보안 / 프라이버시

소셜 엔지니어링 공격에 당하고 있다는 10가지 신호

Roger A. Grimes | CSO 2019.09.24
피싱(phishing)과 소셜 엔지니어링(social engineering)은 가장 기본적인 공격 방법이며, 컴퓨터가 발명된 이래로 거의 지속적으로 사용됐다. 

1980년 대 초, 필자는 인터넷이 인터넷이기 전에 “HowtoGetAFreeHSTModem(HST 모뎀을 공짜로 얻는 방법)”이라는 텍스트 파일을 발견했다. 필자는 HST 9600 모뎀이 매우 탐났으며 텍스트 파일을 빨리 열었다. 그러자 “훔쳐라, 이 바보야”라는 텍스트가 나타났다. 해당 텍스트 파일을 닫기 위해 재빨리 esc 키를 눌렀다. 

일반 텍스트 파일에는 보이지 않는 ANSI 제어 코드가 포함되어 있는데, 키보드에서 다음에 누르면 하드드라이브를 포맷했다. 그 이후로 필자는 2가지를 배웠다. 하나는 해커가 텍스트 파일을 사용해 공격할 수 있으면 모든 디지털 콘텐츠를 사용할 수 있다는 것과 또 하나는 적절하게 배치된 메시지를 통한 소셜 엔지니어링 공격으로 누구나 속일 수 있다는 것이다. 
 
ⓒ Getty Images Bank 

소셜 엔지니어링 공격을 받고 있다는 10가지 신호는 다음과 같다. 

1. 로그온 정보 요청 
소셜 엔지니어링의 가장 큰 특징은 로그온 정보를 요청하는 이메일, 웹사이트 또는 전화다. 그들이 로그온 정보를 요청하면 그들은 피해자를 상대로 이를 사용해 계정에 로그인하고, 제어하고, 피해자나 피해자의 조직에 대해 조치를 취한다. 구글과 마이크로소프트는 매일 수백만 건의 이메일 계정과 싸우고 있다. 

위험을 줄이는 한 가지 방법은 다단계 인증(Multi Factor Authentication, MFA)이나 비밀번호 관리자(password manager)를 사용하는 것이다. 사기꾼은 사용자가 갖고 있지 않거나 모르는 비밀번호를 피싱할 수는 없다. 

불행히도 MFA 솔루션은 모든 곳에서 작동하는 것이 아니며, 비밀번호는 오랫동안 우리 곁에 있을 것이다. 또한 모든 MFA 솔루션은 여러 가지 방법으로 해킹될 수 있다. 필자는 MFA를 해킹하는 30가지 이상의 방법을 알고 있으며, 이는 필자의 다음 저서의 주제다. 

사기꾼들은 점점 더 많은 사람에게 휴대전화로 전화를 걸어 소셜 엔지니어링 공격을 감행하고 있다. 이들은 전화를 걸어 피해자의 컴퓨터 시스템이 바이러스에 감염되어 신용카드/페이팔/은행 계좌가 해킹 당한 것을 마이크로소프트가 탐지했다고 주장한다. 지금 현재의 로그온 정보를 제공하면 해킹을 막을 수 있다고 제안한다. 

IT 담당자를 포함해 누군가가 자신의 로그온 정보를 알고 싶다고 한다면, 이를 의심해야 한다. 

2. 콘텐츠 실행 요청 
콘텐츠를 실행하도록 요청하는 것은 소셜 엔지니어링을 수행하는 다음으로 가장 일반적인 신호다. 이메일, 웹 사이트 방문, 또는 소셜 미디어 게시물에서 온 것일 수 있다. 이메일은 해킹된 웹 사이트로 전송된다. 해킹된 웹 사이트는 웹 사이트를 계속 보려면 업데이트를 실행해야 한다는 팝업 메시지를 계속 보낸다.
 
ⓒ Roger Grimes

소셜 미디어 사이트는 자신이 볼 필요가 있는 흥미롭거나 짜릿한 동영상을 갖고 있다고 유혹할 것이다. 동영상을 실행하려고 하면 이 동영상을 시청하기 위해서는 특별한 소프트웨어(예, 비디오 코덱)을 설치해야 한다고 말한다.
 
실행하거나 설치하는 것은 “드로퍼 파일(dropper file)”이라는 악성코드로, 이는 컴퓨터를 장악한 다음, 전화 접속을 시도해 추가적인 악성코드와 실행 지침을 얻는다. 드로퍼 파일은 작으며 안티악성코드 탐지를 피하기 위해 자체 업데이트하도록 설계됐다.   

3. 잘못되었거나 의심스러운 URL
피싱 사기 다음으로 가장 큰 신호는 인터넷 도메인 이름이나 URL(Uniform Resource Locator)이 악의적으로 같아 보이거나 모양이 비슷하거나 발음이 비슷한 것이다. 
 
ⓒ Roger Grimes
ⓒ Roger Grimes 
ⓒ Roger Grimes 

자신과 조직의 모든 사람에게 가짜 URL 도메인을 발견하는 방법을 가르쳐야 한다. 대부분의 인터넷 브라우저는 실제 URL 도메인 이름을 굵게 표시해 호출한다. 
 
ⓒ Roger Grimes

URL 도메인 이름은 www.amazon.com이며, 이후 모든 내용은 콘텐츠나 미디어를 가리키며 DNS 도메인 이름의 일부가 아니다. 

가짜 도메인을 실제 도메인 URL과 구분하는 방법을 알고 이를 사랑하는 모든 사람에게 가르쳐야 한다. 예를 들어, 다음 그림은 애플 기술 지원팀에서 보낸 이메일이다. 회신 이메일 주소에는 "appleidicloudsupport"라는 단어가 포함되어 있지만, 연결된 도메인은 "entertainingworkshop.com"로 애플 도메인이 아니다. 
 
ⓒ Roger Grimes

사람들에게 URL 위에 마우스 커서를 올리면 실제로 어떤 이름인지 알 수 있다는 걸 가르쳐야 한다. 아쉽게도 점점 더 많은 사람이 정보를 소비하는 모바일 기기의 많은 브라우저와 SMS 클라이언트는 항상 호버링을 허용하지 않는다. 그러나 더 많은 사람은 처음부터 실제 URL을 표시하긴 한다. 

4. 스트레스 이벤트 
온라인 또는 전화를 통한 거의 모든 소셜 엔지니어링 시나리오에서 공격자는 스트레스 이벤트(Stressor events)를 사용한다. 스트레스 이벤트는 사용자가 즉각적이고 올바른 방식으로 행동하지 않으면 나쁜 일이 생길 것이라고 사기꾼들은 협박한다. 협박의 내용은 다음과 같다. 

- 로그온 자격 증명을 제공하지 않으면 계정이 영구적으로 잠길 것이다. 
- (가짜) 소프트웨어 업데이트를 실행하면 저장된 콘텐츠가 제거된다. 
- 귀하의 계좌/신용카드/은행계좌 정보의 소유권 증명을 제공하라. 그렇지 않으면 영구적으로 폐쇄된다. 
- 귀하가 포르노를 서핑하고 있는 것이 탐지되어 촬영했다. 이를 전세계에 보여줄 수 있다. 
- 벌금을 즉시 내야 한다. 그렇지 않으면 경찰에 신고되어 감옥에 갈 것이다(국세청에서 월마트 기프트 카드를 받는 걸 본 적이 있는가?). 
- 즉시 필요한 결제 또는 비즈니스 거래가 이뤄질 것이다. 
 
ⓒ Roger Grimes 


이 방법은 의심스러운 요청에 응답할 때 피해자의 생각할 시간을 줄이려는 것이다. 전화를 거는 자가 한번 아내에게 납치되어 고문을 당했다고 주장하면서 고문으로 고통에 시달리는 척하는 경향이 있었다. 짧은 여행에서 가게로 돌아왔을 때, 끔찍한 사건에서 탈출한 것처럼 몸을 껴안는 아내 때문에 놀란 적이 있다. 이런 종류의 사기는 여전히 일상적으로 발생한다. 

스트레스 이벤트를 경험한다면 천천히 멈춰서 생각하라. 실제 스트레스 이벤트에서 사기꾼은 흥분된 언어를 거의 사용하지 않는다. 

5. 발신자에게는 2개의 이메일 주소가 있다
100% 확실한 것은 아니지만, 다른 표시 주소(RFC 5322)와 반송 주소(RFC 5321)로 도착하는 모든 이메일은 악성일 수 있다. 
 
ⓒ Roger Grimes

2개의 서로 다른 이메일 주소를 갖는 것이 일반적인 피싱 기술이므로, 하나의 이메일 주소(정식으로 보임)와 이메일이 실제로 속한 다른 “실제” 이메일 주소를 제시할 수 있다. 합법적인 마케팅 및 지원 이메일도 종종 이를 수행하지만 대부분의 경우, 발신자 라인에서 서로 다른 2개의 이메일 주소를 보면 악의성이 드러난다. 

또한 새롭거나 이상하거나 예기치 않은 이메일 주소를 가진 이메일을 살펴보자. 피싱 행위자는 때때로 CEO가 발신자에 CEO 이름이 있는 지메일/핫메일/야후 이메일 주소를 사용해 CEO 자신의 개인 계정에서 이메일을 보낸다고 주장하기도 한다. 

6. 뱅킹 또는 송금 지침의 변경 
비즈니스 이메일 해킹(BEC) 사기는 260억 달러나 되며 최고의 소셜 엔지니어링 사기로 랜섬웨어를 능가한다. 사기꾼은 대부분은 가짜 송장을 보내며, 종종 새로운 은행 계좌로 송금을 요청하거나 기존 은행 송금 지침을 업데이트하기 위한 이메일을 발송한다. 일부 사기꾼은 정기적으로 지불하는 신뢰할 수 있는 서드파티에 침입해 송금 지침을 변경한 다음 정기적으로 예약된 송장 지불 시기까지 기다린다. 

피해자들은 종종 한달 동안 다른 사람이 미지급된 연체에 대해 신고할 때까지 수개월 간 사기를 당한 사실을 알지 못한다. 지불 지침 변경을 요청하는 합법적이거나 그렇지 않은 이메일은 즉시 변경을 요청하는 상대방에게 전화를 걸어야 한다. 

7. 잘못된 닉네임이나 이름을 사용 
이는 작은 신호지만 충분히 작동한다. 발신자는 보통 수신자에게 이메일을 보낼 때, 별명이나 짧은 이름을 사용하는데, 자신의 정식 이름을 사용했다면 이것이 피싱 사기를 충분히 알아낼 수 있다.  

또는 평소에 그 사람의 이름으로 이메일을 완성하지 않았거나 그 반대도 마찬가지다. 또한 평소에 이메일을 시작할 때 상대방의 이름을 입력하지 않았거나 수신자의 비공식적인 닉네임을 사용하지 않는 경우도 있다.
 
이 아이디어는 공격자가 종종 비즈니스 이메일과 함께 제공되는 작은 비공식 정보를 알지 못한다는 것에 착안했다. 작은 세부 사항들을 기록하라. 

8. 전화를 받을 수 없다 
소셜 엔지니어링 사기꾼은 종종 요청을 확인하기 위한 전화를 받을 수 없다. 이들은 일반적으로 전화를 받을 수 없다고 주장하고 사용 가능한 전화가 없거나 전화를 사용하지 못하는 갖가지 변명을 할 수밖에 없다. 그 이유는 보통 이들은 자신이라고 주장하는 사람과 다른 억양을 가진 외국인이기 때문이다. 

이는 로맨스와 데이트 사기의 경우, 특히 그렇다. 이들은 무수한 이유로 인스턴트 메시징만 사용할 수 있다고 주장한다. 예를 들어, 이들은 국가 또는 일급 비밀 임무를 수행하는 훈련된 군인이라고 주장한다. 전화를 받을 수는 없지만 하루에 몇 시간동안 채팅을 할 수 있고 다양한 방법으로 송금한 돈을 받을 수 있기 때문에 매우 재미있다. 

먼저 다가오고, 모델과 같은 완벽한 아름다움을 갖고 있으며, 지나치게 친밀해지고 며칠만에 사랑에 빠진다. 미군이라고 한다면, 군.mil 계정으로 이메일을 보내도록 요청하라. 모든 미군은 .mil 계정을 갖고 있으며, 보안이 강화된 MFA 스마트카드와 연결되어 있어 사기꾼은 .mil 계정을 사용하거나 얻을 수 없다. 누군가가 미군 출신이라고 주장하면서 어떤 이유로 .mil 계정에서 이메일을 보낼 수 없다면 그는 사기꾼이다.
 
다음에 설명하는 소셜 엔지니어링의 2가지 신호는 특히 온라인 사이트에서 상품을 판매하거나 구매할 경우 관련이 있다. 

9. 구매자가 너무 수용한다
이베이(eBay)와 같은 중계 사이트에서 온라인으로 물건을 사고 파는 사람은 이 서비스가 사기꾼에게 아주 좋은 무대라는 것을 모를 수 있다. 일반적으로 이들은 제품을 구매하거나 제품을 판매할 때 가격 협상을 시도하지 않으며, 부수적인 운송료나 세금, 기타 비용을 기꺼이 지불한다. 부동산을 팔거나 임대하는 경우, 시장 가격보다 훨씬 낮은 가격을 제공하지만 직접 만날 수는 없다. 

무료 점심 식사는 있을 수 있지만 너무 좋은 거래는 없다. 구매자 또는 판매자가 자신에게 전체 가격을 지불하거나 판매하는 물건에 대해 도둑 거래를 제안한다면 이는 아마도 다른 방법으로 이익을 가져가거나 혹은 사기임에 틀림없다. 

10. 서비스를 중지하거나 외부에서 거래하기 요구 
대부분의 온라인 판매 및 경매 사이트는 자신의 사이트 및 서비스를 대상으로 하는 사기꾼의 행동들을 잘 파악하고 있다. 이런 이유로 구매자와 판매자를 위한 보호 기능이 탑재되어 있다. 

이런 보호 조치로 인해 사기꾼은 피해자에게 서비스를 중단하도록 권장하거나 강요한다. 이들은 피해자에게 돈을 절약할 수 있다고 유혹한다. 피해자는 신뢰할 수 있는 애스크로 서비스(escrow service)나 신뢰할 수 있는 화주(shipper)를 사용하는 것이 좋다. 이들은 페이팔을 사용하는 피해자에게 일반 은행에서 무료로 현금을 인출할 수 있는 수표를 보내도록 요구한다. 피해자가 서비스를 중단하면 사기꾼은 거의 절반은 성공한 셈이며 범죄를 비교적 쉽게 완료할 수 있다. 

트럭을 팔고 있는 피해자에게 사기꾼은 온라인 서비스를 사용해 트럭을 판매하는 대신 직접 만나서 현금을 지불한다고 제안했다. 이들은 그녀에게 현금 보증금을 주었고, 운전면허증을 남겼다. 그들은 차량을 시험 운전하기 위해 운전했으며, 다시는 볼 수 없었다. 이들은 400달러에 4만 달러의 트럭을 얻었다. 물론 운전 면허증은 가짜였다. 

누군가가 물건을 사고 팔려는 서비스나 사이트에서 벗어나 다른 곳에서 거래를 제안한다면 의심해야 한다. 가장 좋은 방법은 지침을 따르고 상대방의 유혹에 따라가서는 안된다. 

소셜 엔지니어링의 10가지 신호는 범죄자가 피해자에게 사기치는 가장 일반적인 방법들이다. 일반적인 문제는 이메일, SMS, 전화가 기본적으로 제대로 인증되지 않는다는 것이다. 누구나 다 대부분의 서비스를 가진 사람이라고 주장할 수 있다. 인증은 필수다. 누군가 인증을 할 때까지는 부정적으로 보는 편이 좋다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.