문제
사회공학(Social Engineering) 공격의 대표적인 기법 4가지를 설명하고, 조직 차원에서 이러한 공격을 방어하기 위한 종합적인 대응 전략을 서술하시오.
정답
사회공학은 기술적 취약점보다 인간의 심리를 이용하여 정보를 탈취하는 공격이다. 주요 기법: 1) 피싱: 가짜 이메일/사이트로 개인정보 탈취 2) 베이팅: 악성코드가 담긴 USB 등 미끼를 이용 3) 프리텍스팅: 거짓 상황을 만들어 신뢰를 얻은 후 정보 요구 4) 테일게이팅: 권한자를 따라 보안구역에 무단 침입. 대응 전략으로는 1) 정기적 보안 인식 교육과 모의 훈련 2) 정보 공개 최소화 및 검증 절차 수립 3) 물리적 보안 강화(출입통제, CCTV) 4) 사고 신고 체계 구축과 대응 매뉴얼 마련이 필요하다.
인간 심리 이용피싱베이팅프리텍스팅테일게이팅보안 인식 교육검증 절차물리적 보안사고 신고 체계
해설
사회공학 공격은 기술적 방어만으로는 막을 수 없는 인간 중심의 공격으로, 최근 랜섬웨어나 APT 공격의 초기 침투 경로로 자주 활용된다. 피싱은 이메일을 통한 가장 일반적인 형태이고, 베이팅은 물리적 미끼를 사용하며, 프리텍스팅은 사전 조사를 통해 신뢰를 구축한 후 공격하는 정교한 방식이다. 테일게이팅은 물리적 침입 기법으로 출입통제 시스템을 우회한다. 효과적 방어를 위해서는 기술적 대책보다는 직원 교육과 정책 수립이 핵심이다.