Home > 전체기사

[주말판] 소셜 엔지니어링 공격자들이 찔러대는 인간의 심리

  |  입력 : 2021-03-13 12:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소셜 엔지니어링 공격자의 심리전은 대단히 정교하다. 여러 정보를 수집해 피해자에 대해 잘 이해하고 있을 뿐만 아니라, 인간의 심리가 어떤 식으로 작동하는지를 잘 이해하고 있다. 그런 이들은 주로 어떤 부분을 찌르고 들어오는 것일까?

[보안뉴스 문가용 기자] 소셜 엔지니어링 공격자들은 심리전에 능하다. 심리적으로 피해자를 뒤흔들고 민감한 정보를 스스로 토해내도록 만든다. 그리고 그 정보를 토대로 피해자의 계정에 로그인을 하고, 네트워크에 접속한다. 제3자가 보면 ‘저걸 왜 당해주는가?’라는 의문이 들지만, 이들이 워낙 심리전의 고수이기에 보안 전문가들 사이에서도 간간히 이러한 공격에 당하는 사례들이 나온다.

[이미지 = utoimage]


보안 업체 포스포인트(Forcepoint)의 수석 연구원인 마가렛 커닝햄(Margaret Cunningham)은 “소셜 엔지니어링 공격자들이 가장 집중하는 건 신뢰를 얻어내는 것”이라고 설명한다. “이런 사전 작업을 ‘프리텍스팅(pretexting)’이라고 합니다. 피해자와 어느 정도 관계를 맺고 긍정적인 반응이 오가기 시작하면, 그 다음부터 진행되는 공격은 한결 쉬워집니다. 그러면서 기술적인 방법만으로는 취득하기 힘든 정보까지도 가져갈 수 있게 됩니다.”

소셜엔지니어(Social-Engineer)라는 업체의 CEO이자 소셜 엔지니어링 공격 전문가인 크리스 해드나기(Chris Hadnagy)는 “누군가를 신뢰하면, 머리에서 옥시톡신(oxytocin)이라는 물질이 분비되는데, 이 때 사람은 기분이 좋다고 느낀다”고 설명한다. “그 다음부터는 그 사람과의 신뢰가 끊어질 때까지 옥시톡신이 통제 불능 상태로 분비되기 시작합니다. 제어가 불가능합니다.”

이런 프리텍스팅 작업을 위해 공격자들이 주로 하는 일은 무엇일까? 해드나기는 “인간의 본성을 공략하는 것이라고 간단히 요약해 말할 수 있다”고 설명한다. 그 본성이라 함은 다음과 같다.

1. 인간은 도움이 되고 싶어 한다
“우리는 모두 쓸모 있는 인간이 되고 싶어 하고, 친절하고 우호적인 사람으로 비춰지길 소망합니다. 본성에 가까워요. 그런데 우리 현실은 어떤가요? 사람들은 점점 고립되고 있고, 따라서 외롭고 우울함을 느낍니다. 이러니 누군가 작은 도움이라도 요청하면 마음을 거기다 쓰게 됩니다. 그런 노력을 인정해주고 친절하게 칭찬까지 해주면 관계가 오랜 기간 지속되죠.” 해드나기의 설명이다.

커닝햄도 비슷하게 말한다. “사람들은 자신이 이타적으로 움직였다고 생각할 때 기본이 좋아진다”며 “공격자들이 불러일으키고자 하는 감정 중 하나가 바로 이것”이라고 설명한다. “동정심 때문에 움직이는 사람들은 생각보다 정말로 많습니다. 사람의 마음에 동정심을 일으킬 수 있다면 사실상 그 사람을 조정할 수 있게 됩니다. 이걸 소셜 엔지니어링 공격자들은 잘 알고 있지요.”

2. 인간은 권위를 두려워한다
해드나기는 “공포심 또한 인간을 움직이게 만드는 심리적 요인”이라고 짚는다. “어쩌면 가장 강력한 심리 요인일 수도 있겠습니다. 공포라는 감정은 편도체라는 부분에서 처리가 되는데, 어떤 다른 요인이 이 편도체를 차지하면 뇌의 다른 부분들에서 공포를 처리할 수 없게 됩니다. 그래서 이성적이고 논리적인 결정을 못 내리게 되고 감정적으로 대응하죠. 개인적으로 수치스럽고 후회되는 결정들이 거의 대부분 이런 식으로 내려지게 됩니다.”

커닝햄은 “지난 해부터 공격자들이 코로나를 테마로 사람들을 속이는 것도 이런 관점에서 이해할 수 있다”고 설명을 덧붙인다. “코로나라는 것 자체도 사람들을 두렵게 만들지만, 그 코로나로 인해 생긴 국가의 규범들 역시 사람들을 움츠러들게 만듭니다. 공격자들은 공식 문건이나 이메일인 것처럼 꾸며서 사람들이 코로나와 권력 기관에 대한 두려움에 이중으로 걸려들도록 했어요. 최근에는 백신이 이런 식으로 활용되죠.”

3. 인간은 대체로 낙관적이다
낙관주의가 항상 좋은 건 아니다. 커닝햄은 “낙관적인 사람들은 스스로의 안전 문제에 대해 과신하는 경향이 있는데, 특히 눈에 잘 보이지 않는 온라인 보안 및 프라이버시 문제에 대해서는 더더욱 그렇게 된다”고 설명한다. “그리고 그런 스탠스를 취했을 때 안심이 되고 기분이 좋거든요. 그래서 사람들은 보안과 프라이버시 문제에 대해 꽤나 낙관적으로 변합니다. 공격자들도 이 부분을 잘 알고 있고, 악용하죠.”

4. 인간은 대체로 정직하다
이 부분은 논란이 있을 수 있지만 해드나기는 “자기 눈에 잘못된 부분을 그냥 눈감고 지나치기 불편해 한다”는 걸 말하고 싶었다고 설명을 부연했다. “잘못에 대한 판단이 달라서 그렇지, 잘못됐다고 느끼는 부분이 생기면 고치고 싶다는 마음이 드는 게 인간의 본성입니다. 고쳤을 때의 리스크가 적다면 실제로 누구나 고치려고 행동을 합니다.”

소셜 엔지니어들이 이 부분을 건드릴 때의 목적은 결국 최초의 관계를 맺는 것이라고 해드나기는 설명한다. “뭔가 잘못된 정보, 틀린 내용을 가지고 말을 걸고, 그것에 대해 정정하도록 유도하는 것이죠. 그럼으로써 말을 트는 겁니다. 가르쳐달라고 대화를 이어가면 도움이 되고 싶어 하는 인간 본성이 자극을 받게 되기도 하고요.”

해드나기가 제시하는 대화의 예시는 다음과 같다.
“정말 정리를 잘 하시네요. 9월에 태어나셨을 거 같은데, 맞죠?”
“음...아니에요. 전 10월 생입니다.”
“설마... 핼러윈에 태어난 분은 아니시겠죠?”
“아뇨. 13일이에요.”
“아, 제가 다 틀렸네요. 하하”

해드나기는 “이렇게 대화를 이어가면 1분도 되지 않은 시간 동안 생일이라는 개인정보를 취득할 수 있게 된다”며 “의외로 이런 식의 가벼운 대화를 통해 사람들은 개인정보를 그냥 내주기도 하고, 공격자들은 이런 대화를 유도하는 데 매우 능숙하다”고 경고한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비