사회공학(Social Engineering)이란?
사회공학은 기술적 취약점이 아닌 사람의 심리를 이용해 정보를 탈취하거나 행동을 유도하는 공격입니다. 정보보안기사 시험에서는 사회공학 공격 유형, 피싱 시뮬레이션, 보안 인식 훈련 설계가 핵심 출제 범위입니다.
사회공학 공격 유형
- 피싱(Phishing): 대규모 무차별 이메일. 가짜 로그인 페이지로 자격증명 탈취
- 스피어 피싱(Spear Phishing): 특정 개인·조직 타깃. 개인화된 메시지로 신뢰성 높임
- 웨일링(Whaling): 경영진(고래) 타깃 스피어 피싱. CEO 사기(BEC, Business Email Compromise)
- 비싱(Vishing): 음성 통화로 사기. “은행 보안팀”을 사칭해 OTP 탈취
- 스미싱(Smishing): SMS를 통한 피싱
- 프리텍스팅(Pretexting): 신뢰할 수 있는 시나리오를 만들어 정보 탈취
- 베이팅(Baiting): 호기심을 유발하는 미끼(USB, 공짜 소프트웨어)
- 테일게이팅(Tailgating): 인가된 사람의 뒤를 따라 보안 구역에 물리적으로 침입
피싱 시뮬레이션(Phishing Simulation)
직원들의 피싱 인식 수준을 측정하고 개선하기 위한 모의 훈련입니다.
- 목적: 취약한 직원 식별, 교육 효과 측정, 피싱 신고율 향상
- 플랫폼: KnowBe4, Proofpoint Security Awareness Training, Cofense
- 측정 지표: 클릭률(Click Rate), 자격증명 입력률, 신고율
- 윤리적 고려: 처벌 목적이 아닌 교육 목적. 결과를 추가 교육에 활용
보안 인식 훈련(Security Awareness Training)
- 주요 교육 내용: 피싱 식별, 강력한 패스워드/MFA, 소셜 미디어 정보 관리, 보고 절차
- 효과적인 훈련 방법: 마이크로러닝(짧은 영상), 게임화(Gamification), 실제 사례 분석, 정기적 반복
- 측정: 훈련 전후 피싱 클릭률 비교, 보안 인식 설문
BEC(Business Email Compromise)
이메일 계정 침해 또는 스푸핑으로 임직원을 속여 무단 송금·데이터 유출을 유도하는 공격입니다. FBI가 집계한 가장 비용이 큰 사이버 범죄 유형 중 하나입니다.
- 유형: CEO 사기(CEO가 긴급 송금 요청), 공급업체 사기(결제 계좌 변경 요청)
- 방어: DMARC/DKIM/SPF 이메일 인증, 계좌 변경 전화 확인 절차, 이중 승인
정보보안기사 기출 핵심 정리
- 스피어 피싱 = 특정 타깃 개인화, 웨일링 = 경영진 타깃
- BEC = 이메일 사칭 무단 송금 유도, 가장 큰 금전 피해
- 테일게이팅 = 물리적 침입, 프리텍스팅 = 신뢰 시나리오 구성
- 피싱 시뮬레이션 지표: 클릭률·자격증명 입력률·신고율
- BEC 방어: DMARC + 전화 확인 + 이중 승인