2013년 문화체육관광부 우수학술도서 기술과학분야 선정도서

인간의 마음을 해킹하여 심리를 파악하고 조종하고 통제하는 적들의 사회공학 기술을 낱낱이 공개한다. 해킹, 스팸, 피싱 등 각종 보안 사고에서 가장 취약한 지점은 기술이 아니라 ‘사람’이다!

치열한 정보전쟁 속에서 이제 보안의 취약점은 기계가 아니라 사람이 되었다. 사람을 통해 정보를 얻고 해킹통로를 만들어내는 ‘사회공학(Social Engineering)’ 기술은 그 동안 우리가 습득해온 대인관계 기술은 물론, 사기꾼과 같은 지능범죄자들이 활용하던 조작 기술을 총망라한다. 이 책은 사람을 통제해 자신이 원하는 것을 얻어내는 데 활용할 수 있는 기본적인 심리이론, 정보수집방법, 구체적인 질문, 위장, 속임수, 조작, 설득방법, 그리고 다양한 도구와 장비들의 사용법 등 사회공학의 모든 것을 자세히 소개한다.


[ 소개 ]

“멀웨어와 클라이언트 공격엔 대부분 사용자를 속여 스스로 악당의 침입을 허용하게 만드는 사회공학적 요소가 작용한다. 기술적 취약점은 기술 개발을 통해 쉽게 패치할 수 있지만, 어리석거나 잘 속아 넘어가는 사람의 특성을 보완하는 패치는 불가능하다. 헤드네기는 이 책에서 오늘날 침입자들이 이용하는 사회공학 요소를 속속들이 폭로한다. 이런 유형의 공격을 미리 알아보는 훌륭한 통찰력을 얻을 수 있을 것이다.”
– 케빈 미트닉(Kevin Mitnick) / 전설적인 해커, 『해킹, 침입의 드라마』의 저자

“크리스 해드네기는 사회공학에 관한 최고의 책을 완성했다. 정교한 연구를 토대로, 실제 사례를 풍부하게 보여주는 이 책은 우리 곁에 늘 존재하는 위험과 현실적인 문제에 대한 해결책을 제공할 뿐만 아니라, 개인적 성공을 위한 훌륭한 기술을 가르쳐준다. 진실로 획기적이다..”
- 케빈 호건(Kevin Hogan) / 『영향력의 기술』의 저자

전문 사기꾼과 휴먼 해커의 비밀을 찾아라

보안설비와 절차가 아무리 복잡해진다 하더라도 가장 쉽게 공격할 수 있는 측면은 늘 그랬듯이 인간이다. 능숙한 악질 사회공학자를 막아내는 일은 거의 불가능하다. 세계 최초의 사회공학(Social Engineering) 서적인 이 책은 사회공학 프레임워크를 상세히 정의하고 설명하며 분석한다. 또한 전설적인 사회공학 해커로 유명한 케빈 미트닉과 같이 남을 속이는 데 능숙한 해커, 사기꾼들의 실화를 통해 사회공학 기술을 실증한다. 탁월한 사회공학자가 되려면 무엇이 필요한지, 세상을 교란시키는 적들의 기술은 어떤 것인지, 바로 이 책을 통해 알 수 있다.

어두운 사회공학 세계로의 여행
■ 사회공학자가 이용하는 심리학적 원리와 활용법
■ 사회공학자가 이용하는 설득의 비밀
■ 교활한 사기꾼들이 활용하는 카메라, GPS장비, 발신자ID를 이용하는 방법
■ 온라인을 통해 구할 수 있는 놀라운 정보
■ 사회공학 공격 실행의 단계별 전략


[ 추천의 글 ]

보안은 양면을 가진 퍼즐이다. 보안의 내면에서 우리는 위안과 확신을 찾는다. 그 외면에선 도둑과 해커, 파괴범이 빈틈을 찾고 있다. 우리는 대부분 집안에 있으면 안전하다고 생각한다. 하지만 어느 순간 관점을 바꿔보면 약점은 쉽게 눈에 띈다.

어떤 종류의 보안이든 완전히 이해하려면 자물쇠를 채우고 울타리 바깥으로 나가 들어갈 수 있는 다른 진입로를 찾아봐야 한다. 문제는 튼튼한 자물쇠와 두꺼운 문, 고급 보안 시스템, 경비견이 문제의 발생을 충분히 막을 수 있다는 믿음이나 자신감 때문에 대부분이 잠재적 문제를 보지 못 한다는 데 있다.

나는 보통사람들과 다르다. 지난 10년간 역사상 그 누구보다도 많은 사기와 스캠을 저질렀다. 카지노에서는 사기를 쳤고, 스포츠 행사를 거짓으로 꾸몄으며, 경매를 조작했고, 사람들에게 가장 중요한 소유물을 포기하도록 설득했으며, 절대 뚫을 수 없을 것 같은 보안을 뚫었다.

나는 인기 있는 TV 쇼 「사기꾼들의 세계(The Real Hustle)」에 등장하는 도둑과 거짓말쟁이, 사기꾼의 방법을 유출해 먹고 산다. 내가 진짜 범죄자였다면 아마도 부유해졌거나 유명해졌거나 죽었을 것이다. 세 가지 모두 해당됐을 수도 있다. 나는 지금까지 다양한 속임수에 대중이 실제로 얼마나 잘 넘어가는지 가르치는 일을 하며 살아왔다.

나는 매주 사람들에게 실제 스캠(scam)을 시도해본다. 사람들은 자신이 속임수에 넘어 가고 있다는 사실을 전혀 깨닫지 못한다. 몰래카메라를 이용해 시청자 누구에게나 일어날 수 있는 일을 보여주며 스캠에 대한 경계를 일깨운다.

늑대 탈을 쓴 양과 같이 살아온 나는 범죄자의 사고방식에 관한 독특한 이해를 갖게 되었다. 불가능해 보이는 문제에도 기발하고 예상하지 못한 해결책이 늘 있게 마련이라는 사실을 배웠다.

나는 BBC에 한 여자의 지갑을 훔치고, 한 발 더 나아가 신용카드 비밀번호를 자신의 입으로 직접 말하게 하는 일이 얼마나 쉬운지 보여주겠다고 제안했다. BBC국장은 “절대 일어나지 않을 일”이라는 짧은 코멘트 한 마디로 우리 제안을 거절했다. 하지만 우리는 이것이 전적으로 가능하다는 사실을 알고 있었다. 영국에서 발생하는 수많은 기발한 스캠에서 도둑이 피해자에게 직접 비밀번호를 이야기하도록 하는 사건은 무수히 보고되고 있기 때문이다. 우리는 다양한 스캠방식을 섭렵하여 자신의 계좌번호에 대한 완전한 접근권을 다른 사람에게 양도하도록 사기치는 기술을 적나라하게 보여주기로 했다.

우리 주장을 증명하고자 동네 커피숍에서 스캠을 하기로 했다. 이 커피숍은 런던 옥스퍼드 거리에 있는 쇼핑몰의 꼭대기 층에 있었다. 내가 정장을 입고 빈 자리에 앉았을 때 이곳은 상대적으로 조용했다. 나는 서류가방을 테이블에 올려 놓고 적절한 범행대상자를 물색했다. 잠시 후 범행대상자로 적합해 보이는 피해자가 친구와 함께 들어와 내 옆 테이블에 앉았다. 그녀는 습관처럼 자연스럽게, 가방을 자기 옆자리 의자에 올려놓고 의자를 가까이 당겨 손을 가방에 얹었다.

나는 가방을 통째로 훔쳐야 했지만 그녀의 손이 가방 위에 있었고 그녀의 친구가 반대편에 앉아 있었다. 이 상태로 그녀는 나쁜 소식처럼 들리는 이야기를 시작했다. 잠시 후 그녀의 친구가 화장실에 갔다. 표적은 홀로 남았고 나는 알렉스와 제스에게 신호를 보냈다.

알렉스와 제스는 연인인 척 하며 목표물에게 사진을 찍어줄 수 있냐고 물었다. 그녀는 기꺼이 그렇게 하겠다고 했다. 가방에서 손을 떼고 카메라를 건네 받아 이 ‘행복한 커플’의 사진을 찍었고 잠깐 주의가 산만해진 틈을 타 나는 무심히 다가가 그녀의 가방을 들고 와 침착하게 서류가방에 넣었다. 목표물은 알렉스와 제스가 커피숍을 떠날 때까지 가방이 없어진 사실을 전혀 눈치채지 못했다. 알렉스는 그녀의 시야에서 벗어나자마자 재빨리 주차장을 향했다.

얼마 지나지 않아 그녀는 가방이 사라졌다는 사실을 깨달았다. 그녀는 즉각 공황상태에 빠졌다. 그녀는 미친 듯이 일어나 주위를 둘러봤다. 이는 바로 우리가 원했던 바였다. 나는 그녀에게 다가가 도움이 필요한지 물었다.

그녀는 내게 아무 것도 못 봤느냐고 물었다. 나는 아무것도 못 봤다고 말하고, 그녀를 설득해 자리에 앉힌 다음 가방에 무엇이 들었는지 생각해 보라고 했다. 전화, 화장품, 약간의 현금, 마지막으로 신용카드. 빙고!

나는 그녀에게 이용 중인 은행을 물은 다음 내가 그 은행에서 일한다고 말했다. 이 얼마나 뜻밖의 행운인가! 나는 다 괜찮으리라고 그녀를 안심시키면서 신용카드를 즉시 정지시켜야 한다고 말했다. 나는 ‘고객지원센터’로 전화해서 그녀를 바꿔 줬다. 하지만 내가 실제로 전화한 대상은 알렉스였다. 그녀는 낚였고 이제 알렉스가 그녀를 잘 잡아 올리기만 하면 됐다.

주차장에 있는 밴에 승차해 있던 알렉스는 차량용 CD플레이어에 사무실 소음을 틀어놓고 있었다. 그는 목표물을 진정시킨 다음 신용카드를 정지하려면 신원을 확인해야 한다고 말하며, 전화의 키패드를 이용해 비밀번호를 입력하라고 했다.

전화는 내 것이었다.

나머지 이야기는 뻔하다. 우리는 그녀의 비밀번호를 손에 넣은 다음 커피숍을 나섰다. 우리가 진짜 도둑이었다면 곧바로 ATM에서 돈을 인출했을 것이다. 그녀에게는 다행스러운 일이지만, 이것은 그냥 TV쇼였다. 내가 돌아와 가방을 돌려주며 모든 것이 몰래카메라라고 말했을 때 그녀는 안도하며 어쩔 줄 몰라 했다. 그녀는 가방을 돌려줘서 고맙다는 말까지 했다. “제게 고마워 하지 마세요. 저는 당신 가방을 훔쳤던 사람입니다.”라고 나는 대답했다.

시스템이 얼마나 안전하든, 언제나 침입할 길은 있다. 대개 시스템의 인간적 요소는 조작하고 속이기 가장 쉬운 대상이다. 공황상태의 창출 또는 영향이나 조작전략의 이용, 신뢰감 유발은 모두 피해자를 안심시키려는 방법이다.

여기서 개괄한 시나리오는 극단적 예지만 약간의 창의성만 있으면 불가능해 보이는 스캠도 성공할 수 있다는 사실을 보여준다.

안전해지는 첫 단계는 시스템이 취약하고 위협에 노출될 수 있다는 사실을 그냥 인정하는 것이다. 반대로, 침입이 불가능하다고 믿는 것은 눈가리개를 하고 전속력으로 달리는 일과 같다. 이 책은 안전해 보이는 시스템을 침투하는 데 이용하는 방법에 관한 매우 값진 통찰력을 제공하고, 가장 큰 취약점인 ‘사람들’에게 늘 존재하는 위협을 일깨워준다. 이 책은 해커를 위한 지침이 아니다. 해커들은 이미 침입법을 알고 있으며 날마다 새로운 길을 찾는다. 이 책의 저자 크리스 해드네기는 세계에서 가장 악질인 해커와 사기꾼, 사회공학자의 생각과 방법을 노출해 울타리 내부의 사람들에게 다른 관점, 즉 어두운 관점에서 볼 기회를 제공한다.

기억하라, 벽을 쌓는 사람은 이를 통과하려는 사람과 다르게 생각한다. 내가 시청자들에게 자주 말하듯, 자신이 절대 사기를 당하지 않을 것이라고 큰소리치는 사람이라면 날 찾아오길 바란다.

- 폴 윌슨(Paul Wilson)

[ 저자 서문 ]

몇 년 전 나는 내 친구이자 멘토인 마티 아하로니와 www.social-engineer.org를 만들기로 했다. 이 발상은 점점 확대돼 정말 똑똑한 사람들을 지원하는 놀라운 웹사이트가 됐다. 그간의 연구와 경험을 책으로 써야겠다는 생각을 품는 데는 그리 오래 걸리지 않았다. 결정을 내렸을 때 나는 엄청난 지지를 얻었다. 그처럼 이 책이 현재와 같은 모습을 갖출 수 있었던 데에는 수많은 이들의 도움이 있었다.

나는 매우 어린 나이 때부터 사람들을 조작하는 데 늘 관심이 있었다. 악한 방식은 아니었지만 나는 물건을 손에 넣거나 불가능해 보이는 상황을 연출하는 데 관심이 많았다. 동업자인 친구와 함께 뉴욕 재비츠 센터(Javits Center)에서 열린 기술 컨퍼런스에 참여한 적이 있다. 한 대기업이 사적인 파티를 개최하고자 FAO슈워츠를 빌렸다. 물론 이 파티엔 초대받은 사람만 입장할 수 있었고 나와 내 친구는 커다란 연못의 작은 물고기였을 뿐이다. 이 파티는 HP, 마이크로소프트 같은 회사의 CEO와 고위 간부를 대상으로 개최됐다. 내 친구는 내게 “이 파티에 들어갈 수 있다면 정말 멋질 텐데.”라고 말했다.

나는 “우리가 왜 안 돼?”라고 대답하며, ‘적절한 방법만 쓰면 우리도 들어갈 수 있어.’라고 혼자 생각했다. 나는 매표소와 손님목록을 체크하는 여자들에게 다가가 몇 분 정도 이야기 했다. 이야기를 하는 중 리눅스 커널의 개발자 리누스 토발즈가 지나갔다. 나는 매표소에 있던 마이크로소프트 천 장난감을 집어 들고 리누스에게 농담을 건넸다. “마이크로소프트 인형에 사인해 줄래요?”

그는 이 농담에 크게 웃곤 입장권을 보여주며 “젊은 친구가 아주 재미있군. 파티에서 봅시다.”라고 말했다.

나는 매표소 여직원에게 돌아섰고 FAO슈워츠에서 개최되는 비공개 파티의 입장권을 건네 받았다.

이런 일이 있고 한참이 지난 뒤, 이런 일을 ‘해드네기 효과’라고 사람들이 부르기 시작한 다음에야 내 행동을 분석하기 시작했다. 재미있게 들릴지도 모르지만 이것은 단순히 행운이나 운명에 의해 벌어진 일이 아니라, 적절한 시점에 있어야 할 곳에 있는 방법을 알고 있었다는 것을 깨닫기 시작한 것이다.

여러분이 이 책을 읽을 때 이를 쓰는 작업이 내게 영향을 미쳤던 것과 마찬가지로 이 책이 여러분에게 영향을 주길 바란다.

앨버트 아인슈타인은 ‘정보는 지식이 아니다.’라고 말했다. 이는 중요한 지적이다. 이 책을 그냥 읽기만 한다고 이 지식이 저절로 뿌리내리진 않는다. 이 원리를 적용하고 이 책에서 배운 바를 연습하며 이 정보를 일상의 일부로 만들어라. 이렇게 해야 지식을 활용할 수 있을 것이다.


[ 저자 소개 ]

크리스토퍼 해드네기 (Christopher Hadnagy)
세계 최초의 사회공학 프레임워크인 www.social-engineering.org의 선임 개발자다. 보안과 IT분야에서 14년 이상 활동해왔으며, www.backtrack-linux.org와 함께 광범위한 보안프로젝트를 진행해왔다. 오펜시브 시큐리티(Offensive Security)에서 교육자와 선임 사회공학자도 역임하고 있다.


[ 옮긴이의 말 ]

나치가 라디오방송을 이용해 대중을 조작하고 지배한 유명한 이야기를 들어본 적 있는가? 그렇다면 여러분은 이미 사회공학(social engineering)을 알고 있는 셈이다. 사회공학이란 특정 사회적 행위가 일어날 가능성을 키우고자 사회적이고 환경적인 힘을 정렬하고 조작하며 채널링 하는 방법과 행위를 통칭하는 용어다. 과거엔 일반적으로 나치 사례나 여론조작 등을 사회공학으로 지칭했기에 사회공학은 흔히 민족국가, 독재정부, 전체주의, 제국주의 등과 연관된 개념이었다. 20세기엔 이 같은 전체주의적 사회공학이 팽배했다는 점에서 영국의 사학자이자 저널리스트인 폴 존슨Paul Johnson은 20세기를 사회공학의 시대라 일컫기도 했다.

20세기 말부터 인터넷 및 각종 통신단말기가 급격히 상용화 됐고 이에 발맞춰 다양한 소셜미디어와 온라인미디어가 성장했다. 덕분에 우리는 다양한 정보습득매체를 확보하게 됐고 획일적인 일방향 매체에 의존했던 기존 사회공학의 대중조작과 지배는 어려워졌다. 따라서 상당수는 과거 전체주의적 조작과 지배로부터 해방됐다고 느끼고 있으며 이는 일면 타당한 생각이다.

이런 낙관적 사고가 팽배해질 무렵 사회공학은 새로운 영역에서 과거보다 위협적인 형태로 우리 앞에 나타났다. 이는 바로 해킹으로 통칭하는 공격이다. 과거 전체주의적 사회공학으로부터 벗어나 상대적 자유의 획득을 가능케 했던 첨단 통신기술이 부정적 사회공학 아이디어와 결합해 우리를 또 다른 위험으로 유도하는 역설적인 상황을 초래한 셈이다. 즉, 해커를 비롯한 다양한 공격자는 우리를 조작해 소중한 정보를 빼내고 악용하고자 사회공학 기술을 쓰고 있다.

한국에서도 주요 포털 사이트와 소셜미디어뿐 아니라 심지어 금융업체의 해킹으로 인한 개인정보 유출사건과 이에 뒤따르는 2차, 3차 피해가 일어나고 있다. 물론 내부자가 아니라면 (때론 내부자인 경우에도) 이런 해킹사건에 사회공학적 요소가 있었는지 확인할 길은 없다. 만약 내부의 도움 없이는 해킹이 불가능할 정도로 훌륭한 보안시스템을 유지하고 있었다면 해커는 기술로만 범죄를 완성하기란 어렵다. 여기서 개입하게 되는 요소가 바로 사회공학이다. 그리고 실제로 해킹사건에서 사회공학적 요소는 우리 생각보다 훨씬 큰 비중을 차지한다. 인간은 불가능한 일을 가능하게 하는 놀라운 능력을 가진 존재인 동시에 말도 안 되는 속임수에 넘어 가는 어리석고 약한 존재이기도 하다. 악질 사회공학자와 해커, 사기꾼은 바로 후자를 공략한다.

이 책은 이런 공격으로부터 자신을 지키고 싶어 하는 모든 이에게 효율적인 교육서이자 안내서다. 저자는 사회공학 프레임워크라는 일목요연한 틀을 제시한다. 그리고 이 프레임워크의 각 요소를 기저에 깔린 사회학과 심리학 지식을 응용해 이해하기 쉽게 설명하고 이를 보안 영역뿐 아니라 일상생활에서 활용할 수 있는 방법을 제시한다. 이 책의 최대 강점은 저자가 직접 겪었거나 들은 생생한 사례를 읽을 수 있다는 데 있다. 이 살아 숨쉬는 사례 덕분에 독자 여러분은 사회 공학의 세계에 관한 더 명확한 그림을 그릴 수 있다.

요컨대, 꼭 보안 분야에 몸 담고 있지 않더라도 지금 이 순간에도 온라인에 접속돼 있는 자신을 지키고 싶은 사람이라면 이 책은 필독서다.


[ 옮긴이 소개 ]

민병교
서강대학교 영미어문학과를 졸업하고 동 대학원 사회학과에서 석사학위를 마치고 박사를 수료했으며 이론사회학 및 정보사회와 관련된 강의를 하고 있다. 이론사회학과 과학/지식사회학이라는 세부전공 중에서도 자연과학 및 사회과학에서 생산하는 지식과 사회의 관계 문제에 각별한 관심을 갖고 연구를 진행하고 있다.

목차

• 1장 사회공학의 세계
  • 이 책의 중요성
  • 사회공학이란?
  • 요약
    
• 2장 정보수집
  • 정보수집하기
  • 정보수집의 출처
  • 의사소통모델링
  • 의사소통모델의 힘
    
• 3장 도출
  • 도출의 정의
  • 도출의 목표
  • 도출 마스터하기
  • 요약
    
• 4장 프리텍스팅: 다른 사람으로 위장하기
  • 프리텍스팅의 정의
  • 프리텍스팅의 원칙과 계획단계
  • 성공적인 프리텍스팅
  • 요약
    
• 5장 심리트릭: 사회공학에서 활용하는 심리학적 원리
  • 사고방식
  • 미세표정
  • NLP
  • 면접과 심문
  • 즉각적 라포 형성
  • 인간 버퍼 오버플로우
  • 요약
    
• 6장 영향력: 설득의 힘
  • 영향과 설득의 다섯 가지 법칙
  • 영향력 전략
  • 실재 바꾸기: 프레이밍
  • 조작: 목표물 통제하기
  • 사회공학 조작
  • 요약
    
• 7장 사회공학자의 도구
  • 물리적 도구
  • 온라인 정보수집 툴
  • 요약
    
• 8장 사례연구: 사회공학자 해부하기
  • 미트닉 사례연구 1: DMV 해킹
  • 미트닉 사례연구 2: 사회보장국 해킹
  • 해드네기 사례연구 1: 자만한 CEO
  • 해드네기 사례연구 2: 테마파크 스캔들
  • 일급기밀 사례연구 1: 불가능하지 않은 임무
  • 일급 기밀 사례연구 2: 해커 사회공학
  • 사례연구의 중요성
  • 요약
    
• 9장 사회공학 공격 예방과 완화
  • 사회공학 공격 확인법 배우기
  • 개인보안의식 고취와 문화 조성
  • 요구하는 정보의 가치 인식하기
  • 소프트웨어 최신 상태로 유지하기
  • 대본 개발하기
  • 사회공학 감사에서 배우기
  • 맺음말