사이버 환경 변화에 맞게 진화하는 소셜 엔지니어링 공격
빨리빨리 접속하려는 습관 고치면 공격 성공률 줄 것...1 클릭 당 차 1 모금
[보안뉴스 문가용 기자] “사실 당신의 고조 할아버지께서는 아프리카 지역에서 금광 회사를 운영하시던 분이었습니다. 그분이 남긴 유산은 라고스의 한 로펌에서 관리해왔으며, 그 로펌은 여태까지 유산 상속을 하기 위해 어려운 추적을 계속 진행해왔습니다. 그래서 이렇게 메일을 보냅니다. 거대한 유산이 당신을 기다리고 있습니다.”
뭐, 이런 식의 스팸 메일 공격이 유행한 것이 대략 10년 전쯤 일이다. 아니, 더 오래된 것도 같다. 요즘은 스팸 메일함에조차 이런 낡은 이메일을 찾기가 쉽지 않다. 스팸 필터링 기술이 크게 발달한 덕분이다. 대신 최근에는 소셜 엔지니어링 공격, 즉 사회공학적 공격이 유행하고 있다. 소셜 엔지니어링 공격자들이 노리는 건 ‘데이터’고, 당신은 그들이 개척하고픈 위대한 항로다.
소셜 엔지니어링이란 말이 처음 등장한 건 19세기이며, 네덜란드의 산업 전문가인 반 마켄(J.C Van Marken)이란 인물이 지어냈다. 솔직히 오늘날 사이버 보안 산업에서 사용하는 의미에서 소셜 엔지니어링이란 말이 나타난 건 아니다. 반 마켄은 사람이기 때문에 생기는 변수나 실수들을 사회가 큰 시스템 안에서 수용하거나 줄이거나 다룰 수 있어야 한다고 생각했다. 이는 군국주의와 식민주의가 극성을 부리던 20세기 초에 별로 좋지 않은 방향에서 활용되기도 했다.
그리고 20세기 후반, 행운의 편지라든가 엉뚱한 유산 상속, 사지도 않은 복권 당첨자에 관한 내용이 이메일 받은 편지함에 등장하면서 현대의 소셜 엔지니어링 공격의 시초가 목격되기 시작했다. 그런 공격들에도 아랑곳 않고 인터넷 환경은 급격히 자라났고, 돈 거래와 물품 구매까지 온라인으로 이루어지기 시작했다. 사람들은 기꺼이 주소와 전화번호, 신용카드 번호를 기입했다. 그러다니 이젠 그런 정보가 모바일 기기를 타고 유통되고 있다. 당연히 소셜 엔지니어링 공격도 진화를 거듭했다.
현대의 소셜 엔지니어링 공격에는 세 가지 요소가 존재한다. 1) 공격의 방아쇠가 되는 이메일, 문자, SNS 등으로 사용자들의 ‘신뢰’를 받는 매개 혹은 서비스들이다. 2) 공격 대상의 올바른 선정이 필요하다. 농협은행을 노리기 위한 공격을 실시하면서 국민은행과만 거래하는 사용자에게 접근할 수는 없다. 3) 공격 대상이 공격을 받은 후 곧바로 이상한 걸 눈치 채서 신고를 하면 좋은 상황을 연출할 수 없다. 이중 첩자와 같은 철저하고 교묘한 속임수 혹은 작전이 필요하다.
즉 잠재적 피해자인 일반 사용자들은 속임수를 잘 간파하고, 나의 민감한 정보를 최대한 숨기고, 평소 신뢰하는 SNS나 문자 메시지, 이메일 함 등을 계속해서 의심하는 태도가 필요하다. 그러나 그것이 말처럼 쉽게 되지는 않는다. 그러니 보안 전문가라는 사람들도 이따금씩 피싱 및 소셜 엔지니어링 공격에 당하곤 한다. 주커버그의 계정도 해킹을 당하는 판이니, 누가 안심할 수 있을까?
인터넷 세상의 중요한 덕목 중 하나가 ‘속도’라는 것이 소셜 엔지니어링의 성공률을 보장하고 있다. 인터넷을 누빌 때 사용자들이 조금만 더 여유롭고 느긋하게 움직이면 생각할 시간이 늘고 조사할 생각이 깃들게 되어 있으며, 이로써 피해를 줄이는 게 가능해진다. ‘지금 내가 안전한 망에 접속하고 있는가? 이 링크는 안전한가? 이 메시지를 보낸 사람이 정말 그 친구놈인가? 조금만 더 느리게, 조금만 더 생각하는 게 필요하다는 것이다.
공격적인 의도가 들어 있는 이런 소셜 엔지니어링 메시지들은 보통 우리가 자주 거래하는 은행이나 신용카드와 관련이 있는 것처럼 보이는 웹 페이지와 링크가 되어 있다. 자기 자신이 해당 금융업체라고 그럴듯한 가면을 쓰는 경우도 많다. 그러면서 해당 링크를 통해 얼른 암호를 바꾸거나 로그인을 해서 사기 피해 발생 여부를 확인하라고 한다. 그런 경우 ‘빨리빨리’ 하는 습관을 조금만 줄인다면, 직접 링크를 클릭하지 않고, 직접 브라우저 창에 해당 은행 웹 사이트 주소를 적어 넣어 확인할 수 있게 된다. 그리고, 요즘 금융기관치고 2중 인증 하지 않는 곳이 얼마나 되는가? 조금만 천천히 움직이면 의심해볼 구석이 많이 보일 것이다.
최근 소셜 엔지니어링이 더 극성을 부리게 된 건 ‘빨리빨리’의 또 다른 현상 중 하나인 모바일 환경의 확대와 상관이 있다. 해킹 범죄자들은 점점 더 노골적으로 핸다폰과 태블릿을 노리고 있다. 2013년에 비해 iOS 기기들에 대한 공격은 82%나 증가했다. 안드로이드는 현재 하루에 약 6천 번의 공격 시도를 받는다고 한다. 갑자기 배터리가 빨리 닳거나 데이터 사용량이 늘어나면 그 6천 번 중 한 번이 성공했다고 보면 된다. 하지만 이것만이 공격의 징후는 아니다.
누구나 SNS를 하고, 누구나 지하철이나 버스에서 핸드폰으로 인터넷 기사를 읽거나 메일을 열어 업무를 볼 수 있는 때, 우리가 새롭게 추구해야 할 건 여유와 경계다. 그리고 이는 습관처럼 자리 잡아야 한다. 처음 인터넷이란 게 일반인들의 가정에 하나 둘 설치되기 시작할 때(전화 모뎀 쓰던 시절), “엔터를 누르고 차 한 잔 마셔라”라는 말이 있었다. 너무 사이트가 늦게 열린다고 안달할 것 없다는 뜻이었다. 그 말은 지금에서도 유효하다. 누르기 전에 한 번 더 생각해보는 습관, 습관처럼 아무 링크나 열어보지 않는 습관, 그것이 大 소셜 엔지니어링 시대를 살아가는 우리의 서바이벌 가이드다.
글 : 댄 쿠드포드(Dan Cuddeford)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[문가용 기자(globoan@boannews.com)]
빨리빨리 접속하려는 습관 고치면 공격 성공률 줄 것...1 클릭 당 차 1 모금
[보안뉴스 문가용 기자] “사실 당신의 고조 할아버지께서는 아프리카 지역에서 금광 회사를 운영하시던 분이었습니다. 그분이 남긴 유산은 라고스의 한 로펌에서 관리해왔으며, 그 로펌은 여태까지 유산 상속을 하기 위해 어려운 추적을 계속 진행해왔습니다. 그래서 이렇게 메일을 보냅니다. 거대한 유산이 당신을 기다리고 있습니다.”
뭐, 이런 식의 스팸 메일 공격이 유행한 것이 대략 10년 전쯤 일이다. 아니, 더 오래된 것도 같다. 요즘은 스팸 메일함에조차 이런 낡은 이메일을 찾기가 쉽지 않다. 스팸 필터링 기술이 크게 발달한 덕분이다. 대신 최근에는 소셜 엔지니어링 공격, 즉 사회공학적 공격이 유행하고 있다. 소셜 엔지니어링 공격자들이 노리는 건 ‘데이터’고, 당신은 그들이 개척하고픈 위대한 항로다.
소셜 엔지니어링이란 말이 처음 등장한 건 19세기이며, 네덜란드의 산업 전문가인 반 마켄(J.C Van Marken)이란 인물이 지어냈다. 솔직히 오늘날 사이버 보안 산업에서 사용하는 의미에서 소셜 엔지니어링이란 말이 나타난 건 아니다. 반 마켄은 사람이기 때문에 생기는 변수나 실수들을 사회가 큰 시스템 안에서 수용하거나 줄이거나 다룰 수 있어야 한다고 생각했다. 이는 군국주의와 식민주의가 극성을 부리던 20세기 초에 별로 좋지 않은 방향에서 활용되기도 했다.
그리고 20세기 후반, 행운의 편지라든가 엉뚱한 유산 상속, 사지도 않은 복권 당첨자에 관한 내용이 이메일 받은 편지함에 등장하면서 현대의 소셜 엔지니어링 공격의 시초가 목격되기 시작했다. 그런 공격들에도 아랑곳 않고 인터넷 환경은 급격히 자라났고, 돈 거래와 물품 구매까지 온라인으로 이루어지기 시작했다. 사람들은 기꺼이 주소와 전화번호, 신용카드 번호를 기입했다. 그러다니 이젠 그런 정보가 모바일 기기를 타고 유통되고 있다. 당연히 소셜 엔지니어링 공격도 진화를 거듭했다.
현대의 소셜 엔지니어링 공격에는 세 가지 요소가 존재한다. 1) 공격의 방아쇠가 되는 이메일, 문자, SNS 등으로 사용자들의 ‘신뢰’를 받는 매개 혹은 서비스들이다. 2) 공격 대상의 올바른 선정이 필요하다. 농협은행을 노리기 위한 공격을 실시하면서 국민은행과만 거래하는 사용자에게 접근할 수는 없다. 3) 공격 대상이 공격을 받은 후 곧바로 이상한 걸 눈치 채서 신고를 하면 좋은 상황을 연출할 수 없다. 이중 첩자와 같은 철저하고 교묘한 속임수 혹은 작전이 필요하다.
즉 잠재적 피해자인 일반 사용자들은 속임수를 잘 간파하고, 나의 민감한 정보를 최대한 숨기고, 평소 신뢰하는 SNS나 문자 메시지, 이메일 함 등을 계속해서 의심하는 태도가 필요하다. 그러나 그것이 말처럼 쉽게 되지는 않는다. 그러니 보안 전문가라는 사람들도 이따금씩 피싱 및 소셜 엔지니어링 공격에 당하곤 한다. 주커버그의 계정도 해킹을 당하는 판이니, 누가 안심할 수 있을까?
인터넷 세상의 중요한 덕목 중 하나가 ‘속도’라는 것이 소셜 엔지니어링의 성공률을 보장하고 있다. 인터넷을 누빌 때 사용자들이 조금만 더 여유롭고 느긋하게 움직이면 생각할 시간이 늘고 조사할 생각이 깃들게 되어 있으며, 이로써 피해를 줄이는 게 가능해진다. ‘지금 내가 안전한 망에 접속하고 있는가? 이 링크는 안전한가? 이 메시지를 보낸 사람이 정말 그 친구놈인가? 조금만 더 느리게, 조금만 더 생각하는 게 필요하다는 것이다.
공격적인 의도가 들어 있는 이런 소셜 엔지니어링 메시지들은 보통 우리가 자주 거래하는 은행이나 신용카드와 관련이 있는 것처럼 보이는 웹 페이지와 링크가 되어 있다. 자기 자신이 해당 금융업체라고 그럴듯한 가면을 쓰는 경우도 많다. 그러면서 해당 링크를 통해 얼른 암호를 바꾸거나 로그인을 해서 사기 피해 발생 여부를 확인하라고 한다. 그런 경우 ‘빨리빨리’ 하는 습관을 조금만 줄인다면, 직접 링크를 클릭하지 않고, 직접 브라우저 창에 해당 은행 웹 사이트 주소를 적어 넣어 확인할 수 있게 된다. 그리고, 요즘 금융기관치고 2중 인증 하지 않는 곳이 얼마나 되는가? 조금만 천천히 움직이면 의심해볼 구석이 많이 보일 것이다.
최근 소셜 엔지니어링이 더 극성을 부리게 된 건 ‘빨리빨리’의 또 다른 현상 중 하나인 모바일 환경의 확대와 상관이 있다. 해킹 범죄자들은 점점 더 노골적으로 핸다폰과 태블릿을 노리고 있다. 2013년에 비해 iOS 기기들에 대한 공격은 82%나 증가했다. 안드로이드는 현재 하루에 약 6천 번의 공격 시도를 받는다고 한다. 갑자기 배터리가 빨리 닳거나 데이터 사용량이 늘어나면 그 6천 번 중 한 번이 성공했다고 보면 된다. 하지만 이것만이 공격의 징후는 아니다.
누구나 SNS를 하고, 누구나 지하철이나 버스에서 핸드폰으로 인터넷 기사를 읽거나 메일을 열어 업무를 볼 수 있는 때, 우리가 새롭게 추구해야 할 건 여유와 경계다. 그리고 이는 습관처럼 자리 잡아야 한다. 처음 인터넷이란 게 일반인들의 가정에 하나 둘 설치되기 시작할 때(전화 모뎀 쓰던 시절), “엔터를 누르고 차 한 잔 마셔라”라는 말이 있었다. 너무 사이트가 늦게 열린다고 안달할 것 없다는 뜻이었다. 그 말은 지금에서도 유효하다. 누르기 전에 한 번 더 생각해보는 습관, 습관처럼 아무 링크나 열어보지 않는 습관, 그것이 大 소셜 엔지니어링 시대를 살아가는 우리의 서바이벌 가이드다.
글 : 댄 쿠드포드(Dan Cuddeford)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
