주요 트렌드 사회공학(Social Engineering) 공격 종류

사회공학(Social Engineering)은 공격자가 사람의 신뢰를 이용하거나 사람의 심리를 조작하여 정보를 획득하거나 시스템에 접근하는 기법을 의미합니다. 여기에는 여러 유형의 공격이 포함되며, 일반적으로 가장 약한 보안 링크인 '사람'을 대상으로 합니다.

1. **피싱(Phishing):** 공격자가 합법적인 기관이나 사람처럼 가장하여 이메일이나 웹사이트를 통해 개인 정보나 로그인 자격증명을 획득하려는 공격입니다. 예를 들어, 사용자가 자신의 비밀번호를 입력하도록 요청하는 가짜 은행 웹사이트를 만들 수 있습니다.

2. **스피어 피싱(Spear Phishing):** 피싱의 한 형태로, 특정 개인이나 조직을 대상으로 하는 공격입니다. 공격자는 표적에 대한 정보를 사전에 수집하고, 그 정보를 사용하여 공격을 더욱 신뢰성 있게 만듭니다.

3. **바이팅(Baiting):** 공격자가 희망, 궁금증 또는 선물 등으로 사람을 유인하여 악성 코드가 포함된 미디어(예: USB 메모리)를 사용하도록 만드는 공격입니다.

4. **물리적 인간 공학(Physical Human Engineering):** 공격자가 물리적인 방식으로 직접 대상과 접촉하거나 대상의 물리적 환경에 진입하여 정보를 획득하려는 공격입니다. 예를 들어, 공격자가 청소부나 직원처럼 위장하여 사무실에 침입할 수 있습니다.

5. **프리텍스팅(Pretexting):** 공격자가 거짓말이나 속임수를 사용하여 신뢰를 얻고 정보를 획득하려는 공격입니다. 예를 들어, 공격자가 경찰이나 회사의 IT 지원 팀처럼 가장하여 개인 정보를 요구할 수 있습니다.

6. **테일게이팅(Tailgating):** 무인 잠금 시스템을 피해 물리적으로 건물이나 시설에 침입하는 방법입니다. 공격자는 허가받은 사용자를 따라 들어가거나, 문을 열어줄 것을 요청함으로써 진입할 수 있습니다.

각각의 사회공학적 공격 방법은 사람의 신뢰, 호의, 무지, 궁금증 등을 이용합니다. 이런 공격들은 대개 기술적 취약점이 아닌, 사람의 심리적 취약점을 이용하기 때문에 기존의 보안 시스템이나 소프트웨어를 우회할 수 있습니다. 따라서 이러한 공격에 대비하기 위해서는 보안 교육과 인지 강화가 중요합니다.