소셜 엔지니어링 수법 인식 및 방지

우리는 완료해야 할 직무가 있으며 사이버 범죄가 항상 제1순위일 수는 없습니다. 바쁜 날에는 주의력을 잃고 잘못된 링크를 클릭하거나 이메일을 잘못 보내 우연히 사이버 범죄의 피해자가 될 수도 있습니다.

안타깝게도 보안 침해에는 비용이 많이 듭니다. IBM에서 진행한 2018년 연구에 따르면 “데이터 침해에 대한 전 세계 평균 비용은 지난해에 최대 6.4%로 386만 달러”였습니다.

여러분은 사이버 범죄에서 사용하는 소셜 엔지니어링 전략을 기억해두고 다음과 같은 단순한 모범 관행을 따라 보안 침해를 피하는 데 도움이 될 수 있습니다.

 

피싱

피싱 공격은 악성 메시지(이메일인 경우가 많음)가 공식적인 이메일로 둔갑해 이를 의심하지 않는 사용자들이 열거나 전송할 때 발생합니다. 일반적인 유형의 공격 중 하나는 여러분이 사용하는 은행이나 대중적인 소매업체에서 보낸 것으로 보이는 이메일입니다. 이 이메일은 계좌가 침해되었거나 구매하지 않은 품목에 대해 비용을 청구하는 내용으로 두려움을 유발할 수 있습니다. 피해자는 보통 이메일에 있는 악성 링크 또는 첨부물을 클릭하게 되며 이는 사용자의 컴퓨터를 감염시킵니다.

피해자가 되지 않는 해결책은 믿을 수 없을 만큼 간단합니다. 요청하지 않은 이메일과 절대 소통하지 마십시오. 이메일이 합법적이라고 생각된다면 다른 연락 방법으로 발신인에게 연락을 취하십시오(예를 들어 회사의 실제 웹사이트에서 확인한 전화번호를 통해). 피싱의 대상이 된 것으로 의심된다면 항상 IT 보안팀에 이를 보고하십시오.

 

표적 피싱

관리 요직에 근무하고 있는 경우, 또는 회사의 거래를 처리하는 경우, 표적 피싱 또는 스피어 피싱에 노출될 위험이 있습니다. 스피어 피싱은 목표가 하는 일과 거래하는 사업을 파악한 후 특정 개인을 목표로 합니다.

FBI에 따르면 “비즈니스 이메일 침해 사기”로 인해 약 23억 달러가 손실되었으며, 이는 범죄자가 고위 경영직의 받은 메일함을 해킹해 알아낸 정보로 다른 직원이 전신을 송금하게끔 속이는 방법입니다.

이러한 표적 사기는 생각하는 것보다 훨씬 일반적이며 널리 퍼져있습니다. 최근 예시는 다음과 같습니다.

이와 같은 상황을 방지하기 위해서는 동일한 규칙이 적용됩니다. 얼마나 급박한 내용이든 요청하지 않은 이메일과 소통하지 마십시오. 조치를 취하기 전에 항상 진위를 다른 방법으로 확인하십시오.

 

보이스 피싱

이름이 의미하는 것처럼 보이스 피싱은 사기 전화 행위가 포함됩니다. 표적 피싱 이메일처럼 범죄자들은 피해자를 조사하고 내부 직원, 사업 파트너 또는 정부 요원인 것처럼 가장해 피해자가 민감한 정보를 공개하거나 비용 납부를 부추깁니다.

2012년에서 2016년까지, 15,000명의 미국인이 전화 사기에 수십억 달러를 잃었습니다. 일반적인 맥락에서 이러한 사기 전화는 IRS에서 거는 전화인 것으로 가장해 해당 개인이 “세금을 다시 납부”하지 않으면 체포를 당할 것이라고 압박합니다.

피싱 이메일과 마찬가지로 이러한 전화가 의심된다면 그럴 가능성이 높습니다. 전화의 진위를 확인하지 않은 채로 정보를 공개하거나 돈을 송금하지 마십시오.

 

베이팅

“경품 추첨”에서 무료 USB 드라이브가 당첨되었다고 생각하셨나요? 혹은 분실한 SD카드를 “발견”하셨나요? 다시 생각해 보십시오. 범죄자들은 회사 랩탑에 연결할 수 있는 악성 장치를 통해 피해자를 포착하여 기업 네트워크에 침투하는 것으로 알려져 있습니다.

컴퓨터에 확인되지 않은 장치를 절대 연결하지 마십시오. 의심되는 경우 헬프 데스크에 문의해 의심되는 장치를 IT 부서에 넘기십시오.

 

테일게이팅

테일게이팅은 다른 사람의 자격 증명을 사용해 사무실의 보안 구역에 함께 들어가는 행위가 포함됩니다. 범죄자는 여러분이 ID를 긁고 보안 구역에 들어갈 때 따라가거나 보안 구역에 들여 보내줄 것을 설득할 수 있습니다.

여러분의 자격 증명을 사용해 보안 구역에 다른 사람을 들여보내는 것은 회사 정책에 위반됩니다. 누군가 보안 구역에 들여 보내줄 것을 요청한다면 프런트 데스크로 안내하십시오.