숙련된 공격자는 고도화된 도구나 복잡한 스크립트에 의존하지 않는다. 가장 효과적인 무기인 소셜 엔지니어링을 통해 시스템에 침투하고 데이터를 탈취한다. 소셜 엔지니어링은 사이버보안과 심리학의 경계에 위치하며, 인간의 행동을 교묘히 악용해 공격자의 목적을 달성한다.

전설적인 케빈 미트닉의 사기 수법부터 오늘날의 AI 기반 위협에 이르기까지, 사이버 범죄자는 끊임없이 새로운 전술을 개발하며 발전했다. 특히 최근 몇 년 동안 소셜 엔지니어링 공격은 한층 더 전략적이고 정밀해졌다.

공격자는 더 이상 불특정 다수를 상대로 소액을 빼앗는 데 집중하지 않는다. 기업 내부에서 광범위한 권한을 가진 인물을 주요 표적으로 삼는다. 여기에는 상위 네트워크 권한, 원격 도구와 민감한 데이터 접근 권한, 그리고 대규모 금융 거래를 수행할 수 있는 권한이 포함된다.

AI-범죄 지능

AI의 발전은 소셜 엔지니어링에만 국한하지 않는다. 특히 두드러지게 발전한 기법 가운데 하나는 프리텍스팅(pretexting)이다. 이는 피해자가 허위의 전제를 믿고 공격자의 지시에 따르도록 만드는 방식이다. 사이버 범죄자는 파트너, 고객, 혹은 고위 임원으로 가장해 피해자를 속이고, 이를 통해 돈을 이체하도록 유도한다.

최근 한 대형 자산운용사가 AI를 사용한 고도의 소셜 엔지니어링 공격을 당했다. 조사 결과, 공격자는 사전에 방대한 조사를 수행했으며, 특히 재무 부서의 고위 임원을 정밀하게 노린 것으로 드러났다.

이번 공격은 도큐사인(DocuSign)에서 온 것처럼 꾸민 가짜 비밀유지계약서(NDA) 시작됐다. 범죄자는 해당 기업과 이미 거래 관계가 있는 파트너인 것처럼 위장했다. 이후 한 관리자가 문서에 서명했고, 이어 이메일에 적힌 전화번호로 전화를 걸라는 지시를 받았다. 그러나 전화를 걸었을 때 아무도 응답하지 않았다.

다음 날, 피해자는 파트너를 사칭한 인물과 그 CEO로부터 회신 전화를 받았다. 컨퍼런스 콜에서 CEO는 해당 NDA의 진위를 확인하며, 업무를 시작하려면 선금이 필요하다고 설명했다. 이에 따라 고위 임원은 사기범에게 100만 유로의 선금을 송금했다. 하지만 조사 결과, 실제 CEO는 통화에 전혀 참여하지 않은 것으로 드러났다. 공격자는 AI를 활용해 회사 대표의 목소리를 위조해 피해자를 속인 것이었다.

빗발치는 피싱 메일

다른 사이버보안 공격과 달리 소셜 엔지니어링은 코드나 네트워크 아키텍처의 취약점을 노리지 않는다. 보안 체인에서 가장 약한 고리인 인간의 행동을 악용한다. 바쁜 일상 속에서 쌓이는 스트레스는 공격자가 활용하기에 매우 효과적인 방아쇠가 된다.

다음 사례는 소셜 엔지니어링 공격이 얼마나 전략적으로 발전했는지를 보여준다.

1단계 : 문제 만들기

공격자는 이야기를 더 그럴듯하게 꾸미기 위해 기술적 문제를 인위적으로 만들어낸다. 대표적인 수법은 이메일 폭탄이나 그레이메일(graymail) 범람이다. 공격자가 피해자의 이메일 주소를 수많은 서비스에 등록해 합법적인 이메일이 쏟아지게 만드는 방식이다. 실제로 한 피해자는 2시간도 안 되는 시간에 3,000통의 이메일을 받은 사례가 있었다.

2단계 : 구세주로 등장하기

조사된 사례에서 피해자는 항상 헬프데스크 관리자로 위장한 인물의 전화를 받았다. 공격자는 업무가 정상적으로 진행될 수 있도록 문제를 해결해주겠다고 안심시켰다. 이후 피해자에게 로그인 정보를 넘기거나 원격으로 데스크톱 접근 권한을 부여하도록 유도했다. 긴급 상황으로 포장돼 피해자가 속아 넘어가는 일이 흔히 발생했다.

허위 팀플레이

최근에는 소셜 엔지니어링과 관련해 정교한 비싱(voice phishing) 공격이 급격히 증가하고 있다. 예를 들어, 해커 그룹 블랙 바스타(Black Basta)는 합법적인 마이크로소프트 팀즈 계정을 이용해 피해자의 신뢰를 얻는다. 이들은 “헬프데스크(Helpdesk)”, “지원팀(Support Team)”, “헬프데스크 매니저(Helpdesk Manager)”라는 이름으로 팀즈 전화를 걸어 접근한다.

공격자는 내부 IT 직원으로 위장해 피해자가 윈도우 애플리케이션인 퀵 어시스트(Quick Assist)를 사용하도록 유도한다. 이 도구는 합법적인 윈도우 기능이기 때문에 보안 경고가 발생하지 않아 사기 행위에 신뢰성을 더한다. 공격자는 Ctrl + 윈도우 키 + Q 단축키를 입력하도록 요청한다.

Ctrl + 윈도우 키 + Q 단축키를 입력하면 특정 창이 열리고 코드가 생성된다. 이 과정을 통해 공격자는 피해자의 컴퓨터에 접근할 수 있다. 이후 사이버 범죄자는 권한을 확장하고 시스템 내부를 이동하며 공격 범위를 넓힌다. 한 사례에서는 불과 며칠 만에 수 테라바이트(TB)에 달하는 데이터가 탈취됐다.

보안 관리자가 할 수 있는 일

정교하게 설계된 소셜 엔지니어링 함정에서 직원을 보호하는 일은 복잡하다. 그러나 몇 가지 기술적, 인적 전략을 병행하면 공격 성공 가능성을 낮출 수 있다.

• 팀즈와 줌은 신뢰할 수 있는 도메인과 조직으로만 통신을 제한하는 기능을 제공한다. 모든 신뢰할 수 있는 파트너를 설정하고 목록화하는 데는 시간이 걸리지만, 이는 매우 효과적인 보안 조치가 될 수 있다.
• 일부 공격자는 화상회의 애플리케이션의 내장 원격 기능을 악용한다. 줌과 팀즈 모두 통화 중 외부 참가자가 다른 사용자의 화면에 원격으로 접근할 수 있는지를 설정할 수 있다. 두 플랫폼 간 세부 기능에는 약간의 차이가 있지만, 각 플랫폼의 옵션을 검토하고 조직의 요구에 맞게 구성하는 것이 바람직하다.
• 조건부 액세스 구현도 기업 내 접근 제어를 강화하는 핵심 요소다. 조건부 액세스 정책은 단순하게 말해 ‘만약 A라면, B를 수행해야 한다’는 if-then 구조다. 예를 들어, 사용자가 특정 자원에 접근하려면 인증 절차를 거쳐야 한다. 또는 사용자가 마이크로소프트 365와 같은 애플리케이션이나 서비스에 접근하려 할 때 반드시 다중 인증(MFA)을 완료하도록 설정하는 방법도 있다. 보안 관리자는 조건부 액세스 정책을 활용해 접근을 지리적 위치, 사용자 유형, 애플리케이션 기준으로 제한할 수 있으며, 나아가 토큰 보호 정책까지 적용할 수 있다.

본질적으로 모든 보안 노력의 핵심은 ‘폭발 반경(blast radius)’, 즉 탈취된 계정이 초래할 수 있는 잠재적 피해를 최소화하는 것이다. 이는 공격자가 어떤 방식으로 목표를 이루려 하든 장기적으로 사이버 위험을 줄이는 효과가 있다. 그리고 공격자의 최종 목표는 대부분 기업의 민감한 데이터다. 그렇기 때문에 직원 보호와 인식 제고는 바로 이 지점에서 출발해야 한다.
dl-itworldkorea@foundryco.com