블래깅은 복잡한 해킹 전술을 떠올리게 할 수 있지만, 실제로는 비교적 간단한 작업입니다. 그러나 단순함에도 불구하고 이러한 시도에 대응할 준비가 제대로 되어 있지 않은 조직은 블래깅으로 인해 상당한 피해를 입을 수 있습니다.
“블러핑” 또는 “핌핑”이라고도 하는 블래깅은 온라인 게임에서 플레이어가 허위 정보나 속임수를 사용하여 상대방보다 우위를 점하는 기법을 말합니다. 여기에는 실제로 보유하고 있지 않은 특정 아이템을 보유하고 있다고 주장하는 등 자신의 게임 플레이 통계 또는 인벤토리에 대한 잘못된 데이터를 제공하는 행위가 포함될 수 있습니다. 또한 허풍쟁이는 다른 사람인 척하거나 채팅 대화를 자신에게 유리하게 조작하여 다른 사람을 속이려고 할 수도 있습니다. 이 전략의 성공 여부는 플레이어가 자신의 거짓말이 사실이라고 다른 사람을 설득하는 능력에 달려 있습니다.
블래깅이란 무엇이며 어떻게 작동하나요?
이미지 출처: freepik
교활한 사기꾼들이 사용하는 사악한 전술인 블래깅은 개인을 교묘하게 속여 기밀로 유지해야 하는 민감한 정보를 누설하는 것을 포함합니다.
이러한 사기 행위를 저지르는 개인은 종종 피해자가 신원 사기, 기업 스파이 활동 또는 갈취와 같은 불법적인 목적에 사용될 수 있는 민감한 정보를 공개하도록 강요하기 위해 내러티브를 조작합니다.
다음은 일반적인 블래깅 수법에 대한 보다 정교한 설명입니다.
사기범은 동료, 금융 기관 직원 또는 법 집행 공무원과 같은 다른 개인으로 가장하여 신뢰성을 확보하고 피해자가 민감한 정보를 공개할 가능성을 높입니다. 한 예로, 사기범은 기술 지원 전문가를 사칭하여 컴퓨터 문제 해결을 위해 비밀번호에 대한 액세스를 요청하는 전화를 할 수 있습니다.
이 시나리오에서 사용되는 전술은 인위적인 긴박감을 조성하여 가해자가 피해자에게 즉각적인 조치가 필요하다고 제안함으로써 피해자를 강압하는 것입니다. 여기에는 즉각적인 조치를 취하지 않을 경우 계정을 정지하거나 법적 절차를 시작하겠다는 경고가 포함될 수 있습니다. 이러한 수법은 개인에게 충분한 확인 및 조사 기회를 제공하지 않고 민감한 데이터를 신속하게 수집하는 것을 목표로 합니다.
피싱 공격은 의심하지 않는 개인을 속여 민감한 정보를 유출하거나 악성 소프트웨어를 기기에 다운로드하도록 유도하기 위해 사기성 이메일 메시지 또는 유해한 링크와 같은 기만적인 수법을 사용합니다. 이러한 수법은 종종 심리적인 조작을 악용하는 사회 공학 기법을 사용하여 피해자가 통신이 합법적이고 신뢰할 수 있는 출처에서 온 것이라고 믿게 만듭니다. 그 결과, 사용자는 자신도 모르게 개인 정보를 제공하거나 디지털 자산에 대한 무단 액세스를 허용하여 보안이 손상될 수 있습니다.
USB 드롭 공격은 USB 드라이브와 같은 감염된 디바이스를 공공장소에 방치하여 잠재적 피해자가 무의식적으로 삽입하여 사이버 범죄자에게 무단 액세스 권한을 부여하는 것입니다. 이러한 기만적인 수법이 주로 사용되는 장소로는 주차장과 엘리베이터 로비가 있습니다.
사기범은 불법 조회의 타당성을 강화하기 위해 회사 내에서 존경받는 개인의 이름을 언급하는 수법을 사용할 수 있습니다. 사기범은 이사, 고위 경영진 또는 기존 인맥과 같은 고위급 인물을 인용하여 사기성 제안에 대한 진정성을 보이려고 시도합니다.
특정 피싱 사기는 잠재적 피해자의 공감을 불러일으키고 동정심을 유발하는 전술을 사용할 수 있습니다. 예를 들어, 사기꾼은 먹여 살릴 입이 없는 가난한 편부모와 같은 표면적으로 긴급한 상황에 대한 재정 지원을 요청하기 위해 마음을 울리는 이야기를 조작할 수 있습니다. 이러한 악의적인 범죄자들은 개인의 동정심을 악용하여 의심하지 않는 대상을 속여 민감한 정보나 자금을 제공하도록 유도하는 것을 목표로 합니다.
로그인 자격 증명이나 금융 정보와 같은 개인 정보를 제공하는 대가로 보너스, 휴가 연장, 금전적 보상 등 겉으로 보기에 매력적인 보상을 제공하는 부도덕한 사람들도 있습니다. 그러나 이러한 제안은 진실하지 않은 경우가 많으며 원하는 목표를 달성하기 위한 전술에 불과하다는 점을 인식하는 것이 중요합니다.
직원의 뒤를 바짝 따라다니며 건물이나 보안 구역에 들어가기 위해 물리적으로 뒤쫓는 행위입니다. 이 방법은 개인이 예의를 지키고 다른 사람을 위해 문을 열어두거나 침입자의 존재를 면밀히 조사하지 않는 것에 의존합니다.
블래거는 시스템, 워크플로 또는 잠재적인 보안 허점에 관한 민감한 정보를 이끌어내기 위해 의도한 대상과 일상적인 대화를 시작하는 무해해 보이는 전술을 사용할 수 있습니다. 이러한 접근 방식은 무해하고 중요하지 않은 것처럼 보이지만, 내재된 속임수로 인해 상당한 위험을 초래할 수 있습니다.
이러한 행위의 가해자는 설득력 있는 언어와 행동을 통해 목적을 달성하는 데 필요한 모든 수단을 사용하는 뛰어난 교활함과 교묘함을 가지고 있음을 인식하는 것이 중요합니다.
블래깅 공격으로부터 자신을 방어하는 방법
뱀부즐러가 사용하는 사기 수법으로부터 자신과 조직을 보호하기 위해서는 이러한 사기 수법에 대한 특정 방어 수단을 채택하는 것이 중요합니다.
클레임 확인
개인이 진술하는 내용이 항상 진실하거나 정확하지 않을 수 있으므로 주의를 기울이고 타인이 제공하는 정보의 정확성을 확인하는 것이 중요합니다. 주장의 진위를 확인하기 위해 추가 정보 출처를 찾는 것이 현명합니다.
개인이 기술 지원 담당자를 사칭하거나 전화 통신을 통해 정보를 요청하는 경우, 해당 주장의 진위를 확인하기 위해 대화를 종료하고 공인된 채널을 통해 다시 연락을 취하는 것이 좋습니다.
이메일 주소, 이름, 연락처 정보의 정확성을 검토하여 서로 일치하는지 확인하시기 바랍니다.
요청 확인
기업 내에서 실무자로 일할 때는 긴급한 성격이나 설득력 있는 설명과 관계없이 통상적이지 않은 문의를 면밀히 검토하는 것이 중요합니다. 그런 다음 상사에게 문제를 제기하거나 공식적인 경로를 통해 절차를 개시해야 할 필요성을 전달하세요.
민감한 정보를 공개하기 전에 철저한 검토가 이루어질 수 있도록 커뮤니케이션 속도를 세심하게 고려합니다.
계정 액세스 제한
비즈니스 환경에서 직원의 액세스를 효과적으로 관리하기 위해서는 고용주가 각 개인에게 업무 수행에 필요한 수준의 권한만 부여하는 것이 중요합니다. 과도한 액세스 권한을 부여하면 특히 권한이 없는 제3자가 민감한 정보나 시스템에 액세스하는 경우 잠재적인 보안 위험이 발생할 수 있습니다. 기업은 필수적인 액세스 권한만 제한함으로써 보안 침해가 발생할 가능성을 줄이고 침해로 인해 발생할 수 있는 피해를 줄일 수 있습니다.
최소한의 필요 접근성 원칙을 준수하면 침입자가 한 개인의 신뢰를 악용하더라도 과도한 통제권을 획득하는 것을 막을 수 있습니다.
의심 사항 신고
비정상적인 요청에 대한 우려 사항을 자유롭게 말씀해 주시고, 설명의 불일치에 대해 주저하지 마시기 바랍니다. 거래가 사기일 가능성이 있다고 판단되면 즉시 보안 담당자나 감독자에게 알려 추가 조치를 취하시기 바랍니다.
보안 침해 시도를 나타낼 수 있는 의심스러운 활동을 감지하려면 시스템 성능과 사용자 행동을 주의 깊게 관찰하는 것이 필수적입니다. 이러한 시도의 일부 지표에는 일반적인 작동 패턴에서 벗어나거나 사용자가 취하는 비정상적인 행동이 포함됩니다. 이러한 요소를 주의 깊게 모니터링하면 잠재적인 위협이 심각한 피해를 유발하기 전에 선제적으로 대처할 수 있습니다.
시스템과 민감한 정보 모두에 대한 무단 액세스를 시도합니다.
알 수 없는 인터넷 프로토콜(IP) 주소 또는 지리적 지역에서 시작된 원격 로그인 요청은 네트워크 또는 시스템에 대한 무단 액세스 시도일 수 있으므로 일부 시스템에서 보안 경고를 트리거할 수 있습니다.
상당한 양의 정보가 외부 소스로 전송되고 있습니다.
비정상적인 애플리케이션의 시작, 지정된 시간대를 벗어난 근무 시간 연장 등 정상적인 운영 절차 내에서 비정상적인 동작이 관찰됨.
안티바이러스 소프트웨어 및 로그인 프롬프트는 특정 시스템에서 발견될 수 있는 비활성화된 보안 조치의 예입니다.
비정상적인 행위를 조기에 감지하면 전문가가 신속하게 조사할 수 있어 사이버 보안 침해 가능성에 대응하기 위한 신속한 개입이 용이해집니다.
보안 인식 교육
교육과 훈련을 받은 직원은 높은 수준의 분별력을 갖추고 있어 악의적인 행위자의 속임수에 속지 않습니다. 지속적인 학습 기회를 제공함으로써 조직은 인적 방화벽을 강화하여 개인이 소셜 엔지니어링 전술을 적극적으로 식별하고 저지할 수 있는 능력을 갖추도록 합니다.
기만 전략에 대한 직원의 인식을 강화하면 기업은 상당한 경쟁력을 확보할 수 있습니다. 실제 상황을 반영한 교육을 실시하면 직원들이 효과적으로 대응할 수 있습니다. 피싱 테스트나 즉흥적인 방문자 대면과 같은 시뮬레이션을 활용하면 직원의 준비 상태를 측정할 수 있습니다. 또한, 교육 프로그램에서 사칭, 피싱, 대가성 제안 등 자주 사용되는 수법을 다루는 것이 필수적입니다. 직원들 사이에서 이러한 수법에 대한 지식이 증가함에 따라 이를 식별하는 능력도 향상됩니다.
모든 직원이 요청 유효성 검사, 신원 확인, 사고 보고, 데이터 보호 정책 준수에 대한 적절한 교육을 받도록 하세요. 확립된 프로토콜을 준수하기 위한 포괄적인 지침을 제시합니다. 비디오 프레젠테이션, 동적 학습 모듈, 경쟁 과제와 같은 매력적인 멀티미디어 리소스를 활용하여 사이버 보안 인식에 대한 높은 수준의 관심을 유지합니다. 교육 자료를 정기적으로 업데이트하고 수정하여 최신의 관련성을 유지합니다.
사이버 보안 인식 제고를 위한 조직의 헌신을 보여주기 위해서는 최고 경영진이 이러한 이니셔티브에 적극적으로 참여하고 모범을 보이는 것이 필수적입니다.
계층화된 보안 사용
최대한의 보호를 보장하기 위해서는 실패하기 쉬운 단독 보안 조치에만 의존하는 것이 아니라 다양한 연동 보안 조치를 활용하는 것이 좋습니다.
이메일이나 전화 통화를 통해 어려움에 처한 친척이나 은행 관계자 등에게 연락하는 등 다양한 수준의 복잡성을 설계에 포함시킬 수 있습니다. 개인이 이러한 사기 수법을 숙지하고 경고 신호를 인식하여 피해를 입지 않도록 하는 것이 중요합니다.
사업주 또는 조직의 리더는 사이버 범죄자가 제기하는 잠재적 위험을 축소하지 않는 것이 중요합니다. 직원들에게 철저한 보안 교육을 제공하고 다각적인 기술적 보호 장치를 구현함으로써 이러한 악의적 행위자가 피해를 입히기 전에 효과적으로 대응할 수 있습니다.
부도덕한 개인으로부터 보호하기 위한 적절한 조치를 활용하면 사기의 기회가 크게 줄어듭니다.
배지를 통한 신원 확인, 출입 제한 구역, 지속적인 비디오 감시와 같은 물리적 보안 조치를 구현하면 미행이나 미승인 출입의 기회를 줄여 권한이 없는 사람이 민감한 장소에 출입하는 것을 효과적으로 억제할 수 있습니다.
방화벽, 침입 방지 시스템(IPS), 웹 필터와 같은 고급 경계 보안 조치를 구현하여 무단 액세스 시도와 잠재적으로 유해한 웹사이트가 네트워크에 침투하는 것을 차단합니다.
엔드포인트 보안은 바이러스 백신 소프트웨어, 엔드포인트 탐지 및 대응(EDR), 암호화와 같은 기술을 조합하여 사이버 공격으로부터 보호하고 무단 액세스 또는 도난으로부터 중요한 정보를 보호하는 네트워크 방어의 필수 요소입니다. 이러한 조치를 구현함으로써 조직은 데이터 유출 위험을 크게 줄이는 동시에 공격자가 기밀 데이터에 액세스하는 것을 더욱 어렵게 만들 수 있습니다.
이메일 보안 구현은 악성 메시지를 식별하고 차단하도록 설계된 게이트웨이를 활용하는 동시에 샌드박싱 기술을 사용하여 잠재적인 위협을 억제하고 무력화함으로써 이루어집니다.
다단계 인증 및 역할 기반 액세스 제어와 같은 고급 보안 조치는 로그인 정보가 유출된 경우에도 계정의 무단 사용을 방지하는 데 도움이 될 수 있습니다.
데이터 손실 방지(DLP) 솔루션은 무단 액세스 또는 사용에 대한 안전 장치와 제한을 구현하여 민감한 정보의 실질적인 전송을 금지하도록 설계되었습니다. 이러한 조치는 귀중한 자산이 유출, 도난 또는 오용되지 않도록 보호하여 조직의 가장 중요한 데이터의 무결성과 보안을 유지하는 것을 목표로 합니다.
부정한 방법으로 타인을 속이려는 개인이 직면하는 장애물을 늘리면 속임수가 발각될 가능성이 높아집니다.
허풍에 대한 경계심을 늦추지 마세요
허풍은 기업에만 국한된 것이 아니라 누구에게나 영향을 미칠 수 있습니다. 사기꾼들은 기술 지원자를 사칭하는 등 다양한 수법을 사용합니다.