사회공학 공격 - 불특정 다수 타겟

보안/신기술공격 유형사회공학 공격

읽는데 11분 소요

처음 쓰여진 날: 2026-04-24

마지막 수정일: 2026-04-24

조회수: —

요약

불특정 다수를 노리는 사회공학 공격(피싱, 파밍, 스미싱, 비싱, Drive-by Download)의 원리와 차이를 비교하고 Cyber Kill Chain 7단계까지 정보처리기사 실기 대비용으로 살펴봅니다. 특정 집단·기업을 노리는 표적 공격은 별도 페이지로 분리되어 있습니다.

사회공학 공격이란? 쌩기초

사회공학 공격(Social Engineering Attack) 은 시스템의 기술적 결함이 아니라 사람의 심리와 신뢰를 이용해 정보를 탈취하거나 악성코드에 감염시키는 공격입니다. 방화벽·암호화 같은 기술 보안이 아무리 강해도, 사용자가 속아서 직접 ID·비밀번호를 입력하거나 첨부파일을 여는 순간 뚫립니다.

대표 경로는 이메일·SMS·전화·가짜 웹사이트 등 사용자가 평소에 신뢰하는 채널이며, 공격자는 긴급함·권위·호기심 같은 감정을 자극해 판단을 흐립니다.

주요 사회공학 공격 비교표 쌩기초

이 페이지는 불특정 다수를 노리는 공격을 다룹니다. 피싱 가족의 표적형 변종인 스피어 피싱은 피싱의 확장이라는 성격상 이 페이지에 함께 두지만, 본질은 표적 공격입니다.

공격 기법	전달 수단	대상	핵심 키워드
피싱 (Phishing)	이메일·메신저	불특정 다수	가짜 사이트, ID·비밀번호 탈취
파밍 (Pharming)	DNS·hosts 파일 조작	불특정 다수	정상 URL 입력해도 가짜 사이트로 이동
스미싱 (Smishing)	SMS 문자	불특정 다수	SMS + 피싱, 악성 링크
비싱 (Vishing)	전화 통화	불특정 다수	Voice + 피싱, 금융사 사칭
Drive-by Download	감염된 웹페이지	불특정 다수	방문만 해도 자동 다운로드·실행
스피어 피싱 (Spear Phishing)	맞춤형 이메일	특정 개인·조직	사전 정찰, 표적 맞춤 미끼 (피싱의 표적형 변종)

특정 집단·기업을 노리는 표적 공격(워터링 홀, Business Scam/BEC)은 접근 방식이 다르므로 사회공학 공격 - 특정 대상 타겟 페이지에서 별도로 정리합니다.

피싱, 파밍, 스미싱, 비싱 기초

파밍·스미싱·비싱은 결국 피싱의 변형입니다. 피싱이 "사칭해서 속여 정보를 빼낸다"는 큰 뿌리이고, 전달 수단이 무엇이냐에 따라 이름이 갈립니다.

피싱(Phishing) — 이메일·가짜 웹사이트 (원형)
파밍(Pharming) — DNS·hosts 파일 조작 (URL은 정상이어도 가짜 사이트로 이동)
스미싱(Smishing) — SMS + Phishing
비싱(Vishing) — Voice + Phishing

즉 "무엇으로 전달하느냐"만 다를 뿐, 목적(정보 탈취)과 원리(신뢰 채널 사칭)는 동일합니다. 그래서 이 4가지를 한 묶음으로 학습해두면 시험에서 어떤 이름이 나와도 "아, 피싱 계열이구나"로 맥락을 잡을 수 있습니다.

피싱 (Phishing)

"Private data + Fishing" 의 합성어로, 공격자가 은행·포털·택배사 등을 사칭해 가짜 이메일·메시지를 보내고, 피해자가 그 안의 링크를 클릭해 가짜 사이트에 ID·비밀번호·카드번호를 입력하게 만드는 공격입니다.

낚싯대에 ID·PW와 가짜 은행 아이콘을 미끼로 달고 물속 감자들을 낚으려는 복면 감자 — 가짜 미끼로 ID·비밀번호를 낚아채는 피싱

원리: 진짜와 똑같이 생긴 가짜 사이트로 유인 → 입력된 정보를 탈취
특징: 이메일 발신 주소·URL 도메인을 자세히 보면 미묘하게 다름 (예: naver.com → nayer.com)
대응책: 링크 직접 클릭 대신 주소창에 직접 입력, 2단계 인증 활성화

파밍 (Pharming)

피싱과 결과는 같지만, 피해자가 정상 URL을 입력해도 가짜 사이트로 접속되는 더 강력한 공격입니다. 공격자는 DNS 서버나 피해자 PC의 hosts 파일¹을 변조해 도메인 → IP 매핑을 바꿔버립니다.

갈림길 표지판을 공격자 감자가 조작해 진짜 은행 화살표가 가짜 은행 건물을 가리키고, bank.com을 입력한 피해자 감자가 표지판만 믿고 이동하려는 장면 — 도로 표지판을 바꿔치기해 가짜 은행으로 유도

원리: DNS 변조·hosts 파일 변조 → 주소창이 bank.com이어도 실제로는 공격자 서버로 접속
특징: 사용자가 URL을 아무리 주의해서 확인해도 소용없음 (Phishing + Farming 의 합성어)
대응책: DNSSEC, HTTPS 인증서 경고 무시 금지, 안티바이러스로 hosts 파일 변조 탐지

왜 Farming(농사)이 들어갔을까?

피싱은 한 사람씩 낚시(fishing)로 낚는 방식이라면, 파밍은 DNS 서버나 hosts 파일을 한 번만 조작해두면 그 서버/PC를 쓰는 모든 사용자가 자동으로 가짜 사이트에 접속됩니다. 씨앗(가짜 DNS 매핑)을 한 번 뿌려놓고 자라는 수확물(피해자 정보)을 한꺼번에 거둬들이는 모습이 농사(farming)와 닮아 붙여진 이름입니다. 즉 '낚시보다 더 대량·자동화된 수확 방식'이라는 뉘앙스입니다.

스미싱 (Smishing)

"SMS + Phishing". SMS 문자에 악성 링크나 악성 앱 APK 다운로드 링크를 포함해 스마트폰 사용자를 공격합니다. "택배 조회", "건강검진 결과" 같은 평범한 내용으로 클릭을 유도합니다.

공격자 감자가 보낸 '[택배 조회] 배송 실패' SMS 메시지 속 악성 링크를 피해자 감자가 스마트폰으로 누르려는 장면 — 택배 문자로 위장한 악성 링크를 누르게 만드는 스미싱

비싱 (Vishing)

"Voice + Phishing". 음성 전화로 금융감독원·경찰·자녀 등을 사칭해 비밀번호·OTP·인증번호를 불러달라고 요구하는 공격입니다. 국내에서 흔히 보이스피싱으로 부릅니다.

금융감독원을 사칭하며 전화 통화로 피해자에게 OTP와 비밀번호를 불러달라고 요구하는 공격자 감자 — 금감원·경찰을 사칭한 음성 전화로 인증번호를 빼내는 비싱

스피어 피싱 (Spear Phishing) 기초

스피어 피싱은 일반 피싱이 그물로 불특정 다수를 노리는 것과 달리, 특정 개인·부서·기업을 사전 정찰한 뒤 그 정보에 맞춘 맞춤형 피싱 메일을 보내는 공격입니다. 이름처럼 작살(spear)로 특정 물고기 한 마리만 찌르는 방식이라 표적형 변종으로 분류되지만, 피싱 가족의 확장이므로 이 페이지에 함께 정리합니다.

공격자 감자가 LinkedIn과 SNS로 표적의 이름·직책·프로젝트를 수집한 뒤, 맞춤 제작된 작살로 특정 물고기 한 마리만 정확히 겨누는 장면 — 사전 정찰로 얻은 정보를 미끼에 새겨 한 명만 정확히 찌르는 스피어 피싱

원리: SNS·회사 홈페이지·LinkedIn 등에서 표적의 이름·직책·진행 프로젝트·거래처 정보를 수집 → "담당 프로젝트 보고서.pdf", "인사팀 ○○○ 과장님께 전달 요청" 같은 표적이 의심하기 어려운 맞춤 미끼로 메일 발송 → 한 명이 열면 성공
일반 피싱과의 차이

구분	일반 피싱	스피어 피싱
표적	불특정 다수	특정 개인·부서·기업
발송량	대량	소수 맞춤
내용	범용 ("계정 만료", "택배 조회")	표적의 이름·직책·프로젝트 반영
탐지	스팸 필터로 상당수 차단	개인화되어 정상 메일처럼 보여 탐지 어려움
성공률	낮음	매우 높음

주요 변종
- 웨일링(Whaling) — CEO·CFO 같은 고위 임원을 표적으로 삼는 스피어 피싱. "큰 물고기(whale)" 비유. 송금 권한이 있는 임원을 속여 거액 피해를 유발
- 클론 피싱(Clone Phishing) — 피해자가 과거에 받은 정상 메일을 복제해 링크·첨부만 악성으로 교체. "방금 보낸 메일에 파일을 빠뜨려 다시 보냅니다" 식으로 유인

스피어 피싱은 APT의 대표 침투 수단

APT 공격자는 표적 기업 임원·담당자 SNS를 몇 주간 수집한 뒤 '담당 프로젝트 보고서.pdf' 같은 맞춤 미끼로 메일을 보냅니다. 사전 정찰 → 맞춤 미끼 → 한 명 감염 경로가 APT의 1단계(침투)와 정확히 맞물립니다. 전체 캠페인은 APT 공격 페이지에서 이어서 살펴보세요.

대응책: 메일 내 링크 hover로 실제 URL 확인, 첨부파일 샌드박스 스캔, 의심 시 발신자에게 전화·메신저 등 다른 채널로 재확인, DMARC·SPF·DKIM² 이메일 인증 엄격 적용, 임직원 대상 정기 모의 훈련

Drive-by Download 기초

Drive-by Download는 사용자가 단순히 웹페이지를 방문하기만 해도 본인도 모르게 악성코드가 자동으로 다운로드·실행되는 공격입니다. 다운로드 링크를 클릭하거나 첨부파일을 열 필요가 없어 더 은밀합니다.

거리를 지나가는 차 안에서 공격자 감자가 무심코 걷는 피해자 감자의 가방에 VIRUS 봉투를 몰래 투척하는 장면 — 지나가기만 해도 나도 모르게 감염된다

원리: 브라우저·플러그인(Flash·Java·PDF Reader 등) 취약점을 악용해 방문 자체로 파일 다운로드·실행
특징: 불특정 다수를 노림. 사용자가 클릭·다운로드 버튼을 누를 필요조차 없어 피해자가 감염 사실을 인지하기 어려움
대응책: 브라우저·플러그인 자동 업데이트, 브라우저 샌드박스 활용, 알 수 없는 사이트 접속 주의

Cyber Kill Chain 7단계 심화

Cyber Kill Chain은 록히드마틴(Lockheed Martin)이 군사 작전의 Kill Chain 개념을 사이버 공격에 적용해 제시한 공격 단계 모델입니다. 공격자가 목적을 달성하기까지 밟는 7단계를 정의하고, 각 단계에서 방어자가 공격을 끊을 수 있도록 돕습니다.

후드를 쓴 공격자 감자가 표적 감자에게 이어진 7단계 체인을 당기고 있고, 방패를 든 방어자 감자가 중간 고리를 볼트커터로 끊어 공격을 무력화하는 장면 — 단 한 고리만 끊어도 전체 공격이 무너진다

단계	영문	설명
1	Reconnaissance (정찰)	표적 정보 수집 (공개 정보·SNS·이메일 주소 등)
2	Weaponization (무기화)	악성코드와 전달 수단 결합 (예: 악성 매크로 + 워드 파일)
3	Delivery (전달)	이메일·USB·워터링 홀 등으로 표적에 전달
4	Exploitation (악용)	취약점을 이용해 실행
5	Installation (설치)	백도어·드로퍼 설치로 지속성 확보
6	Command & Control (C2)	공격자 서버와 원격 통신 채널 구축
7	Actions on Objectives (목적 달성)	데이터 유출·랜섬웨어 실행·시스템 파괴 등

사회공학 공격은 주로 3단계 Delivery(전달) 에서 작동합니다. 피싱 메일·Business Scam 메일·워터링 홀은 모두 "무기화된 악성코드를 표적에게 어떻게 전달할 것인가"의 해답입니다. 방어자는 이메일 게이트웨이·웹 필터·사용자 교육으로 이 단계를 차단하는 것이 핵심입니다.

정보처리기사 실기 대비 문제

Footnotes

hosts 파일은 OS가 DNS 서버에 물어보기 전에 먼저 참조하는 로컬 도메인→IP 매핑 파일입니다. Windows는 C:\Windows\System32\drivers\etc\hosts, 리눅스·macOS는 /etc/hosts에 있습니다. ↩
SPF·DKIM·DMARC는 이메일 발신 도메인을 검증해 사칭 메일을 걸러내는 이메일 인증 표준입니다. SPF는 발신 서버 IP 허용 목록, DKIM은 전자서명, DMARC는 두 결과를 바탕으로 수신 정책을 결정합니다. ↩

제목	태그	업데이트	시험
사회공학 공격 - 특정 대상 타겟	표적 공격보안/신기술공격 유형사회공학 공격	2026-04-24	-
APT 공격 - 지능형 지속 위협	APT보안/신기술공격 유형표적 공격	2026-04-24	-
소프트웨어 개발 보안 취약점 - 버퍼 오버플로, 포맷 스트링, 경로 조작	소프트웨어 보안보안/신기술공격 유형소프트웨어 보안	2026-04-24	-