사회 공학은 사이버 보안 세계에서도 전혀 새로운 개념이 아닙니다. 피싱 사기만 해도 약 30년 동안 존재해 왔으며, 공격자는 피해자가 링크를 클릭하거나, 파일을 다운로드하거나, 민감한 정보를 제공하도록 유도하는 새로운 방법을 지속적으로 찾고 있습니다.
BEC(Business Email Compromise) 공격은 공격자가 합법적인 이메일 계정에 액세스하고 소유자를 사칭함으로써 이 개념을 반복했습니다. 공격자들은 피해자들이 신뢰할 수 있는 출처에서 보낸 이메일에 대해 의문을 제기하지 않을 것이라고 생각하며, 대부분 그들의 말이 옳습니다.
그러나 사이버 범죄자가 사회 공학 공격에 참여하기 위해 사용하는 유일한 효과적인 수단은 이메일이 아닙니다. 현대 기업은 클라우드 서비스 및 VPN부터 통신 도구 및 금융 서비스에 이르기까지 다양한 디지털 애플리케이션에 의존합니다. 게다가 이러한 애플리케이션은 상호 연결되어 있으므로 하나를 손상시킬 수 있는 공격자가 다른 응용 프로그램도 손상시킬 수 있습니다. 조직에서는 비즈니스 애플리케이션 손상(BAC)이 증가하는 상황이 아닌 피싱 및 BEC 공격에만 집중할 여유가 없습니다.
싱글 사인온(SSO) 타겟팅
기업에서는 유용하고 편리하기 때문에 디지털 애플리케이션을 사용합니다. 원격 근무 시대에 직원은 다양한 위치와 장치에서 중요한 도구와 리소스에 액세스해야 합니다. 애플리케이션은 워크플로를 간소화하고 중요한 정보에 대한 액세스를 높이며 직원이 업무를 더 쉽게 수행할 수 있도록 해줍니다. 조직 내 개별 부서에서는 수십 개의 애플리케이션을 사용할 수 있지만일반 회사에서는 200개 이상을 사용합니다.. 불행하게도 보안 및 IT 부서는 이러한 애플리케이션을 승인은커녕 항상 알지 못하므로 감독이 문제가 됩니다.
인증은 또 다른 문제입니다. 고유한 사용자 이름과 비밀번호 조합을 만들고 기억하는 것은 수십 개의 다양한 앱을 사용하여 업무를 수행하는 사람에게는 어려운 일이 될 수 있습니다. 비밀번호 관리자를 사용하는 것이 하나의 솔루션이지만 IT가 시행하기 어려울 수 있습니다. 대신 많은 회사에서는 인증 프로세스를 간소화합니다. 싱글 사인온(SSO) 솔루션을 통해를 통해 직원은 승인된 계정에 한 번만 로그인하면 연결된 모든 애플리케이션과 서비스에 액세스할 수 있습니다. 그러나 SSO 서비스를 통해 사용자는 수십(또는 수백) 개의 비즈니스 응용 프로그램에 쉽게 액세스할 수 있으므로 공격자의 중요한 표적이 됩니다. 물론 SSO 제공업체는 자체 보안 기능을 갖추고 있지만 사람의 실수는 해결하기 어려운 문제로 남아 있습니다.
진화된 사회공학
많은 애플리케이션, 그리고 대부분의 SSO 솔루션에는 MFA(다단계 인증)가 있습니다. 이로 인해 공격자가 계정을 손상시키기가 더 어려워지지만 불가능한 것은 아닙니다. MFA는 하루에 여러 번 계정에 로그인하기 위해 MFA를 사용해야 하는 사용자에게 성가신 일이 될 수 있으며, 이는 조급함과 때로는 부주의로 이어질 수 있습니다.
일부 MFA 솔루션에서는 사용자가 코드를 입력하거나 지문을 제시해야 합니다. 다른 사람들은 단순히 “이 사람이 당신인가요?”라고 묻습니다. 후자는 사용자에게는 더 쉽지만 공격자에게 작업 공간을 제공합니다. 이미 사용자 자격 증명 세트를 획득한 공격자는 해당 계정이 MFA로 보호된다는 것을 알고 있음에도 불구하고 여러 번 로그인을 시도할 수 있습니다. MFA 인증 요청으로 사용자의 전화에 스팸을 보내서, 공격자는 피해자의 경보 피로도를 증가시킵니다.. 많은 피해자들은 엄청난 양의 요청을 받으면 IT가 계정에 액세스를 시도한다고 가정하거나 단순히 알림의 홍수를 막기 위해 "승인"을 클릭합니다. 사람들은 쉽게 짜증을 내는데, 공격자들은 이를 유리하게 이용하고 있습니다.
여러 면에서 이는 BEC보다 BAC를 달성하기 더 쉽게 만듭니다. BAC에 참여하는 적들은 피해자를 괴롭히며 잘못된 결정을 내리도록 하면 됩니다. 그리고 공격자는 ID 및 SSO 공급자를 표적으로 삼아 HR 및 급여 서비스를 포함하여 잠재적으로 수십 가지의 다양한 애플리케이션에 액세스할 수 있습니다. Workday와 같이 일반적으로 사용되는 애플리케이션은 SSO를 사용하여 액세스하는 경우가 많으므로 공격자는 자금을 자신의 계좌로 직접 유입할 수 있는 직접 입금 및 급여 사기와 같은 활동에 참여할 수 있습니다.
이러한 종류의 활동은 쉽게 눈에 띄지 않을 수 있습니다. 따라서 승인된 사용자 계정에서도 의심스러운 행동을 식별할 수 있는 네트워크 내 탐지 도구를 마련하는 것이 중요합니다. 또한, 기업은 다음을 우선적으로 사용해야 합니다. 피싱 방지 FIDO(Fast Identity Online) 보안 키
MFA를 사용할 때. MFA에 대한 FIDO 전용 요소가 비현실적인 경우 차선책은 푸시 알림을 위해 이메일, SMS, 음성 및 시간 기반 일회용 비밀번호(TOTP)를 비활성화한 다음 MFA 또는 ID 공급자 정책을 구성하여 액세스를 제한하는 것입니다. 추가 보안 계층으로 관리 장치에 추가됩니다.
BAC 예방 우선순위
최근 연구 결과 나타냅니다
BEC 또는 BAC 전술이 전체 사고의 51%에 사용됩니다. BEC보다 덜 알려져 있지만, 성공적인 BAC는 공격자에게 계정과 관련된 광범위한 비즈니스 및 개인 애플리케이션에 대한 액세스 권한을 부여합니다. 사회 공학은 오늘날의 공격자에게 여전히 높은 수익을 제공하는 도구로, 이를 막기 위해 설계된 보안 기술과 함께 발전했습니다.
현대 기업은 직원을 교육하여 사기 가능성이 있는 징후를 식별하는 방법과 이를 신고할 수 있는 위치를 가르쳐야 합니다. 기업이 매년 더 많은 애플리케이션을 사용함에 따라 직원은 보안 팀과 협력하여 점점 더 교묘해지는 공격자로부터 시스템을 보호할 수 있도록 해야 합니다.
