정보 통신이 발달하면서 개인 정보가 침해되는 사례가 빈번히 발생하고 있습니다. 개인 정보 침해 사례로는 기업이나 공공기관을 대상으로 한 대규모 해킹도 있지만, 우리의 일상 속에서 쉽게 발생하는 해킹도 있답니다.
특별한 컴퓨터 기술 없이도 쉽게 타인의 개인정보를 해킹하는 경우가 있다고 하는데요, 이를 ‘소셜 엔지니어링’이라 합니다. 미처 예상하지 못한 틈을 파고들어 정보를 해킹하는 소셜 엔지니어링! 그 방식은 무엇이며 어떻게 대응해야 하는지 알아볼까요?
소셜 엔지니어링은 무엇인가요?
‘사회공학’이라고도 불리는 소셜 엔지니어링은 사람들을 속여 보안을 깨뜨리고 정보를 얻는 기술로서 접근 수단에 따라 크게 컴퓨터 기반과 인간 기반으로 나누어 집니다.
컴퓨터 기반의 소셜 엔지니어링은 요즘 사회적으로 큰 문제가 되고 있는 피싱과 스미싱 그리고 악성 소프트웨어 전송 등이 있습니다. 피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어로, 악성코드를 심거나 e메일, 즐겨찾기 등으로 가짜 은행사이트로의 접속을 유도하는 행위입니다. 이후 보안카드번호 전부를 입력하도록 요구하는 등의 방식으로 금융정보를 빼내고 자신들의 계좌로 돈을 이체하는 수법으로 범행을 저지릅니다.
스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어입니다. 무료쿠폰, 모바일 청첩장과 같은 문자를 받고 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치되는 식인데요, 이후 본인도 모르는 사이에 소액결제가 되거나 저장된 주소록과 연락처 사진, 공인인증서와 같은 개인정보들을 빼내갑니다.
이와 달리 인간 기반의 소셜 엔지니어링은 조금 더 직접적인데요, 도청을 하거나 어깨너머로 훔쳐보기, 휴지통 뒤지기 혹은 직접 상대방을 속여 정보를 해킹하는 행위 등이 있습니다. 이들의 공통점은 타인의 신뢰를 바탕으로 사람들을 속여 정보를 얻는다는 것과 특별한 해킹 기술이 필요 없다는 것이죠.
소셜 엔지니어링의 피해 사례
어깨너머로 훔쳐보기, 쓰레기통 뒤지기와 같은 행동으로 해킹을 할 수 있다니 믿겨 지시나요? 우리 주변에는 생각보다 많은 해킹이 특별한 기술 없이 발생하고 있다고 합니다.
한 예로 미국에서 발생했던 이메일 해킹 사건을 들 수 있는데요, 해킹 피해자는 다름 아닌 2008년 미국 대통령 선거에서 공화당의 부통령 후보로 지명된 세라 페일린(Sarah Louise Heath Palin) 이었습니다. 그런데 놀랍게도 범인은 전문 해커가 아닌 평범한 대학생이었는데요. 범인은 인터넷 검색을 통해 세라 페일린의 정보를 얻은 후, 비밀번호가 기억이 나지 않을 경우를 대비해 미리 설정해놓는 질문의 답을 유추하여 해킹에 성공했다고 합니다.
프랑스에서는 2008년 10월 니콜라 사르코지 대통령 가족의 계좌가 해킹된 사건이 있었습니다. 경찰은 사건을 수사하던 중 한 가지 재미있는 사실을 발견하는데요, 바로 은행 직원 150명이 대통령 계좌를 재미삼아 조회했던 기록입니다. 비슷한 사건으로는 미국 국무부에서 계약직으로 일하던 직원들이 힐러리 클린턴, 버락 오바마 등의 여권 기록을 무단으로 조회한 것이 밝혀져 해고된 일이 있었습니다.
이와 같은 일은 우리나라에서도 유명인들을 대상으로 해킹이 이루어지는 경우가 종종 있어 연예인들의 경우, 누군가가 자신의 개인정보를 이용해 다른 사이트에 가입하려 하거나 메신저 기록 등을 열람하려 한다며, 그러지 않았으면 좋겠다는 글을 SNS 계정에 올리기도 하였습니다.
이처럼 유명인사들은 일반인들보다 개인정보가 많이 노출되어 있어 소셜 엔지니어링 해킹이 이루어질 가능성이 큽니다. 또한 사례에서도 볼 수 있듯이 민감한 개인정보를 보유하고 있는 단체에서도 역시 보안 관리 체계가 미비하거나 정보를 다루는 직원들의 보안의식 미흡으로 개인정보가 유출될 수도 있답니다.
우리의 일상 속에서 발생할 수 있는 소셜 엔지니어링
그렇다면 우리의 일상에서 발생할 수 있는 소셜 엔지니어링은 무엇이 있을까요? 요즘 많은 사람들이 페이스북이나 트위터, 인스타그램 등의 SNS를 통해 자신의 사생활을 노출하는데요, 이를 통해 소셜 엔지니어링이 발생할 수 있습니다. 내 SNS를 통해 개인정보 유출이 일어나봤자 얼마나 큰 피해를 입겠느냐고 반문할 수도 있겠지만, 생각보다 그 피해는 클 수 있답니다.
올해 초, 한 여고생이 친구의 명의를 도용해 수시 합격을 취소한 사건이 있었습니다. 바로 SNS를 통해 개인정보를 얻어 해당 대학교의 홈페이지에서 합격을 취소한 것입니다. 더욱 놀라운 것은 이 두 사람은 SNS로만 연락하던 사이일 뿐, 실제로는 한 번도 만난 적이 없었다고 합니다.
이제 조금 소셜 엔지니어링의 위험성이 와 닿으시나요? 꼭 SNS뿐만 아니더라도 구글과 같은 포털 사이트에 자신의 이름이나 전화번호를 검색하면 무수히 많은 개인정보가 나오는 경우가 있습니다. 이를 통해서도 얼마든지 소셜 엔지니어링이 발생할 수 있겠죠?
이 외에도 지하철에서 누군가 자신의 스마트 폰을 엿보거나, 무심코 쓰레기통에 버린 개인정보가 적힌 종이도 자칫하면 큰 피해로 이어질 수 있습니다.
소셜 엔지니어링의 대처법
소셜 엔지니어링으로 잘 알려진 해커 케빈 미트닉은 “기업 정보 보안에서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다”라고 말한 바 있습니다. 이처럼 많은 경우 개인의 작은 실수로부터 해킹이 발생할 수 있습니다. 소셜 엔지니어링은 기계적 결함이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 해킹 방법인 만큼 사람들의 노력과 인식이 중요합니다.
그러기 위해서 각 단체들은 교육을 통해 사람들에게 소셜 엔지니어링의 위험성을 알려야 할 것입니다. 인간의 심리를 악용하는 소셜 엔지니어링 해킹에 대응하기 위해서는 보안 의식 수립이 가장 핵심적인 요소이기 때문이죠. 또 시스템 차원의 대비책을 병행하는 것도 중요합니다. 사람들의 부주의를 예방할 수 있는 시스템 및 기술 개발과 주요 정보에 대한 모니터링 시스템을 구축하면 정보의 유출을 막을 수 있을 것입니다.
그리고 개인은 소셜 엔지니어링의 위험성을 인식하고 그를 예방하기 위해 노력해야 합니다. 타인에게 정보를 넘기기 전에 회사나 담당 직원에게 다시 한 번 연락을 취해 확인하는 등 상대의 신분을 철저히 확인하면 큰 사고를 막을 수 있겠죠?
개인정보 관리를 철저히 하는 것도 중요한데요, 패스워드를 자주 변경하거나, 자신의 민감한 정보가 웹에 노출되어있다면 해당 정보에 대한 내용 삭제 요청을 하는 것도 좋은 예방책이 될 것입니다. 피싱이나 스미싱과 같이 컴퓨터를 기반으로 이루어지는 소셜 엔지니어링의 경우 시스템적 보안을 통해 예방할 수 있습니다. 이전에 유스로거가 작성한 어플을 통해 스미싱을 예방하는 글이 있는데요, 이를 참고하면 스미싱 예방에 큰 도움이 되지 않을까요? ^^
지금까지 유스로거와 함께 소셜 엔지니어링에 대해 알아보았습니다. 소셜 엔지니어링에 대한 경각심이 조금은 생기셨나요? 여러분의 소중한 개인정보! 관심을 두고 주의를 기울여 소셜 엔지니어링의 위협으로부터 보호해주세요.
'라이프 인사이드' 카테고리의 다른 글
| 시대를 반영하는 시각언어, 올림픽 픽토그램 (2) | 2015.07.22 |
|---|---|
| 유스로거 6기, 울산의 에너지를 파헤치다! 울산CLX 견학기 (4) | 2015.07.21 |
| 취업뽀개기도 스마트하게! 취준생을 위한 어플들을 소개합니다 (2) | 2015.07.20 |
| 온라인과 오프라인의 고객을 모두 잡아라! O2O 마케팅 (2) | 2015.07.17 |
| [지우의 엔진교실 ①] 가솔린 엔진 vs 디젤 엔진 (9) | 2015.07.17 |
| 불가능은 없다, 그래핀이 만드는 마법 같은 미래 (4) | 2015.07.15 |
| 엄마가 선생님! 아이와 함께 방학 중 홈스쿨링에 도전! (2) | 2015.07.14 |
| 올여름, 머릿결을 위해 기억해야 할 3가지는? (4) | 2015.07.13 |
| 무더위 속 불청객, 여름철 질병의 증상과 예방법은? (1) | 2015.07.10 |
| 자유여행, 이 어플과 함께라면 두렵지 않다! (2) | 2015.07.06 |
