해커계의 전설 케빈 미트닉이 사용하면서 수면위로 떠올랐던 사회공학적 기법의 해킹..요즘 피싱, 스팸도 진화하면서 이런 기법들을 활용(?)하고 있다. 사회공학 기법에 당하는 이유를 팬데믹 피로, 원

해커계의 전설 케빈 미트닉이 사용하면서 수면위로 떠올랐던 사회공학적 기법의 해킹..요즘 피싱, 스팸도 진화하면서 이런 기법들을 활용(?)하고 있다. 사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다. 스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, 경솔함, 수줍음, 무관심)을 언급한 바 있는데, 오늘날에도 대부분의 직원들이 이 약점을 가지고 있다. > 오래된 사회공학 기법 5가지 보안 전문가들은 직원들이 다음의 5가지 낡은 사회공학 기법에 여전히 속아 넘어가고 있다고 지적했으며, 이에 변화를 더한 새로운 사기 4가지를 소개했다. 1. 공식적인 것처럼 보이는 이메일(Official-looking email) 소속 회사의 CEO가 보낸 이메일처럼 보이고, 게다가 ‘이 문서에서 당신이 언급됐다’라는 제목이거나 ‘2022 임금 인상 및 직원 승진’이라는 링크가 포함돼 있다면 열어보지 않을 사람이 누가 있을까? 2. “여기에 무료 USB가 있다(Here’s a free USB stick)” 지난 1월 FBI는 美 우체국과 UPS를 통해 보내진 가짜 편지를 경고한 바 있다. 가짜 편지는 코로나19 관련 정보를 제공하는 보건복지부 또는 아마존을 사칭했으며, 악성 소프트웨어를 담은 USB가 들어 있었다. 만약 컴퓨터에 해당 USB를 삽입했다면 해킹 그룹이 기업의 네트워크에 액세스하여 랜섬웨어를 배포할 수 있었을 것이라고 FBI는 밝혔다. 3. 기프트 카드 사기(Office gift card scam) 가장 효과적이진 않지만 아직도 사용되고 있는 가장 흔한 사회공학 기법은 기프트 카드 사기다. 구체적으로 살펴보면, 대부분 회사 경영진이 도움을 요청하는 이메일을 보낸다. 내용은 대개 이런 식이다. “경영진이 직원 보상용으로 기프트 카드가 필요한데 깜짝 이벤트이니 아무에게도 말하지 말라고 되어 있다”라고 윌슨은 언급했다. 4. “음성 메일이 있다(You have a voicemail)” 윌슨에 따르면 최근 몇 달 사이 (이메일을 통해 전송되는) 악성코드가 포함된 사내 음성메일이 다시 등장하고 있으며, 일부 직원은 여전히 이 음성메일에 속고 있다. 5. “배송에 문제가 있다(There’s a problem with your package delivery)” 소포스의 수석 연구 과학자 체스터 비즈니에프스키는 가짜 소포 배송 통지가 15년 넘게 번성하고 (심지어) 진화하고 있다고 언급했다. 이러한 피싱에는 다양한 종류가 있지만 대부분 관세 또는 통관 수수료를 부과하도록 설계돼 있다. 또는 단순히 ‘배송 추적을 위해 이메일로 로그인’하도록 설계된 피싱 공격이며, (이를 통해) 자격 증명을 도용한다. > 새로운 사회공학 기법 4가지 1. “도큐사인에서 온 법률 문서다(Here are your legal documents from DocuSign)” 특히 코로나 19 팬데믹이 시작된 이후 인기 있는 사회공학 기법은 ‘도큐사인(DocuSign)’을 통해 법적 문서에 서명하라는 요청으로 위장한 악성 소프트웨어다. 2. “외상 매출금 보고서” 사기(Aging accounts report scam) 이 기법에서는 일반적으로 담당 직원이 회사 경영진의 이메일을 받는다. 이메일에는 해당 경영진이 미수금 채권 조사를 하고 싶다며, 최신 AR 내역 보고서를 보내 달라고 요청하는 내용이 쓰여 있다. 3. “계좌에 문제가 생겼다. 해결하려면 여기를 클릭하라(There’s a problem with your bank account. Click here to resolve the issue)” 사이버 범죄자는 피싱 이메일을 사용하여 타깃에게 은행 계좌, 이메일 계정 등에 문제가 있다고 생각하게끔 만든다. 4. 전화 피싱(Phishing by phone) 전화를 사용하는 새로운 사기가 등장하고 있다. 바자르로더(BazarLoader)로 알려진 악성 소프트웨어는 브랜드(예: 아마존 등)를 사칭하여 구독으로 인해 수백 달러가 청구되고 있다고 속인다. 좀 더 자세한 내용은 링크 참고!