사회 공학 기법

사회 공학 기법(Social engineering, 社會工學技法)은 사람의 심리적 취약점을 이용하여 비밀 정보나 접근 권한 등을 탈취하는 보안 공격 방식이다.

개요[편집 | 원본 편집]

사회 공학은 기술적인 해킹과 달리, 인간을 대상으로 하는 심리적 기만 수단에 초점을 맞춘다. 공격자는 사람들의 신뢰, 공포, 호기심, 습관 등을 악용하여 정보를 얻거나 시스템에 접근하려 한다. 이는 보안의 가장 약한 고리인 ‘사람’을 겨냥한 공격이다.

주요 기법[편집 | 원본 편집]

• 피싱(Phishing)
  • 이메일, 메시지 등을 통해 가짜 웹사이트로 유도하여 개인정보(아이디, 비밀번호, 신용카드 번호 등)를 입력하게 만드는 기법이다.
• 스피어 피싱(Spear Phishing)
  • 특정 개인이나 조직을 타겟으로 한 정교한 피싱 공격이다. 피해자의 정보를 사전에 수집하여 더 그럴듯한 메시지를 보낸다.
• 프리텍스팅(Pretexting)
  • 공격자가 특정한 신분(예: IT 관리자, 공무원 등)을 사칭하여 피해자로부터 정보를 얻는 방법이다.
• 베이팅(Baiting)
  • 물리적인 미끼(USB 드라이브 등)를 이용하거나, 무료 콘텐츠 다운로드 등을 미끼로 감염된 파일을 설치하게 만든다.
• 테일게이팅(Tailgating)
  • 권한이 없는 사람이 출입문 등에서 합법적인 사용자를 따라 들어가는 방식이다.
• 퀴즈 및 설문조사 사기
  • 사용자로부터 개인정보를 얻기 위해 흥미로운 퀴즈나 설문조사를 가장하는 방식이다.

방어 방법[편집 | 원본 편집]

• 출처가 불분명한 이메일이나 링크 클릭 자제
• 비밀번호 및 보안 정보 공유 금지
• 다단계 인증(MFA) 활성화
• 보안 교육 및 훈련 정기적 실시
• 사회 공학 테스트 및 시뮬레이션 훈련
• 소셜 미디어에 과도한 개인정보 공개 자제

실제 사례[편집 | 원본 편집]

• 2011년 RSA 보안 침해: 스피어 피싱 이메일을 통해 내부 직원 계정 탈취 후, 보안 토큰 관련 정보가 유출되었다.
• 2020년 트위터 해킹 사건: 내부 직원이 사회 공학 기법에 속아 관리자 계정을 넘겨준 결과, 유명 인사 계정이 대규모로 해킹됨.

같이 보기[편집 | 원본 편집]

• 사이버 보안
• 피싱
• 정보 보안
• 사회 공학
• 사이버 공격 기법

참고 문헌[편집 | 원본 편집]

• Mitnick, Kevin D. *The Art of Deception*. Wiley, 2002.
• Gragg, David. "A Multi-Level Defense Against Social Engineering." *SANS Institute*, 2003.

각주[편집 | 원본 편집]