알아낸다.
• 탐정이나 흥신소 직원을 사칭하여 결혼 정보 등을 이유로 대상자의 평소 행실이나 사생활 정보를 알아낸다.
• 경찰, 공안위원회, 재판소 등 공공기관을 사칭하여 주소, 전화번호, 가족 구성원, 직장, 학교 등의 민감한 개인 정보를 알아낸다.

6. 법률 (미국)

영미법에서 구실 설정(프리텍스팅)은 사생활 침해와 재산상의 손해에 대한 불법 행위로 간주된다.^[16]

미국에서는 금융 기록 및 전화 기록 확보와 관련된 프리텍스팅을 규제하는 연방법이 마련되어 있다.

• 그람-리치-블라일리법 (GLBA): 1999년 제정된 이 법은 금융 기관 또는 소비자로부터 개인적이고 공개되지 않은 금융 정보를 프리텍스팅을 통해 얻는 행위를 미국 연방 법률에 따라 처벌받는 불법 행위로 명시하고 있다. 예를 들어, 은행을 사칭하여 고객의 주소를 알아내거나, 고객을 속여 은행 정보를 얻어내는 행위 등이 이에 해당한다. 이러한 불공정하거나 기만적인 상업 행위에 대해서는 연방거래위원회 (FTC)가 규제 권한을 가진다. FTCA 제5조는 FTC가 공익을 위해 필요하다고 판단될 경우, 불공정 경쟁 또는 기만적 행위를 하는 사업체에 대해 조치를 취할 수 있도록 규정하고 있다.

• 2006년 전화 기록 보호 법안: 2000년대 초반, 휴대폰 통화 기록 등이 온라인에서 거래되는 문제가 부각되었다. 당시에는 전화 기록을 프리텍스팅으로 얻는 것은 불법이었지만, 이미 얻어진 기록을 판매하는 행위 자체는 합법인 경우가 있었다. 이러한 문제를 해결하기 위해 2006년 12월, 미국 의회는 전화 기록을 프리텍스팅하는 행위를 연방 중범죄로 규정하는 법안을 승인했다. 이 법안은 2007년 1월 조지 W. 부시 대통령이 서명하여 발효되었으며, 위반 시 개인에게는 최대 25만달러의 벌금과 10년 징역형, 회사에는 최대 50만달러의 벌금을 부과할 수 있도록 했다.^[17]

7. 주요 사건

• 2014년 소니 픽처스 해킹 사건: 2014년 11월 24일, 해커 그룹인 "평화의 수호자"^[29](조선민주주의인민공화국과 연관된 것으로 추정^[30])가 영화 제작사 소니 픽처스 엔터테인먼트로부터 기밀 데이터를 유출했다. 유출된 데이터에는 이메일, 임원 급여, 직원 및 가족의 개인 정보 등이 포함되었다. 이들은 고위 임원을 사칭하여 직원의 컴퓨터에 악성 코드를 설치하는 방식을 사용했다.^[31]
• 2016년 미국 대통령 선거 개입: 러시아 군사 정보국(GRU)과 관련된 해커들이 힐러리 클린턴 캠프 관계자들에게 구글 알림으로 위장한 피싱 이메일을 보냈다.^[25] 캠프 의장인 존 포데스타를 포함한 많은 관계자들이 이를 비밀번호 재설정으로 착각하고 비밀번호를 입력하여, 개인 정보, 수천 개의 개인 이메일 및 문서가 유출되었다.^[26] 해커들은 이 정보를 바탕으로 민주당 의회 선거 위원회의 다른 컴퓨터를 해킹하고 멀웨어를 심어 컴퓨터 활동을 감시하고 추가 정보를 유출했다.^[26]
• 구글과 페이스북 피싱 사기: 리투아니아 출신 사기꾼이 하드웨어 공급업체를 사칭하여 2년 동안 구글과 페이스북에 허위 청구서를 보내는 방식으로 1억달러를 갈취했다.^[27][28]
• 2017년 에퀴팩스 데이터 유출 사건: 1억 5천만 건 이상의 개인 정보( 사회 보장 번호, 운전면허증 번호, 생년월일 등)가 유출된 사건이다. 이 사건은 중국 중국 인민해방군과 연관되어 발생했다는 보고가 있으며^[21], 임박한 보안 위험에 대한 경고가 발령되었다.^[22] 유출 사건의 잠재적 피해자를 돕기 위해 만들어진 공식 웹사이트(equifaxsecurity2017.com)가 개설된 지 하루 만에, URL 오타를 이용한 악성 도메인 194개가 등록되기도 했다.^[23][24]

8. 유명 소셜 엔지니어

• 수잔 헤들리: 케빈 미트닉, 루이스 드 페인과 함께 로스앤젤레스에서 프리킹에 관여했다. 이후 다툼 끝에 US 리싱(US Leasing)의 시스템 파일을 삭제한 혐의로 그들을 모함하여 미트닉의 첫 번째 유죄 판결을 이끌어냈다. 프로 포커 선수로 활동하다 은퇴했다.^[32]
• 마이크 릿패스: 보안 컨설턴트, 작가, 강연자이며 과거 w00w00의 멤버였다. 전화 통화를 통한 사회 공학 기법과 전술 개발로 잘 알려져 있다. 강연 중 녹음된 통화를 재생하며 비밀번호 획득 과정을 설명하고 라이브 시연을 하는 것으로 유명해졌다.^{[33][34][35][36][37]} 어린 시절에는 바디르 형제(Badir Brothers)와 연관되었으며, Oki 900s 개조, 블루박싱, 위성 해킹 등에 관한 글을 Phrack, B4B0, 9x 등 지하 ezine에 기고하여 프리킹 및 해킹 커뮤니티에 알려졌다.^[38][39]
• 바디르 형제(Badir Brothers): 라미, 무제르, 샤데 바디르 형제는 선천적 시각 장애인이었으나, 1990년대 이스라엘에서 사회 공학, 음성 모방, 점자 디스플레이 컴퓨터를 이용해 광범위한 전화 및 컴퓨터 사기를 벌였다.^[40][41]
• 크리스토퍼 J. 해드너지: 미국의 사회 공학 전문가이자 정보 기술 보안 컨설턴트이다. 사회 공학 및 사이버 보안 관련 저서 4권을 집필했으며^{[42][43][44][45]}, 오픈 소스 인텔리전스(OSINT) 데이터를 활용하고 법 집행 기관 및 정보 보안 전문가와 협력하여 아동 인신매매를 추적하고 식별하는 단체인 Innocent Lives Foundation의 설립자로 알려져 있다.^[46][47]

9. 한국의 소셜 엔지니어링

한국에서도 소셜 엔지니어링은 심각한 사회 문제로 떠오르고 있다. 특히 보이스피싱이나 스미싱과 같은 금융 사기가 자주 발생하며, 개인 정보 유출로 인한 피해 사례도 계속해서 보고되고 있다. 최근에는 인공지능 기술을 악용한 딥페이크 범죄까지 나타나면서 소셜 엔지니어링의 위험성이 더욱 커지고 있는 상황이다.

9. 1. 유명 소셜 엔지니어 (한국)

9. 2. 대응 방안 (한국)

참조

_[1] 서적 Security engineering: a guide to building dependable distributed systems https://books.google[...] Wiley
_[2] 뉴스 Social Engineering Defined https://www.social-e[...] 2021-10-03
_[3] 간행물 Cybersecurity, social engineering, artificial intelligence, technological addictions: Societal challenges for the coming decade https://www.scienced[...] 2020-06-01
_[4] 간행물 Social Engineering Attacks: A Survey https://www.mdpi.com[...] 2019
_[5] 문서 CSEPS Course Workbook Jaco Security Publishing 2004
_[6] 간행물 HOSTILE INFLUENCE AND EMERGING COGNITIVE THREATS IN CYBERSPACE https://www.jstor.or[...] 2019
_[7] 간행물 Virtuous human hacking: The ethics of social engineering in penetration-testing 2019-06
_[8] 웹사이트 Fundamentals of cyber security https://www.bbc.co.u[...] 2019-03-19
_[9] 웹사이트 HP Pretexting Scandal by Faraz Davani https://www.scribd.c[...] 2011-08-15
_[10] 웹사이트 Pretexting: Your Personal Information Revealed http://www.ftc.gov/b[...] Federal Trade Commission
_[11] 웹사이트 Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack https://www.invincea[...] invincea.com 2017-02-23
_[12] 웹사이트 Social Engineering, the USB Way http://www.darkreadi[...] Light Reading Inc 2014-04-23
_[13] 웹사이트 Archived copy http://md.hudora.de/[...] 2012-03-02
_[14] 서적 Principles of Computer Security, Fourth Edition (Official Comptia Guide) McGraw-Hill Education
_[15] 웹사이트 "#BHUSA Dropped USB Experiment Detailed" https://www.infosecu[...] 2017-07-28
_[16] 문서 Restatement 2d of Torts § 652C.
_[17] 웹사이트 Congress outlaws pretexting https://www.congress[...]
_[18] 문서 The Art of Deception Wiley Publishing Ltd 2002
_[19] 뉴스 HP chairman: Use of pretexting 'embarrassing' http://news.cnet.com[...] CNET News.com 2006-09-08
_[20] 웹사이트 Calif. court drops charges against Dunn http://news.cnet.com[...] CNET 2012-04-11
_[21] 웹사이트 Four Members of China's Military Indicted Over Massive Equifax Breach https://www.wsj.com/[...] 2020-02-11
_[22] 웹사이트 Credit reporting firm Equifax says data breach could potentially affect 143 million US consumers https://www.cnbc.com[...] CNBC 2024-05-03
_[23] 웹사이트 Straight Talk: Beware scams related to Equifax data breach https://www.cantonre[...]
_[24] 웹사이트 Phishing https://www.social-e[...] Social-Engineer
_[25] 웹사이트 2016 Presidential Campaign Hacking Fast Facts https://www.cnn.com/[...] 2024-08-07
_[26] 웹사이트 How this scammer used phishing emails to steal over $100 million from Google and Facebook https://www.cnbc.com[...] 2024-10-20
_[27] 웹사이트 Office of Public Affairs {{!}} Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses Related to the 2016 Election {{!}} United States Department of Justice https://www.justice.[...] 2024-08-07
_[28] 웹사이트 Famous Phishing Incidents from History {{!}} Hempstead Town, NY https://www.hempstea[...] 2024-10-14
_[29] 웹사이트 The Sony Pictures Breach: A Deep Dive into a Landmark Cyber Attack - Sep 15, 2023 https://www.framewor[...] 2024-10-21
_[30] 웹사이트 FBI confirms North Korea behind Sony hack https://www.usatoday[...] 2014-12-19
_[31] 웹사이트 Famous Phishing Incidents from History {{!}} Hempstead Town, NY https://www.hempstea[...] 2024-10-21
_[32] 간행물 Kevin Mitnick, unplugged http://www.tomandmar[...] 1995-08
_[33] 서적 Social Engineering: Manipulating the human https://books.google[...] Scorpio Net Security Services 2012-04-11
_[34] 간행물 Mobile Devices and the Military: useful Tool or Significant Threat https://www.academia[...] academia.edu 2013-05-11
_[35] Youtube Social Engineering: Manipulating the human https://www.youtube.[...] YouTube 2012-04-11
_[36] 웹사이트 BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX on USTREAM. Conference http://www.ustream.t[...] Ustream.tv 2011-10-07
_[37] 웹사이트 Automated Social Engineering http://www.brighttal[...] BrightTALK 2012-04-11
_[38] 뉴스 Social Engineering a General Approach http://revistaie.ase[...] Informatica Economica journal 2015-01-11
_[39] 뉴스 Cyber Crime https://books.google[...] Hays 2020-01-11
_[40] 간행물 Wired 12.02: Three Blind Phreaks https://www.wired.co[...] 1999-06-14
_[41] 간행물 Social Engineering A Young Hacker's Tale. http://library.nic.i[...] 2013-02-15
_[42] 웹사이트 43 Best Social Engineering Books of All Time https://bookauthorit[...] 2020-01-22
_[43] 웹사이트 Bens Book of the Month Review of Social Engineering The Science of Human Hacking http://www.rsaconfer[...] 2020-01-22
_[44] 뉴스 Book Review: Social Engineering: The Science of Human Hacking https://www.ethicalh[...] 2020-01-22
_[45] 웹사이트 Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails https://www.isaca.or[...] 2020-01-22
_[46] 뉴스 "WTVR:\"Protect Your Kids from Online Threats" https://wtvr.com/201[...]
_[47] 뉴스 Hacker creates organization to unmask child predators https://money.cnn.co[...] CNN 2017-08-14
_[48] 문서 ソーシャルエンジニアリングとは？具体的な手法から対策を考える　サイバーセキュリティ.com https://cybersecurit[...]
_[49] 문서 ショルダーハック http://e-words.jp/w/[...]