17강 · 사회공학

오늘 끝나면

사회공학

✓사회공학의 핵심 문제를 한 문장으로 설명한다
✓오른쪽 실습에서 사회공학이 어떻게 움직이는지 관찰한다
✓다음 강의와 이어지는 한계를 말할 수 있다

실습 미션

사람이 가장 약한 고리 — 피싱 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.

성공 조건

□실습의 기본값을 먼저 관찰
□입력값이나 모드를 한 번 이상 바꿔 결과 비교
□왜 결과가 바뀌었는지 한 문장으로 설명

화이트해킹 · 17

사회
공학

기술이 아니라 사람을 속이는 공격임.
아무리 단단한 시스템도 그 앞엔 사람이 앉아 있음.
방어는 의심 · 검증 · 교육 · MFA임.

P.01화이트해킹 · 17

가장 약한 고리는 사람이다

방화벽을 세우고 · 암호를 걸고 · 패치를 다 해도 한 통의 전화에 비번이 새 나감. 공격자는 기술을 뚫는 대신 사람을 설득함.

시스템은 규칙대로만 움직임 / 거짓말에 안 속음.
사람은 다름 / 친절하고 · 바쁘고 · 권위를 따르고 · 도와주고 싶어 함.
사회공학은 바로 그 인간적인 빈틈을 공략함.

보안은 가장 약한 고리만큼만 강함 / 사슬이 아무리 굵어도 한 칸이 종이면 거기서 끊김.
그래서 방화벽 예산보다 사람 교육이 더 큰 효과를 낼 때가 많음.
이 강은 무기화 코드가 아니라 “사람을 속이는 원리와 그걸 막는 법”을 다룸.

단단한 사슬 · 한 칸만 약하면 끊김

보안 사슬 — 가장 약한 칸에서 끊김

세 칸이 단단해도 “사람” 칸이 끊기면 사슬은 풀림

P.02화이트해킹 · 17

수법 — 피싱 · 미끼 · 사칭

사회공학은 화려한 기술이 아님. 익숙한 통로 세 가지로 거의 다 들어옴 — 피싱 · 미끼 · 사칭.

피싱은 가짜 메일·문자로 비번이나 결제정보를 입력하게 만듦 / 진짜 사이트를 흉내 낸 화면이 미끼임.
미끼(베이팅)는 공짜 USB·당첨 쿠폰처럼 호기심·욕심을 건드려 클릭이나 연결을 유도함.

사칭(프리텍스팅)은 IT 직원·임원·은행 직원인 척 그럴듯한 상황을 꾸며 정보를 캐냄.
셋의 공통점은 하나임 / 급하게 · 의심 없이 · 행동하게 만드는 것.
그 압박을 알아채면 절반은 막은 셈임.

속이는 통로 세 갈래

사람을 속이는 통로 세 갈래

피싱Phishing

미끼

가짜 메일·문자

노림수

비번·결제정보 입력 유도

미끼Baiting

미끼

공짜 USB·당첨 쿠폰

노림수

호기심·욕심으로 클릭 유도

사칭Pretexting

미끼

IT·임원·은행 직원인 척

노림수

그럴듯한 상황으로 정보 요구

공통점 — 급하게 · 의심 없이 · 행동하게 만듦

P.03화이트해킹 · 17

피싱의 단서를 읽는 법

피싱 메일은 완벽하지 않음. 늘 흔적을 남김. 세 군데만 습관처럼 보면 대부분 걸러짐.

첫째 보낸 도메인 / naver.com이 아니라 naver-support.com처럼 한 글자가 끼어 있음.
둘째 긴급성/ “24시간 내”, “계정 삭제”처럼 겁주고 재촉함.

셋째 링크 / 보이는 글자와 실제 주소가 다름 / 누르기 전에 주소부터 확인.
하나만 어긋나도 멈추는 게 정답임 / 진짜라면 잠깐 멈춰도 손해가 없음.
오른쪽(다음 장)에서 이 세 단서로 직접 가려 봄.

도메인 · 긴급성 · 링크 — 세 군데를 봄

세 군데만 습관처럼 보면 걸러짐

단서	의심	정상
도메인한 글자가 끼어 있나	naver-support.com	naver.com
긴급성겁주고 재촉하나	24시간 내 / 계정 삭제	재촉 없음
링크누르기 전에 확인	보이는 글자 ≠ 실제 주소	주소가 일치

하나만 어긋나도 멈추는 게 정답

P.04화이트해킹 · 17

직접 가려내기 — 피싱 판별

이론은 봤으니 손으로 돌려 봄. 오른쪽은 메일 샘플을 한 건씩 보여주는 판별 트레이너임 / 실제 메일도 링크도 아님 · 연습용 가짜 데이터임.

각 메일엔 단서 칩 세 개가 있음 — 도메인 · 긴급성 · 링크.
하나씩 눌러 보면 그게 의심 신호인지 정상 신호인지 한 줄 해설이 펼쳐짐.
다 살핀 뒤 진짜 / 피싱을 직접 고름.

맞히는 게 목적이 아님 / 어디를 보고 판단했는지 그 시선을 몸에 익히는 게 목적임.
진짜 메일이라도 링크는 직접 주소창에 쳐서 들어가는 습관이 가장 안전함.
이 점검 루프가 사람 쪽 방화벽임.

단서를 눌러 살피고 · 진짜/피싱 판정

피싱 판별 트레이너0 / 0

메일 1 / 5받은편지함

[긴급] 계정 잠김 — 24시간 내 인증 필요

보안팀 <security@naver-support.com>

비정상 로그인이 감지됨. 지금 인증 안 하면 계정이 영구 삭제됨.

단서 — 눌러서 살펴보셈

판정 — 이 메일은?

P.05화이트해킹 · 17

방어 — 의심 · 검증 · 교육 · MFA

사람은 언젠가 속음 / 완벽한 사람은 없음. 그래서 방어는 “안 속기”와 “속아도 안 뚫리기” 두 겹으로 짬.

앞 겹은 사람 쪽임 — 의심하고 · 다른 채널로 검증하고 · 반복 교육으로 눈을 키움.
급한 송금 요청이 오면 전화로 직접 확인 / 이 한 번이 임원 사칭 사기를 끊음.

뒷 겹은 기술 쪽임 — MFA(다중 인증).
비번이 새 나가도 두 번째 인증(앱 코드·보안키)이 없으면 로그인이 막힘.
사람의 실수를 시스템이 한 번 더 받쳐주는 마지막 빗장임.

Q. 피싱 방어에 MFA가 도움이 되는 이유는? (비번을 더 길게 함 · 메일을 자동 차단함 · 비번이 새도 두 번째 인증이 막음 · 도메인을 검사함)

정답은 비번이 새도 두 번째 인증이 막음임.
피싱으로 비번 한 개가 털려도 · MFA는 앱 코드·보안키 같은 두 번째 인증을 추가로 요구함.
공격자는 비번만으론 로그인을 못 함 / 사람의 실수를 시스템이 한 겹 더 받쳐줌.
그래서 의심·검증(앞 겹)이 뚫려도 MFA(뒷 겹)가 피해를 막는 마지막 빗장이 됨.

속아도 피해를 막는 마지막 빗장

두 겹 방어 — 안 속기 + 속아도 안 뚫리기

앞 겹 · 사람

의심검증교육

급한 요청은 다른 채널로 직접 확인 / 한 번 멈추면 사칭 사기가 끊김

뒷 겹 · 기술

MFA비번이 새도 두 번째 인증이 막음