사회 공학이란 무엇이며 어떻게 피할 수 있습니까?

맬웨어는 걱정해야 할 유일한 온라인 위협이 아닙니다. 사회 공학은 큰 위협이며 모든 운영 체제에서 영향을 줄 수 있습니다. 실제로 사회 공학은 전화나 대면 상황에서도 발생할 수 있습니다.

사회 공학에 대해 알고 경계하는 것이 중요합니다. 보안 프로그램은 대부분의 사회 공학 위협으로부터 사용자를 보호하지 못하므로 사용자 자신을 보호해야 합니다.

사회 공학 설명

전통적인 컴퓨터 기반 공격은 종종 컴퓨터 코드에서 취약점을 찾는 데 의존합니다. 예를 들어, Adobe Flash의 오래된 버전을 사용하는 경우(또는 시스코에 따르면 2013년 공격의 91%를 차지한 Java) 악성 웹사이트와 해당 웹사이트를 방문할 수 있습니다. 소프트웨어의 취약점을 악용하여 컴퓨터에 액세스할 수 있습니다. 공격자는 소프트웨어의 버그를 조작하여 액세스 권한을 얻고 개인 정보를 수집합니다. 아마도 설치한 키로거를 사용하는 것일 수 있습니다.

사회 공학 트릭은 대신 심리적 조작을 포함하기 때문에 다릅니다. 즉, 소프트웨어가 아니라 사람을 착취합니다.

관련: 온라인 보안: 피싱 이메일의 구조 분석

사회 공학의 한 형태인 피싱에 대해 이미 들어보셨을 것입니다. 은행, 신용 카드 회사 또는 기타 신뢰할 수 있는 업체에서 보낸다고 주장하는 이메일을 받을 수 있습니다. 실제 웹사이트처럼 위장한 가짜 웹사이트로 안내하거나 악성 프로그램을 다운로드하여 설치하도록 요청할 수 있습니다. 그러나 그러한 사회 공학 속임수에는 가짜 웹사이트나 맬웨어가 필요하지 않습니다. 피싱 이메일은 단순히 개인 정보가 포함된 이메일 답장을 보내도록 요청할 수 있습니다. 소프트웨어의 버그를 악용하는 대신 정상적인 인간 상호 작용을 악용하려고 합니다. 스피어 피싱은 특정 개인을 대상으로 하는 피싱의 한 형태이기 때문에 훨씬 더 위험할 수 있습니다.

관련: Typosquatting이란 무엇이며 사기꾼은 이를 어떻게 사용합니까?

사회 공학의 예

채팅 서비스 및 온라인 게임에서 널리 사용되는 트릭 중 하나는 "Administrator"와 같은 이름으로 계정을 등록하고 "경고: 누군가가 귀하의 계정을 해킹하고 있음을 감지했습니다. 비밀번호를 입력하여 인증하십시오."와 같은 무서운 메시지를 보내는 것입니다. 대상이 암호로 응답하면 속임수에 빠지고 공격자는 이제 계정 암호를 갖게 됩니다.

누군가 귀하에 대한 개인 정보를 가지고 있는 경우 해당 정보를 사용하여 귀하의 계정에 액세스할 수 있습니다. 예를 들어, 생년월일, 주민등록번호, 신용카드 번호와 같은 정보는 종종 귀하를 식별하는 데 사용됩니다. 누군가가 이 정보를 가지고 있으면 업체에 연락하여 귀하를 가장할 수 있습니다. 이 트릭은 공격자가 Sarah Palin의 Yahoo!에 액세스하기 위해 사용한 것으로 유명합니다. 2008년 메일 계정, Yahoo!의 비밀번호 복구 양식을 통해 계정에 액세스할 수 있는 충분한 개인 정보를 제출합니다. 비즈니스에서 귀하를 인증하는 데 필요한 개인 정보가 있는 경우 전화로 동일한 방법을 사용할 수 있습니다. 대상에 대한 일부 정보를 가진 공격자는 대상을 가장하고 더 많은 항목에 액세스할 수 있습니다.

사회 공학은 직접 사용할 수도 있습니다. 공격자는 사업체로 걸어 들어가 자신이 수리 담당자, 신입 직원 또는 소방관이라는 것을 권위 있고 설득력 있는 어조로 비서에게 알린 다음, 사무실을 돌아다니며 잠재적으로 기밀 데이터를 훔치거나 버그를 심어 기업 스파이 활동을 수행할 수 있습니다. 이 트릭은 공격자가 자신이 아닌 다른 사람으로 자신을 표시하는 것에 따라 다릅니다. 비서나 도어맨이나 그 밖의 담당자가 너무 많은 질문을 하지 않거나 너무 자세히 살펴보지 않으면 트릭이 성공할 것입니다.

관련: 공격자가 실제로 온라인에서 "계정을 해킹"하는 방법 및 자신을 보호하는 방법

사회 공학 공격은 가짜 웹사이트, 사기성 이메일, 악의적인 채팅 메시지에 이르기까지 전화나 대면에서 누군가를 사칭하는 것까지 광범위합니다. 이러한 공격은 다양한 형태로 발생하지만 모두 한 가지 공통점이 있습니다. 바로 심리적 속임수에 의존한다는 것입니다. 사회 공학은 심리적 조작의 기술이라고 불립니다. "해커"가 실제로 온라인에서 계정을 "해킹"하는 주요 방법 중 하나입니다.

사회 공학을 피하는 방법

사회 공학이 존재한다는 사실을 아는 것은 그것을 극복하는 데 도움이 될 수 있습니다. 원치 않는 이메일, 채팅 메시지, 개인 정보를 요구하는 전화를 의심하십시오. 이메일을 통해 금융 정보나 중요한 개인 정보를 절대 공개하지 마십시오. 이메일에서 중요하다고 주장하더라도 잠재적으로 위험한 이메일 첨부 파일을 다운로드하여 실행하지 마십시오.

또한 이메일에 포함된 링크를 따라 민감한 웹사이트로 연결해서는 안 됩니다. 예를 들어, 은행에서 보낸 것처럼 보이는 이메일의 링크를 클릭하고 로그인하지 마십시오. 은행 사이트로 위장하지만 URL이 미묘하게 다른 가짜 피싱 사이트로 연결될 수 있습니다. 대신 웹 사이트를 직접 방문하십시오.

예를 들어 은행에서 개인 정보를 요청하는 전화와 같이 의심스러운 요청을 받으면 요청 출처에 직접 연락하여 확인을 요청하십시오. 이 예에서는 은행이라고 주장하는 사람에게 정보를 누설하는 대신 은행에 전화를 걸어 원하는 것이 무엇인지 물어봅니다.

이메일 프로그램, 웹 브라우저 및 보안 제품군에는 일반적으로 알려진 피싱 사이트를 방문할 때 경고하는 피싱 필터가 있습니다. 그들이 할 수 있는 일은 알려진 피싱 사이트를 방문하거나 알려진 피싱 이메일을 받았을 때 경고하는 것뿐입니다. 그들은 모든 피싱 사이트나 이메일에 대해 알지 못합니다. 대부분의 경우 자신을 보호하는 것은 귀하에게 달려 있습니다. 보안 프로그램은 약간의 도움만 될 수 있습니다.

개인 데이터 및 기타 사회 공학 공격에 대한 요청을 처리할 때 건전한 의심을 갖는 것이 좋습니다. 의심과 주의는 온라인과 오프라인 모두에서 당신을 보호하는 데 도움이 될 것입니다.

이미지 크레디트: Flickr의 Jeff Turnet