인간 신뢰를 악용하는 것이 여전히 해킹 코드를 이기는 방법(그리고 제로 트러스트의 도움)

소셜 엔지니어링에 대해 이야기할 때 새로운 기술이라고 생각하기 쉽습니다.  

하지만 위협 연구원인 팀 크롬파르트와 팟캐스트 The Segment에서 나눈 대화에서 그는 이러한 공격이 실제로 어떻게 작동하는지에 대해 훨씬 더 간단하게 설명했습니다.

인간은 루틴을 따릅니다.

팀은 이를 들판을 걷는 것에 비유했습니다. 시간이 지남에 따라 사람들은 가장 쉬운 경로이기 때문에 자연스럽게 같은 경로를 따라가게 됩니다. 우리의 뇌는 직장에서의 일상적인 업무에서도 같은 일을 합니다. 우리는 각 단계에 대해 깊이 생각하지 않고 요청을 처리하고, 이메일에 응답하고, 익숙한 비즈니스 프로세스를 따릅니다.

위협 행위자는 이 사실을 알고 있으며 신뢰할 수 있는 사람들이 사용하는 것과 똑같은 프로세스를 사용합니다.  

이러한 인사이트를 통해 현대 사이버 범죄에 대한 중요한 사실을 알 수 있습니다. 가장 효과적인 공격은 시스템을 파괴하는 것이 아니라 합법적인 비즈니스가 이미 사용하고 있는 것과 동일한 통신 경로를 따르는 것입니다.

이것이 바로 보안 도구가 점점 더 발전하고 있음에도 불구하고 소셜 엔지니어링이 여전히 효과적인 이유입니다.

또한 제로 트러스트가 중요한 이유도 설명합니다. 공격자가 사람의 신뢰를 악용하여 액세스 권한을 얻을 수 있다면 조직은 때때로 액세스 권한이 부여될 수 있다고 가정해야 합니다.  

따라서 보안 아키텍처의 진정한 목표는 침해를 방지하는 것뿐만 아니라 그 다음 단계에서 발생하는 상황을 제한하는 것입니다.

인간은 예측 가능하기 때문에 사회 공학은 여전히 유효합니다.

사이버 보안은 종종 공격을 기술적 문제로 간주합니다. 네트워크에는 공격자가 멀웨어를 주입하고 보안 허점을 악용할 수 있는 취약점이 있습니다.

하지만 팀에 따르면 가장 성공적인 침해는 훨씬 더 간단한 것, 즉 소셜 엔지니어링에서 시작된다고 합니다. 사람들은 정보를 빠르게 처리하기 위해 패턴과 루틴에 의존하기 때문입니다.

"우리는 항상 우리에게 닥치는 일들을 단순화할 수 있는 방법이 있습니다."라고 Tim은 말합니다. "가장 쉬운 방법이고 시간과 에너지를 절약할 수 있기 때문에 뇌는 동일한 경로를 따라갑니다."

공격자들은 이를 악용합니다.  

완전히 새로운 트릭을 발명하는 대신 합법적인 프로세스를 모방합니다. 구매 요청처럼 보이는 피싱 이메일을 보냅니다. PDF 첨부 파일은 공급업체 송장과 유사합니다. IT 지원팀에서 걸려온 것처럼 보이지만 합법적인 출처에서 온 전화가 아닙니다.

이러한 공격은 시스템을 손상시키지 않습니다. 합법적인 커뮤니케이션과 동일한 경로를 따릅니다. 그래서 성공하는 것입니다.

"위협 행위자들은 신뢰할 수 있는 사람들이 사용하는 것과 똑같은 프로세스를 사용합니다."라고 Tim은 말합니다. "그들은 당신이 그냥 루틴을 따르기를 바라고 있습니다."

사이버 범죄 플레이북의 핵심은 정상적인 비즈니스 운영에 이미 구축된 신뢰를 악용하는 것입니다.

위협 행위자는 신뢰할 수 있는 사람들이 사용하는 것과 똑같은 프로세스를 사용합니다.

전술은 변하지 않았지만 규모는 달라졌습니다.

AI에 대한 과대 광고로 인해 많은 사람들이 공격자들이 끊임없이 새로운 기술을 개발하고 있다고 생각합니다.

Tim의 연구에 따르면 그렇지 않습니다.

"누군가가 나를 신뢰하게 만드는 메커니즘은 실제로 변하지 않았습니다."라고 그는 말합니다. "누군가에게 은행 정보를 제공하도록 설득할 수 있는 새롭고 참신한 방법은 없습니다."

전략은 일관성을 유지합니다:

• 신뢰할 수 있는 엔터티 사칭
• 신뢰성 구축
• 긴급성 또는 친숙함 만들기
• 피해자에게 일상적인 조치를 안내합니다.

기술이 바꾼 것은 규모입니다.

AI로 공격을 자동화하면 악의적인 공격자가 수백만 개의 이메일을 보내고, 다양한 미끼를 테스트하고, 그 어느 때보다 빠르게 접근 방식을 개선할 수 있습니다. AI 도구는 다양한 사기 메시지를 생성하고 인프라의 일부를 자동화할 수 있습니다.

하지만 마지막 단계는 여전히 인간을 조작하는 데 의존합니다.

정교한 사기 수법도 궁극적으로는 같은 지점으로 수렴합니다. 공격자는 상대방이 돈이나 자격 증명을 전송할 수 있을 만큼 충분히 공격자를 신뢰하도록 설득해야 합니다.

Tim은 이를 일종의 퍼널이라고 설명합니다. "그들은 미끼를 창의적으로 사용할 수 있습니다."라고 그는 말했습니다. "하지만 하루가 끝나면 그들은 여전히 귀하의 정보를 얻어야 합니다. 따라서 그들은 여전히 신뢰를 구축하거나 이미 존재하는 신뢰를 활용해야 합니다."

사이버 공격에서 신뢰가 높을수록 위험도 높아지는 이유

팀에게 가장 위협적인 전술 중 하나는 돼지 도살로 알려져 있습니다.

이름은 기괴하게 들리지만 이 전략은 매우 효과적입니다. 공격자는 피해자와 수개월 동안 관계를 구축한 후 돈을 요구합니다.

"도축하기 전에 돼지를 살찌운다는 개념입니다."라고 팀은 말합니다. "그들은 큰 투자를 요청하기 전에 몇 달 동안 신뢰를 쌓습니다."

공격자는 문자 메시지나 소셜 미디어를 통해 우연히 피해자에게 연락한 것처럼 가장할 수 있습니다. 거기서부터 대화가 점차 늘어납니다. 피해자는 일상 생활에 대한 일상적인 대화가 담긴 메시지를 매일 받게 됩니다. 공격자는 관계를 더욱 확인하기 위해 사진이나 동영상을 공유할 수도 있습니다.

결국 공격자는 투자 기회를 소개합니다. 처음에는 피해자가 소액을 투자하고 수익을 봅니다. 공격자는 신뢰성을 강화하기 위해 소액의 수익을 인출하도록 허용할 수도 있습니다.

그런 다음 진짜 요청이 들어옵니다.

그들은 피해자가 수익을 두 배 또는 세 배로 늘릴 수 있는 엄청난 기회가 있다고 말할 것입니다. "사람들은 결국 평생 모은 돈을 투자하게 됩니다."라고 Tim은 말합니다.

그가 연구한 한 사례에서는 한 기술 임원이 700만 달러를 잃었습니다. 이 사기는 기술적 익스플로잇이 아니라 공격자가 신뢰를 쌓았기 때문에 성공할 수 있었습니다.

똑똑한 사람들이 여전히 사기에 속는 이유

이러한 이야기가 공개되면 가장 먼저 나타나는 반응은 불신입니다. 어떻게 그런 말에 속을 수 있을까요?

하지만 팀은 이러한 사기의 배후에 있는 심리가 생각보다 복잡하다고 설명합니다. 사람들은 완벽한 조건에서 결정을 내리지 않습니다. 바쁘고 주의가 산만하며 압박감을 느끼거나 단순히 진정한 관계를 찾고 있는 사람들입니다.

팀에게 이것은 많은 보안 논의에서 간과하는 부분을 강조합니다. 공격자들은 기술적 약점보다는 인간의 필요를 노리기 때문에 사회 공학이 종종 성공합니다.

"오늘날 많은 사람들이 더 많은 연결을 위해 노력하고 있습니다."라고 그는 말합니다. "소셜 미디어는 사람들을 전통적인 관계로부터 멀어지게 했습니다."

누군가가 친근하고 호감이 가거나 성공한 사람으로 보이면 신뢰가 빠르게 형성됩니다. 일단 신뢰가 형성되면 회의론은 사라집니다. 공격자들은 바로 이 점을 노리고 있습니다.

현대 사기 운영의 숨겨진 현실

사이버 범죄자에 대한 또 다른 오해는 그들이 고도로 정교한 해커라는 것입니다.

간혹 사기 조직이 실제로 존재하는 경우도 있지만, 대부분의 사기 조직은 기업 콜센터처럼 보입니다. 스크립트화된 대화와 정의된 워크플로우가 있습니다. 심지어 사기꾼에게 성과 지표를 요구하는 경우도 많습니다.

Tim의 연구에 따르면 이러한 구조화된 사기 조직은 스크립트를 지속적으로 개선하고 있습니다. 때로는 단순히 정보를 수집하는 것이 목표일 때도 있습니다. 다른 경우에는 훔친 돈을 이동하는 데 사용된 운반책 계정이나 결제 채널을 식별하는 경우도 있습니다.

하지만 기본 프로세스는 놀라울 정도로 일관되게 유지됩니다. 사기꾼은 누군가가 자신을 신뢰하도록 설득한 다음 그 신뢰로부터 수익을 창출하고자 합니다.

보안 인식만으로는 충분하지 않은 이유

보안 인식 교육은 기업 방어의 표준적인 부분이 되었습니다.

보안에 대한 인식이 중요하지만 사용자 행동에만 의존하는 것은 지나친 부담이 될 수 있습니다.

Tim이 지적했듯이 인간은 끊임없이 의심을 품고 활동하도록 설계된 존재가 아닙니다. "사람들이 항상 올바른 결정을 내리거나 완벽하게 행동할 것이라고 가정할 수는 없습니다."라고 그는 말합니다. "잘 훈련된 직원도 실수를 할 수 있습니다."

그렇기 때문에 제로 트러스트 사고는 인증과 신원 확인을 넘어 확장되어야 합니다. 조직은 때때로 인간의 신뢰가 악용될 수 있다는 점을 전제해야 합니다.

문제는 그 다음이 어떻게 될 것인가입니다. 공격자가 환경을 자유롭게 이동할 수 있습니까, 아니면 다음 동작이 제한되어 있습니까?

사람들이 항상 올바른 결정을 내리거나 완벽하게 행동할 것이라고 가정할 수는 없습니다. 잘 훈련된 직원도 실수를 할 수 있습니다.

제로 트러스트는 인간의 행동을 고려해야 합니다.

제로 트러스트가 필수적인 이유가 바로 여기에 있습니다.

모든 사기를 막을 수는 없지만, 불가피하게 신뢰가 악용될 경우 피해를 줄일 수 있습니다.

공격자가 자격 증명, 손상된 디바이스 또는 원격 연결에 액세스하는 경우, 세분화 및 가시성을 기반으로 구축된 제로 트러스트 전략은 이러한 발판이 전체 침해로 이어지는 것을 방지할 수 있습니다.

제로 트러스트는 인간은 항상 다른 인간을 신뢰한다는 단순한 진리를 인정합니다.

공격자는 이를 알고 있으므로 방어자는 신뢰가 실패할 수 있다고 가정하는 아키텍처를 설계해야 합니다.

제로 트러스트는 앞으로의 사이버 보안 문제를 해결하는 데 도움이 됩니다.

기술은 계속 발전할 것입니다. AI가 사기를 자동화합니다. 인프라는 더욱 복잡해질 것입니다. 디지털 관계가 물리적 관계를 대체할 것입니다.

하지만 사이버 범죄는 여전히 신뢰를 조작하는 것이라는 근본적인 문제는 변하지 않습니다.

사실 이제 아키텍처의 복원력이 가장 중요해졌습니다. 오늘날의 사이버 범죄는 소프트웨어를 악용하는 것이 아니라 우리를 악용하는 데 초점을 맞추고 있습니다.  

이러한 현실은 조직이 사이버 보안에 대해 생각하는 방식을 바꾸고 제로 트러스트 보안 전략을 최우선 순위로 삼도록 해야 합니다.

더 세그먼트의 전체 에피소드를 들어보세요:제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.