이번 사이버 보안 인식의 달에는 가장 무서운 소셜 엔지니어링 공격에 대한 인식을 높이고 이러한 괴물들을 과거로 추방할 수 있는 방법을 소개합니다…

메간 샤마스, FIDO 얼라이언스 마케팅 담당 선임 이사

사이버 범죄자들은 마치 사탕을 훔쳐가는 사람처럼 문을 두드리고 자유롭게 제공한 인증 정보를 노리고 있습니다. 전통적인 피싱 이메일이든, 딥페이크가 강화된 정교한 공격이든, 디지털 생활과 비밀번호의 확산으로 인해 사이버 위협에 대한 취약성이 점점 더 커지고 있습니다.

인식은 비밀번호에서 벗어나 더 간단하고 강력한 인증으로 세상을 바꾸고자 하는 FIDO Alliance사명에서 핵심적인 부분입니다. 표준과 기술은 사이버 보안 문제를 해결하는 데 있어 절반에 불과합니다. 저희는 직장, 학업, 개인 생활 등 어떤 온라인 환경에 있든 모든 사람이 현명한 결정을 내릴 수 있도록 최고의 정보와 리소스를 교육하고 제공할 의무가 있습니다.

그렇기 때문에 저희는 사이버 보안의 ‘사람’에 대한 부분을 다루기 때문에 사이버 보안 인식의 달을 맞아 CISA 및 NCSAM과 협력하고 그들의 노력을 지지합니다. 의심할 여지 없이 ‘사람’에 대한 공격이라고 하면 피싱과 소셜 엔지니어링 공격이 가장 먼저 떠오릅니다.

올해 사이버 보안 인식의 달을 홍보하기 위해, 다가오는 할로윈 시즌에서 영감을 얻어 범죄자들이 달콤한 사탕 인증 정보를 훔치기 위해 사용하는 가장 무서운 수법과 기술, 그리고 이를 막을 수 있는 방법을 공개합니다.

양의 탈을 쓴 늑대

온라인 세계는 친구, 직장, 연애를 찾을 수 있는 훌륭한 공간이 될 수 있습니다. 하지만 친근한 대화와 상호작용 뒤에는 늑대가 숨어 있을 수 있습니다. 이러한 유형의 공격은 매우 정교하며, 일반적으로 공격자가 의심하지 않는 피해자의 신뢰를 얻는 동안 장기간에 걸쳐 이루어집니다.

‘많은 물고기’가 ‘많은 피쉬’가 되어 소비자들이 방심하고 기대하지 않는 순간을 노릴 수 있습니다. 최근 넷플릭스에서 방영된 다큐멘터리 ‘틴더 사기꾼’은 이러한 사기꾼들이 얼마나 설득력 있고 끈질기게 사기 행각을 벌이는지 보여주는 좋은 예입니다. 온라인에서 관계를 형성할 때는 앱의 상대방이 내 온라인 계정을 탈취하는 데 도움이 될 수 있는 민감한 정보를 공유하기 전에 항상 겉으로 보이는 사람이 아닐 수도 있다는 점을 기억하세요.

과거의 피스마스의 유령

은행에서 세부 정보 확인을 요청하는 이메일이 전송됩니다. 배송 일정을 변경하라는 배송업체의 문자. 새 계정을 등록하면 사용할 수 있는 100달러가 당첨되었다는 유쾌한 소매업체 메시지가 표시됩니다.

이미 다 보고 들었다고 생각할 수도 있지만, 이러한 오래된 피싱 수법은 여전히 우리를 괴롭히고 있으며 여전히 가장 효과적인 수법입니다. 지난 크리스마스에 영국에서 발생한 Royal Mail SMS 사기 사건이나 최근 전 세계적으로 발생한 Facebook 비즈니스/광고 사용자에 대한 공격을 예로 들 수 있습니다. 2021년에는 5명 중 3명이 가짜 배달 문자 메시지의 표적이 된 것으로 추정됩니다. 공격의 양과 질이 계속 증가함에 따라 가장 간단한 피싱과 스미싱도 누구나 당할 수 있습니다.

변신술사

톰 크루즈가 노래하는 것과 같은 딥페이크의 재미있는 바이럴 동영상을 보셨거나 올해 초 젤렌스키 우크라이나 대통령의 가짜 동영상에 대해 들어보셨을 것입니다. 하지만 딥페이크 기술은 코미디와 정치적 공격에만 국한되지 않고, 더 쉽게 구할 수 있고 더 설득력 있게 만들어져 일반 소비자를 더욱 효과적으로 공격할 수 있는 기술로 발전하고 있습니다. 지난 6월, FBI는 고용주에게 가짜 직원이 이 기술을 사용하여 조직을 속이기 위해 거짓으로 구직 신청을 하는 것에 대해 경고하기도 했습니다.

딥페이크 비디오와 오디오는 이제 더 일반적인 피싱 공격을 강화하고, 피해자가 가장 가까운 사람들과 소통하고 있다고 속여 민감한 정보와 세부 정보를 제공하도록 압력을 가하는 데 사용되고 있습니다.

터미네이터

이는 등골이 오싹할 정도로 무서운 소셜 엔지니어링 공격의 한 유형입니다. 최근 AI와 머신 러닝의 발전으로 공격자는 데이터를 스크래핑하고 이름, 생년월일, 고용주 정보 등 그럴듯한 세부 정보를 공격에 통합하여 스피어 피싱으로 알려진 고도의 표적 공격을 자동화할 수 있게 되었습니다.

합법적인 정보만 충분히 공개하면 소비자는 보안에 대한 잘못된 인식에 빠져 자격 증명을 공유할 가능성이 훨씬 높아집니다. 이제 놀라운 속도와 정교한 수준으로 자동화된 이 공격은 충분히 강력한 방어 수단을 찾지 못한다면 계속 재발할 것입니다.

야유, 비밀번호!

온라인에서 가장 소중한 인증 정보를 공유하지 않도록 진정으로 자신을 보호할 수 있는 유일한 방법은 애초에 공유할 수 있는 인증 정보를 보유하지 않는 것입니다. 비밀번호가 문 앞에 놓인 할로윈 사탕과 같다면, 비밀번호를 다음과 같이 바꾸세요. 공유할 수 없습니다. FIDO 암호화 기반 로그인 및 온디바이스 생체 인식과 같은 기술은 사용자가 속임수에 넘어가더라도 사기꾼들은 배를 곯고 있다는 것을 의미합니다.

세계 최대 기술 기업, 수많은 서비스 제공업체 및 보안 이해관계자의 글로벌 협업으로 탄생한 FIDO 인증은 피싱을 방지하는 유일한 널리 사용되는 인증 수단입니다. 미국, 영국과 같은 정부에서는 점점 더 많은 조직이 강력한 사이버 보안을 구현하고 액세스하기 위한 ‘황금 표준’으로 FIDO를 언급하고 있습니다. FIDO 기술은 크고 작은 회사에서 쉽게 구현할 수 있으며, 최근 Cloudflare의 사이버 공격 차단 사례에서 알 수 있듯이 효과적입니다.

FIDO 기술은 이제 소비자들 사이에서도 더욱 쉽게 사용할 수 있고 보편화될 것입니다. 올해 초, 세계 최대 플랫폼인 Apple, Google, Microsoft는 ‘패스키’라고도 하는 새로운 보안 키 표준인 FIDO 멀티 디바이스 자격 증명을 지원하기로 약속했습니다. 즉, 우리가 가장 선호하는 브라우저와 디바이스에서 생체 인식 또는 PIN을 사용하여 모바일 디바이스에서 매일 사용하는 것과 동일한 제스처로 FIDO 기반 비밀번호 없는 로그인 기술에 곧 액세스할 수 있게 될 것입니다.

이번 사이버 보안 인식의 달에는 서비스 제공업체가 피싱에 강한 비밀번호 없는 인증을 로드맵에 포함시켜 소비자가 비밀번호 없는 인증으로 전환하거나 최소한 비밀번호 사용을 줄임으로써 이러한 소셜 엔지니어링 괴물들을 퇴치할 수 있도록 촉구하고 있습니다.