보안 / 프라이버시

유명한 소셜 엔지니어링 공격, 12가지 교묘한 속임수

Josh Fruhlinger  | CSO 2019.08.14
인간은 사회적 동물이다. 다른 사람을 돕기를 좋아한다. 또한 일반적으로 계층 구조에서 자기보다 위에 있는 사람들의 말을 따르는 편이다. 다른 사람이 정직하다고 믿는 경향이 있다. 즉, 다른 사람이 하는 말이나 그 사람이 주장하는 스스로의 신원을 쉽게 믿는다. 정당한 이유 없이 의문을 제기하는 것은 무례한 행동이기 때문이다.
 
ⓒ Getty Images Bank 

하지만 이런 사회적 미덕은 정보 보안에서 사람을 가장 약한 연결 고리로 만들기도 한다. 기술적 결함이 아닌, 스스로 가드를 내리도록 유도하는 이른바 소셜 엔지니어링에 의한 해킹이 빈번하게 발생한다. 소셜 엔지니어링 기법의 상당수는 사기 자체만큼 오래됐지만 디지털 시대에 맞게 업데이트됐다.

다음에 소개하는 12가지 소셜 엔지니어링 공격 사례를 교훈으로 삼아보자.


케빈 미트닉 소동

케빈 미트닉은 1980년대와 90년대 컴퓨터 시대의 가장 악명높은 해커 가운데 한 명이다. 미트닉을 움직인 동기는 수익이 아닌 호기심이었는데, 특히 소셜 엔지니어링 능력이 출중했다. 

1979년 당시 16세였던 미트닉은 어느 해커 집단과 친분을 맺었다. 해커들은 DEC(Digital Equipment Corporation)이 운영체제 개발에 사용했던 시스템의 다이얼업 모뎀 번호를 알아냈지만 계정 이름이나 비밀번호를 몰랐기 때문에 아무런 쓸모가 없다고 미트닉에게 말했다. 그 말을 들은 미트닉은 DEC의 시스템 관리자에게 전화를 걸어 자신을 DEC의 선임 개발자 중 한 명인 안톤 셰노프라고 주장하며 로그인에 문제가 있다고 말했다. 그러자 전화를 받은 사람은 바로 미트닉에게 높은 수준의 시스템 액세스 권한을 부여하는 로그인 정보를 제공했다(미트닉은 교화 후 현재 보안 컨설팅 분야에 종사하고 있다).


형제의 범죄

1990년대 중동에서 가장 악명을 떨친 해커는 무저, 샤데, 래미 바디르 형제다. 이스라엘인인 이들 3형제는 선천적인 맹인이다. 바디르 형제가 가장 즐겨 공격한 대상은 전화 업체였다. 한창 활동할 당시에는 직접 해적 통신 업체를 운영하면서 모든 대역폭에서 이스라엘 군대 무선국을 공격하기도 했다. 

이들은 소셜 엔지니어링을 자주 사용했다. 현장 엔지니어를 가장해 전화 업체 본사에 전화를 걸거나, 비밀번호를 알아내기 위해 비서를 속여 상사에 대한 세세한 정보를 캐내는 식이었다. 그러나 바디르 형제의 독보적인 기술은 바로 완벽한 성대모사였다. 심지어 자신들을 뒤쫓는 사기 조사관의 목소리를 흉내내기도 했다. 또한 다른 사람이 전화기로 번호를 누르는 소리를 듣고 PIN을 알아낼 수도 있었다.


추락한 HP의 평판

2005년과 2006년, 내분으로 뒤숭숭했던 HP의 경영진은 임원 가운데 한 명이 미디어에 내부 정보를 흘리고 있다고 생각했다. HP는 사설 탐정을 고용해 이사회의 통신 내용 뒷조사를 맡겼다. 이들은 소셜 엔지니어링의 한 형태인 프리텍스팅(pretexting)이라는 방법을 사용했는데, 그 이후의 스캔들은 전국적인 관심을 끌었다. 

사설 탐정들은 이사회 임원들의 이름과 이들의 사회보장번호 끝 4자리만으로 AT&T에 전화를 걸어 상담원을 설득, 피해자들의 세부적인 통화 기록을 입수했다. HP 경영진은 이러한 수법을 승인하지 않았다고 주장했지만 사건의 여파로 여러 명이 사임했다. 금융 기록을 입수하기 위한 프리텍스팅은 이전에도 불법이었지만 HP 스캔들로 이러한 관행에 대한 연방법이 더욱 엄격하게 개정됐다.


언젠가 올 나이지리아 왕자를 기다리며

"나이지리아 왕자"를 자칭하며 막대한 금액을 해외로 반출하기 위한 도움을 요청하는 이메일은 인터넷의 대표적인 우스개로 통하지만 사실 소셜 엔지니어링의 덫이기도 하다. 실제로 경계심이 없는 사람들은 이 속임수에 넘어갔다. 

2007년에는 인구밀도가 낮은 미국 미시간 카운티의 회계 담당자가 나이지리아 선납금 사기로 120만 달러의 공금을 훔쳤다. 이 회계 담당자는 친구들에게 곧 은퇴해서 런던으로 건너가 “벌어 놓은 돈”을 찾을 것이라고 말했다. 그러나 빈손으로 미국으로 돌아왔고 얼마 후 체포됐다.


타블로이드 소동

2009년에서 2011년 사이 영국의 여러 타블로이드 신문이 특종을 위해 사설 탐정을 고용, 다양한 인사들의 휴대폰 음성 메일 해킹을 사주했다는 사실이 폭로되면서 영국 언론계에 큰 파장이 일어났다. 피해자들은 영화배우부터 왕가의 신료들에 이르기까지 다양했다. 특히 사설 탐정들이 살해된 소녀의 음성 메일을 삭제했다는 폭로는 충격적이었다. 이로 인해 당시 소녀의 부모는 소녀의 생존 가능성에 대한 헛된 기대를 품었다.

타블로이드 사건에는 다양한 기법이 사용됐지만 핵심적인 수법 중 하나는 프리텍스팅, 영국 속어로 “블래깅(blagging)”이었다. 예를 들어 한 사설 탐정은 자신이 “신용 관리 담당자 존”이라고 주장하며 보다폰 직원을 속여 배우 시에나 밀러의 음성 메일 PIN을 리셋하도록 했다(많은 사용자가 기본 PIN을 바꾸지 않는다는 점에 착안한 탐정들이 PIN을 어림짐작으로 맞춘 경우도 있었다).


작은 피싱, 큰 구멍

피싱(Phishing)은 구미가 당기는 미끼를 사용해 피해자에게 열어서는 안 되는 파일을 열거나 앱을 실행하도록 유도한다는 점에서 소셜 엔지니어링의 한 형태다. 

2011년 정보보안 분야의 유력 기업인 RSA가 당했던 황당한 침해 사건에서는 최소 두 명의 일반 직원이 모르는 사람이 보낸 “2011 Recruitment plan.xls”라는 파일을 열었다(구인과 관련된 내용은 피싱 미끼로 흔히 사용된다). 문제의 파일에는 컴퓨터에 백도어를 설치하는 매크로가 포함돼 있었다. 이 사건으로 RSA의 최상위 제품인 시큐어ID(SecurID)의 기능에 흠이 생기고 RSA는 6,600만 달러의 손실을 입었다.


워터링 홀 공격

소셜 엔지니어링의 기반 중 하나는 즐겨 찾는 장소 등 피해자의 습관에 대한 지식이다. 여기에는 온라인 활동도 포함된다. 워터링 홀(watering hole) 공격은 공격 대상이 머무르는 웹사이트를 파악해 그 사이트에 침투한다는 측면에서 소셜 엔지니어링 공격으로 분류된다. 

2013년 한 해커 그룹이 미국 에너지부 시설에 존재하는 독성 물질에 관한 데이터가 포함된 미국 노동부의 사이트 노출 매트릭스(SEM) 페이지에 악성 자바스크립트를 주입하는 데 성공했다. 물론 이 페이지는 에너지부 소속 직원들이 빈번하게 방문했으며 공격자들은 이들의 컴퓨터에 원격 액세스 트로이 목마인 포이즌 아이비(Poison Ivy)를 주입했다.


“사장님”을 가장

2015년, 네트워크 장비 제조업체인 유비퀴티 네트웍스(Ubiquiti Networks)가 “비즈니스 이메일 침해” 공격, 흔히 사용되는 용어로는 “CEO 사기”에 당했다. 공격자는 회사 CEO를 가장해 유비퀴티 홍콩 지사의 재무팀 직원들에게 이메일을 보내 “외부” 계좌로의 송금을 요청했다. 물론 이 계좌는 범죄자들이 소유한 계좌였다. 

유비퀴티는 재무팀 직원들이 정확히 어떤 방식으로 속았는지에 대해서는 입을 다물고 있다. 회사 측은 “시스템이 침투되었다는 증거는 없다”고 밝힌 만큼 해커들은 유사 URL과 같은 수법을 사용했을 가능성이 높다.


등잔 밑이 어둡다

2005년과 2016년, 영국의 10대 청소년 케인 캠블은 소셜 엔지니어링을 진입점으로 사용해 미국 정보부 소속 주요 인사들의 개인용 계정과 업무용 인터넷 계정에 대한 액세스 권한을 획득했다. 

예를 들어 캠블은 버라이즌에 전화를 걸어 CIA 국장인 존 브레넌의 이메일 계정에 대한 액세스 권한을 받아냈다. 이 과정에서 캠블은 브레넌의 보안 질문(첫 애완동물 이름)에 대해 답을 하지도 못했다. 또한 FBI가 해킹이 진행되고 있음을 인지하고 있는 상황에서도 대담하게 FBI 헬프데스크에 전화를 걸어 마크 줄리아노 차장으로 가장해 교묘한 화술로 줄리아노의 계정 액세스 권한을 알아냈다. 캠블은 공격 대상의 컴퓨터에 진입해서 기밀 정보를 탈취하고, 국가안보국 국장인 댄 코스트의 전화 통화를 자유 팔레스타인 운동 조직으로 전달하는 등의 피해를 입혔다.


선거의 승패를 가른 스피어 피싱

스피어 피싱(Spear phishing)은 영향력이 큰 공격 목표를 속여 민감한 정보를 입수하는 특수한 형태의 피싱이다. 2016년, 러시아의 후원을 받은 해커들은 힐러리 클린턴 캠페인 매니저인 존 포데스타를 목표로 삼았다. 

포데스타는 구글이 보낸 것으로 위장된 가짜 “계정 재설정” 이메일을 받았다. 이메일은 포데스타에게 로그인해서 비밀번호를 변경할 것을 요청했다. 이메일은 URL 단축 서비스인 bit.ly를 통해 링크를 제공했는데, 그 뒤에 숨은 실제 도메인은 myaccount.google.com-securitysettingpage.ml이었다.

포데스타는 이메일이 수상하다고 생각해 보좌관들과 상의했고 이 가운데 한 명이 “이 메일은 합법적인 이메일(this is a legitimate email)”이라고 회신했다. 그러나 원래 이 보좌관이 쓰려고 했던 단어는 합법적인(legitimate)이 아니라 불법적인(illegitimate)이었다. 역사상 가장 큰 파문으로 이어진 오타라고 할 만하다. 포데스타는 자신의 계정 정보를 입력했고 러시아 해커들은 포데스타의 이메일에 액세스해 정보를 빼냈다. 이 사건은 클린턴 캠페인의 침몰에 큰 역할을 했다.


“오늘이 출근 첫 날”

2016년, 한 익명의 해커가 미국 사법부 네트워크에 침투한 후, FBI 및 DHS 요원의 개인 기록 수천 건을 온라인에 공개했다. 공격은 해커가 사법부 이메일 주소 하나를 손에 넣으면서 시작됐지만 가장 결정적인 단계는 소셜 엔지니어링이었다. 

해커는 마더보드(Motherboard)와의 인터뷰에서 “직원용 사법부 웹 포털에 로그인하지 못해서 전화를 걸어 신입이라서 로그인 과정을 통과하는 방법을 모르겠다고 했더니 토큰 코드가 있냐고 물었다. 없다고 하자 괜찮다면서 자기 것을 쓰라고 했다”고 전했다. 해커는 그 즉시 사법부 인트라넷에 액세스할 수 있게 됐다.


무심히 클릭하는 대화상자

지금 시대에 모든 사람들은 컴퓨터를 사용할 때 잠재적으로 위험한 행동에 대한 확인을 요구하는 대화상자에 익숙하다. 그런데 이 대화상자를 조작해 소셜 엔지니어링 공격에 사용하기도 한다. 

2017년, 우크라이나에서 악성 매크로 코드가 포함된 마이크로소프트 워드 문서가 첨부된 피싱 이메일이 대량으로 발송됐다. 매크로가 비활성화된 경우에는 마이크로소프트에서 만든 것처럼 보이는, 특수하게 제작된 대화상자가 표시돼 매크로 코드를 실행하도록 유도했다(이 매크로는 사용자의 마이크를 통해 소리를 들을 수 있게 해주는 백도어를 컴퓨터에 설치했다). 이 사건의 교훈도 지금까지 살펴본 모든 사고와 똑같다. ‘예’를 클릭하거나 선택하기 전에 두 번 확인하라는 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.