사회 공학이란 무엇이며 왜 관심을 가져야 합니까?
“일시적인 안위를 위해 근본적인 자유를 포기하는 사람은 자유와 안전 모두를 누릴 자격이 없다.” – 벤자민 프랭클린
오랫동안 사회 공학은 보안 문제의 핵심 영역이었습니다. 업계 전문가들 사이에서 활발히 논의되어 왔지만, 이것이 내포하는 잠재적 위험성과 실제 위험 정도를 제대로 인식하는 사람은 많지 않습니다.
해커에게 사회 공학은 보안 체계를 뚫는 가장 간편하고 효과적인 수단일 수 있습니다. 인터넷의 발전은 장치 간 상호 연결을 통해 우리에게 막강한 능력을 선사했지만, 동시에 소통과 연결성의 증가는 개인 정보 침해와 관련된 취약점을 야기했습니다.
기술이 발전하기 이전부터 인간은 정보를 암호화하고 보호해 왔습니다. 고대부터 사용된 유명한 방법 중 하나는 시저 암호입니다. 이 암호 방식에서는 메시지를 알파벳 순서에서 특정 위치만큼 이동시켜 암호화합니다. 예를 들어 "hello world"를 한 자리씩 이동시키면 "ifmmp xpsmf"가 됩니다. 따라서 "ifmmp xpsmf" 메시지를 해독하려면 알파벳 순서에서 문자를 한 자리씩 뒤로 이동시켜야 합니다.
이 간단한 암호화 기술은 거의 2천 년 동안 사용되었습니다!
오늘날 우리는 더욱 발전되고 강력한 보안 시스템을 개발했지만, 보안은 여전히 어려운 과제입니다.
해커들이 중요한 정보를 얻기 위해 사용하는 수법은 다양합니다. 사회 공학이 왜 그렇게 중요한지 이해하기 위해, 이러한 기술 중 몇 가지를 간략하게 살펴보겠습니다.
무차별 대입 및 사전 공격
무차별 대입 공격은 해커가 가능한 모든 문자 조합을 계산하여 보안 시스템에 침투하는 것을 의미합니다. 사전 공격은 공격자가 사용자 비밀번호와 일치하는 단어를 찾기 위해 사전에 있는 단어 목록을 이용하는 방식입니다.
오늘날 무차별 대입 공격은 매우 강력하지만, 현재 보안 알고리즘의 특성상 그 가능성은 낮아 보입니다. 예를 들어, 제 계정 비밀번호가 '@[email protected]!!!'이고 총 22자라고 가정해 봅시다. 컴퓨터가 가능한 모든 조합을 계산하려면 22개의 계승 연산이 필요합니다. 이는 엄청난 양입니다.
더욱이, 무차별 대입 공격을 더욱 어렵게 만들기 위해 비밀번호를 해시 값으로 변환하는 해싱 알고리즘이 있습니다. 이전에 언급된 비밀번호는 예시로 d734516b1518646398c1e2eefa2dfe99와 같이 해시될 수 있습니다. 이것은 비밀번호에 보안 계층을 추가합니다. 보안 기술에 대한 자세한 내용은 나중에 살펴보겠습니다.
만약 여러분이 워드프레스 사이트 소유자이고 무차별 대입 공격으로부터 보호받고 싶다면, 이 가이드를 확인해 보세요.
디도스 공격
출처: comodo.com
분산 서비스 거부 공격(DDoS)은 사용자가 합법적인 인터넷 리소스에 접근할 수 없도록 차단할 때 발생합니다. 이는 사용자 측의 문제일 수도 있고, 사용자가 접근하려는 서비스 자체의 문제일 수도 있습니다.
DDoS 공격은 일반적으로 수익 또는 사용자 기반 손실을 초래합니다. 이러한 공격이 가능하려면 해커는 '봇넷'의 일부로 사용되는 인터넷상의 여러 컴퓨터를 제어할 수 있어야 합니다. 이를 통해 네트워크를 불안정하게 만들거나, 의미 없는 패킷으로 네트워크 트래픽을 과부하시켜 네트워크 리소스 및 노드의 고장을 유발할 수 있습니다.
피싱
피싱은 공격자가 사용자 계정 정보를 탈취하기 위해 가짜 로그인 페이지를 만드는 해킹 수법입니다. 일반적으로 공격자는 은행이나 소셜 미디어 웹사이트와 같이 신뢰할 수 있는 기관을 사칭하여 사용자에게 자격 증명을 입력하도록 유도하는 악성 이메일을 보냅니다. 이러한 링크는 마치 합법적인 웹사이트처럼 보이지만, 자세히 살펴보면 가짜임을 알 수 있습니다.
예를 들어, 과거에는 피싱 링크로 paypai.com을 사용하여 페이팔 사용자들을 속여 로그인 정보를 넘겨받으려고 했습니다.
다음은 일반적인 피싱 이메일의 예입니다.
“사용자님께,
귀하의 계정에서 의심스러운 활동이 감지되었습니다. 계정이 차단되지 않도록 지금 여기를 클릭하여 비밀번호를 변경하십시오.”
이와 같은 피싱에 한 번쯤은 속아보신 적이 있을지도 모릅니다. 웹사이트에 로그인했는데 로그인 후에도 다시 로그인 페이지로 돌아갔던 경험은 없으신가요? 만약 그렇다면, 피싱에 성공적으로 당하신 겁니다.
사회 공학은 어떻게 이루어질까요?
암호화 알고리즘이 점점 더 강력해지고 안전해짐에도 불구하고, 사회 공학을 이용한 해킹은 여전히 효과적입니다.
사회 공학자는 일반적으로 여러분의 온라인 계정 및 기타 보호된 리소스에 접근하기 위해 여러분에 대한 정보를 수집합니다. 공격자는 심리적인 조작을 통해 피해자가 자발적으로 개인 정보를 누설하도록 유도합니다. 무서운 점은 이러한 정보가 반드시 여러분에게서 나올 필요는 없다는 것입니다. 여러분이 아는 사람일 수도 있습니다.
일반적으로 사회 공학의 대상은 정보가 유출되는 당사자가 아닙니다.
예를 들어, 캐나다의 한 통신 회사는 올해 초 고객 대상 사회 공학 해킹 사건으로 언론에 보도되었습니다. 고객 서비스 담당자가 SIM 스왑 해킹을 통해 고객 정보를 유출하도록 사회 공학 공격을 받았습니다. 이로 인해 30만 달러의 손실이 발생했습니다.
사회 공학자들은 사람들의 불안, 부주의, 그리고 무지를 이용하여 중요한 정보를 알아냅니다. 원격 지원이 널리 사용되는 시대에, 조직은 인간의 실수가 불가피하기 때문에 이러한 유형의 해킹에 더욱 취약해졌습니다.
누구나 사회 공학의 피해자가 될 수 있으며, 더 큰 문제는 자신이 해킹당했다는 사실조차 모를 수 있다는 것입니다!
사회 공학으로부터 자신을 보호하는 방법
- 생년월일, 반려동물 이름, 자녀 이름과 같은 개인 정보를 로그인 비밀번호로 사용하지 마세요.
- 취약한 비밀번호를 사용하지 마세요. 복잡한 비밀번호를 기억하기 어렵다면 비밀번호 관리자를 사용하십시오.
- 명백한 거짓말을 찾아내세요. 사회 공학자는 한 번에 당신에 대한 모든 정보를 알아낼 수 없습니다. 그들은 여러분이 정보를 제공하도록 유도하여 잘못된 정보를 제공하고 더 많은 정보를 요구합니다. 이러한 수법에 속지 마세요!
- 이메일 메시지에서 조치를 취하기 전에 보낸 사람과 도메인의 신뢰성을 확인하세요.
- 계정에서 의심스러운 활동을 발견하면 즉시 은행에 연락하세요.
- 휴대폰 신호가 갑자기 끊기면 즉시 통신사에 문의하십시오. SIM 스왑 해킹일 가능성이 있습니다.
- 2단계 인증(2-FA)을 지원하는 서비스에서 활성화하세요.
결론
위에 언급된 방법들이 사회 공학 해킹에 대한 직접적인 해결책은 아니지만, 해커가 여러분을 공격하는 것을 더 어렵게 만드는 데 도움이 될 것입니다.