사회 공학이란 무엇인가요?

공유
Copied to clipboard!
사회 공학이란 무엇인가요?
아티클 듣기
00:00 / 00:00

사회 공학(Social Engineering)이란 무엇인가요?

넓은 의미에서 행동 심리학과 연관된 어떤 종류의 조작도 사회 공학으로 간주될 수 있습니다. 그러나 이 개념이 항상 범죄나 사기 활동과만 연관되어 잇는 것은 아닙니다. 사실, 사회 공학은 사회 과학, 심리학, 그리고 마케팅과 같은 분야에서 여러가지 맥락으로 폭넓게 사용되고 있습니다.

사이버 범죄 측면에서는 사회공학의 이면이 나타납니다. 차후에 자신이나 회사에 불리하게 이용될 수 있는 개인 정보나 기밀 정보를  누출하게 하는 등 사람을 이용해 악위적인 행동을 하도록 하는 일련의 악의적인 행위들과 관련되어 있습니다. 대부분의 경우 이러한 공격은 신원 사기로 이어지기 때문에 상당한 재정적 손실을 초래합니다.

사회 공학의 개념은 종종 사이버 위협으로 나타나지만, 이 개념 자체는 오랫동안 존재해 왔습니다. 일반적으로 당국이나 IT 전문가 흉내를 수반하는 실제 사기 계획과 관련해서도 이 용어를 사용할 수 있습니다. 하지만, 인터넷의 출현은 해커들이 더 넓은 범위에서 조작적인 공격을 하는 것을 훨씬 더 쉽게 만들었으며, 불행하게도, 이러한 악의적인 행위들은 암호화폐의 세계에서도 일어나고 있습니다.


어떻게 작동하나요?

모든 종류의 사회 공학 기술은 인간 심리의 약점에 의존합니다. 사기범들은 사람의 감정을 이용하여 피해자들을 조종하고 속입니다. 사람들의 두려움, 탐욕, 호기심, 그리고 심지어 다른 사람들을 돕겠다는 그들의 의지도 다양한 방법을 통해 그들에게 불리하게 작용합니다. 다양한 종류의 악성 사회 공학 중에서도 피싱사기(Phishing)는 확실히 가장 흔하고 잘 알려진 예들 중 하나입니다.

피싱

피싱 이메일은 종종 국가 은행 체인, 평판이 좋은 온라인 상점 또는 이메일 공급자와 같은 실제 회사의 서신을 흉내냅니다. 경우에 따라 이러한 복제 전자 메일은 계정을 업데이트해야 한다고 하거나, 비정상적인 활동을 보였음을 사용자에게 경고하여 ID를 확인하고 계정을 복구하는 방법으로 개인 정보를 제공해야 한다고 말할 것입니다. 일부 사람들은 겁에 질려, 즉시 링크를 클릭하고 가짜 웹 사이트로 이동하여 정보를 넘겨줄 것이고. 이 시점에서, 정보는 해커들의 손아귀에 들어가 있을 것입니다.

스케어웨어(Scareware)

사회공학기술은 스케어웨어를 보급에도 쓰이고 있습니다. 명칭에서 알 수 있듯이, 스케어웨어는 사용자를 놀라게 하고 충격을 주기 위해 고안된 악성 프로그램의 한 종류입니다. 일반적으로 이러한 경보에는 피해자를 속여 합법적으로 보이는 사기성 소프트웨어를 설치하거나 시스템을 감염시키는 웹 사이트에 들어가도록 하는 거짓 경보를 만드는 작업이 포함됩니다. 이러한 기술은 종종 시스템이 손상되는 것에 대한 사용자의 두려움에 의존하여 웹 배너나 팝업을 클릭하도록 만듭니다. 일반적으로 메시지에는 다음과 같은 내용이 표시됩니다. "시스템이 감염되었습니다. 정리를 원한다면 여기를 클릭하십시오."

베이팅(Baiting)

베이팅은 많은 부주의한 사용자들에게 문제를 일으키는 또 다른 사회 공학 방법입니다. 베이팅은 사용자들의 욕구나 호기심을 바탕으로 유인하기 위해 미끼를 사용하는 것을 포함합니다. 예를 들어, 사기범들은 음악 파일, 비디오 또는 책과 같은 것을 무료로 제공하는 웹사이트를 만들 수 있습니다. 그러나 이러한 파일에 액세스하기 위해서는 사용자가 자신의 개인 정보를 제공하는 계정을 만들어야 합니다. 파일이 공격 대상자의 컴퓨터 시스템에 침투하여 중요한 데이터를 수집하는 멀웨어(malware)에 직접 감염되어 계정이 필요 없는 경우도 있습니다.

USB 스틱과 외장 하드 드라이브를 사용하여 실제 환경에서도 베이팅 체계가 발생할 수 있습니다. 사기범은 의도적으로 감염된 기기를 공공 장소에 놓아둘 수 있으므로, 내용을 확인하기 위해 이를 열어보는 호기심 많은 사람은 결국 자신의 PC를 감염시키게 됩니다.


소셜 엔지니어링 및 암호화폐

욕심이 많은 사고방식은 금융시장에서 특히 피싱 공격, 폰지사기 또는 다단계식, 그리고 다른 유형의 사기들로부터 취약하게 만드므로 매우 위험할 수 있습니다. 블록체인 산업 내에서, 암호화폐가 만들어내는 재미는 비교적 짧은 시간 내에(특히 상승 장세에서) 많은 새로운 사용자들을 사기로 이끌어들입니다.

비록 많은 사람들이 암호화폐가 어떻게 작동하는지 완전히 이해하지 못하더라도 종종 이러한 시장이 이익을 창출하고 적절한 조사를 하지 않고 결국 투자하게 될 가능성에 대해 듣습니다. 사회 공학은 특히 새로운 이용자들에게 걱정거리입니다. 그들은 종종 자신의 욕심이나 두려움에 사로잡혀 있기 때문입니다.

한편으로, 빠른 수익을 내고 쉬운 돈을 벌려는 욕구는 결국 새로운 사람들로 하여금 기브어웨이(give away)와 에어드랍(airdrop)의 가짜 약속을 뒤쫒게 만듭니다. 반면에, 개인 파일이 손상되는 것에 대한 두려움은 사용자들로 하여금 해커들에게 비용을 결제할 수도 있습니다. 실제 랜섬웨어(ransomware)가 없는 경우도 있고, 해커가 만든 허위 경보나 메시지에 이용자들이 속는 경우도 있습니다.


사회 공학 공격 예방 방법

앞서 언급했듯이, 사회공학 사기는 인간의 본성을 이용하기 때문에 상당한 효과가 있습니다. 대개 두려움을 이용해 동기부여를 하며, 사람들이 현실성 없는 위협으로부터 자신을 보호하기 위해 바로 행동에 임하도록 유인합니다. 또한 이 공격은 사람들의 탐욕에 의존하여 피해자들을 다양한 형태의 투자 사기로 유인합니다. 따라서 제안이 너무 좋아 보여도 현실성이 없다는 것을 명심해야 합니다.

어떤 사기꾼들은 정교하지만, 다른 공격자들은 눈에 띄는 실수를 합니다. 일부 피싱 이메일 심지어 허드웨어 배너에도 구문 오류나 철자가 잘못된 단어가 포함되어 있으며 문법과 철자에 충분한 주의를 기울이지 않는 사용자에게만 효과적입니다. 그러므로 항상 유심히 살펴봐야합니다.

사회 공학 공격의 피해자가 되지 않으려면 다음과 같은 보안 대책을 고려해야 합니다:

  • 여러분 자신과 가족 그리고 친구들에게 알려주세요. 악의적인 사회공학의 일반적인 예를 가르쳐 주고, 주요 일반보안원칙에 대해 알려줍니다.
  • 이메일 첨부 파일 및 링크에 주의하십시오. 출처가 불분명한 광고 및 웹 사이트를 클릭하지 마세요.
  • 신뢰할 수 있는 바이러스 백신 프로그램을 설치하고 소프트웨어 애플리케이션 및 운영 체제를 최신 상태로 유지하세요.
  • 이메일 인증 정보와 기타 개인 데이터를 보호하기 위해 가능하면 항상 인증 솔루션을 사용하세요. 2단계 인증(2FA)을 바이낸스(Binance) 계정에 설정합니다.
  • 회사의 경우: 피싱 공격 및 사회 공학 계획을 식별하고 방지할 수 있도록 직원들을 대비시켜 두는 것을 고려사항에 두어야 합니다.


마치며

사이버 범죄자들은 끊임없이 사용자들을 속이는 새로운 방법을 찾고 있으며 돈과 민감한 정보를 훔치는 것을 목표로 하고 있기 때문에, 여러분 자신과 여러분 주변의 사람들에게 이에 대하여 알려 주는 것은 매우 중요합니다. 인터넷은 이러한 종류의 사기 행위의 은신처를 제공하고 있으며, 특히 암호화폐 쪽에서 빈번하게 사용되고 있습니다. 사회공학 함정에 빠지지 않도록 주의하고 정신을 바짝 차리셔야 합니다. 

게다가, 암호화폐를 거래하거나 투자하기로 결정한 사람은 사전에 조사를 해야 하며, 시장과 블록체인 기술의 작동 메커니즘을 모두 잘 이해해야 합니다.

Loading