전형적인 해킹, 피싱, 소셜 엔지니어링 사기 9가지

CSO

"고객님, 당황하셔쎄요?" 어설픈 보이스피싱으로 웃음을 안기는 코미디와는 달리, 실제로 당한 사람들은 상당히 많다. 전화상, 온라인, 혹은 직접 만날 때 해커, 피셔, 소셜 엔지니어들이 정보를 빼가기 위해 사용하는 9가지 거짓말을 소개한다. editor@itworld.co.kr

"IT 부서의 밥(Bob)입니다. 지금 사용하고 있는 컴퓨터가 감염됐습니다." 9가지 더러운 속임수 가운데 소셜 엔지니어들이 가장 좋아하는 거짓말이 바로 이것이다. 미국 콜로라도에 소재한 보안 컨설팅업체 레어스(Lares)의 창업자 크리스 니커슨은 왜 이 오래된 소셜 엔지니어링 속임수가 여전히 상당히 성공적인지 설명했다. 니커슨은 이 속임수를 자주 침투 테스트시 사용한다. 사기꾼들은 많은 컴퓨터들을 감염시키는 유명 악성코드와 같은 그 당시 유행하는 사건을 종종 활용한다. 컴퓨터를 잘 모르는 평범한 직원들은 'IT 직원'이 전화상에서 기술적 용어를 섞어 이야기하면 일단 겁을 먹게 된다. 니커슨은 "결국은, '제가 그 문제를 고쳐드릴까요? 암호를 주시면 문제를 처리하고 완료 후 전화드리겠습니다'라는 말이 나온다"고 말했다. 이 전략은 사람들의 공포와 기술에 대한 불편함을 기반으로 한 것이라고 니커슨은 말했다.

"나는 런던에 갇혔어요! 도와줘요!" 419 사기라고도 알려진 이 방식은 페이스북(Facebook)같은 소셜 네트워킹 사이트에서 요즘 자주 발생하는 수법이다. 사기꾼들은 종종 계정을 해킹해 그 사람의 친구들에게 자신이 외국에 돈도 없이 갇혀있다는 메시지를 보낸다. 소포스(Sophos)의 그래엄 클루리는 "자주 쓰는 수법은, 그들이 여행 중에 강도를 만났고, 여기에서 벗어나기 위해 페이스북 친구에게 송금을 요청하는 것"이라고 말했다.

"문 좀 잡고 있어 주시겠습니까?" 니커슨은 보안 빌딩에 들어가는 흔한 전략으로 건물 밖 흡연구역에 머물러있다가 별 의심없이 같이 들여보내 줄 직원을 기다리는 것이라고 설명했다. 니커슨은 "소셜 엔지니어에게 최고의 친구는 담배"라고 말했다. 담배가 아니더라도, 빌딩 관리 직원에게 자신의 보안 카드나 뱃지를 잃어버렸다고 말하면 이들이 쉽게 들여보내줄 수도 있는데, 이는 '꼬리 달고 들어가기'라 일컫는다.

"너에 대해 나와있는 이 블로그 본 적 있어?" 이 사기 수법은 페이스북과 트위터(Twitter)에 횡횡한데, 사용자의 관심을 불러모으는 질문을 던져 이들을 가짜 로그인 화면으로 유도한다. 소포스의 클루리는 이 사기가 아주 오래된 피싱 기법이라고 설명했다. 소셜 엔지니어들은 스팸을 보내거나, 앞서 설명한 419 사기로 끌어들이기 위해 자신의 계정 정보를 끌어내려 할 것이다.

"당신의 계좌가 폐쇄되었습니다." 소셜 엔지니어들은 이 문제를 해결하기 위해 은행 계좌 정보를 보내달라고 요구하며 피해자를 혼란스럽게 만든다. 렉시스넥시스(LexisNexis)의 뎁 가이스터는 일반적으로 피싱 이메일을 통해 전달되는 이런 ACH(Automated Clearing House) 사기는 수신자들이 이 가짜 메시지를 열어보기 때문에 범죄자에 의해 자주 사용된다고 말했다. 수신자가 이 이메일을 열면, 특히 온라인 뱅킹 정보를 대상으로 민감한 데이터를 훔치는데 탁월한 트로이목마 바이러스가 시스템 안에 설치된다.

"늦었어요! 그냥 좀 들여보내주세요!" 이는 소셜 엔지니어링에서 유명한 영화 <스니커즈>에서 로버트 레드포드가 배달원을 대동하고 딸의 생일파티에 늦었다면서 생일 케잌까지 들고 아빠인척 하는 장면이다. 이 2인조는 적절한 입장 자격 없이도 레드포드를 빌딩 안에 들여보내주기 충분할 정도로 경비원들의 주의를 분산시키고 허둥지둥하게 만든다.

"허리케인 복구에 기부하세요." 대규모 지진, 쓰나미, 혹은 기타 재난 발생시, 가짜 기부 사이트가 종종 출연한다. SANS 시큐리티(SANS Security)는 최근 허리케인 샌디(Hurricane Sandy) 피해 발생 후, 이런 트렌드를 목격하고, 사기꾼들이 '구호'와 '샌디'같은 키워드 도메인 수천 개를 재빠르게 등록했다고 경고했다. 그 목적은 선의를 가진 개인의 재난 구호 기부를 사기치는데 있다. 물론 이런 사기 사이트에 기부한 이들은 기부금은커녕 그들의 신용카드 정보와 돈을 도난당한다.

"무료 스타벅스(Starbucks) 기프트 인증!" 소포스의 선임 연구원 베스 존스는 무료 기프트카드 제공 행사가 자신의 개인 정보를 팔아 이익을 챙기려는 신원 도용 속임수일 수 있다고 말했다. 소매점들은 자신이 조사 서류를 작성했다고 무료 기프트카드를 그냥 나눠주지 않는다. 이런 수법은 텀블러(Tumblr)와 핀터레스트(Pinterest)에 흔하다.

#popefrancis(프란체스코 교황)는 요즘 트위터상에서 인기가 높지만, 소셜 엔지니어들이 이를 하이재킹해 악성코드가 심어진 악성 링크를 전파하는데 악용하기까지는 그리 오랜 시간이 걸리지 않을 것이다. 새로운 교황의 이름이 확정된 지 몇 시간 만에, 사기꾼들은 이미 그의 이름을 사용한 계정을 미리 만들어두고, 새 교황의 진짜 계정인척 가장했다.