사회공학 기법
IT 위키
사회공학 기법(social engineering)은 인간의 심리와 행동을 악용하여 기밀 정보나 시스템 접근 권한을 탈취하려는 비기술적 해킹 수법이다. 보안 시스템 자체를 뚫기보다는 사람의 실수, 신뢰, 공포, 호기심 등을 이용하여 공격하는 것이 특징이다.
1 개념[편집 | 원본 편집]
사회공학은 다음과 같은 방식으로 작동한다:
- 공격자가 신뢰를 가장하거나 위협을 사용함
- 피해자가 자발적으로 정보나 접근 권한을 제공함
- 기술적 해킹보다 방어가 어렵고 탐지되기 힘듦
2 주요 기법[편집 | 원본 편집]
- 피싱 (Phishing)
- 이메일, 메시지 등을 통해 가짜 사이트로 유도하여 로그인 정보 등을 탈취
- 예: 은행 사칭 이메일
- 스피어 피싱 (Spear Phishing)
- 특정 개인이나 조직을 겨냥한 정밀 피싱 공격
- 프리텍스팅 (Pretexting)
- 공격자가 특정 인물이나 직책을 사칭하여 정보 요구
- 예: IT 부서인 척 전화하여 비밀번호 요구
- 테일게이팅 (Tailgating)
- 물리적 보안 구역에 무단 침입
- 예: 출입증 없는 사람이 문 열릴 때 따라 들어감
- 베이팅 (Baiting)
- 악성 USB, 링크, 파일 등을 유인물처럼 제공
- 호기심이나 이익을 자극함
- 퀴즈나 설문 사기
- 소셜 미디어에서 '이름+생일=닉네임' 등의 콘텐츠로 개인 정보 수집
- 바이싱 (Vishing), 스미싱 (Smishing)
- 음성 통화(vishing), 문자 메시지(smishing)를 통한 피싱
3 심리적 유도 요소[편집 | 원본 편집]
- 긴급성 강조
- 신뢰/권위 있는 인물 사칭
- 두려움 유발
- 호의/도움 요청
- 익숙한 브랜드나 기업 로고 사용
4 방어 방법[편집 | 원본 편집]
- 출처가 불분명한 링크/첨부파일 클릭 금지
- 의심스러운 전화나 이메일에 즉각 응답하지 않기
- 비밀번호, OTP는 누구에게도 말하지 않기
- 물리적 접근 통제 강화
- 정보보안 교육 및 의심 훈련 (보안 인식 훈련)
5 조직 차원의 대응[편집 | 원본 편집]
- 다단계 인증(MFA) 적용
- 침입 탐지 및 로깅 시스템 운용
- 권한 최소화 원칙 적용
- 사회공학 시뮬레이션(모의 훈련) 실시
6 같이 보기[편집 | 원본 편집]
7 참고 문헌[편집 | 원본 편집]
- Mitnick, K. D., & Simon, W. L. (2002). The Art of Deception. Wiley
- Hadnagy, C. (2018). Social Engineering: The Science of Human Hacking. Wiley
- 한국인터넷진흥원(KISA). 사회공학적 공격 대응 가이드
