헬프데스크 속여 MFA 재설정 후 대량 고객·기밀정보 유출
하이터치·클릭픽스 등 사용자의 특정 행위 유도해 침입하는 기법 성행
사람들이 쉽게 신뢰하는 심리 악용···제로 트러스트 원칙 적용해야
[데이터넷] 직원이 계정이 잠겼다며 헬프데스크에 계정을 다시 설정할 수 있게 해 달라고 요청해 본인확인을 위한 정보를 물어보고 비밀번호와 MFA를 재설정했다. 그런데 직원은 사실 공격자였으며, 미리 입수한 직원의 정보를 이용해 본인확인 절차를 통과했다. 공격자는 직원의 권한으로 고객정보, 기밀문서, 내부 파일 등 350GB 분량의 정보를 탈취했다. 공격자는 악성코드 없이 전화 한 통으로, 단 40분만에 대량의 기밀정보를 획득했다.
팔로알토 네트웍스의 위협 인텔리전스 조직 유닛42가 대응한 실제 사건 중 하나다. 이 공격을 벌인 조직은 머들드 리브라(Muddled Libra), 스캐터드 스파이더(Scattered Spider)로도 불리며, 2023년 MGM리조트 랜섬웨어 공격으로 이름을 알렸다.
팔로알토 네트웍스는 ‘2025년 유닛42 글로벌 사고 대응 보고서: 소셜 엔지니어링 에디션’ 보고서에서 ‘하이터치(High-touch)’ 공격이 증가하고 있다고 설명하며, 이 사례를 들었다. 하이터치 공격은 공격자가 피해자와 상호작용하면서 신뢰를 쌓은 후 정보를 탈취하거나 악성행위를 유도하는 방식을 말한다.
헬프데스크에 직원을 사칭해 MFA를 재설정하거나, 피해자에게 대량의 정크 메일을 보내 메일함이 가득차게 만든 후, IT 부서를 사칭해 피해자 PC에 원격으로 접근해 감염시키는 방법 등이 이에 속한다.
클릭픽스(ClickFix)도 최근 유행하고 있다. 악성 광고 혹은 검색 엔진 최적화(SEO) 기술을 악용해 사용자를 악성 웹사이트로 유도한 후 브라우저 업데이트, 캡챠 인증 등의 가짜 오류 메시지나 보안 경고 팝업을 띄우는 공격방식이다. 사용자가 문제를 해결하기 위해 안내에 따라 클릭하며 악성 파워셸 스크립트가 사용자 클립보드에 자동 복사되고 실행된다.
이 같은 공격은 EPP·EDR이 탐지할 수 있는 멀웨어가 없어 탐지하기 쉽지 않다. 그러나 초기 침투 후 C2와 통신하면서 권한상승, 중요 정보 접근 시도, 대량의 암호화 시도 등의 악성 행위를 한다. 그런데 내부 행위를 정밀하게 모니터링하지 못하기 때문에 공격에 당할 수밖에 없다.
지난해 대응 사례 1/3, 소셜 엔지니어링
멀웨어 없이, 기존 보안 시스템을 해킹하려는 시도 없이, 소셜 엔지니어링 기법으로 피해자를 속여 침투하는 공격이 지속적으로 늘고 있다. 유닛42가 지난해 대응한 사고 사례의 1/3이 소셜 엔지니어링으로 시작된 것이었으며, 그 중 1/3이 SEO 중독, 가짜 시스템 프롬프트, 헬프데스크 기만 등으로 인해 발생한 것이었다. 또한 소셜 엔지니어링 공격의 66%는 권한있는 계정을 표적으로 삼았으며, 23%는 콜백이나 음성 기반 기술을 사용했고, 45%는 신뢰를 구축하기 위해 내부 직원을 사칭했다.
소셜 엔지니어링은 AI를 이용해 한층 더 정교해지고 있다. 생성형 AI를 이용해 전문가도 구분하기 어려운 그럴듯한 미끼를 만들고, 신뢰할 수 있는 사람의 음성과 영상으로 위장해 속인다. 또한 자동화 기술을 사용해 여러 사례에서 침해를 시도할 수 있으며, 공격자 신원을 정교하게 맞들어 맞춤형 피싱과 후속 조치를 생성할 수 있다.
더불어 에이전틱 AI를 이용해 크로스 플랫폼 정찰, 메시지 배포, 가짜 소셜 미디어 프로필 작성 후 구직활동을 한다. 이러한 활동은 금전목적의 공격뿐만 아니라 정치목적, 첩보 수집 등을 위해서도 진행된다.
정교함이 떨어지는 소셜 엔지니어링 기법도 성공률이 높은 편인데, 피해 조직의 과도한 권한 부여, 사용자 행위에 대한 가시성 부족, 사용자 신원 검증 미흡 등으로 인해 쉽게 공격당할 수 있다. 특히 최초 침투부터 침투 후 위협 행위까지 정상적이지 않은 행동 패턴을 감지할 수 있음에도, 기업·기관의 보안 시스템이 서로 연계되지 않아 단편적인 일회성 이벤트로만 인식되고, 이로 인해 위협 행위를 식별하지 못한다.
사고 60%에서 데이터 유출 발생
유닛42가 대응한 소셜 엔지니어링과 관련된 사고 중 60%에서 데이터 유출이 발생했는데, 이는 다른 초기 접근 경로를 이용한 공격보다 16%p 높은 수치다. 소셜 엔지니어링 사고의 절반은 비즈니스 이메일 침해(BEC)였으며, 그 중 60%에서 데이터 유출이 발생했다.
보고서에서는 “소셜 엔지니어링은 끊임없이 진화하고 있는데, 사람들은 너무 쉽게 상대방을 신뢰한다. 그래서 소셜 엔지니어링 기법이 효과적이다”라며 “방어자는 악성코드와 인프라 제어를 넘어 넓은 시야를 가져야 한다. 사람과 프로세스의 실시간 행위를 판단하고 위협 여부를 평가해야 한다”고 설명했다.
이를 위한 기술적인 방법으로 ▲자격 증명 오용을 사전에 감지하기 위해 행동 분석 및 신원 위협 탐지 및 대응(ITDR) 구현 ▲신원 복구 프로세스 보안 및 조건부 액세스 시행 ▲네트워크 경계뿐 아니라 사용자를 포함하도록 제로 트러스트 원칙 확대 등을 들었다.
