표적으로 정해준 기업들에 메일 보내거나 전화 걸어 정보 캐내는 대회
구글 알리미 설정하고 이미지의 리버스 서치 통해 사실 여부 확인하는 게 중요

[보안뉴스 문가용 기자] 지난 주에 열렸던 블랙햇(Black Hat)과 데프콘(DEF CON) 행사에서 소셜 엔지니어링 공격 전문가들이 ‘액션’을 보여줬다. 소셜 엔지니어링 공격자들을 모아놓고 소셜 엔지니어링 기법을 사용하는 해킹 공격 대회를 진행한 것.


보통 ‘소셜 엔지니어링 공격’이라고 하면 피싱 공격을 떠올린다. 실제로 가장 성공적인 유형의 소셜 엔지니어링 공격이 피싱인 것도 사실이다. 그렇지만 공격자들은 계속해서 소셜 엔지니어링 공격을 발전시키고 있다고 PwC의 기술 분석 수석인 맷 윅시(Matt Wixey)는 말한다.

윅시는 ‘원격 온라인 소셜 엔지니어링(Remote Online Social Engineering, ROSE)’이라는 주제로 블랙햇에서 강연을 진행했다. 이는 피싱과는 조금 다르다. 가짜 인물을 하나 만들고, 이 인물을 통해 공격 표적에 접근해 꼼꼼한 정찰로 정보를 모은 후 네트워크를 침해하는 것으로, 표적이 되는 조직의 인물과 관계를 구축하는 것을 기반으로 한다. 관계가 어느 정도 형성되고 나면 그들을 활용해 정보를 빼돌리거나 해킹 공격을 시작할 수 있게 된다.

간단하고 성공률도 낮지 않은 피싱 공격을 두고, 왜 굳이 귀찮고 오래 걸리는 소셜 엔지니어링을 하는 걸까? “기술적인 통제 장치들을 피해갈 수 있다는 게 가장 큰 장점입니다. 사용자가 받아온 보안 관련 교육과 인식들에 있는 무장들도 해제시킬 수 있고요. 의심을 사기 힘들기 때문에 공격자로서 상당히 많은 제약 사항을 비껴갈 수 있게 됩니다.”

또 소셜 엔지니어링은 특정 인물에 초점이 맞춰져 있는 경우가 많다. “소셜 엔지니어링의 장점은 맞춤형 공격을 하기 좋다는 겁니다. 표적으로 정해진 사람이나 조직의 방어 체제만 무너트리면 되는 겁니다.” 사람마다 교육 환경과 성장 배경 등에 따라 문화가 달라지고, 따라서 방어 벽의 높이도 다 다른데, 이걸 전부 걱정할 필요가 없다는 뜻이기도 하다. 딱 한 사람만 공략하면 되기 때문이다.

피해자 알아가기
그가 말하는 ROSE 공격은 표적에 대한 깊이 있는 분석으로부터 시작된다. 표적의 온라인 활동, 소통 방식, 좋은 소식을 들었을 때의 반응, 나쁜 소식을 들었을 때의 반응, 언어 습관, 특정 행위에 대한 이유 등 심리학적 분석이라도 하듯이 표적을 꼼꼼하게 염탐한다. 출신학교가 어디인지, 이전 근무지가 어디인지, 어떤 직책을 맡았고, 취미는 무엇이며 어떤 것에 흥미를 가지고 있는지, 가족 구성원은 어떻게 되는지, 친구 관계는 어떤지에 대해서도 전부 파악한다.

이런 정보를 바탕으로 공격자는 프로파일을 허위로 작성하기 시작한다. 그럴듯한 인물을 만들어내는 것이다. 공격 대상자와 비슷한 취미를 가진 것처럼, 혹은 출신 학교가 같은 것처럼 가상의 인물을 창작한다. 목적은 표적에 용이하게 접근하는 것이다. “프로파일 사진과 같은 경우는 굳이 다른 사람 걸 훔쳐서 사용하지 않습니다. 이미지 제공 사이트에서 돈을 조금만 내면 얼마든지 구할 수 있거든요.”

그리고 공격자들은 한동안 가짜 인물을 연기한다. 시간을 들여 신뢰를 구축하는 것이다. 때론 포스팅을 통해 취미, 직장, 정치와 관련된 이야기를 한다. 은근슬쩍 표적이 쓴 글에 좋아요를 눌러주거나 리트윗을 하면서 접근하는 것도 잊지 않는다. 그렇게 눈도장을 은근히 찍어둔다.

그렇게 해서 어느 정도 아는 사이가 되면 슬슬 미끼를 사용하기 시작한다. 도움을 제공해달라고 ‘페친 찬스’를 쓰거나, 직접 요청을 한다. 혹은 사업적인 제안을 조심스럽게 전달하기도 한다. 당연히 이전에 모아두었던 정보를 통해 표적이 들어줄만한 내용들이다. 이런 식으로 연락을 좀 더 개인적으로 주고받고, 빈도도 늘여간다.

소셜 엔지니어링 공격자들이 피해자들의 신뢰를 더 두텁게 하기 위해 사용하는 몇 가지 테크닉들이 있다. 윅시는 “거짓말은 보통 부정적인 감정을 더 많이 담고 있으며, 감각적인 표현은 모자라거나 디테일이 떨어지는 편”이라며 “거짓말을 하는 사람들은 인식적인 부분에서 상세하고, 단편적이고 쉬운 줄거리를 사용한다”고 설명한다. “디테일이 많으면 많을수록 미래에 거짓말을 기억하기가 어려워지거든요.”

그리고 거짓말쟁이들은 질문을 많이 한다고도 윅시는 덧붙였다. “그 이유는 가상인물인 자신에게 화제가 집중되는 것을 막기 위한 것입니다.”

윅시의 발표 자료에 의하면 사람들이 보내는 이메일의 약 14%는 거짓이고, 대면해서 하는 대화의 27%가 거짓이며, 전화 통화를 통해 전달되는 거짓이 약 37%라고 한다. 올해 데프콘에서는 ‘소셜 엔지니어링 캡쳐 더 플래그(Social Engineering Capture the Flag)’가 진행됐다. 참가자들은 정해진 기업이나 조직들에 전화를 거는 등의 방식으로 연락을 취해 직원들로부터 여러 정보를 취득해야만 했는데, 이때 윅시의 비율을 사용했을 때 성공률이 높았다고 한다.

소셜 엔지니어링 해킹 대회
물론 이 프로그램은 안전선 안에서 진행됐다. 참가가 확정된 사람들에게 데프콘 주최 측이 공격 대상이 될 조직을 알려줬다. 참가자들은 행사가 시작되기 전까지 회사에 대한 첩보를 수집했다. 소셜 공격을 통한 수집이 아니라 인터넷이나 웹사이트 등에서 누구나 열람할 수 있는 기본 정보만을 공부하는 게 규칙이었다. 그 규칙을 바탕으로 현장에서 어떤 전략으로 공격을 펼칠지 계획을 짜는 것도 허용이 됐다.

올해의 우승자는 휘트니 맥스웰(Whitney Maxwell)이라는 인물이었는데, 이 사람은 배정된 회사의 서비스 센터로 전화를 걸어 직원과 직접 통화하는 수법을 썼다. 현재 감사를 진행 중에 있으며, 몇 가지 질문에 대한 답변을 원한다고 요구했다. 대화가 진행되는 와중에 해당 직원이 의심하지 못하도록 자신이 첩보 활동을 통해 취득한 주요 정보들을 사용했다.

그가 얻어낸 정보는 회사에서 사용하는 윈도우 버전, 무선 인터넷 사용 여부, 건물 보안 상태, 컴퓨터 유형, 업무용 전화기 유형, 아웃룩이나 어도비 프로그램 사용 여부였다. 서비스 센터의 위치를 파악하는 건 1분도 걸리지 않았고, 해당 직원이 한 단축 URL을 브라우저에 스스로 입력할 수 있도록 만드는 데에도 성공했다.

보안 회사인 소셜 엔지니어(Social-Engineer)의 CEO인 크리스 해드나기(Chris Hadnagy)는 “이 정도의 정보를 통화로 얻어낼 수 있다면 네트워크 전체를 침해하는 게 가능하다”고 설명을 덧붙였다.

윅시는 “사실 그 직원이 어리석었다기보다, 누구라도 전화기, 이메일, 소셜 미디어 반대편에 있는 보이지 않는 인물이 진짜인지 가짜인지 분간하는 게 쉽지 않다”고 설명한다. 그렇다면 방어를 어떻게 해야 하는 걸까?

“몇 가지 기술이 있긴 합니다. 먼저는 구글 알리미 서비스를 설정해서 누군가 당신의 이름 혹은 회사의 이름을 검색할 때 알 수 있도록 하는 겁니다. 또한 누군가 당신의 친구가 되고 싶다거나 네트워크에 합류하고 싶다고 했을 때, 새로운 연락처 정보를 요청받았을 때 ‘리버스 이미지 서치(reverse image search)’를 합니다. 그래서 프로필에 있는 사진이 인터넷 공간 어디에 올라와있는지를 확인하는 것이죠.”

낯선 누군가가 당신을 콕 집어 질문을 한다거나 도움을 요청하거나 협업의 기회를 제공한다면, “왜 하필 나일까?”를 객관적으로 생각하는 것도 중요하다고 윅시는 설명한다. “또한 만남이나 대면의 기회를 어떻게 해서든 피하고자 하는 기미가 보인다면, 그것 역시 경계해야 합니다.”

우리는 늘 거짓을 말한다고 윅시는 강조했다. “사람은 항상 거짓말을 해요. 매일 하고, 매 시간 합니다. 그러니 소셜 엔지니어링 공격을 막아내려면 정직한 말과 거짓말을 구분하는 게 아니라, 화자의 의도가 나쁜지 아닌지를 분간해야 합니다. 의도 파악과 거짓 구분은 다른 일입니다.”

3줄 요약
1. 데프콘에서 개최된 “소셜 엔지니어링만 사용하는 해킹 대회.”
2. 우승자는 전화통화만으로 주요 정보 파악해 내는 데 성공.
3. 소셜 엔지니어링 공격 실제로 구분하는 건 어렵기 때문에 구글 알리미 서비스와 리버스 이미지 서치 등 활용하는 것 중요.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>