전체메뉴
사람 사이 심리·사회적 관계 이용하는 ‘지능적 해킹’
오바마·빌게이츠 등 저명인사 트위터 뚫은 ‘사회공학적 공격’과 예방법
다양한 방법이용 정보 캐내…개인 신상 담긴 문서·온라인 정보 철저 관리
2020년 07월 21일(화) 17:55
트위터에서 최근 유명인사들을 타깃으로 한 대규모 해킹 사건이 일어났다.

해킹 피해를 입은 계정은 버락 오바마 전 대통령, 마이크로소프트(MS) 창업자 빌 게이츠, 아마존 최고경영자(CEO) 제프 베이조스, 테슬라 CEO 일론 머스크 등 130여개에 달한다.

해킹범은 이들 유명인사 이름으로 “30분 또는 1시간 안에 비트코인(가상화폐)을 보내주면 배로 되돌려주겠다”는 트윗을 올렸다. 트윗에는 가상화폐를 보낼 수 있는 피싱 사이트가 함께 적혀 있었다.

트위터는 18일 공식 블로그를 통해 “해커가 ‘사회공학적 공격’(Social Engineering Attack)을 통해 트위터 내부 직원을 노려 해킹에 성공한 것으로 보고 있다”고 밝혔다. 해커들이 트위터 직원을 통해 회사의 내부 시스템과 도구에 접근한 뒤, 유명인들의 계정을 이용했다는 설명이다.

보안 분야에서 ‘사회공학’은 기술적인 방법이 아닌 사람 사이의 심리·사회적 관계를 이용해 정보를 캐내는 기법을 뜻한다. 시스템 취약점을 노리기보다, 사람이 직접 정보를 흘리게 만드는 ‘지능적 해킹’이다.

마이크로소프트에 따르면 사회공학적 공격은 크게 5가지로 분류된다. ▲온라인 ▲전화 ▲폐기물 관리 ▲개인적 접근 ▲역 사회공학 등이다.

‘온라인’은 피싱(Phishing) 메일 등으로 악성코드를 심어 보안 정보를 캐내는 방식이다. 전화를 도청하거나 통화 중 비밀번호를 말하게 하기도 하며, 스미싱(Smishing) 문자메시지를 보내오기도 한다. 쪽지나 버려진 문서 등 폐기물을 수집해 정보를 파악하는 것도 사회공학적 공격에 포함된다.

때로는 개인적으로 접근해 직접 정보를 물어보기도 한다. 협박·설득하거나 환심을 사 정보를 누설하게 만들기도 한다.

‘역 사회공학’은 피해자가 IT전문가를 가장한 해커에게 자발적으로 정보를 흘리도록 이끄는 방식이다. 해커가 시스템에 의도적으로 문제를 일으키고, 이를 고쳐주는 척 하며 정보를 빼내는 식이다.

사회공학적 공격은 보안업계에서 역사가 깊은 해킹 방식이다.

1980년대 미국에서 ‘해커의 제왕’으로 불렸던 케빈 미트닉의 사례가 대표적이다. 그는 전화·감청 등 방법만으로 노키아, 모토로라, 퀄컴 등 최소 35곳의 기업 네트워크를 드나들며 기밀을 유출하고 소프트웨어를 훔쳐 3억여 달러의 피해를 입힌 것으로 알려졌다. 그는 “인터넷 보안의 맹점은 시스템이 아니라 사람”이라고 말한 것으로 전해진다.

휴대폰번호, 계좌 정보 등 각종 개인정보가 디지털화돼 온라인에 저장되는 최근 사회공학적 공격은 중요한 보안 이슈로 재부상했다. 최근에는 ‘코로나19’, ‘재난지원금’ 등 키워드를 담은 피싱 메일 등으로 호기심과 심리를 이용하는 등 수단이 더욱 교묘해지고 있다.

보안업체 이스트시큐리티는 2020년 예상되는 5대 보안이슈를 발표하며 첫 번째로 ‘사회공학적 기법 범위 확대’를 꼽았다. 보안업체 안랩도 2020년 상반기 5대 보안이슈 중 ‘코로나19로 위장한 사이버 공격’, ‘스미싱·보이스피싱’ 등 2개 항목을 사회공학적 공격으로 선정했다.

사회공학적 공격은 불규칙적이고 예측 불가능한 사람을 대상으로 하는 만큼 완벽하게 피해를 예방할 수는 없다.

피해를 예방하려면 이용자가 미리 주의하는 게 최선이다. 개인은 신상이 담긴 문서나 온라인 개인정보 등을 철저히 관리해야 한다.

정보를 요청한 사람의 신원을 꼼꼼히 체크하고, 전화나 메시지를 통해 중요 정보를 흘리지 않는 것도 중요하다.

/유연재 기자 yjyou@kwangju.co.kr