사회공학 공격의 특징과 출제 경향
사회공학 공격은 기술적 취약점이 아닌 사람의 심리를 이용합니다. 정보보안기사에서는 다양한 피싱 유형을 구분하고 대응 방안을 묻는 문제가 꾸준히 출제됩니다. 기술적 대응보다 인식 교육이 핵심이라는 점도 중요합니다.
【기출 토픽 1】 사회공학 공격 유형
기출 문제 예시: 특정 조직이나 개인을 표적으로 삼아 신뢰할 수 있는 발신자로 위장한 이메일을 통해 악성코드 배포나 자격증명 탈취를 시도하는 공격은?
- ① 일반 피싱 (Phishing)
- ② 스피어피싱 (Spear Phishing) ✅
- ③ 웨일링 (Whaling)
- ④ 파밍 (Pharming)
해설: 스피어피싱은 불특정 다수 대상의 일반 피싱과 달리 특정 조직·개인을 정밀 타깃으로 합니다. 개인 정보를 사전 수집하여 신뢰도 높은 이메일을 제작합니다. 웨일링은 스피어피싱 중에서도 CEO·임원 등 고위직을 타깃으로 하는 것입니다.
피싱 유형 정리:
- 피싱: 이메일, 불특정 다수
- 스피어피싱: 이메일, 특정 표적
- 웨일링: 이메일, 고위 임원 표적
- 스미싱: SMS, 악성 링크
- 보이스피싱: 전화, 음성
- 파밍: DNS 조작, 가짜 사이트
- 큐싱: QR코드, 악성 URL
【기출 토픽 2】 파밍(Pharming) vs 피싱 차이
기출 문제 예시: 사용자가 정상적인 URL을 입력해도 가짜 사이트로 유도되는 공격으로, DNS 서버 또는 hosts 파일을 변조하는 공격은?
- ① 피싱
- ② 스미싱
- ③ 파밍 ✅
- ④ 큐싱
해설: 파밍은 DNS 스푸핑이나 hosts 파일 변조를 통해 정상 URL 입력 시 가짜 사이트로 연결합니다. 피싱은 사용자가 악성 링크를 클릭해야 하지만, 파밍은 정상 URL을 입력해도 속는다는 점에서 더 위험합니다.
【기출 토픽 3】 프리텍스팅(Pretexting)
기출 문제 예시: 공격자가 가상의 시나리오(프리텍스트)를 만들어 피해자가 자발적으로 정보를 제공하도록 유도하는 사회공학 기법은?
- ① 베이팅(Baiting)
- ② 프리텍스팅(Pretexting) ✅
- ③ 쇼울더 서핑
- ④ 테일게이팅
해설: 프리텍스팅은 “IT 지원팀입니다, 비밀번호 확인이 필요합니다” 같은 그럴듯한 이야기를 만들어 정보를 얻는 수법입니다. 베이팅은 감염된 USB를 무작위로 뿌려 호기심을 자극하는 방식이고, 테일게이팅은 보안 구역에 승인된 사람 뒤를 따라 물리적으로 진입하는 방식입니다.
【기출 토픽 4】 사회공학 대응 방안
기출 문제 예시: 사회공학 공격에 대한 가장 효과적인 대응 방안은?
- ① 최신 방화벽 도입
- ② 정기적 보안 인식 교육 ✅
- ③ 강력한 암호화 시스템 구축
- ④ 침입 탐지 시스템(IDS) 강화
해설: 사회공학 공격은 기술이 아닌 사람을 공격합니다. 따라서 기술적 보안 솔루션만으로는 막을 수 없으며, 임직원 보안 인식 교육이 가장 효과적인 대응 수단입니다. 의심스러운 요청은 공식 채널로 재확인하는 절차도 필수입니다.
사회공학·피싱 최종 정리
피싱 유형별(피싱/스피어피싱/웨일링/스미싱/파밍/큐싱) 공격 방식과 특징을 정확히 구분하고, 각 유형의 대응 방안을 함께 암기하세요. 사회공학 공격의 핵심은 ‘기술이 아닌 사람’을 공격한다는 점을 항상 염두에 두세요.