커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 점점 더 교묘한 심리적 압박 전술 보여주는 소셜엔지니어링 공격자들
지난 주 보안 업체 멀웨어바이츠(Malwarebytes)는 두 개의 피싱 캠페인을 발견했다. 하나는 트위터 사용자들을 노린 것으로, 사용자들에게 DM을 보내 “당신의 계정에서 혐오 발언이 발견돼 중지됐으니 로그인을 하여 본인 인증을 하라”고 협박한다. 여기에 속아 인증을 시작하면 가짜 트위터 헬프센터로 연결되며, 거기서 로그인 크리덴셜이 탈취된다.

다른 피싱 캠페인의 경우, 표적은 디스코드 사용자들이었다. 사용자가 외설적이고 불쾌한 사진들을 보내는 바람에 곤란했다는 내용이 담긴 메시지가 전달되는데, 이 메시지에는 링크가 하나 달려 있다. 놀란 사용자가 진상을 확인하려고 링크를 클릭하는 순간 QR코드를 통해 로그인 하라는 메시지가 뜬다. 그래서 사용자가 QR코드를 스캔하면 디스코드 계정이 공격자들에게 넘어간다고 멀웨어바이츠는 경고했다.

보안 업체 슬래시넥스트(SlashNext)의 CEO인 패트릭 하르(Patrick Harr)는 이 캠페인들을 기획한 자가 꽤나 영리해 보인다고 말한다. “기존의 전형적인 소셜엔지니어링 공격을 살짝 비틀었거든요. 그러면서도 확실하게 사용자들에게 공포나 분노를 일으키죠. 이럴 때 사람들은 앞뒤 재지 않고 빠르게 움직이거든요. 즉 꽤나 신선하고 새롭게 사람들을 흥분시키는 피싱 공격입니다. 혐오 발언이나 외설적 이미지라니, 자신의 사회적 위치와 인간 관계에서 위기감을 느낄 수밖에 없게 됩니다.”

소셜미디어는 피싱 공격이 가장 빈번하게 일어나는 플랫폼이다. 공격자들은 소셜미디어 사용자들의 심리를 건드릴 줄 알며, 이를 통해 로그인 크리덴셜을 가로챈다. 소셜미디어 계정만 탈취되면 그나마 다행인데, 이런 공격을 연쇄적으로 성공시킴으로써 은행 계좌를 공격자들이 가져가는 사례도 흔하다. 심지어 회사 네트워크가 뚫리는 경우도 심심찮게 나타난다. 그렇기 때문에 각 기업들은 직원들의 소셜미디어 계정 관리에 대해서도 교육을 해야 한다.

보안 업체 노비포(KnowBe4)의 보안 고문인 제임스 맥퀴간(James McQuiggan)은 “소셜미디어에서의 피싱 공격은 굉장히 효율적”이라고 설명한다. “소셜미디어에서는 사람들의 반응이 빨리 오거든요. 보통 피싱 공격은 이메일로 많이 진행되는데, 이메일로 하면 공격자들 편에서도 피해자의 반응을 꽤나 긴 시간 기다려야 합니다. 또 소셜미디어는 열린 장소의 느낌이 있기 때문에 피해자들이 이메일에서보다 더한 공포심이나 조바심을 느끼게 되죠.”

소셜미디어 사용자들은 대체적으로 해당 플랫폼과, 그 플랫폼을 통해 구축한 인맥 네트워크에 강한 소속감을 느낀다. 그렇기 때문에 계정 비밀번호가 만료되었다거나, 계정이 정지되었다는 소리에 심리적으로 크게 요동한다. 게다가 소셜미디어는 워낙 잘 알려져서 가짜 로그인 페이지를 똑같이 만드는 것도 쉽다.

하지만 소셜엔지니어링 공격의 성공률을 높이는 건 기술이 아니다. 심리적 압박이다. 그래서 피싱 공격자들은 피해자들이 심리적으로 압박을 느낄만한 상황을 다양하게 만들어 낸다. 보안 업체 룩아웃(Lookout)의 수석 관리자인 행크 슐레스(Hank Schless)는 “피해자가 냉정하게 앉아서 생각할 시간을 주면 안 되는 게 공격자들의 입장”이라고 설명한다. “최대한 감정에 치우쳐서 본능적으로 행동하도록 유도해야 합니다.”

슐레스는 “이번에 공개된 트위터와 디스코드 피싱 공격의 경우 사용자의 ‘이미지’를 노렸다”며 “잘못하면 공개적으로 크게 망신을 당하거나 심지어 사회적으로 매장될 수도 있다는 공포심을 유발했다”고 설명한다. “요즘 혐오 발언을 했다고 소문이 잘못 나기라도 하면 큰일나죠. 게다가 외설적인 콘텐츠를 뿌렸다? 소셜미디어에서의 지위가 완전히 하락하겠죠. 그러니 사용자들이 생각도 하지 않고 말려드는 겁니다.”

맥퀴간은 “원격 근무자들도 꽤나 피싱 공격에 취약할 수 있다”고 지적한다. “물리적인 주변 환경 속에서 갑자기 사람들이 사라졌고, 따라서 소셜미디어와 같은 매체에 대한 의존도가 높아졌죠. 게다가 회사가 업무 장비도 제대로 마련해주지 않은 경우는 어떨까요? 소셜미디어 활동을 하는 장비와 업무 장비가 겹칠 가능성이 높아지죠. 그러면 심리적으로 느슨해지면서 소셜엔지니어링 공격에 보다 취약한 상태가 되고, 해당 장비들로부터 회사 네트워크가 침해되기도 합니다.”

소셜미디어에는 신상 정보가 풍부하다. 공격자들이 조금만 조사하면 누가 어떤 회사에서 어떤 직위를 가지고 있는지도 알 수 있다. 그런 경우 정교한 스피어피싱 공격도 할 수 있다. “그렇기 때문에 사실은 소셜미디어를 개인적으로 접속하는 장비와 업무용 장비를 구분하고, 소셜미디어 계정에 공유하는 회사 관련 정보는 최소화 하는 게 제일 좋습니다. 하지만 이렇게 회사가 개인의 삶에 깊이 파고들 때 생산성이 떨어지고 회사에 대한 불만이 생기죠. 그렇다고 개인 장비에 보안 솔루션을 설치하라고 강제하기도 힘듭니다.”

맥퀴간은 “가장 마찰이 적은 것 중 하나는 소셜엔지니어링 공격에 대한 교육을 실시하는 것”이라고 말한다. “교육을 통해 스스로가 소셜미디어에서의 활동을 안전하게 가다듬도록 해야 합니다. 다행히 지켜야 할 보안 수칙이라는 것이 그리 어렵지만은 않습니다. 조금만 신경 쓰면 누구나 지킬 수 있는 것이죠. 기본적인 안전 수칙이 몸에 베면 자연스럽게 더 위험한 공격들도 막을 수 있게 되고요.”

슐레스는 “최근 들어 보이스 피싱 역시 빠르게 증가하고 있다”고 경고한다. “큐알코드도 최근엔 피싱 공격의 재료로 사용되고 있고, 딥페이크 기술도 슬슬 모습을 드러내고 있죠. 피싱 공격자들은 사람을 속이기 위해 온갖 기술을 다 동원할 것이고, 신기술은 끊임없이 나타날 것입니다. 무슨 말이냐면, 당분간 피싱 공격이 중단될 일은 없다는 겁니다. 피싱 방어에 대한 투자를 아끼지 말아야 하는 이유입니다.”

하르는 “피싱 공격이 지속적으로 우리를 괴롭힌다는 건, 소셜미디어 역시 당분간 보안 담당자들의 골칫거리가 될 것이라는 뜻”이라고 말한다. “그래서 소셜미디어 및 이메일 계정 보호를 요청하는 기업들의 수가 꾸준히 증가하고 있습니다. 최초의 공격 투입 경로로서 소셜엔지니어링과 피싱 공격의 중요도를 이해하고 있는 사용자 기업들이 늘어나고 있습니다.”
파일
목록