사이버 범죄9분 읽기
소셜 엔지니어링 공격의 유형과 방어 전략
기술이 아닌 심리를 노리는 소셜 엔지니어링 공격의 다양한 유형을 분석하고, 효과적인 방어 방법을 제시합니다.
이지스 시큐어 분석팀·2026년 2월 20일
소셜 엔지니어링이란?
소셜 엔지니어링(Social Engineering)은 사람의 심리적 취약점을 이용하여 민감한 정보를 얻거나, 특정 행동을 유도하는 비기술적 해킹 기법입니다. 가장 정교한 보안 시스템도 사람이라는 취약점 앞에서 무력화될 수 있습니다.
주요 공격 유형
1. 피싱(Phishing)
이메일, 문자, 메시지를 통해 신뢰할 수 있는 기관을 사칭하여 개인정보를 탈취합니다.
최신 트렌드:
- 스피어 피싱: 특정 개인을 표적으로 한 맞춤형 공격
- 비싱(Vishing): 전화를 통한 피싱
- 스미싱(Smishing): 문자 메시지를 통한 피싱
2. 프리텍스팅(Pretexting)
공격자가 특정 역할을 가장하여(기술지원팀, 은행 직원 등) 신뢰를 구축한 후 정보를 요구합니다.
3. 베이팅(Baiting)
USB 드라이브, 무료 소프트웨어 등 미끼를 이용하여 악성코드를 설치하도록 유도합니다.
4. 퀴드 프로 쿠오(Quid Pro Quo)
도움이나 서비스를 제공하겠다며 접근하여 대가로 정보나 접근 권한을 요구합니다.
5. 테일게이팅(Tailgating)
물리적 보안을 우회하기 위해 정당한 출입자 뒤를 따라 입장합니다.
방어 전략
개인 차원
- 의심하기: 예상치 못한 연락에 항상 의심을 가집니다
- 검증하기: 요청자의 신원을 독립적인 채널로 확인합니다
- 공유 최소화: 소셜 미디어의 개인정보 공개를 제한합니다
- 교육: 최신 공격 수법에 대한 지속적 학습
기술적 차원
- 이메일 필터링 및 스팸 차단
- 다요소 인증(MFA) 활성화
- 엔드포인트 보안 솔루션 도입
- 정기적인 보안 감사
의심스러운 접근이나 사이버 범죄 피해가 발생했다면, 이지스 시큐어 전문가에게 상담하세요.