기술 대신 사람을 해킹한다 ‘사회공학적 공격’ [보안TMI]
||2026.01.11
IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]
사이버 보안 사고는 의외로 허술하고 단순한 부분에서 시작하는 경우가 많다. 사내 누군가가 외부에서 받은 메일의 링크를 클릭하고, 첨부파일을 열고, 결재나 승인 버튼을 눌렀을 뿐인데 걷잡을 수 없는 사고로 이어진다. 이 과정에서 공격자가 파고든 것은 시스템상 허점이 아니라 사람의 판단이다.
사회공학적(Social Engineering) 공격은 기술적 취약점을 직접 공략하는 데 초점을 맞추는 것이 아니라, 사람의 심리와 행동을 이용해 보안 절차를 우회하는 공격 방식이다. 초기 보안 분야에서 말하던 사회공학적 공격이란 시스템 접근 권한을 얻기 위해 직접 사람에게 접근하는 방식이 주를 이뤘다. 주변 대화를 엿듣거나, 모니터 화면을 훔쳐보거나, 버려진 문서나 휴지통을 뒤지는 식이다. 출입 통제 구역에서 관계자인 것처럼 행동하며 뒤따라 들어가는 물리적 침입도 대표적인 사례였다.
하지만 오늘날 사이버 보안 분야에서는 사회공학적 공격은 의미는 비슷하지만 다르게 쓰이고 있다. 해커들은 시스템 어딘가에 암호화돼 저장된 비밀번호 데이터를 직접 해킹하기보다는 사용자가 스스로 비밀번호를 입력하게 만들거나 직원들이 정상적인 업무라고 믿고 승인하도록 유도한다. 보안 장비를 무력화하지 않고도 접근 권한을 얻는 방식이다. 비유하자면 강도가 자물쇠를 부수는 대신 “점검하러 왔다”고 말해 문을 열게 만드는 접근법이다.
이 같은 공격은 이메일, 문자, 전화, 메신저, 업무 시스템 등 직원들이 이용하는 모든 접점에서 발생한다. 메일이나 메시지를 통해 링크 클릭 또는 파일 실행을 유도하고, 실제 업무 지시를 위장한다. 전화로 기관이나 회사 관계자를 사칭해 조치를 요청하는 사례도 있고, 임원이나 거래처를 가장해 송금이나 결재를 요구하는 방식도 있다. 감사나 점검 같은 명분을 앞세워 신뢰를 쌓은 뒤 정보를 단계적으로 확보하는 경우도 적지 않다. 공통점은 공격자가 요구하는 행동이 비정상적인 해킹 행위가 아니라, 평소 업무나 일상에서 충분히 있을 법한 행동처럼 보이게 만든다는 점이다.
실제 지난해 글로벌 고객관계관리(CRM) 솔루션 세일즈포스(Salesforce) 이용 고객사를 노려 전 세계적으로 수십 곳의 해킹 피해가 발생한 사례가 대표적이다. 공격자는 세일즈포스를 사용하는 직원들에게 사내 IT 지원 담당자를 사칭하며 전화를 걸어 로그인에 필요한 인증 코드를 불러달라는 대담한 방법을 사용했다. 기술적인 부분이 필요한 해킹이기도 했지만, ‘회사 IT 담당 직원으로부터 걸려온 전화’라는 설정을 가미해 방어의 선을 무너뜨린 사회공학적 접근의 전형적인 사례다.
최근 사회공학적 공격은 더욱 정교해지고 있다. 여기에는 ‘생성형 AI의 확산’이라는 급격한 환경의 변화가 큰 영향을 하고 있다. 과거 어색한 번역투였던 공격 메시지가 이제는 실제 사람이 작성한 것처럼 자연스러워지고 있고, 상황과 대상에 맞춘 문구도 손쉽게 만들어진다. 메신저와 협업툴, 클라우드 문서 공유, 전자결재 등 업무 경로가 다양해지고 있는 것도 영향을 준다. 공격자의 메시지가 정상 업무 속에 자연스럽게 섞여 들어가며 구분이 어려워지고 있기 때문이다. 또 다중인증(MFA)이나 패스키(Passkey)처럼 인증 기술이 강화될수록, 공격자들은 기술을 뚫기보다 사회공학적 방법으로 사용자를 속여 인증 절차를 우회하는 전략을 택하고 있다.
이에 따라 사회공학적 공격에 대한 대응 방식도 변화하고 있다. 예전처럼 “조심하라”는 경고만으로는 한계가 있다는 인식이 확산되면서, 사람의 심리와 행동을 고려한 구조적 보완책이 강조되는 추세다. 금융권을 비롯한 기업 현장에서는 일정 금액 이상의 송금이나 계좌 변경 요청에 대해 한 사람의 판단에 맡기지 않고, 다른 채널로 다시 확인하거나 두 명 이상이 교차 승인하도록 절차를 설계한다. 고령층을 노린 전화 사기를 줄이기 위해 은행 창구에서 반복 확인 질문을 하거나, 일정 조건에서는 가족·보호자에게 안내 연락을 병행하는 방식도 활용되고 있다. 공격자가 ‘급하다’는 심리를 자극한다는 점을 전제로, 의도적으로 시간을 벌고 확인 단계를 추가하는 대응이다.
사회공학적 공격에는 반복적으로 동반되는 신호들이 있다. “지금 당장”, “오늘 중 처리” 등과 같은 과도한 긴급성이 대표적이다. 또 대표나 임원, 기관 이름을 앞세운 ‘권위 강조’ 유형도 있다. 통화나 재확인을 피하려는 태도, 계좌번호나 링크·접속경로의 갑작스러운 변경, 승인이나 권한 부여 요청, 공포와 불안을 자극하는 표현 등이 겹칠수록 한 번 더 의심해볼 필요가 있다.
사회공학적 공격은 취약한 시스템을 찾는 것이 아니라, 사람이 스스로 보안 절차를 넘도록 만든다. 따라서 우리는 사회공학적 공격의 개념을 이해하고, 모든 이메일과 문자메시지 등을 한번 더 의심하는 태도가 필요하다. 기업과 조직의 방어 설계 역시 개인의 주의에만 의존하기보다, 사람이 실수할 수 있다는 전제를 절차와 구조에 반영하는 방향으로 설계할 수 있도록 보완해 나갈 필요가 있다.
정종길 기자
jk2@chosunbiz.com
