기업들이 소셜 엔지니어링 공격을 막지 못하는 이유는 무엇일까요? | 의견

지난 한 해 동안 암호화폐 업계에서 발생한 가장 큰 규모의 공격들은 대부분 동일한 근본 원인, 즉 '사람'에 의해 발생했습니다. 지난 몇 달 동안만 해도 Ledger는 npm 관리자들이 속아 악성 패키지가 유포되자 사용자들에게 온체인 활동을 일시 중단할 것을 촉구했고, Workday는 제3자 CRM 시스템의 데이터에 접근한 소셜 엔지니어링 공격 사실을 공개했으며, 북한과 연계된 공격자들은 암호화폐 개발팀을 대상으로 가짜 채용 공고를 내세워 악성코드를 유포하는 수법을 계속 사용했습니다.

수십억 달러를 사이버 보안에 쏟아붓고 있음에도 불구하고, 기업들은 단순한 사회공학적 공격에 계속해서 속수무책으로 당하고 있습니다. 보안팀들은 기술적 보호 장치, 감사, 코드 검토에 막대한 비용을 투자하면서 운영 보안, 기기 위생 관리, 그리고 기본적인 인적 요소를 소홀히 합니다. 점점 더 많은 금융 거래가 블록체인 상에서 이루어짐에 따라, 이러한 사각지대는 디지털 인프라에 대한 시스템적 위험으로 대두되고 있습니다.

사회공학적 공격의 급증세를 늦추는 유일한 방법은 이러한 전술의 효과를 줄이는 운영 보안에 대한 광범위하고 지속적인 투자입니다.

사회공학은 사이버 보안의 아킬레스건입니다.

버라이즌의 2025년 데이터 침해 조사 보고서에 따르면 사이버 보안의 "인적 요소"(피싱, 도난당한 자격 증명 및 일상적인 실수)가 데이터 침해의 약 60%와 관련이 있는 것으로 나타났습니다.

사회공학적 공격은 코드가 아닌 사람을 표적으로 삼아 신뢰, 긴급성, 친숙함, 일상적인 습관을 악용하기 때문에 효과적입니다. 이러한 유형의 공격은 코드 감사를 통해 제거할 수 없으며 자동화된 사이버 보안 도구로도 방어하기 어렵습니다. 코드 검토 및 기타 일반적인 사이버 보안 관행으로는 직원이 관리자로부터 온 것처럼 보이는 사기성 요청을 승인하거나 합법적으로 보이는 가짜 Zoom 업데이트를 다운로드하는 것을 막을 수 없습니다.

아무리 기술력이 뛰어난 팀이라도 함정에 빠질 수 있습니다. 인간의 약점은 보편적이고 완고하기 때문입니다. 그 결과, 사회공학적 기법은 현실 세계에서 계속해서 사건의 주요 원인이 되고 있습니다.

암호화폐가 판돈을 높인다

프로그래밍 가능한 화폐는 위험을 집중시킵니다. 웹3 환경에서 시드 구문 이나 API 토큰이 유출되는 것은 은행 금고를 털리는 것과 같은 심각한 결과를 초래할 수 있습니다. 암호화폐 거래의 비가역성은 실수를 증폭시킵니다. 자금이 이체되면 거래를 되돌릴 방법이 없는 경우가 많습니다. 기기 보안이나 키 관리 과정에서 단 한 번의 실수만으로도 자산이 날아갈 수 있습니다. 웹3의 탈중앙화 설계로 인해 도움을 받을 수 있는 고객 지원 센터가 없는 경우가 많아 사용자는 스스로 문제를 해결해야 합니다.

국가 지원을 받는 용병들을 포함한 해커들은 사회공학적 공격의 효과를 인지하고 그에 맞춰 수법을 발전시켜 왔습니다. 북한의 라자루스 그룹이 주도하는 것으로 알려진 공격들은 가짜 구인 광고, 악성 PDF 파일, 악성 패키지, 그리고 인간의 취약점을 노리는 맞춤형 피싱 공격 등 사회공학적 기법에 크게 의존합니다.

이러한 공격 방식은 놀라울 정도로 효과적이고 실행하기도 간단하며, 기술 기업들은 이에 대한 방어책을 마련하지 못하는 것으로 보입니다. 제로데이 공격은 빠르게 패치되어 해커들이 새로운 공격 전략을 찾아야 하는 반면, 이러한 공격 방식은 해커들이 동일한 사회공학적 전술을 자율적으로 반복해서 사용할 수 있게 해 줍니다. 따라서 해커들은 연구 개발에 시간을 덜 쓰고 해킹에 더 많은 시간을 투자할 수 있습니다.

기업은 운영 보안에 투자해야 합니다.

여전히 많은 조직들이 보안을 단순히 규정 준수 차원의 문제로만 여기고 있으며, 이러한 태도는 허술한 규제 기준에 의해 더욱 강화되고 있습니다. 기업들은 관리자 키를 개인 노트북에 저장하거나, 채팅 및 이메일을 통해 자격 증명을 공유하거나, 갱신되지 않은 오래된 접근 권한을 사용하거나, 업무용 노트북을 개발용으로 사용하는 등 명백한 운영 위험을 방치하면서도 감사에서 무사히 통과하고 완벽한 보고서를 발표하는 경우가 많습니다.

이러한 규율 부족 문제를 해결하려면 명확하고 강력한 운영 보안 조치가 필요합니다. 팀은 관리형 장치, 강력한 엔드포인트 보호, 전체 디스크 암호화를 사용해야 하며, 회사 로그인에는 암호 관리자와 피싱 방지 기능이 있는 다단계 인증(MFA)을 활용해야 합니다. 또한 시스템 관리자는 권한과 접근을 신중하게 관리해야 합니다. 이러한 통제 조치가 모든 문제를 해결해 주는 것은 아니지만, 소셜 엔지니어링 공격을 더욱 어렵게 만들고 잠재적인 공격의 영향을 완화하는 데 도움이 됩니다.

무엇보다 중요한 것은 팀이 운영 보안 교육에 투자해야 한다는 점입니다. 사회공학적 공격에 대한 최전선 방어는 사이버 보안 팀이 아니라 직원 스스로가 담당해야 합니다. 기업은 직원들이 피싱 공격 가능성을 식별하고, 안전한 데이터 관리 방법을 익히며, 운영 보안 관행을 이해할 수 있도록 교육에 시간을 투자해야 합니다.

무엇보다 중요한 것은 조직들이 자발적으로 강화된 사이버 보안 태세를 갖추도록 기대할 수 없다는 점입니다. 규제 당국이 개입하여 실질적인 보안을 선택 사항이 아닌 의무 사항으로 만드는 강제적인 운영 기준을 설정해야 합니다. 규정 준수 체계는 단순한 문서화를 넘어, 검증된 키 관리, 정기적인 접근 권한 검토, 엔드포인트 강화, 모의 피싱 공격 대비 태세 등 안전한 관행에 대한 실질적인 증거를 요구해야 합니다. 규제력이 없다면, 실질적인 결과보다는 보여주기식 보안에 치중하게 될 것입니다.

사회공학은 점점 더 악화되고 있다.

공격 빈도가 기하급수적으로 증가하고 있기 때문에 지금 바로 운영 보안에 투자하는 것이 매우 중요합니다.

생성형 AI는 사기 행위의 경제성을 바꿔놓았습니다. 이제 공격자들은 산업 규모로 피싱 공격을 개인화하고, 지역화하고, 자동화할 수 있습니다. 과거에는 단일 사용자나 기업을 대상으로 했던 공격 방식이 이제는 큰 비용 부담 없이 수천 개의 기업을 표적으로 삼는 데 사용될 수 있습니다. 단 몇 번의 클릭만으로 개인화된 피싱 공격을 실행하고, 개인 정보를 삽입하여 가짜 이메일이 진짜처럼 보이도록 만들 수 있습니다.

AI는 정찰 활동도 가속화합니다. 공개된 정보, 유출된 자격 증명, 오픈 소스 정보 등을 수집하고 조합하여 각 피해자에 대한 "요약본"을 만들 수 있으며, 이를 통해 해커는 매우 설득력 있는 공격을 개발할 수 있습니다.

공격 속도 늦추기

사회공학적 공격은 암묵적인 신뢰와 편의성이 검증과 신중함을 압도하는 환경에서 번성합니다. 조직은 보다 방어적인 자세를 취하고 사회공학적 공격의 위협에 끊임없이 노출되어 있다는 점을 (당연히) 인식해야 합니다.

팀은 일상 업무에 제로 트러스트 원칙을 도입하고 회사 전체에 운영 보안 원칙을 통합해야 합니다. 또한 공격을 조기에 차단하기 위해 직원들에게 운영 보안 교육을 실시하고, 최신 소셜 엔지니어링 공격 기법에 대한 정보를 지속적으로 제공해야 합니다.

무엇보다 중요한 것은 기업들이 운영 과정에서 신뢰가 여전히 남아있는 곳(공격자가 직원, 소프트웨어 또는 고객을 사칭할 수 있는 곳)을 찾아내고 추가적인 안전장치를 마련해야 한다는 것입니다.

소셜 엔지니어링 공격 자체가 사라지지는 않겠지만, 그 효과를 크게 줄이고 공격 발생 시 피해 규모를 축소할 수는 있습니다. 업계가 이러한 공격에 대한 방어력을 강화함에 따라, 해커들에게 소셜 엔지니어링은 더 이상 수익성이 높은 공격 수단이 되지 못할 것이며, 공격 빈도 또한 감소하여 마침내 숨 막힐 듯한 악순환에 종지부를 찍게 될 것입니다.