사이버 보안: 사회공학기법이란?

정의

사람들의 신뢰나 무지, 또는 인간의 사회적 행동을 이용하여 정보를 획득하거나 인간을 속이는 기법입니다.

예제

피싱 (Phishing)

피싱은 사회공학의 가장 일반적인 형태 중 하나입니다. 공격자는 전자 메일, 메시지, 또는 소셜 미디어와 같은 수단을 사용하여 사람들을 속여 개인 정보를 빼내거나 악성 소프트웨어를 설치하도록 유도합니다. 예를 들어, 은행에서 온 것처럼 위장한 이메일을 통해 사용자의 로그인 정보를 요구하거나, 신뢰할 수 있는 기관으로 위장한 링크를 제공하여 사용자로 하여금 개인 정보를 입력하게 합니다.

소셜 엔지니어링 (Social Engineering)

소셜 엔지니어링은 공격자가 사람들과의 상호 작용을 통해 정보를 얻거나 특정 동작을 수행하도록 유도하는 기법입니다. 예를 들어, 공격자는 전화로 '기술 지원 담당자'라 주장하여 사람들을 속여 비밀 정보를 노출하도록 유도하거나, 민감한 정보에 접근하기 위해 사회적으로 신뢰할 수 있는 척 하는 기법을 사용할 수 있습니다.

테일게이팅 (Tailgating)

테일게이팅은 무단 출입을 허용하지 않는 곳에 침입하기 위해 사람들의 도움을 요청하는 기법입니다. 공격자는 사람들이 출입문을 통과할 때 함께 들어가거나, 엘리베이터나 보안문 등에 대한 알맞은 인증 절차를 거치지 않고 동선을 따라 진입합니다.

어깨너머보기 (Shoulder Surfing)

어깨너머보기는 공격자가 다른 사람의 컴퓨터 화면이나 모바일 기기를 엿보아 민감한 정보를 탈취하는 기법입니다. 공공장소나 회사 내에서 다른 사람의 비밀번호, 핀 번호, 인증 코드 등을 엿보는 방식으로 사용될 수 있습니다.

유인 (Baiting)

유인은 공격자가 사람들의 호기심이나 욕구를 자극하여 정보를 획득하거나 악성 활동을 유발하는 기법입니다. 예를 들어, 공공 장소에 USB 플래시 드라이브를 놓아두고, 사람들이 호기심에 이를 사용하도록 유도하고 그 결과로 악성 소프트웨어가 실행되도록 설계될 수 있습니다.