Top

사회공학과 휴먼 해킹 [인간의 심리를 이용해 어떻게 원하는 것을 얻는가?]

  • 원서명Social Engineering: The Art of Human Hacking (ISBN 9780470639535)
  • 지은이크리스토퍼 해드네기
  • 옮긴이민병교
  • ISBN : 9788960772939
  • 30,000원
  • 2012년 04월 09일 펴냄
  • 페이퍼백 | 444쪽 | 185*235mm
  • 시리즈 : 해킹과 보안

책 소개

2013년 문화체육관광부 우수학술도서 기술과학분야 선정도서

인간의 마음을 해킹하여 심리를 파악하고 조종하고 통제하는 적들의 사회공학 기술을 낱낱이 공개한다. 해킹, 스팸, 피싱 등 각종 보안 사고에서 가장 취약한 지점은 기술이 아니라 ‘사람’이다!

치열한 정보전쟁 속에서 이제 보안의 취약점은 기계가 아니라 사람이 되었다. 사람을 통해 정보를 얻고 해킹통로를 만들어내는 ‘사회공학(Social Engineering)’ 기술은 그 동안 우리가 습득해온 대인관계 기술은 물론, 사기꾼과 같은 지능범죄자들이 활용하던 조작 기술을 총망라한다. 이 책은 사람을 통제해 자신이 원하는 것을 얻어내는 데 활용할 수 있는 기본적인 심리이론, 정보수집방법, 구체적인 질문, 위장, 속임수, 조작, 설득방법, 그리고 다양한 도구와 장비들의 사용법 등 사회공학의 모든 것을 자세히 소개한다.


[ 소개 ]

“멀웨어와 클라이언트 공격엔 대부분 사용자를 속여 스스로 악당의 침입을 허용하게 만드는 사회공학적 요소가 작용한다. 기술적 취약점은 기술 개발을 통해 쉽게 패치할 수 있지만, 어리석거나 잘 속아 넘어가는 사람의 특성을 보완하는 패치는 불가능하다. 헤드네기는 이 책에서 오늘날 침입자들이 이용하는 사회공학 요소를 속속들이 폭로한다. 이런 유형의 공격을 미리 알아보는 훌륭한 통찰력을 얻을 수 있을 것이다.”
– 케빈 미트닉(Kevin Mitnick) / 전설적인 해커, 『해킹, 침입의 드라마』의 저자

“크리스 해드네기는 사회공학에 관한 최고의 책을 완성했다. 정교한 연구를 토대로, 실제 사례를 풍부하게 보여주는 이 책은 우리 곁에 늘 존재하는 위험과 현실적인 문제에 대한 해결책을 제공할 뿐만 아니라, 개인적 성공을 위한 훌륭한 기술을 가르쳐준다. 진실로 획기적이다..”
- 케빈 호건(Kevin Hogan) / 『영향력의 기술』의 저자

전문 사기꾼과 휴먼 해커의 비밀을 찾아라

보안설비와 절차가 아무리 복잡해진다 하더라도 가장 쉽게 공격할 수 있는 측면은 늘 그랬듯이 인간이다. 능숙한 악질 사회공학자를 막아내는 일은 거의 불가능하다. 세계 최초의 사회공학(Social Engineering) 서적인 이 책은 사회공학 프레임워크를 상세히 정의하고 설명하며 분석한다. 또한 전설적인 사회공학 해커로 유명한 케빈 미트닉과 같이 남을 속이는 데 능숙한 해커, 사기꾼들의 실화를 통해 사회공학 기술을 실증한다. 탁월한 사회공학자가 되려면 무엇이 필요한지, 세상을 교란시키는 적들의 기술은 어떤 것인지, 바로 이 책을 통해 알 수 있다.

어두운 사회공학 세계로의 여행
■ 사회공학자가 이용하는 심리학적 원리와 활용법
■ 사회공학자가 이용하는 설득의 비밀
■ 교활한 사기꾼들이 활용하는 카메라, GPS장비, 발신자ID를 이용하는 방법
■ 온라인을 통해 구할 수 있는 놀라운 정보
■ 사회공학 공격 실행의 단계별 전략


[ 추천의 글 ]

보안은 양면을 가진 퍼즐이다. 보안의 내면에서 우리는 위안과 확신을 찾는다. 그 외면에선 도둑과 해커, 파괴범이 빈틈을 찾고 있다. 우리는 대부분 집안에 있으면 안전하다고 생각한다. 하지만 어느 순간 관점을 바꿔보면 약점은 쉽게 눈에 띈다.

어떤 종류의 보안이든 완전히 이해하려면 자물쇠를 채우고 울타리 바깥으로 나가 들어갈 수 있는 다른 진입로를 찾아봐야 한다. 문제는 튼튼한 자물쇠와 두꺼운 문, 고급 보안 시스템, 경비견이 문제의 발생을 충분히 막을 수 있다는 믿음이나 자신감 때문에 대부분이 잠재적 문제를 보지 못 한다는 데 있다.

나는 보통사람들과 다르다. 지난 10년간 역사상 그 누구보다도 많은 사기와 스캠을 저질렀다. 카지노에서는 사기를 쳤고, 스포츠 행사를 거짓으로 꾸몄으며, 경매를 조작했고, 사람들에게 가장 중요한 소유물을 포기하도록 설득했으며, 절대 뚫을 수 없을 것 같은 보안을 뚫었다.

나는 인기 있는 TV 쇼 「사기꾼들의 세계(The Real Hustle)」에 등장하는 도둑과 거짓말쟁이, 사기꾼의 방법을 유출해 먹고 산다. 내가 진짜 범죄자였다면 아마도 부유해졌거나 유명해졌거나 죽었을 것이다. 세 가지 모두 해당됐을 수도 있다. 나는 지금까지 다양한 속임수에 대중이 실제로 얼마나 잘 넘어가는지 가르치는 일을 하며 살아왔다.

나는 매주 사람들에게 실제 스캠(scam)을 시도해본다. 사람들은 자신이 속임수에 넘어 가고 있다는 사실을 전혀 깨닫지 못한다. 몰래카메라를 이용해 시청자 누구에게나 일어날 수 있는 일을 보여주며 스캠에 대한 경계를 일깨운다.

늑대 탈을 쓴 양과 같이 살아온 나는 범죄자의 사고방식에 관한 독특한 이해를 갖게 되었다. 불가능해 보이는 문제에도 기발하고 예상하지 못한 해결책이 늘 있게 마련이라는 사실을 배웠다.

나는 BBC에 한 여자의 지갑을 훔치고, 한 발 더 나아가 신용카드 비밀번호를 자신의 입으로 직접 말하게 하는 일이 얼마나 쉬운지 보여주겠다고 제안했다. BBC국장은 “절대 일어나지 않을 일”이라는 짧은 코멘트 한 마디로 우리 제안을 거절했다. 하지만 우리는 이것이 전적으로 가능하다는 사실을 알고 있었다. 영국에서 발생하는 수많은 기발한 스캠에서 도둑이 피해자에게 직접 비밀번호를 이야기하도록 하는 사건은 무수히 보고되고 있기 때문이다. 우리는 다양한 스캠방식을 섭렵하여 자신의 계좌번호에 대한 완전한 접근권을 다른 사람에게 양도하도록 사기치는 기술을 적나라하게 보여주기로 했다.

우리 주장을 증명하고자 동네 커피숍에서 스캠을 하기로 했다. 이 커피숍은 런던 옥스퍼드 거리에 있는 쇼핑몰의 꼭대기 층에 있었다. 내가 정장을 입고 빈 자리에 앉았을 때 이곳은 상대적으로 조용했다. 나는 서류가방을 테이블에 올려 놓고 적절한 범행대상자를 물색했다. 잠시 후 범행대상자로 적합해 보이는 피해자가 친구와 함께 들어와 내 옆 테이블에 앉았다. 그녀는 습관처럼 자연스럽게, 가방을 자기 옆자리 의자에 올려놓고 의자를 가까이 당겨 손을 가방에 얹었다.

나는 가방을 통째로 훔쳐야 했지만 그녀의 손이 가방 위에 있었고 그녀의 친구가 반대편에 앉아 있었다. 이 상태로 그녀는 나쁜 소식처럼 들리는 이야기를 시작했다. 잠시 후 그녀의 친구가 화장실에 갔다. 표적은 홀로 남았고 나는 알렉스와 제스에게 신호를 보냈다.

알렉스와 제스는 연인인 척 하며 목표물에게 사진을 찍어줄 수 있냐고 물었다. 그녀는 기꺼이 그렇게 하겠다고 했다. 가방에서 손을 떼고 카메라를 건네 받아 이 ‘행복한 커플’의 사진을 찍었고 잠깐 주의가 산만해진 틈을 타 나는 무심히 다가가 그녀의 가방을 들고 와 침착하게 서류가방에 넣었다. 목표물은 알렉스와 제스가 커피숍을 떠날 때까지 가방이 없어진 사실을 전혀 눈치채지 못했다. 알렉스는 그녀의 시야에서 벗어나자마자 재빨리 주차장을 향했다.

얼마 지나지 않아 그녀는 가방이 사라졌다는 사실을 깨달았다. 그녀는 즉각 공황상태에 빠졌다. 그녀는 미친 듯이 일어나 주위를 둘러봤다. 이는 바로 우리가 원했던 바였다. 나는 그녀에게 다가가 도움이 필요한지 물었다.

그녀는 내게 아무 것도 못 봤느냐고 물었다. 나는 아무것도 못 봤다고 말하고, 그녀를 설득해 자리에 앉힌 다음 가방에 무엇이 들었는지 생각해 보라고 했다. 전화, 화장품, 약간의 현금, 마지막으로 신용카드. 빙고!

나는 그녀에게 이용 중인 은행을 물은 다음 내가 그 은행에서 일한다고 말했다. 이 얼마나 뜻밖의 행운인가! 나는 다 괜찮으리라고 그녀를 안심시키면서 신용카드를 즉시 정지시켜야 한다고 말했다. 나는 ‘고객지원센터’로 전화해서 그녀를 바꿔 줬다. 하지만 내가 실제로 전화한 대상은 알렉스였다. 그녀는 낚였고 이제 알렉스가 그녀를 잘 잡아 올리기만 하면 됐다.

주차장에 있는 밴에 승차해 있던 알렉스는 차량용 CD플레이어에 사무실 소음을 틀어놓고 있었다. 그는 목표물을 진정시킨 다음 신용카드를 정지하려면 신원을 확인해야 한다고 말하며, 전화의 키패드를 이용해 비밀번호를 입력하라고 했다.

전화는 내 것이었다.

나머지 이야기는 뻔하다. 우리는 그녀의 비밀번호를 손에 넣은 다음 커피숍을 나섰다. 우리가 진짜 도둑이었다면 곧바로 ATM에서 돈을 인출했을 것이다. 그녀에게는 다행스러운 일이지만, 이것은 그냥 TV쇼였다. 내가 돌아와 가방을 돌려주며 모든 것이 몰래카메라라고 말했을 때 그녀는 안도하며 어쩔 줄 몰라 했다. 그녀는 가방을 돌려줘서 고맙다는 말까지 했다. “제게 고마워 하지 마세요. 저는 당신 가방을 훔쳤던 사람입니다.”라고 나는 대답했다.

시스템이 얼마나 안전하든, 언제나 침입할 길은 있다. 대개 시스템의 인간적 요소는 조작하고 속이기 가장 쉬운 대상이다. 공황상태의 창출 또는 영향이나 조작전략의 이용, 신뢰감 유발은 모두 피해자를 안심시키려는 방법이다.

여기서 개괄한 시나리오는 극단적 예지만 약간의 창의성만 있으면 불가능해 보이는 스캠도 성공할 수 있다는 사실을 보여준다.

안전해지는 첫 단계는 시스템이 취약하고 위협에 노출될 수 있다는 사실을 그냥 인정하는 것이다. 반대로, 침입이 불가능하다고 믿는 것은 눈가리개를 하고 전속력으로 달리는 일과 같다. 이 책은 안전해 보이는 시스템을 침투하는 데 이용하는 방법에 관한 매우 값진 통찰력을 제공하고, 가장 큰 취약점인 ‘사람들’에게 늘 존재하는 위협을 일깨워준다. 이 책은 해커를 위한 지침이 아니다. 해커들은 이미 침입법을 알고 있으며 날마다 새로운 길을 찾는다. 이 책의 저자 크리스 해드네기는 세계에서 가장 악질인 해커와 사기꾼, 사회공학자의 생각과 방법을 노출해 울타리 내부의 사람들에게 다른 관점, 즉 어두운 관점에서 볼 기회를 제공한다.

기억하라, 벽을 쌓는 사람은 이를 통과하려는 사람과 다르게 생각한다. 내가 시청자들에게 자주 말하듯, 자신이 절대 사기를 당하지 않을 것이라고 큰소리치는 사람이라면 날 찾아오길 바란다.

- 폴 윌슨(Paul Wilson)

저자/역자 소개

[ 저자 서문 ]

몇 년 전 나는 내 친구이자 멘토인 마티 아하로니와 www.social-engineer.org를 만들기로 했다. 이 발상은 점점 확대돼 정말 똑똑한 사람들을 지원하는 놀라운 웹사이트가 됐다. 그간의 연구와 경험을 책으로 써야겠다는 생각을 품는 데는 그리 오래 걸리지 않았다. 결정을 내렸을 때 나는 엄청난 지지를 얻었다. 그처럼 이 책이 현재와 같은 모습을 갖출 수 있었던 데에는 수많은 이들의 도움이 있었다.

나는 매우 어린 나이 때부터 사람들을 조작하는 데 늘 관심이 있었다. 악한 방식은 아니었지만 나는 물건을 손에 넣거나 불가능해 보이는 상황을 연출하는 데 관심이 많았다. 동업자인 친구와 함께 뉴욕 재비츠 센터(Javits Center)에서 열린 기술 컨퍼런스에 참여한 적이 있다. 한 대기업이 사적인 파티를 개최하고자 FAO슈워츠를 빌렸다. 물론 이 파티엔 초대받은 사람만 입장할 수 있었고 나와 내 친구는 커다란 연못의 작은 물고기였을 뿐이다. 이 파티는 HP, 마이크로소프트 같은 회사의 CEO와 고위 간부를 대상으로 개최됐다. 내 친구는 내게 “이 파티에 들어갈 수 있다면 정말 멋질 텐데.”라고 말했다.

나는 “우리가 왜 안 돼?”라고 대답하며, ‘적절한 방법만 쓰면 우리도 들어갈 수 있어.’라고 혼자 생각했다. 나는 매표소와 손님목록을 체크하는 여자들에게 다가가 몇 분 정도 이야기 했다. 이야기를 하는 중 리눅스 커널의 개발자 리누스 토발즈가 지나갔다. 나는 매표소에 있던 마이크로소프트 천 장난감을 집어 들고 리누스에게 농담을 건넸다. “마이크로소프트 인형에 사인해 줄래요?”

그는 이 농담에 크게 웃곤 입장권을 보여주며 “젊은 친구가 아주 재미있군. 파티에서 봅시다.”라고 말했다.

나는 매표소 여직원에게 돌아섰고 FAO슈워츠에서 개최되는 비공개 파티의 입장권을 건네 받았다.

이런 일이 있고 한참이 지난 뒤, 이런 일을 ‘해드네기 효과’라고 사람들이 부르기 시작한 다음에야 내 행동을 분석하기 시작했다. 재미있게 들릴지도 모르지만 이것은 단순히 행운이나 운명에 의해 벌어진 일이 아니라, 적절한 시점에 있어야 할 곳에 있는 방법을 알고 있었다는 것을 깨닫기 시작한 것이다.

여러분이 이 책을 읽을 때 이를 쓰는 작업이 내게 영향을 미쳤던 것과 마찬가지로 이 책이 여러분에게 영향을 주길 바란다.

앨버트 아인슈타인은 ‘정보는 지식이 아니다.’라고 말했다. 이는 중요한 지적이다. 이 책을 그냥 읽기만 한다고 이 지식이 저절로 뿌리내리진 않는다. 이 원리를 적용하고 이 책에서 배운 바를 연습하며 이 정보를 일상의 일부로 만들어라. 이렇게 해야 지식을 활용할 수 있을 것이다.


[ 저자 소개 ]

크리스토퍼 해드네기 (Christopher Hadnagy)
세계 최초의 사회공학 프레임워크인 www.social-engineering.org의 선임 개발자다. 보안과 IT분야에서 14년 이상 활동해왔으며, www.backtrack-linux.org와 함께 광범위한 보안프로젝트를 진행해왔다. 오펜시브 시큐리티(Offensive Security)에서 교육자와 선임 사회공학자도 역임하고 있다.


[ 옮긴이의 말 ]

나치가 라디오방송을 이용해 대중을 조작하고 지배한 유명한 이야기를 들어본 적 있는가? 그렇다면 여러분은 이미 사회공학(social engineering)을 알고 있는 셈이다. 사회공학이란 특정 사회적 행위가 일어날 가능성을 키우고자 사회적이고 환경적인 힘을 정렬하고 조작하며 채널링 하는 방법과 행위를 통칭하는 용어다. 과거엔 일반적으로 나치 사례나 여론조작 등을 사회공학으로 지칭했기에 사회공학은 흔히 민족국가, 독재정부, 전체주의, 제국주의 등과 연관된 개념이었다. 20세기엔 이 같은 전체주의적 사회공학이 팽배했다는 점에서 영국의 사학자이자 저널리스트인 폴 존슨Paul Johnson은 20세기를 사회공학의 시대라 일컫기도 했다.

20세기 말부터 인터넷 및 각종 통신단말기가 급격히 상용화 됐고 이에 발맞춰 다양한 소셜미디어와 온라인미디어가 성장했다. 덕분에 우리는 다양한 정보습득매체를 확보하게 됐고 획일적인 일방향 매체에 의존했던 기존 사회공학의 대중조작과 지배는 어려워졌다. 따라서 상당수는 과거 전체주의적 조작과 지배로부터 해방됐다고 느끼고 있으며 이는 일면 타당한 생각이다.

이런 낙관적 사고가 팽배해질 무렵 사회공학은 새로운 영역에서 과거보다 위협적인 형태로 우리 앞에 나타났다. 이는 바로 해킹으로 통칭하는 공격이다. 과거 전체주의적 사회공학으로부터 벗어나 상대적 자유의 획득을 가능케 했던 첨단 통신기술이 부정적 사회공학 아이디어와 결합해 우리를 또 다른 위험으로 유도하는 역설적인 상황을 초래한 셈이다. 즉, 해커를 비롯한 다양한 공격자는 우리를 조작해 소중한 정보를 빼내고 악용하고자 사회공학 기술을 쓰고 있다.

한국에서도 주요 포털 사이트와 소셜미디어뿐 아니라 심지어 금융업체의 해킹으로 인한 개인정보 유출사건과 이에 뒤따르는 2차, 3차 피해가 일어나고 있다. 물론 내부자가 아니라면 (때론 내부자인 경우에도) 이런 해킹사건에 사회공학적 요소가 있었는지 확인할 길은 없다. 만약 내부의 도움 없이는 해킹이 불가능할 정도로 훌륭한 보안시스템을 유지하고 있었다면 해커는 기술로만 범죄를 완성하기란 어렵다. 여기서 개입하게 되는 요소가 바로 사회공학이다. 그리고 실제로 해킹사건에서 사회공학적 요소는 우리 생각보다 훨씬 큰 비중을 차지한다. 인간은 불가능한 일을 가능하게 하는 놀라운 능력을 가진 존재인 동시에 말도 안 되는 속임수에 넘어 가는 어리석고 약한 존재이기도 하다. 악질 사회공학자와 해커, 사기꾼은 바로 후자를 공략한다.

이 책은 이런 공격으로부터 자신을 지키고 싶어 하는 모든 이에게 효율적인 교육서이자 안내서다. 저자는 사회공학 프레임워크라는 일목요연한 틀을 제시한다. 그리고 이 프레임워크의 각 요소를 기저에 깔린 사회학과 심리학 지식을 응용해 이해하기 쉽게 설명하고 이를 보안 영역뿐 아니라 일상생활에서 활용할 수 있는 방법을 제시한다. 이 책의 최대 강점은 저자가 직접 겪었거나 들은 생생한 사례를 읽을 수 있다는 데 있다. 이 살아 숨쉬는 사례 덕분에 독자 여러분은 사회 공학의 세계에 관한 더 명확한 그림을 그릴 수 있다.

요컨대, 꼭 보안 분야에 몸 담고 있지 않더라도 지금 이 순간에도 온라인에 접속돼 있는 자신을 지키고 싶은 사람이라면 이 책은 필독서다.


[ 옮긴이 소개 ]

민병교
서강대학교 영미어문학과를 졸업하고 동 대학원 사회학과에서 석사학위를 마치고 박사를 수료했으며 이론사회학 및 정보사회와 관련된 강의를 하고 있다. 이론사회학과 과학/지식사회학이라는 세부전공 중에서도 자연과학 및 사회과학에서 생산하는 지식과 사회의 관계 문제에 각별한 관심을 갖고 연구를 진행하고 있다.

목차

목차
  • 1장 사회공학의 세계
    • 이 책의 중요성
    • 사회공학이란?
    • 요약
  • 2장 정보수집
    • 정보수집하기
    • 정보수집의 출처
    • 의사소통모델링
    • 의사소통모델의 힘
  • 3장 도출
    • 도출의 정의
    • 도출의 목표
    • 도출 마스터하기
    • 요약
  • 4장 프리텍스팅: 다른 사람으로 위장하기
    • 프리텍스팅의 정의
    • 프리텍스팅의 원칙과 계획단계
    • 성공적인 프리텍스팅
    • 요약
  • 5장 심리트릭: 사회공학에서 활용하는 심리학적 원리
    • 사고방식
    • 미세표정
    • NLP
    • 면접과 심문
    • 즉각적 라포 형성
    • 인간 버퍼 오버플로우
    • 요약
  • 6장 영향력: 설득의 힘
    • 영향과 설득의 다섯 가지 법칙
    • 영향력 전략
    • 실재 바꾸기: 프레이밍
    • 조작: 목표물 통제하기
    • 사회공학 조작
    • 요약
  • 7장 사회공학자의 도구
    • 물리적 도구
    • 온라인 정보수집 툴
    • 요약
  • 8장 사례연구: 사회공학자 해부하기
    • 미트닉 사례연구 1: DMV 해킹
    • 미트닉 사례연구 2: 사회보장국 해킹
    • 해드네기 사례연구 1: 자만한 CEO
    • 해드네기 사례연구 2: 테마파크 스캔들
    • 일급기밀 사례연구 1: 불가능하지 않은 임무
    • 일급 기밀 사례연구 2: 해커 사회공학
    • 사례연구의 중요성
    • 요약
  • 9장 사회공학 공격 예방과 완화
    • 사회공학 공격 확인법 배우기
    • 개인보안의식 고취와 문화 조성
    • 요구하는 정보의 가치 인식하기
    • 소프트웨어 최신 상태로 유지하기
    • 대본 개발하기
    • 사회공학 감사에서 배우기
    • 맺음말

관련 블로그 글

바보야, 문제는 인간이야!『사회공학과 휴먼 해킹』

사용자 삽입 이미지

사회공학과 휴먼 해킹
인간의 심리를 이용해 어떻게 원하는 것을 얻는가?
크리스토퍼 해드네기 지음 | 민병교 옮김 | 에이콘 해킹보안 시리즈
2012년 04월 09일 출간 | 30,000원| 440쪽 | ISBN 9788960772939
YES24, 교보문고, 알라딘, 인터파크, 반디앤루니스, 대교리브로, 강컴


▶ 바보야, 문제는 인간이야!

1992년 미대통령 선거를 승리로 이끈 빌 클린턴이 선거유세 기간 동안 당시 대통령이던 조지 부시에 대적하기 위한 선거 캠페인으로 했던 유명한 말이 있습니다. "바보야, 문제는 경제야!"(It's the economy, stupid!) 인터넷이 태동하던 무렵, '정보의 바다'라며 인터넷을 은유하던 말이 무색할 정도로 그야말로 우리는 '정보의 홍수 시대에 살고 있습니다. 이런 카오스의 시대에 정보는 그저 우리에게 도움이 되는 유용한 컨텐츠가 되던 시대를 넘어 도리어 우리의 목을 죄는 칼날로 다가오기도 합니다. 이런 정보를 캐내고 훔치며 지키려는 사람들 사이에서 문제를 시스템이나 기계에만 돌리던 사람에게 이젠 이렇게 외쳐야 할지도 모릅니다. '바보야, 문제는 인간이야!'(It's the human, stupid!)

▶ 시스템을 넘어 '인간'을 해킹하는 시대

“당신 이름으로 만들어진 차명계좌에 거액의 돈이 송금되었습니다.”
“지금 바로 경찰서에 참고인 조사를 받으러 출두하셔야 합니다.”
“댁의 아들이 납치되었으니 지금 바로 500만원 송금하시오.”

누구나 이런 전화를 한 번쯤 받아보셨을 것입니다. 최근 기승을 부리고 있는 보이스피싱(voice phishing)이지요. 이렇듯 거짓조작을 통해 정보를 빼내는 기술을 ‘사회공학(social engineering)’이라고 합니다. 이러한 방식으로 사람들을 속여 이익을 취하기 위해서는 먼저 추적을 피할 수 있는 전화장비를 갖추고(사회공학도구), 목표물에 대한 정보를 수집하고(정보수집과 도출), 자신의 역할과 상황에 대한 각본을 짜고(프리텍스팅), 연기를 해(심리트릭 적용) 목표물에게 내가 원하는 정보를 제공하거나 행동을 하도록 만드는(설득과 조작) 기술을 갖춰야 합니다.

그렇습니다. ‘사회공학’은 한 마디로 사기범죄의 기술을 의미합니다.

진화하는 해킹, 당신의 마음을 노린다: 심리 이용하는 ‘사회공학적 해킹’
(중앙일보, 2012. 3. 9
링크
)


작년 모 인터넷 기업에서 떠들썩한 해킹 사건이 있었습니다. 거대한 인터넷 포털이었기에 국내 인터넷 사용자 수에 맞먹는 대량의 데이터베이스와 신원 정보가 유출된 사건이었습니다. 이어 모 게임 업체에서도 해킹 사건이 일어나 사용자의 아이디와 비밀번호가 무방비 상태로 노출됐다는 기사가 이어졌죠. 이 회사들은 고가의 보안장비와 솔루션을 갖추고, 보안회사로부터 관제서비스도 제공받았지만, 해킹사고에는 속수무책이었습니다. 허점은 시스템이 아닌 사람에 있었습니다. 당시 기사를 보아도 알 수 있듯이, 이 사고는 인간을 대상으로 한 표적 공격이었습니다. DB 관리자를 대상으로 삼고 그들을 무방비 상태로 만들어 놓은 후 시스템을 무력화 시키는 대표적인 사회공학적 공격이었던 것이지요.

오늘날 정보를 캐내려는 자와 지키려는 자 사이의 이처럼 끝없는 싸움 속에서 보안기술은 나날이 발전하고 있습니다. 하지만 기술적인 보안시스템이 아무리 발전한다고 해도 여전히 해커들이 쉽게 보안장벽을 넘나들 수 있는 것은 보안의 가장 큰 취약점, 바로 사람 때문입니다. 그래서 사회공학기술은 곧 ‘인간을 해킹하는 기술’이라고 일컫는 것입니다.


세계 최초의 사회공학(소셜엔지니어링) 개론서!
최초로 공개하는 적들의 기술!!

사회공학은 사실 대인관계기술의 결정판이라고 할 수 있습니다. 다른 사람의 감정, 인식, 사고를 읽어내 그것을 내가 원하는 대로 유도하고, 설득하고 통제하여 내가 원하는 행동을 하게 만드는 일 - 그것은 바로 대인관계기술을 습득하기 위해 노력하는 모든 사람의 꿈입니다. 어떤 기술이든 목적에 따라 선하게 사용될 수도 있고 악하게 사용될 수도 있는 것입니다.

사회공학에 대한 이해와 다양한 사례를 통해 대인관계기술을 습득할 수 있을 뿐만 아니라, 나쁜 사회공학자들이 파고드는 악질적인 수법을 미리 습득하고 대처함으로써 더욱 보안에 만전을 기할 수 있습니다.

이 책은 사회공학을 체계적으로 소개하는 최초의 개론서입니다. 사회공학의 바탕이 되는 기본적인 이론과, 구체적인 실행노하우와 다양한 사례들을 풍부하게 제시합니다. 사회공학기술을 쌓고자 하는 사람은 물론, 사회공학기술에 속지 않고자 하는 사람들에게 훌륭한 길라잡이가 될 것입니다.

멀웨어와 클라이언트 공격엔 대부분 사용자를 속여 스스로 악당의 침입을 허용하게 만드는 사회공학적 요소가 작용한다. 기술적 취약점은 기술 개발을 통해 쉽게 패치할 수 있지만, 어리석거나 잘 속아 넘어가는 사람의 특성을 보완하는 패치는 불가능하다.

헤드네기는 이 책에서 오늘날 침입자들이 이용하는 사회공학 요소를 속속들이 폭로한다. 이런 유형의 공격을 미리 알아보는 훌륭한 통찰력을 얻을 수 있을 것이다.
케빈 미트닉(Kevin Mitnick) / 전설의 해커이자 보안전문가


[이 책에서 다루는 내용]
• 사회공학자들이 활용하는 심리학적 원리
• 사기꾼과 사회공학자들에게서 배우는 설득의 기술
• 스파이나 사회공학자들이 이용하는 카메라, GPS장비, 만능키 등 다양한 도구
• 온라인을 통해 고급정보를 수집하고 정리하고 관리하는 기술과 소프트웨어
• 사회공학기술을 실행하는 단계별 전략

그렇다면, 이 책은 누가 읽어야 할까요? 단지 시스템을 지키는 업무를 맡은 보안관리자? 사회공학기술을 익혀 남을 속이고 이익을 갈취할 해커? 사기꾼? 지피지기면 백전불태. 사회공학 기술을 활용해 사람을 파악하고 조종하며 통제하기를 원하는 그 모든 이에게서 벗어날 이들을 위해, 혹은 사회공학 기술을 활용해 인간의 마음을 제대로 설득해야 하는 우리 모두를 위한 책일지도 모르겠습니다. "도를 아십니까?"를 외치며 어설프게 길거리에서 사람을 낚지만, 번번이 실패하는 '그분'들이 읽으셔야 할지도 모르겠군요.

[사회공학은 누가 사용하고, 누구에게 필요할까요?]
• 해커: 보안장벽을 뚫고 들어가기 위한 침투공격을 수행한다.
• 침투테스터: 보안의 허점을 찾아내기 위해 활동하는 합법적 해커
• 스파이: 신분을 위장하고 목표물에 침투하여 고급정보를 빼낸다.
• 신원도용: 다른 사람의 신원정보를 활용해 그 사람처럼 위장한다.
• 사기꾼: 사람들의 탐욕을 자극하고 활용해 그들에게서 이익을 빼앗는다.
• 인사담당자: 사람들의 심리를 파악하고 동기를 부여하는 데 능숙해야 한다.
• 영업자/마케터: 사람들이 필요로 하는 것을 파악하여 물건을 구입하도록 설득해야 한다.
• 의사/변호사/상담자: 환자, 의뢰인, 내담자를 원하는 방향으로 유도해야 한다.
• 정치인/정부: 권위, 권력, 희소성 등을 적극 활용하여 여론을 이끌어간다.

사회공학은 어디나 존재하는 기술 또는 과학이다. 사람들은 일상생활에서 사회공학을 사용한다. 예컨대 아이는 부모로부터 원하는 것을 얻어내고자 사회공학을 이용한다. 교사는 학생과 상호작용할 때, 의사, 변호사, 심리학자는 의뢰인이나 환자로부터 정보를 얻어낼 때 사회공학을 이용한다. 경찰이 범죄자를 심문할 때, 남녀가 데이트할 때, 사회공학을 이용한다는 것은 두말하면 잔소리다.
아기부터 정치인에 이르기까지 타인과 상호작용을 할 때 누구나 사회공학을 이용한다.
- 1장. 사회공학의 세계 중에서


이 책은 세계 최초 사회공학 프레임워크인 www.social-engineering.org의 선임개발자인 크리스토퍼 해드네기(Christopher Hadnagy)의 역작입니다. "Social Engineering: The Art of Human Hacking"이라는 제목으로 출간되어 아마존닷컴에서 ★★★★☆의 평균평점을 받은 놀라운 책이며, 사회공학을 유일한 주제로 다룬 세계 최초이자 유일한 책입니다. 이 책을 번역한 민병교 님은 서강대학교에서 영어영문학과를 졸업하고 사회학 박사를 수료하고 지금은 이론사회학과 정보사회와 관련된 강의를 하고 있습니다.

『사회공학과 휴먼 해킹』이라는 이 놀라운 역작을 통해 여러분 개인을 지켜내고 타인을 올바로 설득하는 참고로 삼으며, 기업의 보안을 강화하고 사회의 안전을 확립하는 좋은 참고도서가 되기를 바랍니다. 이 책은 4월 9일 출간 예정으로, YES24, 교보문고, 알라딘, 인터파크, 반디앤루니스, 대교리브로, 강컴에서 예약판매 중입니다. 많은 성원 바랍니다.


CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안