Social Engineering사회 공학 공격

사회 공학 공격(Social Engineering)은 기술적 취약점이 아닌 인간의 신뢰, 긴박감, 호기심, 두려움 등 심리를 악용해 정보를 탈취하거나 악성 행동을 유도하는 공격이다. "가장 약한 보안 링크는 사람이다"는 원칙에 기반한다.

주요 공격 기법

공격 심리 원칙 (Cialdini)

권위 (Authority): "저는 CEO인데요..."
긴박감 (Urgency): "지금 당장 해야 합니다!"
호혜성 (Reciprocity): "먼저 도움을 드릴게요..."
사회적 증거: "다른 직원들도 모두 했어요"
신뢰 (Liking): 내부인 흉내
희소성 (Scarcity): "한 번 밖에 없는 기회"

방어 방법

• •보안 인식 교육: 정기적 피싱 시뮬레이션 훈련
• •검증 절차: 전화/이메일로 요청 시 별도 채널로 확인
• •최소 권한: 공격자가 얻을 수 있는 정보 제한
• •물리적 보안: 테일게이팅 방지 게이트
• •문화 조성: 의심스러운 요청은 거절해도 된다는 분위기

관련 개념

• •피싱 — 사회 공학의 가장 일반적 형태
• •제로 트러스트 — 사회 공학 성공 후 피해 최소화
• •2단계 인증 — 자격증명 탈취 후 방어선
• •OWASP — 보안 인식 교육 가이드