정보화 사회에서 우리는 소중한 정보를 지키기 위해 10자리 암호, 공인인증서, 키보드 보안 프로그램, 백신, 방화벽 등 온갖 방어수단을 사용한다. 그러나 이러한 보안 솔루션을 한 번에 부숴 버릴 수 있는 가장 강력하고 막기 힘든 공격이 있다. '사회공학 공격'이다.
사회공학 공격은 컴퓨터 기반(Computer Based)과 인간 기반(Human based)기법으로 나뉜다.
컴퓨터기반 사회공학 공격은 컴퓨터 공학을 전공한 나조차도 감지하지 못하고 당하겠다 싶은데 컴퓨터 비전공자들더러 이래라 저래라 할 자신이 없다. 보안프로그램을 설치하고 보안 업데이트를 하는 정도의 작은 반항밖에는 할 게 없다. 반대로 말하자면 컴퓨터기반 사회공학 공격은 꽤 똑똑하고 치밀하고 악랄한 인물들이 제법 노력을 기울여야 겨우 정보를 빼낼 수 있다는 이야기다.
반면에 우리가 정말 주의해야 하는 인간 기반 사회공학 공격은 사람과 사람 사이의 믿음으로 사람을 속여 보안절차를 무시하는, 말하자면 ‘비 기술적인’ 공격 방법이다. 보안 시스템의 취약점을 분석하고 그 틈바구니를 찌를 필요가 없다. 사람의 심리를 겨냥한 해킹이기에 누구든 공격 시도가 가능하다는 말이다.
이를테면 미션 임파서블의 톰 크루즈가 천장에서 줄에 매달린 채 땀방울을 받아가며 정보를 빼낼 필요 없이 통제구역의 출입인가자와 친분을 쌓고 살살 구슬려 정보를 얻어내면 그만인 것이다.
이렇듯 제 아무리 날고 기는 보안 시스템을 설치 해봐도 어깨너머로 훔쳐보는 '친한 인물' 혹은 친한 척 다가오는 '아는 사람'을 당해내기엔 역부족일 수 있다.(이 외에도 권력을 이용하거나 동정심에 호소하여 우리가 가진 정보를 흘리게끔 하는 경우도 있다.)
살면서 한번쯤 내 비밀번호를 친한 이에게 알려 줘 본 일이 있지 않은가? 그렇다 어쩌면 그것이 '사회공학 공격'이다. 정말 간단하지만 최강의 해킹 기법이다.
우리 공직자들은 남들보다 사회 전반적인 정보와 그 정보에 접근 할 수 있는 권한을 갖는 경우가 많다. 이처럼 사회공학 공격의 직접적인 대상이 될 수 있는 사람이 가장 많은 집단이기에 이에 대한 대응책은 우리의 보안의식을 제고하여 항상 합리적 의심을 하는 습관을 길러야 한다는 것이다.
무엇보다 타인에게 성급하게 정보를 제공하지 않고, 원칙에 따라 업무를 처리하는 것이 우리 공직자들이 할 수 있는 당연하지만 가장 간단한 정보보안의 시작임을 잊어서는 안 된다.<이우진 / 제주시 정보화지원과>
*이 글은 헤드라인제주의 편집방향과 다를 수 있습니다.
