최첨단 보안 기술이 아무리 많이 사용되더라도, 사이버 보안 측면에서 조직의 가장 큰 약점은 바로 직원들일 수 있습니다. 직원들이 의도적으로 그런 행동을 한다는 뜻은 아닙니다. 오히려 악의적인 세력에 속고 있다는 뜻입니다. 이를 사회 공학이라고 하며, 범죄자들이 표적을 공격하는 주요 방법 중 하나입니다.
사회 공학은 완전히 심리적인 공격이며 인간의 오류를 악용합니다. 이러한 전략을 사용하는 사람들은 개인 정보를 유출시키려고 시도합니다. 이는 범죄자들이 조직이 막대한 비용을 들여 심혈을 기울여 설치한 보안 체계를 완전히 우회하여 표적을 공격할 수 있다는 점에서 매우 효과적인 전략이 될 수 있습니다. 몇 가지 일반적인 사회 공학 전략은 다음과 같습니다.
피싱 (Phishing)
아마도 가장 흔한 사회공학적 수법일 피싱은 매우 효과적이기 때문에 안타깝게도 매우 흔해졌습니다. 피싱의 기본 수법은 아무것도 모르는 직원들을 속여 개인 정보를 유출하거나 위장된 의심스러운 링크를 클릭하게 하는 것입니다.
친숙함 악용
이 기법을 통해 범죄자들은 대상에게 친숙한 사람인 척합니다. 아는 동료의 이름과 사진을 사용하여 가짜 계정을 만들고 대상에게 이메일을 보내는데, 대상은 사기꾼을 알아채지 못하면 기밀 정보를 유출할 수 있습니다. 심지어 실제 상황에서는 조직 내 사람들과 대화를 시작하여 서로 친숙해지도록 유도하기도 합니다.
뒤를 바짝 쫓아
일반적인 사회 공학적 전술인 테일게이팅은 특정 구역에 개인이 무단으로 진입하는 것을 말합니다. 조직은 테일게이팅을 적극적으로 방지하려고 하지만, 범죄자들은 사회 공학적 전술을 통해 그 이상의 공격을 감행할 수 있습니다. 범죄자들은 낯선 사람을 불쾌하게 하지 않으려는 인간의 본능적인 성향을 이용하여 특정 구역에 들어가도록 요구할 수도 있습니다.
범죄자들은 태곳적부터 인간의 행동을 이용해 왔습니다. 따라서 사회 공학은 새로운 전술이 아닙니다. 다만, 데이터가 핵심인 정보 시대에 맞춰 이러한 전술이 변형되었다는 점이 다릅니다. 사회 공학적 공격을 예방하기 위해 다음 조언이 유용할 수 있습니다.
사회 공학에 대한 인식 – 조직의 직원들이 자신이 무엇에 반대하는지 정확히 알지 못한다면, 그들을 옹호하도록 강요하는 것은 무의미합니다. 예를 들어, 많은 직원들은 "소셜 엔지니어링"이라는 용어가 무슨 뜻인지조차 모를 수 있습니다. 따라서 이 용어에 대한 인식이 항상 첫 번째 단계입니다. 보안팀은 직원들이 소셜 엔지니어링이 무엇이고 어떻게 방어해야 하는지 인지할 수 있도록 소셜 엔지니어링에 대한 정기적인 인식 교육을 실시해야 합니다.
엄격한 정보 보안 정책을 유지하세요. 이러한 정책은 물리적 보안과 디지털 보안 모두에 적용되어야 합니다. 예를 들어, 기업은 테일게이팅(꼬리치기)을 방지하기 위한 엄격한 출입 통제 정책과 시스템 사용 방식을 마련해야 합니다. 디지털 관점에서는 직원들이 정보 요청에 어떻게 대응해야 하는지 규정하는 정책을 수립하고 엄격하게 시행해야 합니다. 또한 규정 준수를 위한 모니터링도 이루어져야 합니다.
피싱 방지 – 피싱은 가장 흔한 형태의 소셜 엔지니어링 공격이므로, 조직에서는 사이버 보안 솔루션에 피싱 방지 조치를 도입하는 것이 중요합니다. 이러한 측면에서 Seqrite의 엔드포인트 보안 및 통합 위협 관리 솔루션은 네트워크 침투 전에 차단되는 피싱 공격으로부터 보호합니다.
정기 감사를 실행하세요 – 사이버 보안의 지속성을 점검하기 위해 정기적인 감사를 실시하는 것이 중요합니다. 조직은 소셜 엔지니어링 공격에 대한 대응력을 확인하기 위해 전문 감사를 실시하는 것을 고려해야 합니다. 조직의 준비 상태를 평가하기 위해 감사 결과를 정기적으로 감사해야 합니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 보안을 제공합니다. 더 자세히 알아보려면
