[아이티데일리] 인간 심리를 악용한 ‘소셜 엔지니어링(Social Engineering, 사회 공학)’이 사이버공격에 널리 쓰이고 있어 주의가 필요하다.

6일 업계에 따르면 이메일, 문자 메시지 등으로 피싱(Phishing) 공격을 시도해 개인정보를 탈취하고 악성코드를 퍼뜨리는 소셜 엔지니어링 공격 사례가 확인되고 있다.

소셜 엔지니어링은 기술 취약점보다는 인간의 심리적 특성을 이용한 공격 방식이다. 해커들은 신뢰, 호기심 또는 두려움을 악용해 정보를 탈취하거나 시스템에 접근해 악성코드를 유포한다.

이 기법은 솔루션으로 차단하기 어렵다는 점에서 위험하다. 많은 조직과 개인은 방화벽, 안티바이러스, 암호화 기술로 보안을 강화하는데, 소셜 엔지니어링은 시스템이 아니라 사람을 직접 표적으로 삼고 계정·권한을 탈취해 보호망을 회피한다.

흔히 발견되는 소셜 엔지니어링 공격은 피싱이다. 신뢰할 수 있는 공공기관으로 위장한 이메일, 문자 메시지를 사용자에게 유포해 개인정보 탈취를 시도하는 사례가 빈번히 일어나고 있다.

일례로 지난 1월 2024년도 2기 확정 부가가치세 신고 기간을 맞아 국세청과 국내 포털 사이트를 사칭하거나 인증 메일로 위장하는 공격이 기승을 부렸다. 피싱 이메일 내 링크를 클릭 시 포털 사이트를 흉내 낸 추가 페이지가 표시됐다. 사용자가 이 페이지에서 요구하는 정보를 입력할 경우, 공격자는 입력된 내용을 획득하는 구조로 설계됐다.

해외에서는 해킹 조직이 소셜 엔지니어링으로 접근 후 악성코드를 배포해 2차 공격까지 연계했다. 이셋(ESET)은 지난달 20일(현지 시각) 공식 홈페이지를 통해 채용 담당자로 위장해 프리랜서 개발자에게 접근 후 악성코드를 퍼뜨린 사이버공격 사례를 공유했다.

공격자들은 가짜 채용 기회를 제안하고, 관심을 표한 이들에게는 코딩 테스트에 필요한 파일을 전송했다. 여기에는 악성코드 2종이 담겼는데, 그 중 하나는 운영체제 시스템에 접근 후 로그인 정보를 탈취하는 데 쓰였다. 뒤이어 설치되는 또 다른 악성코드는 원격 제어 기능으로 파일·데이터 탈취 같은 사이버공격을 일으킬 수 있었다.

특히 이들 공격자는 많은 인맥을 보유한 듯 거짓으로 속인 프로필로 변경하거나 실제 사용 중인 계정을 탈취하는 등 교묘한 전략으로 피해자가 의심하지 못하도록 만들었다.

소셜 엔지니어링 공격을 막기 위해선 우선 사용자의 각별한 주의가 필요하다. 기업에서는 직원 대상으로 피싱 메일을 식별하는 방법을 정기적으로 교육하고, 시뮬레이션으로 실제 상황에서 대처하는 법을 훈련할 필요가 있다.

피싱 공격을 차단하기 위한 솔루션 도입도 한 가지 방법이다. 지란지교시큐리티의 ‘스팸스나이퍼(SpamSniper)’는 이메일 통합 보안 솔루션으로, 4중 필터링과 관제 엔진으로 의심스러운 메일을 차단한다. 콘텐츠 악성코드 무해화로 첨부파일에 대한 위협도 제거한다.

시스템 차원에서는 다중 인증(MFA) 도입을 고려할 수 있다. 사용자 인증 절차로 고도화함으로써 비밀번호, 개인정보 탈취로 인한 계정·권한 침범 공격을 막을 수 있다. 국내 기업에서는 인증수단을 강화하는 다양한 솔루션을 선보이고 있다.

SGA솔루션즈는 ‘트러스트채널 FIDO(TrustChannel FIDO)’로 생체정보 또는 별도 장치를 통해 안전하고 편리한 사용자 인증을 제공하고 있다. 이 솔루션은 생체정보를 인증하는 모바일 중심 인증 방식 ‘UAF(Universal Authentication Factor)’와 아이디/비밀번호에 2차 인증을 더한 ‘U2F(Universal 2nd Factor)’를 모두 지원한다.

피앤피시큐어는 ‘페이스락커(FaceLocker)’로 실시간 안면인증을 구현한다. 이 솔루션은 개인 단말과 사내 중요 자원 접속 시 안면 정보로 실시간 인증 및 권한 제어, 화면 정보 유출 차단 등을 수행할 수 있다. 기업은 이를 통해 인증수단 탈취 위협을 최소화하고 패스워드리스(Passwordless) 정책을 준수할 수 있다.