사회공학적 해킹 메일 예시. / 사진=안랩

[뉴스로드] 직장인 4명 중 1명은 사회공학적 해킹에 무방비했던 것으로 나타났다. 사회공학적 해킹이란 신뢰할 만한 정보로 접근해 보안을 해치는 수법이다. 사회공학은 소셜 엔지니어링(Social Engineering)으로도 불린다.

◇사내 부서·공공기관 사칭 해킹, 직장인 속수무책

과학기술정보통신부는 한국인터넷진흥원과 함께 실시한 상반기 사이버위기대응 모의훈련 결과를 6일 발표했다. 최근 기업을 대상으로 한 랜섬웨어·디도스 등 사이버 위협이 증가하고 있어, 실제 상황과 같은 방식으로 대응 능력을 점검한 것이다.

이번 훈련에 참여한 기업은 230곳이다. 훈련 방식은 이메일을 통한 사회공학적 해킹 시도였다. ‘견적서 송부(특정인)’ ‘택배 주소 확인바랍니다(우체국)’ ‘사내 코로나19 예방접종 사전예약(운영지원팀)’ 등을 사칭한 메일을 임직원들에게 보냈다.

정부 상반기 사이버위기대응 모의훈련에서 활용한 해킹 메일 유형. / 사진=과학기술정보통신부

그 결과 임직원 9만8599명 가운데 25.8%는 이메일을 열람하며 공격에 허점을 드러냈다. 7.6%는 실제였다면 악성코드에 감염됐을 수준까지 보안 침투를 허용한 것으로 나타났다.

훈련에 처음 임한 기업은 비교적 대응력이 미흡했다. 2회 이상 참여한 기업은 메일 열람율 29.6%, 감염율 6.9%였지만, 첫 참여기업 149곳의 경우 각각 36.4%, 11.1%로 높았다.

◇개인도 표적될 수 있는 사회공학적 해킹, 예방하려면?

사회공학적 해킹은 사내 부서, 공공기관, 지인 등 신뢰할 만한 여러 신분을 사칭한다. 침투 경로도 이메일뿐 아니라 휴대전화·피싱웹사이트 등 다양하다. 또한 기업이 아닌 개인도 표적이 될 수 있다.

지난 4월 보안전문업체 안랩에 따르면, 방송국이나 연구소를 사칭한 사례가 극성이었다. ‘택배배송 조회’로 위장한 휴대전화 문자메시지를 보내는 경우도 빈번하다. 이 같은 메시지에 첨부된 파일을 내려받아 설치할 경우, 휴대전화가 가상화폐 채굴에 이용되거나 개인정보 유출로 이어질 가능성이 높다.

그렇다면 이 같은 사회공학적 해킹 피해를 방지하려면 어떤 조치를 취해야 할까. 미국 국토안보부 산하 US-CERT(인터넷침해사고대응센터)는 사회공학적 해킹 예방 방법에 대한 가이드라인을 마련해 국민들에게 알리고 있다. 다음은 가이드라인에서 국내 상황에 적합한 부분만 발췌한 내용이다.

-전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우 주의한다. 신원 파악이 어려운 이가 특정 기관 소속이라고 주장하는 경우 해당 기관에 문의해 확인한다.

-스팸메일 차단 기능을 활용한다.

-개인정보와 회사정보는 상대방이 해당 정보를 알 권리가 없을 경우 제공하지 않는다.

-웹사이트 URL이 정상적인지 확인하고, 보안이 확인되지 않으면 정보를 제공하지 않는다.

-보안프로그램을 이용한다.

사회공학적 해킹은 IT전문지식과는 무관해, 누구든 경계를 늦춰서는 안된다. 발신자가 평소 신뢰했던 기관이나 지인이라도 수상한 파일이나 URL을 첨부했다면 면밀한 검토 뒤 열람할 필요가 있다.

저작권자 © 뉴스로드 무단전재 및 재배포 금지