소셜 미디어 플랫폼에서 사용자 제작 콘텐츠가 확산되면서 개인이 자신의 일상을 기록하는 사진과 동영상을 자주 게시하는 것이 보편화되었습니다. 그러나 이러한 풍부한 개인 정보는 심각한 보안 위험을 초래할 수 있습니다. 해커가 이러한 데이터에 쉽게 액세스하고 조작할 수 있기 때문에 사용자에 대한 민감한 정보를 획득하는 데 있어 이러한 플랫폼의 취약성이 부각됩니다.
정보 수집은 해킹의 첫 번째 단계
해커는 일반적으로 시스템에 대한 공격을 시작하기 전에 의도한 대상에 대한 관련 데이터를 수집하여 정찰에 참여합니다. 이 단계의 기간은 대상 시스템의 복잡성, 관련 인력 수, 작업 규모, 구현된 보안 수준 등 여러 요인에 따라 크게 달라질 수 있습니다. 이 단계의 궁극적인 목표는 대상 시스템 내의 취약점을 발견하고 이를 악용할 행동 계획을 수립하는 것입니다.
회사와 연결된 @example.com 이메일 주소를 소유한 ‘피해자사용자’라는 개인이 인스타그램에 공유한 사진을 통해 자신의 비행 일정이 노출되었습니다. 이 이미지에는 항공권의 일부가 표시되어 있어 무단 액세스 또는 해킹 시도에 중요한 데이터로 사용될 수 있었습니다.
제공된 이미지를 기반으로 숙련된 해커는 문서의 레이아웃과 디자인 특징을 분석하여 해당 항공사 또는 여행사 등 항공권에 대한 특정 세부 정보를 식별할 수 있습니다. 그러나 다양한 유형의 항공권과 예약 시스템이 널리 보급되어 있기 때문에 출발 및 도착 시간을 포함한 항공편의 구체적인 세부 정보를 파악하려면 어느 정도의 전문 지식과 노력이 필요합니다. 따라서 항공편 서류 사진은 일부 유용한 정보를 제공할 수 있지만, 추가 조치 없이는 완벽한 보안 또는 개인정보 보호를 제공하기는 어렵습니다.
의심하지 않는 사용자가 무방비 상태로 있는 동안 악의적인 공격자는 악용할 수 있는 잠재적인 방법을 고려하기 시작합니다.
해커가 배포할 수 있는 도구 및 트릭
해커는 Google 검색 엔진의 기능을 활용하여 불법적인 수단을 통해 획득한 대상 사용자의 항공권 정보를 찾아서 액세스합니다. 해커가 취한 초기 접근 방식을 ‘구글 도킹’이라고 합니다.
Google 도킹을 활용하면 특정 웹사이트 내에서 특정 파일 형식에 대한 표적 검색을 수행할 수 있습니다.이 사례에서 사이버 범죄자는 특정 항공사 사용자의 PDF 문서를 검색한 후 악의적인 목적에 따라 다운로드하고 수정합니다.
특정 사이버 범죄자가 저지르는 사회 공학 행위에는 속임수를 사용하여 의심하지 않는 대상을 조작하고 사기를 치는 행위가 포함됩니다. 이러한 경우 공격자는 그럴듯한 발신자 ID와 설득력 있는 콘텐츠로 이메일 메시지를 작성하고 악성 PDF 첨부 파일을 함께 보낼 수 있습니다. 의도한 수신자가 이 계략에 넘어가 문서를 열면 해커의 목적은 달성된 것입니다.
항공사의 웹사이트와 함께 멤버십 시스템을 이용하면 가해자는 항공사의 전자 메일 형식과 디자인 템플릿에 액세스할 수 있기 때문에 합법적인 항공사의 이메일과 유사한 이메일을 획득할 수 있습니다.
해커는 항공사의 도메인이 포함된 이메일 주소를 확보하는 것이 거의 불가능하기 때문에 악의적인 의도를 위해 가짜 이메일 주소를 준비합니다. 해커는 자신의 정체를 숨기기 위해 정상 이메일 주소 앞에 가짜 이메일 주소를 추가하여 수신자가 위장된 주소를 인식하기 어렵게 만들 수 있습니다. 표적이 된 사용자가 표시된 주소를 눈치채고 클릭하지 않는 한, 그 아래에 숨겨진 실제 이메일 주소를 알지 못합니다. 이 수법은 일반적으로 의심하지 않는 사용자들이 간과합니다.
해커가 가짜 이메일 주소를 생성한 후에는 공격 대상 사용자의 이메일 주소만 알아내면 됩니다. 이는 ‘비밀번호 찾기’ 기능을 활용하여 수행할 수 있습니다.
‘비밀번호 찾기’ 기능을 사용한 후 공격자의 다음 단계는 표적이 된 개인의 이메일 도메인 이름을 알아내는 것입니다. 이 시나리오에서 피해자의 이메일 도메인은 “example.com”이고 이메일 주소는 “[v******[email protected]](mailto:v******[email protected])”입니다. 공격자는 별표로 둘러싸인 부분이 피해자의 사용자 이름이라는 것을 쉽게 알아챌 수 있습니다. 이 과정은 간단하지만, 공격자는 동일한 도메인과 연결된 추가 이메일 주소(예: “[[email protected]](mailto:[email protected])” 또는 “[[email protected]](mailto:[email protected])”가 있는지 확인하기 위해 Google 도킹 검색을 수행할 수 있습니다.
피해자의 관점에서 본 상황
의심하지 않는 수신자에게 기만적인 전자 메일이 발송되었고, 그 설득력에 넘어간 수신자는 속아 넘어갔습니다. 이 서신에는 항공권, 여행 세부 정보 및 중요한 정책 지침과 같은 확인 가능한 데이터가 포함되어 있어 진짜인 것처럼 보였습니다. 게다가 발신자의 이메일 주소는 항공사 이름과 비슷해 진짜인 것처럼 보였습니다.결과적으로 이 메시지는 신뢰감을 주는 아우라를 발산하여 수신자가 사실과 허구를 구분하기 어렵게 만들었습니다.
또한, 수신자가 전문적인 목적으로 여행을 떠나는 경우라면 이 메시지의 내용에 주의를 기울여야 합니다. 이메일 말미에는 ‘여행 준비를 완료하는 데 필요한 서류’라고 표시된 하이퍼링크가 있습니다. 이 링크를 클릭하면 공격자는 목적을 달성하게 됩니다.
이 이야기는 우리에게 무엇을 말하나요?
대다수의 개인이 ‘피해자 사용자’와 다르지 않다는 점을 인식하는 것이 중요합니다. 주어진 가상 상황에서 “피해 사용자”가 저지른 과실은 기밀 및 개인 정보를 누설한 것이며, 그 결과 소셜 미디어 플랫폼에서 전직 직원으로 신분이 노출되었습니다. 이 사건은 실제로 발생했다는 점에 유의하시기 바랍니다. 따라서 업무적 측면과 개인적 측면 모두에 관련된 데이터를 공유할 때는 주의를 기울여야 합니다.