바보야, 문제는 인간이야!『사회공학과 휴먼 해킹』

사용자 삽입 이미지

사회공학과 휴먼 해킹
인간의 심리를 이용해 어떻게 원하는 것을 얻는가?
크리스토퍼 해드네기 지음 | 민병교 옮김 | 에이콘 해킹보안 시리즈
2012년 04월 09일 출간 | 30,000원| 440쪽 | ISBN 9788960772939
YES24, 교보문고, 알라딘, 인터파크, 반디앤루니스, 대교리브로, 강컴


▶ 바보야, 문제는 인간이야!

1992년 미대통령 선거를 승리로 이끈 빌 클린턴이 선거유세 기간 동안 당시 대통령이던 조지 부시에 대적하기 위한 선거 캠페인으로 했던 유명한 말이 있습니다. "바보야, 문제는 경제야!"(It's the economy, stupid!) 인터넷이 태동하던 무렵, '정보의 바다'라며 인터넷을 은유하던 말이 무색할 정도로 그야말로 우리는 '정보의 홍수 시대에 살고 있습니다. 이런 카오스의 시대에 정보는 그저 우리에게 도움이 되는 유용한 컨텐츠가 되던 시대를 넘어 도리어 우리의 목을 죄는 칼날로 다가오기도 합니다. 이런 정보를 캐내고 훔치며 지키려는 사람들 사이에서 문제를 시스템이나 기계에만 돌리던 사람에게 이젠 이렇게 외쳐야 할지도 모릅니다. '바보야, 문제는 인간이야!'(It's the human, stupid!)

▶ 시스템을 넘어 '인간'을 해킹하는 시대

“당신 이름으로 만들어진 차명계좌에 거액의 돈이 송금되었습니다.”
“지금 바로 경찰서에 참고인 조사를 받으러 출두하셔야 합니다.”
“댁의 아들이 납치되었으니 지금 바로 500만원 송금하시오.”

누구나 이런 전화를 한 번쯤 받아보셨을 것입니다. 최근 기승을 부리고 있는 보이스피싱(voice phishing)이지요. 이렇듯 거짓조작을 통해 정보를 빼내는 기술을 ‘사회공학(social engineering)’이라고 합니다. 이러한 방식으로 사람들을 속여 이익을 취하기 위해서는 먼저 추적을 피할 수 있는 전화장비를 갖추고(사회공학도구), 목표물에 대한 정보를 수집하고(정보수집과 도출), 자신의 역할과 상황에 대한 각본을 짜고(프리텍스팅), 연기를 해(심리트릭 적용) 목표물에게 내가 원하는 정보를 제공하거나 행동을 하도록 만드는(설득과 조작) 기술을 갖춰야 합니다.

그렇습니다. ‘사회공학’은 한 마디로 사기범죄의 기술을 의미합니다.

진화하는 해킹, 당신의 마음을 노린다: 심리 이용하는 ‘사회공학적 해킹’
(중앙일보, 2012. 3. 9
링크
)


작년 모 인터넷 기업에서 떠들썩한 해킹 사건이 있었습니다. 거대한 인터넷 포털이었기에 국내 인터넷 사용자 수에 맞먹는 대량의 데이터베이스와 신원 정보가 유출된 사건이었습니다. 이어 모 게임 업체에서도 해킹 사건이 일어나 사용자의 아이디와 비밀번호가 무방비 상태로 노출됐다는 기사가 이어졌죠. 이 회사들은 고가의 보안장비와 솔루션을 갖추고, 보안회사로부터 관제서비스도 제공받았지만, 해킹사고에는 속수무책이었습니다. 허점은 시스템이 아닌 사람에 있었습니다. 당시 기사를 보아도 알 수 있듯이, 이 사고는 인간을 대상으로 한 표적 공격이었습니다. DB 관리자를 대상으로 삼고 그들을 무방비 상태로 만들어 놓은 후 시스템을 무력화 시키는 대표적인 사회공학적 공격이었던 것이지요.

오늘날 정보를 캐내려는 자와 지키려는 자 사이의 이처럼 끝없는 싸움 속에서 보안기술은 나날이 발전하고 있습니다. 하지만 기술적인 보안시스템이 아무리 발전한다고 해도 여전히 해커들이 쉽게 보안장벽을 넘나들 수 있는 것은 보안의 가장 큰 취약점, 바로 사람 때문입니다. 그래서 사회공학기술은 곧 ‘인간을 해킹하는 기술’이라고 일컫는 것입니다.


세계 최초의 사회공학(소셜엔지니어링) 개론서!
최초로 공개하는 적들의 기술!!

사회공학은 사실 대인관계기술의 결정판이라고 할 수 있습니다. 다른 사람의 감정, 인식, 사고를 읽어내 그것을 내가 원하는 대로 유도하고, 설득하고 통제하여 내가 원하는 행동을 하게 만드는 일 - 그것은 바로 대인관계기술을 습득하기 위해 노력하는 모든 사람의 꿈입니다. 어떤 기술이든 목적에 따라 선하게 사용될 수도 있고 악하게 사용될 수도 있는 것입니다.

사회공학에 대한 이해와 다양한 사례를 통해 대인관계기술을 습득할 수 있을 뿐만 아니라, 나쁜 사회공학자들이 파고드는 악질적인 수법을 미리 습득하고 대처함으로써 더욱 보안에 만전을 기할 수 있습니다.

이 책은 사회공학을 체계적으로 소개하는 최초의 개론서입니다. 사회공학의 바탕이 되는 기본적인 이론과, 구체적인 실행노하우와 다양한 사례들을 풍부하게 제시합니다. 사회공학기술을 쌓고자 하는 사람은 물론, 사회공학기술에 속지 않고자 하는 사람들에게 훌륭한 길라잡이가 될 것입니다.

멀웨어와 클라이언트 공격엔 대부분 사용자를 속여 스스로 악당의 침입을 허용하게 만드는 사회공학적 요소가 작용한다. 기술적 취약점은 기술 개발을 통해 쉽게 패치할 수 있지만, 어리석거나 잘 속아 넘어가는 사람의 특성을 보완하는 패치는 불가능하다.

헤드네기는 이 책에서 오늘날 침입자들이 이용하는 사회공학 요소를 속속들이 폭로한다. 이런 유형의 공격을 미리 알아보는 훌륭한 통찰력을 얻을 수 있을 것이다.
케빈 미트닉(Kevin Mitnick) / 전설의 해커이자 보안전문가


[이 책에서 다루는 내용]
• 사회공학자들이 활용하는 심리학적 원리
• 사기꾼과 사회공학자들에게서 배우는 설득의 기술
• 스파이나 사회공학자들이 이용하는 카메라, GPS장비, 만능키 등 다양한 도구
• 온라인을 통해 고급정보를 수집하고 정리하고 관리하는 기술과 소프트웨어
• 사회공학기술을 실행하는 단계별 전략

그렇다면, 이 책은 누가 읽어야 할까요? 단지 시스템을 지키는 업무를 맡은 보안관리자? 사회공학기술을 익혀 남을 속이고 이익을 갈취할 해커? 사기꾼? 지피지기면 백전불태. 사회공학 기술을 활용해 사람을 파악하고 조종하며 통제하기를 원하는 그 모든 이에게서 벗어날 이들을 위해, 혹은 사회공학 기술을 활용해 인간의 마음을 제대로 설득해야 하는 우리 모두를 위한 책일지도 모르겠습니다. "도를 아십니까?"를 외치며 어설프게 길거리에서 사람을 낚지만, 번번이 실패하는 '그분'들이 읽으셔야 할지도 모르겠군요.

[사회공학은 누가 사용하고, 누구에게 필요할까요?]
• 해커: 보안장벽을 뚫고 들어가기 위한 침투공격을 수행한다.
• 침투테스터: 보안의 허점을 찾아내기 위해 활동하는 합법적 해커
• 스파이: 신분을 위장하고 목표물에 침투하여 고급정보를 빼낸다.
• 신원도용: 다른 사람의 신원정보를 활용해 그 사람처럼 위장한다.
• 사기꾼: 사람들의 탐욕을 자극하고 활용해 그들에게서 이익을 빼앗는다.
• 인사담당자: 사람들의 심리를 파악하고 동기를 부여하는 데 능숙해야 한다.
• 영업자/마케터: 사람들이 필요로 하는 것을 파악하여 물건을 구입하도록 설득해야 한다.
• 의사/변호사/상담자: 환자, 의뢰인, 내담자를 원하는 방향으로 유도해야 한다.
• 정치인/정부: 권위, 권력, 희소성 등을 적극 활용하여 여론을 이끌어간다.

사회공학은 어디나 존재하는 기술 또는 과학이다. 사람들은 일상생활에서 사회공학을 사용한다. 예컨대 아이는 부모로부터 원하는 것을 얻어내고자 사회공학을 이용한다. 교사는 학생과 상호작용할 때, 의사, 변호사, 심리학자는 의뢰인이나 환자로부터 정보를 얻어낼 때 사회공학을 이용한다. 경찰이 범죄자를 심문할 때, 남녀가 데이트할 때, 사회공학을 이용한다는 것은 두말하면 잔소리다.
아기부터 정치인에 이르기까지 타인과 상호작용을 할 때 누구나 사회공학을 이용한다.
- 1장. 사회공학의 세계 중에서


이 책은 세계 최초 사회공학 프레임워크인 www.social-engineering.org의 선임개발자인 크리스토퍼 해드네기(Christopher Hadnagy)의 역작입니다. "Social Engineering: The Art of Human Hacking"이라는 제목으로 출간되어 아마존닷컴에서 ★★★★☆의 평균평점을 받은 놀라운 책이며, 사회공학을 유일한 주제로 다룬 세계 최초이자 유일한 책입니다. 이 책을 번역한 민병교 님은 서강대학교에서 영어영문학과를 졸업하고 사회학 박사를 수료하고 지금은 이론사회학과 정보사회와 관련된 강의를 하고 있습니다.

『사회공학과 휴먼 해킹』이라는 이 놀라운 역작을 통해 여러분 개인을 지켜내고 타인을 올바로 설득하는 참고로 삼으며, 기업의 보안을 강화하고 사회의 안전을 확립하는 좋은 참고도서가 되기를 바랍니다. 이 책은 4월 9일 출간 예정으로, YES24, 교보문고, 알라딘, 인터파크, 반디앤루니스, 대교리브로, 강컴에서 예약판매 중입니다. 많은 성원 바랍니다.


CC

크리에이티브 커먼즈 라이센스 에이콘출판사에 의해 창작된 이 저작물크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.


  • 레몬에이드| Apr 05, 2012

    사회공학과 해킹이라니 매우 재미난 주제를 다루는 군요. 지능화 복합화 되어가는 보이스 피싱 등의 휴먼 해킹에 대해서 재미난 관점을 제공해 줄 것 같아서 기대가 됩니다 ^^

  • 에이콘| Apr 06, 2012

    안녕하세요, 레몬에이드님. 어디나 존재하는 사회공학에 대해 다시 한 번 생각하게 하는 좋은 개론서입니다. 많이 소개해주세요.^^  감사합니다.