소셜 엔지니어링 개념 및 대응방안

스피어 피싱(Spear Phishing)

불특정 다수를 대상으로 하는 일반적 피싱과 다르게 특정 개인, 조직 대상으로 하는 것으로, CEO 또는 정치인 등 유명 인사를 대상으로 함

항목	스피어 피싱	일반 피싱
대상 타겟팅	특정 조직이나 개인 맞춤형 이메일/메시지	대규모로 일반적인 메시지를 사용. 동일 메시지를 보내고 이메일 주소나 기타 개인 정보를 무작위로 수집
정교함과 신뢰성	높은 정교성과 신뢰성. 특정 대상 조직 또는 개인 정보 자료를 사용하여 신뢰도를 높임	덜 정교하고 덜 신뢰성으로 받는 이들이 알아볼 수 있고 조심할 수 있음
목표 및 결과	기업이나 조직의 중요 정보 탈취 및 비즈니스 프로세스 방해(조직 내부의 민감 데이터 및 금전적 피해 초래)	개인 정보나 금융 정보 탈취(개인 정보 유출, 금전적 손실)

 

 

 

스피어 피싱 방어전략

 

1. 조직과 개인에게 끊임없는 교육을 통해 주의를 시켜야 함

2. 모의 훈련, 연습을 통해 경각심을 고취해야 함

3. 유의미한 정보 요청 이메일의 경우 항상 주의하고 이메일 출처를 확인하고 사내 보안 정책을 준수하는 것이 중요 

 

 

소셜 엔지니어링

인간의 심리와 감정을 이용해 신뢰를 얻은 후 습득한 정보를 가지고 사이버 공격을 진행하는 행위로, 잘 계획된 체계적인 방법으로 접근(국세청, 검찰, 회사 이메일 등을 활용)

 

1. 피싱

• 다른 사람을 사칭해 피해자로부터 원하는 것을 얻는 수법
• 로그인 자격 증명, 주민등록번호, 은행 카드 번호 등 탈취
• 스푸핑 이메일 주소, 임베디드 링크, 이메일 첨부 파일 활용

 

2. 앵글러 피싱

• 신뢰할 수 있는 고객 서비스 또는 고객 지원팀의 공식 계정으로 위장하는 허위 소셜 미디어 계정을 통한 피싱 공격

 

3. 스피어 피싱

• 특정 개인, 조직 대상으로 하는 것
• CEO 또는 정치인 등 유명 인사를 대상으로 함

 

4. 스미싱

• SMS 문자 메시지를 사용(택배, 청첩장 등으로 위장하여 가짜 사이트 이동 또는 멀웨어 다운로드 유도)

 

5. 보이스 피싱

• 전화를 사용하여 신뢰할 수 있는 기관에서 연락하는 것처럼 가장함(전화번호 스푸핑 활용하여 금융기관, 정부 조직 등으로 가장하여 개인정보 탈취 및 금융사기 등을 유도)

 

6. 프리텍스팅

• 거짓 상황을 만들어내고 이를 해결하는 적임자인 척 가장
• 보안 침해 영향을 받았다고 하면서 문제 해결을 위해 계정 정보나 컴퓨터, 디바이스에 대한 제어 권한을 제공하도록 유도

 

7. 캣피싱

• 가짜 온라인 페르소나를 만들어 소셜 네트워크에서 특정 피해자를 표적으로 삼는 교활한 사회공학 사기 기법(로맨스 스캠)

 

8. 스케어웨어

• 두려움을 이용해 사람들이 기밀 정보를 공유하거나 멀웨어를 다운로드 하도록 함

 

9. 리디렉션

• 사용자를 속여 민감한 정보를 사기꾼에게 전송
• 이메일 주소를 스푸핑하여 감사회사, 금융기관 또는 직장동료로 가장하여 기밀정보 및 계획, 고객 정보 및 개인정보를 탈취

 

10. 미끼

• 거액의 제안이나 귀중품으로 피해자를 유인하여 고의 또는 무의식적으로 중요한 정보를 넘기도록 하는 수법
• ex) 임원 연봉 라벨이 붙은 USB를 사무실 등에 유포해서 이를 발견한 사람이 호기심에 USB를 실행하는 순간 바이러스 감염

 

11. 보상

• 가짜 콘테스트 우승이나 사은품 등을 이용해 피해자를 노림

 

12. 연락처 탈취 스팸

• 이메일이나 소셜 미디어 계정을 해킹하여 피해자의 친구에게 메시지를 보내어 링크 클릭 시, 디바이스가 멀웨어 감염 됨

 

 

소셜 엔지니어링 방어 전략

 

1. 보안 인식 교육
2. 모의 침투 테스트
3. 엑세스 정책(MFA 등)
4. 스팸 필터, 보안 이메일 게이트웨이를 활용해 방지
5. VPN 사용하여 소셜 엔지니어링 공격 방지