소셜 엔지니어링 (Social Engineering)

소셜 엔지니어링 (Social Engineering)

기술적 공격이 아닌 인간의 심리적 약점(신뢰, 두려움, 호기심)을 악용하여 정보를 탈취하거나 부적절한 행동을 유도하는 공격 기법

특징: 비기술적, 인간 약점 악용, 탐지 어려움

구성요소: 공격자(사칭), 피해자(타겟), 미끼(긴급성/권위/호기심), 목표(정보 탈취/접근 권한)

기술요소: 사칭(Impersonation), 신뢰 구축(Pretexting/사전 시나리오), 권위 악용, 긴급성 조성, 호기심 자극, 보답 심리

유형: 피싱(이메일), 비싱(전화), 스미싱(SMS), 베이팅(미끼/USB 방치), 테일게이팅(무단 동행 출입), 큐싱(QR 코드)

공격 단계: 1) 정보 수집 2) 관계 수립 3) 신뢰 구축 4) 악용 5) 탈출

대응: 사용자 보안 교육(정기적), 정보 공개 최소화(소셜 미디어), 검증 절차(전화 확인), 제로 트러스트 문화, 피싱 시뮬레이션

실제 사례: CEO 사칭 송금 요청, IT 지원팀 사칭 비밀번호 요구, 택배 사칭 링크 클릭 유도

적용사례: 초기 침투 경로, 자격증명 탈취, 내부자 협조 유도

비교: 기술적 공격(취약점 악용) vs 소셜 엔지니어링(인간 약점 악용)

연관: 피싱, 사용자 교육, 물리 보안, 침해 대응