사이버 범죄의 일종인 소셜 엔지니어링은 피해자의 신뢰, 탐욕, 호기심 또는 여타 인간의 본성을 악용한 거짓 내러티브를 생성해 피해자의 내면을 파고드는 전술입니다.
목차
소셜 엔지니어링 공격이 성공하면 결과적으로 피해자는 자신의 개인 정보(예: 이름, 이메일), 금융 정보(예: 신용카드 번호, 암호 지갑) 또는 멀웨어나 백도어를 의도치 않게 본인 소유 디바이스 및 시스템에 설치하여 공격자에게 개인 정보를 유출하게 됩니다.
최신 사회 공학 공격 은 공격 대상에 따라 대략 두 가지 범주로 분류할 수 있습니다. 대상 인물의 머신(디바이스)를 공격하거나, 대상자를 직접 공격합니다. “머신 공격”은 1996년 “재미와 이익을 위한 스택 깨기(Smashing the Stack for Fun and Profit)”라는 Aleph One의 기념비적인 기사에서 소개되었듯이, 취약점 악용 공격으로 시작되었습니다. 그러나 실제로는 “대상자를 직접 공격”하는 사회 공학 기법이 압도적으로 더 널리 퍼져 있습니다. 취약점을 기반으로 하지 않는 모든 알려진 공격에는 사회 공학적 요소가 포함되어 있습니다. 공격자는 피해자가 스스로에게 해가 되는 행동을 하도록 유도하거나 설득하려고 시도합니다.
소셜 엔지니어링(사회 공학) 위협의 유형
소셜 엔지니어링의 주요 공격 형태는 다음과 같습니다.
피싱(Phishing)
피싱 이란, 소셜 엔지니어링 공격의 가장 일반적인 유형 중 하나입니다. 이메일과 문자 메시지를 사용하여 피해자가 악성 첨부 파일이나 유해한 웹사이트 링크를 클릭하도록 유도합니다.
미끼(Baiting)
이 공격은 탐욕이나 관심을 통해 피해자를 유인하기 위해 허위 정보를 활용합니다. 피해자는 민감한 정보를 손상시키거나 기기를 감염시키는 함정에 빠집니다. 한 가지 예는 멀웨어에 감염된 플래시 드라이브를 공공 장소에 두는 것입니다. 피해자는 콘텐츠에 관심을 갖고 장치에 삽입하여 실수로 멀웨어를 설치할 수 있습니다.
프리텍스팅(Pretexting)
이 공격에서 한 공격자는 데이터에 액세스하기 위해 거짓말을 합니다. 예를 들어 공격자는 수신자의 신원을 확인하기 위해 금융 또는 개인 데이터가 필요한 척 할 수 있습니다.
스케어웨어(Scareware)
스케어웨어는 피해자를 잘못된 경보와 위협에 두려워하게 만드는 기법입니다. 사용자는 시스템이 멀웨어에 감염되었다고 생각하도록 속일 수 있습니다. 그런 다음 제안된 소프트웨어 수정을 설치하지만 이 소프트웨어는 바이러스 또는 스파이웨어와 같은 멀웨어 자체일 수 있습니다. 일반적인 예로는 브라우저에 나타나는 팝업 배너가 있으며, "컴퓨터가 감염되었을 수 있습니다."와 같은 텍스트가 표시됩니다. 수정을 설치하거나 악성 웹 사이트로 안내합니다.
스피어 피싱(Spear Phishing) 및 웨일링(Whaling)
스피어 피싱 에서 공격은 특정 개인 또는 조직을 대상으로 합니다. 마찬가지로 웨일링 공격은 CEO 및 이사와 같은 유명 직원을 표적으로 삼습니다.
테일게이팅(Tailgating)
피기백으로도 알려진 테일게이팅 은 공격자가 액세스 카드를 가진 사람을 팔로우하여 안전한 건물이나 사무실 부서로 들어가는 것을 말합니다. 이 공격은 다른 사람들이 공격자가 거기에 있도록 허용되었다고 가정합니다.
AI 기반 스캠(사기)
AI 기반 사기는인공 지능 기술을 활용하여 피해자를 속입니다. 일반적인 유형은 다음과 같습니다.
AI-텍스트 사기: 정보를 피싱하거나 멀웨어를 확산시키기 위해 AI가 생성한 기만적인 문자 메시지.
AI 이미지 사기: AI를 사용하여 만든 가짜 이미지로 개인을 조종하고 속입니다.
AI-음성 사기: 신뢰할 수 있는 실체를 가장하고 피해자를 속이기 위해 AI가 생성한 사기성 음성 메시지.
AI-비디오 사기: 딥페이크라고 하는 AI를 사용하여 생성된 조작된 동영상은 잘못된 정보를 전파하거나 개인을 대상으로 하는 데 사용됩니다.
소셜 엔지니어링 공격에 대해 자세히 알아보려면 12가지 유형의 공격 기법 안내 페이지 를 방문하십시오.
소셜 엔지니어링 공격을 인식하는 방법
이러한 공격은 다양한 형태와 크기로 발생하며 인간의 판단력에 의존하기 때문에 소셜 엔지니어링 공격을 식별하는 것은 매우 어려울 수 있습니다. 그럼에도 불구하고 아래 중 하나를 발견하는 경우 이것이 주요 위험 신호임을 경고하고 소셜 엔지니어링 공격이 시작되고 있음을 시사합니다.
모르는 사람이 보낸 원치 않는 이메일 또는 문자 메시지.
매우 긴급한 메시지가 수신됩니다.
이 메시지를 보려면 링크를 클릭하거나 첨부 파일을 열어야 합니다.
메시지 내용에 많은 오타와 문법적인 오류가 포함되어 있습니다.
또는 모르는 사람으로부터 전화를 받습니다.
발신자가 귀하로부터 개인 정보를 얻으려고 합니다.
발신자가 다운로드를 시도하고 있습니다.
발신자는 다른 공격과 유사하게 사안의 긴박함을 강조하거나 공격적인 태도로 대화를 이끕니다.
최신 온라인 사기가 사용하는 소셜 엔지니어링 기법에 대응할 수 있는 가장 큰 방어책은 사이버 범죄자가 소셜 미디어 취약점을 활용하는 다양한 방식을 잘 이해해야 합니다. 스팸이나 피싱, 악성코드 감염으로 입게 되는 일반적인 피해보다 더 문제가 되는 점은, 사이버 범죄자들 때문에 우리 스스로 데이터를 어떻게 지켜야 하는지 제대로 파악하고 이해하기가 어렵다는 것입니다.
앞에서 언급한 경고 징후에 유의하는 것 뿐만 아니라 다음의 방지 수칙 역시 반드시 준수하시기 바랍니다.
운영 체제와 사이버 보안 소프트웨어를 최신 상태로 유지하십시오.
다단계 인증(MFA) 및/또는 Password Manager를 사용합니다.
알 수 없는 출처의 이메일과 첨부 파일을 열지 마십시오.
스팸 필터를 지나칠 정도로 강력하게 설정합니다.
개인 또는 조직의 재무 현황이나 신원 정보, 암호 요청은 삭제하고 무시합니다.
통신이나 소통 과정에서 의심이 드는 경우, 침착하고 천천히 행동하십시오.
처음 대하는 웹사이트, 기업 및 개인의 경우 사전 조사를 반드시 거칩니다.
소셜 미디어에서 공유하는 내용에 주의하고, 반드시 개인 정보 설정 내역을 확인하십시오.
기업의 임직원은 반드시 사내 보안 정책을 숙지해야 합니다.
소셜 엔지니어링 공격 사례
막대한 수익을 노리는 사이버 범죄자들은 온라인 사용자들의 민감한 정보를 빼내기 위해 훨씬 더 교묘한 수법을 사용하기 시작했습니다.
대부분 국가에서 1월은 세금 신고 시즌이 시작되는 시기라, 이때가 사이버 범죄자들이 돈벌이를 노리는 주요 표적이 되곤 합니다. 사회 공학이라는 전술 덕분에 범죄자들은 사람들이 많이 챙기는 날이나 공휴일, 화제가 되는 뉴스에 맞춰 공격을 설계해 피해자들로부터 큰 수익을 챙깁니다. 실제로 미국 시민들은 미국 국세청(IRS)에서 온 것처럼 꾸민 스팸 메시지를 받은 사례도 있었습니다.
여기를 클릭하여 과세 시즌 맞이 멀웨어 공격에 대해 자세히 알아보십시오.
지난 2014년 8월 12일, 미국 유명 배우인 로빈 윌리엄스의 갑작스러운 사망 소식은 전 세계 사람들에게 충격을 주었습니다. 그의 죽음에 대한 뉴스는 네티즌 사이에 급속도로 확산되었는데, 이를 틈타 사이버 범죄자들은 이메일 제목에 로빈 윌리엄스의 이름을 넣은 스팸 메일을 살포하기도 했습니다. 해당 스팸 메일은 수신자에게 로빈 윌리엄스의 죽음의 실체를 알리는 영상의 다운로드 링크를 제공하며, 해당 영상 링크를 클릭하면 WORM_GAMARUE.WSTQ라는 멀웨어 실행 파일이 수신자 PC에 다운로드됩니다.
유명 인사 가십을 활용한 악성코드 공격에 대해 자세히 알아보려면 여기를 클릭하십시오.
에볼라 바이러스 확산으로 전염병에 대한 뉴스가 인터넷에 넘쳐난 시기에 사이버 범죄자들은 보건 기구의 공신력있는 보고서를 사칭한 허위 메일을 배포해 피해자를 유인하고 해당 가짜 이메일을 열어 보게끔 유도했습니다. 이러한 이메일은 궁극적으로 피해자의 정보와 자격 증명을 탈취하는 피싱 시도로 이어집니다.
허위 메일을 활용한 멀웨어 공격에 대해 자세히 알아보려면 여기를 클릭하십시오.
2008년에는 사이버 범죄자들이 이익을 추구하거나 파괴를 목적으로 한 소셜 공격이 본격적으로 터져 나왔습니다. 표적을 정한 플랫폼 기반 공격은 일반 가정 사용자부터 소규모 업체, 대규모 조직에까지 집중됐고, 지적 재산을 빼앗아 막대한 경제적 손실을 일으켰습니다. 온라인 범죄자들은 페이스북과 트위터 같은 소셜 네트워크 서비스를 이용해 웹 사용자들을 공격하는 여러 방법을 고안해냈습니다.
2008년에는 페이스북 사용자들이 KOOBFACE라는 웜형 악성코드 공격의 표적이 됐습니다. 이어 2009년에는 트위터가 트로이 목마를 품은 악성 링크가 퍼지는 통로가 되면서 사이버 범죄자들에게 황금어장이 되었습니다.
소셜 엔지니어링 공격의 향후 전개 방향
소셜 엔지니어링 공격의 상호 작용을 분석해 다음의 3가지 요소로 정리할 수 있습니다.
- 전화, 이메일, 소셜 네트워크 또는 직접 메시지를 통해 피해자와 연결할 수 있는 “매체”입니다.
- 공격자가 피해자가 주어진 시간 내에 조치를 취하도록 설득하기 위해 거짓된 정보로 만드는 "허위 정황”입니다. 거짓말은 또한 종종 시간 제한과 같은 긴박감을 내장한다.
- “행위 요청”, 즉 자격 증명 제공, 악성 파일 실행, 특정 암호화폐 등에 투자하거나 계좌로 송금하는 등 피해자가 취해야 할 조치.
가장 일반적인 사례를 한 가지 들어보겠습니다. 전형적인 이메일 사기는 다음과 같이 전개됩니다.
그림 1. 소셜 엔지니어링 공격의 매체, 허위 정황, 행위 요청
2024년 기준으로 범죄자들은 모든 유형의 네트워크를 통해 피해자에게 접근합니다. 또한 소셜 엔지니어링 공격의 최신 수법으로 스토리텔링 방식을 사용합니다. 암호 공개, 멀웨어 설치 또는 개인 정보 공유와 같은 공격 목표는 다른 사이버 공격과 동일합니다.
소셜 엔지니어링 공격이 시작된 이래 수년간 트렌드마이크로 리서치 연구를 통해 다양한 스토리가 관찰되었기에, 심지어 써먹을 수 있는 아이디어는 모두 사용될 것 같기도 합니다. 그러나 그럼에도 불구하고, 매년 새로운 소셜 엔지니어링 공격 수법이 개발되고 있습니다. 이 자료에서는 공격자가 향후 사용자를 유치하기 위해 활용할 수 있는 새로운 소셜 엔지니어링 개선 사항을 살펴볼 것입니다. 공격자가 소셜 엔지니어링 공격의 매체, 허위 정황 및 행위 요청 내용을 조금씩 변형해 감에 따라 새롭고 독창적인 공격 수법이 계속 나타나는 것입니다.
어떤 새로운 공격 요소를 기대할 수 있습니까? 이전 공격 수법에서 어떤 새로운 변화를 예상할 수 있을까요? 새로운 기술의 발전은 소셜 엔지니어링 공격 요소에 어떤 영향을 미칩니까?
매체의 변화
새로운 기술이 등장함에 따라 공격자는 잠재적 피해자에게 다가갈 수 있는 더 많은 방법을 얻게 됩니다. 여기에는 AI 도구, Apple Vision Pro와 같은 VR 장치, Humane 핀, Ray-Ban 안경이나 기타 새로운 통신 장치가 포함됩니다.
웨어러블 장치를 새로운 공격 매체로 활용
매년 새로운 통신 기기가 시장에 출시되고 있습니다. 이로 인해 공격 표면이 사이버 범죄자로 확대됩니다. 웨어러블 장치의 경우 상시 가동되어 있으며 사용자가 매우 신뢰하는 장비이므로 특히 유의해야 합니다. 웨어러블 장치와 연관된 활동은 사용자의 신뢰를 받을 가능성이 더 높습니다. 공격자가 웨어러블 장치에 액세스할 가능성이 있습니다. 보안 툴을 배포하거나 정기적으로 인증하도록 설계되지 않은 경우가 많으며 일반적인 보안 제어를 우회하는 경우가 많습니다.
그림 2. 소셜 엔지니어링 공격의 매체로서 웨어러블 장치의 잠재적 공격 시나리오
챗봇을 미디어로
AI 챗봇은 사용자에게 접근하기 위한 수단으로도 사용될 수 있습니다. 이 공격의 아이디어는 사용자가 원하는 행동을 취하도록 조작하기 위해 챗봇에 잘못된 정보를 제공하는 것입니다. 챗봇 데이터의 중독(poisoning)은 잘못된 정보 제공, 훈련(트레이닝) 데이터 하이재킹 또는 새 명령 주입을 포함한 여러 가지 방법으로 수행될 수 있습니다.
새로운 이메일 기반 공격
클래식 이메일 및 인스턴트 메시지(IM) 매체를 사용한 새로운 이메일 공격은 대형 언어 모델(LLM)로 구동되는 봇을 활용해 BEC 공격의 효과를 높입니다. 공격자는 LLM 봇을 사용해 피해자가 소속 기업의 간부와 주고 받은 모든 메시지 기록을 취합할 수 있습니다. 그런 다음 LLM 봇을 통해 익숙한 상사의 문체를 도용하여 피해자가 자금을 송금하도록 지시하고 납득시키는 메시지를 공식 메신저를 통해 발송할 수 있습니다. 이러한 공격 수법은 이미 해커에 의해 수동으로 진행되고 있으나, AI를 활용해 공격 프로세스 자체를 자동화할 가능성을 무시할 수 없습니다.
허위 정보 수준의 향상
AI는 소셜 엔지니어링 공격의 요체인 잘 꾸며진 거짓말 (허위 정보)의 질적 향상에 혁신을 가져왔습니다. 소셜 엔지니어링, 즉 사회 공학 공격에서 사용되는 거짓말은 계절, 국가, 대상 집단 등에 따라 달라지지만, AI의 확장성과 유연성 때문에 이런 거짓말은 매우 빠르게 변화할 수 있습니다. 생성형 AI(GenAI)는 이미지·음성·동영상 생성에서 매우 뛰어난 성능을 보입니다. 텍스트 영역에서도 그럴듯한 내용을 만들어내고 방대한 텍스트를 빠르게 처리하는 데 탁월합니다. 이러한 새로운 확장성은 사회 공학 공격에서 ‘거짓말’의 요소를 다양하게 발전시킬 수 있는 길을 열어줍니다.
공격자들이 거짓말을 꾸미는 데 사용할 수 있는 새로운 주제는 바로 AI 기술 자체입니다. 예를 들어, ChatGPT나 VR에 관한 허위 정보를 만들어내면 관심을 끌기 때문에 효과적일 수 있습니다. 또한 공격자들은 AI 관련 도구인 척하면서 실제로는 악성 프로그램인 소프트웨어를 배포할 수도 있습니다. 그래픽 디자이너들은 딥페이크 이미지와 영상을 어떻게 만들 수 있는지에 대해 대체로 호기심이 많습니다. 따라서 공격자가 이를 돕는다며 제공하는 도구는 의심 없이 내려받아 실행할 가능성이 높습니다. 마찬가지로, 기존에 성공한 사기 수법에 딥페이크 이미지나 영상을 결합하면 더욱 그럴듯해집니다. 이런 전략은 현재의 위협 환경에서 분명히 증가하는 추세입니다. 트렌드마이크로는 딥페이크 가 사회 공학적 사기를 크게 혼란스럽게 만들 잠재력이 있으며, 가까운 미래에 공격자들이 이를 폭넓게 활용할 것이라고 보고 있습니다.
그림 3.딥페이크를 통해 통화 및 음성 사기를 고도화하는 방법
- 소셜 엔지니어링의 향후 전개 방향에 대해 자세히 알아보려면 여기를 클릭하십시오.
Trend Vision One™ 플랫폼
Trend Vision One은 보안을 단순화하고, 여러 보안 기능을 통합하여 기업의 공격 표면에 대한 더 큰 명령을 가능하게 하고, 사이버 위험 태세에 대한 완벽한 가시성을 제공하여 기업이 위협을 더 빠르게 탐지하고 차단할 수 있도록 지원하는 사이버 보안 플랫폼입니다.
클라우드 기반 플랫폼은 전 세계 2억 5천만 개 센서와 16개 위협 연구 센터의 AI 및 위협 인텔리전스를 활용하여 포괄적인 위험 인사이트, 조기 위협 탐지, 자동화된 위험 및 위협 대응 옵션을 단일 솔루션으로 제공합니다.
소셜 엔지니어링 방지