'소셜 엔지니어링 해킹' 들어 보셨습니까?

사회 공학적 해킹(Social Engineering Hacking) 이란?

 

  시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법. 인터넷의 발달로 이메일, 인터넷 메신저, 트위터 등을 통해 사람에게 접근하는 채널이 다각화됨에 따라 지인으로 가장하여 원하는 정보를 얻어내는 공격방법.

 

  기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단.

 

  최근 문제가 되는 ‘전화사기’ 등도 모두 사회공학적 해킹의 한 종류입니다. 사회공학적 해킹의 정의 중 가장 널리 인용되는 문구는, “The art and science of getting people to comply with wishes(사람들로 하여금 당신이 원하는 바대로 응하도록 하는 예술이자 과학).”

 

 

사회 공학적 해킹(Social Engineering Hacking) 사례

 

 

  대부분의 사람들이 해킹(Hacking)은 프로그래머들이 컴퓨터를 통해서만 할 것이라는 선입견을 가지고 있다. 만약 초보 해커들이라면 암호가 걸린 컴퓨터를 뚫기 위해 암호를 일일이 대입하는 프로그램을 오랜 시간 가동해 뚫을 것이다. 하지만 진정한 해커들은 주인들에게 전화를 할 것입니다.

 

“안녕하세요? 보안부서 OOO팀장이라고 합니다. 지금 전체 네트워크 리붓작업이 있을 예정입니다. 중요한 정보는 미리 다 저장해주시면 감사하겠습니다.”

 

  이때 해커는 절대로 컴퓨터 주인에게 비밀번호는 묻지 않습니다. 그리고 컴퓨터 주인은 열심히 시키는 대로 정보저장에 한창일 것입니다.

 

이 때 다시 전화를 걸어

 

 “네 방금 전화 드렸던 보안부서 OOO팀장인데, 혹시 컴퓨터에 비밀번호가 걸려져 있나요? 이번 네트워크 리봇작업이 보안성 강화를 위해 암호화 구조를 바꾸기 위한 작업입니다. 기존에 걸어놓으신 암호는 해제하여 주시고, 리봇이 완료되고 나면 암호를 재설정해주시기 바랍니다."

 

 "아, 혹시 메모가 가능하신가요? 이번 암호화 구조로 포맷이 새로 설정 되서요. 16자리로 암호를 작성하시되 대문자 2자리 이상, 숫자 3개 이상이 들어가야 합니다.”

 

  해커는 이렇게 비밀번호를 16자리 대문자, 2자리이상 숫자, 3자리이상 숫자로 한정하여 경우의 수를 줄이고 손쉽게 암호를 풀 수 있습니다.

 

 

이 때 해커는 프로그래밍 기술이 아닌 아래의 방법을 사용했습니다.

 

1. 부서의 전화번호를 비롯해 컴퓨터 주인의 이름까지 철저한 사전조사가 이루어 졌습니다.

2. 첫 전화에서 암호와 관련된 어떠한 말도 하지 않았기에 의심할 여지가 없었습니다.

3. 암호를 재설정을 요구하는 과정에서 의심이 발생할 수 있었지만, 곧 바로 메모가 가능하냐며 상대에게 '기억할 것'을 전달했습니다. 상대방은 '의심'에서 '기억'으로 관심이 바뀌었고 그가 말해준 것들을 완벽하게 기억해냈다며 뿌듯해하고 있을 것입니다.

 

 

 

사회공학적 공격으로 유명한 케빈 미트닉(Kevin Mitnick)은 한 인터뷰에서 다음과 같은 말을 남겼다.

 

"The Biggest threat to the security of a company is not a computer virus, an unpatched hole in a key program or a badly installed firewall. In fact, the biggest threat could be you."

 

"기업 정보보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다."

 

최근 일어나고 있는 개인정보 유출사고조차 보안사고 아닌 인재(人災)라는 말이 나오고 있습니다.  케빈 미트닉의 말과 같이 가장 큰 보안의 위협은 '당신(사람)'일 수 있습니다.

 

 

 

 

대학생 기자단 배성영 / 한국기술교육대 정보통신공학부