[The Psychology Times=고민우 ]

최근 사이버 보안 사고 동향을 살펴보면, ‘사회공학적’ 기법을 이용한 공격이 증가하고 있다. 사회공학적 기법은 비기술적 침입 방식으로, 인간이 서로 관계를 맺음에 있어 상호 작용의 깊은 신뢰를 바탕으로 상대를 속여 정상적인 보안 절차를 무력화시키는 수단이다. 즉, 인간관계의 취약성을 이용하여 정보를 탈취하는 사이버 공격 방법을 통칭한다.

사회공학적 기법은 개인, 기업, 군, 방산 산업, 정부 기관 등 신분을 가리지 않고 공격의 대상이 된다. 특히 경쟁기업에서 산업스파이를 이용하여 기술 유출과 인력매수, 금전적인 손실을 야기한 문제가 지속적으로 언급되고 있다. 또한 공공기관에서 사고가 발생할 경우 공항, 발전소, 철도 등 기반 시설 파손은 물론 사회 마비와 같이 예상을 뛰어넘는 위험을 야기할 수 있기에 각별한 주의가 필요하다.

인간의 감정 상태를 기반으로 하는 사회공학적 기법, 종류에는 어떠한 것들이 있을까?

대표적으로, 인간이 느끼는 감정인 기쁨, 슬픔, 두려움을 교묘하게 악용하여 범죄를 범하는 ‘피싱(Phishing)’을 예로 들 수 있다. 악성코드가 첨부 되어있는 이른바 스팸메일을 보내어 위장된 사이트로 접속하게 하거나, 전화를 이용하여 금융기관과 같은 특정인과 기관을 사칭하는 모든 행위를 포함한다. 이를 통해 카드번호, 비밀번호, 주민등록번호 등 개인정보를 수집해 범죄에 활용하거나 송금을 요구한다.

[KBS 개그콘서트: 황해]

최근에는 좀 더 진화한 ‘랜섬웨어’를 이용한 공격이 증가하고 있다고 알려진다. 랜섬웨어는 사용자 PC에 저장된 파일을 해독하기 어려운 알고리즘으로 암호화하여, 내용을 알아볼 수 없도록 한다. 감염자가 암호 복호화를 원한다면 해커에게 원하는 조건의 금전을 지불해야 한다. 특히 일정 금액을 지불하였다고 하여 복구가 가능하다고 확신할 수 없으며, 정해진 기간이 지나면 액수를 증가시키거나, 복구할 수 없다는 심리적인 협박을 하기도 한다.

감정과 심리를 교묘하게 악용하는 사회공학적 기법, 어떤 과정을 통해 이루어지는 걸까?

첫째, '정보수집'은 공격하고자 하는 대상의 기본적인 정보를 수집하는 단계이다. 이름, 전화번호, 주소, 학력 등이 포함된다. 이러한 정보는 휴지통을 뒤지는 행위와 같이 비교적 간과하기 쉬운 과정을 통해 택배 운송장, 메모 등에서 정보를 수집한다고 한다. 이는 중요한 정보가 담긴 문서는 세절하고, 택배 운송장은 뜯어서 배출해야 하는 이유를 짐작해 볼 수 있다.

[SBS드라마: 유령 제6화]

둘째, '신뢰쌓기'는 상대방과 관계를 주고받는 과정에서, 친밀감을 형성하는 인간의 본성을 활용하는 것이다. 형성된 신뢰감을 바탕으로 특정 인물로 사칭하여 쉽게 거절하지 못하게 하거나, 절대적인 도움이 필요할 수 있도록 하는 심리를 자극한다고 한다.

셋째, '심리조작'은 패스워드, 카드정보, 기밀정보 등 보다 핵심적인 정보를 탈취하는 과정이자, 궁극적인 목표이다. 연민의 감정, 신속한 결정, 의견 대립 회피 등을 활용하여 정보를 빼내어 가는 상황을 이어간다.

마지막으로 '증거조작'을 통해 상대방이 불필요한 의심을 하지 않게 하는 단계이다. 즉, 수사기관이나 상대방의 역 추적에 대비하고 마무리한다.

사회공학적 기법을 통해 사이버 공격은 더 이상 정보통신기술만의 문제가 아님을 알 수 있었다. 공격 대상이 확대된 것뿐만 아니라, 인간의 감정과 심리라는 보안 취약점은 앞으로 사이버 분야에 적지 않은 영향을 미칠 것으로 생각된다.

지난 기사

지나친 부부 갈등, 성장기 자녀에게 미치는 영향력은 어느 정도 일까?

섬세한 사람들 그리고 곰손 카페

늦은 밤, 풍부해진 감수성 앞에 한없이 솔직해졌던 이유

정신질환 보험 제도와 과제

[참고문헌]

박재혁, 이재우. (2015). 인간의 감정 상태를 이용한 사회공학 기법 연구. 정보보호학회지, 25(4), 57-62.

허진아, 주성빈, 이정민, 박찬혁. (2016). 사회공학적 공격에 대한 산업기술 보호방안. 사회과학연구, 23(1), 279-306.