Pretexting / 소셜 엔지니어링 기법 상세

Pretexting / 소셜 엔지니어링 기법 상세

소셜 엔지니어링의 세부 공격 기법으로, 공격자가 가상의 시나리오(구실)나 미끼를 이용하여 피해자의 신뢰를 얻고 정보를 탈취하는 비기술적 공격 유형

주요 기법

• •Pretexting (사전 시나리오): 신뢰할 수 있는 인물(IT 지원, 상사, 은행)을 사칭하는 시나리오 구축 → 정보 요청, 가장 정교한 소셜 엔지니어링
• •Baiting (미끼): 악성코드가 담긴 USB/파일을 방치하여 호기심 유발 → 연결/실행 시 감염
• •Quid Pro Quo (대가 제공): "기술 지원해주겠다" 등 도움을 제안하고 대가로 정보/접근권한 요구
• •Tailgating (무단 동행): 권한 있는 사람 뒤를 따라 물리적 보안 구역 무단 진입
• •Watering Hole (워터링 홀): 표적 그룹이 자주 방문하는 웹사이트를 감염시켜 대기

공격 성공 요인: 권위(상사/기관 사칭), 긴급성(시간 압박), 호기심, 두려움, 호의/보답 심리

방어

• •보안 인식 교육: 정기적/반복적, 실제 사례 기반, 역할별 맞춤
• •피싱 시뮬레이션: 모의 공격으로 직원 대응 능력 평가/훈련
• •검증 절차: 전화/대면 확인, 이중 승인, 콜백 검증
• •물리 보안: 출입통제, 방문자 관리, 테일게이팅 방지

비교: Pretexting(시나리오/정교) vs Phishing(이메일/대량) vs Baiting(미끼/호기심) vs Tailgating(물리적)

연관: 소셜 엔지니어링, 피싱, 보안 인식 교육, 물리적 보안