[뉴스로드] 정부가 사회공학적 해킹 사례가 다양해지고 있다며 주의를 당부했다.

◇사회공학적 해킹 사전 훈련한 기업들, 예방 역량 대폭 향상

과학기술정보통신부와 한국인터넷진흥원은 2021년 하반기 사이버위기대응 모의훈련 결과를 18일 발표했다. 이번 훈련은 실제 사이버 공격과 동일한 방식으로 기업 누리집과 서버 보안을 점검하기 위해 실시했다.

훈련은 지난해 11월 1일부터 약 3주간 진행했다. 참여기업은 285곳 임직원 9만3257명으로, 상반기 훈련 당시보다 기업 93곳 임직원 6918명 늘었다.

시나리오에는 직전 훈련처럼 ‘사회공학적 해킹’을 포함했다. 사회공학적 해킹이란 이메일·메시지 등을 통해 임직원을 속여 보안에 접근하는 수법이다. 사회공학은 소셜 엔지니어링(Social Engineering)으로도 불린다.

모의해킹 메일에는 최근 이슈와 내부 직원을 사칭한 내용을 담았다. ▲비밀번호 재설정 요청 ▲코로나19 부스터샷 대상자 안내 ▲구매발주 ▲결제정보 ▲프로그램 업데이트 요청 등이다. 예를 들면 코로나19 부스터샷 대상자 안내를 질병관리청이 발송한 것처럼 속여, 악성코드 설치를 유도하는 방식이다.

훈련에 참여한 기업의 16.7%는 메일을 열람한 것으로 나타났다. 악성코드 감염까지 허용한 기업은 5.4%였다. 각각 상반기 대비 9.1%p, 2.2%p 줄었다. 훈련에 거듭 참여한 기업들의 감염율은 3.6%로, 신규 참여기업 8.0% 보다 낮았다.

◇‘올림픽’ ‘대선’ 등 이슈 사칭 메일 조심해야

이번 훈련 결과는 사회공학적 해킹 예방 활동의 중요성을 잘 보여준다. 알고도 당하는 해킹 수법도 있지만, 사회공학적 해킹의 경우 사례를 숙지하고 주의만 기울여도 방지 가능성이 높아진다.

최근에는 국세청으로 위장한 해킹 메일이 기승을 부리고 있다. 전자세금계산서 발급 내용으로 속여 악성코드를 심는 것이다.

지난해에는 ‘재난지원금 안내’ ‘방송국 사칭’ 등 사례가 많았다. 명절을 앞둔 시기에는 ‘택배 배송조회’로 가장해 악성 파일이나 링크를 보내는 수법도 있다. 오는 2월 베이징 동계 올림픽, 3월 20대 대통령선거, 11월 카타르월드컵 등 이슈를 악용할 가능성도 있다.

한국인터넷진흥원이 누리집에서 소개하는 해킹메일 대처법도 알아두면 좋다. 메일을 확인할 때는 아는 주소인지 확인하고, 아니라면 첨부된 파일을 열거나 링크에 개인정보를 입력해서는 안된다.

한편 정부는 2022년 사이버위기대응 모의훈련에서는 ‘메타버스 이용자 정보 탈취’ ‘NFT 권한 탈취 후 부정 판매’ 등 위협에 대한 시나리오도 개발해 추진할 계획이다.

뉴스로드 김윤진 기자psnalism@gmail.com