사회공학 공격 - 특정 대상 타겟

표적 공격이란? 쌩기초

같은 사회공학 공격이라도 "아무나 걸리면 좋다" 는 방식(피싱·파밍·스미싱·비싱·Drive-by Download)과 "이 집단/이 기업만 노린다" 는 방식은 접근이 전혀 다릅니다. 후자를 표적 공격(Targeted Attack) 이라 부릅니다.

• 불특정 다수 공격: 대량 살포 → 일부가 걸리면 성공 (준비 비용이 낮음)
• 표적 공격: 사전 정찰(표적 SNS·임직원·거래처 조사) → 표적에 맞춤형 유인 제작 (준비 비용이 크지만 성공률·피해 규모가 훨씬 큼)

대표 사례가 워터링 홀(특정 집단 대상)과 Business Scam / BEC(기업 재무 담당자 대상)입니다.

불특정 다수를 노리는 피싱·파밍·스미싱·비싱·Drive-by Download는 사회공학 공격 - 불특정 다수 타겟 페이지에서 먼저 보면 맥락이 선명합니다.

워터링 홀 (Watering Hole) 기초

워터링 홀은 특정 집단이 자주 방문하는 웹사이트를 미리 해킹해 악성코드를 심어 두고, 표적이 그 사이트를 방문하는 순간 감염시키는 표적 공격입니다. 이름은 사자·악어 같은 포식자가 초식동물이 물을 마시러 오는 물웅덩이(watering hole) 옆에 숨어 기다리는 사냥 방식에서 유래했습니다.

• 원리: 표적 집단이 자주 가는 사이트(예: 특정 기업 협력사 포털, 업계 커뮤니티) 해킹 → 방문자 브라우저의 취약점을 이용해 악성코드 자동 설치
• 특징: 제로데이(Zero-day) 취약점과 결합되는 경우가 많아 탐지가 어려움. 피해자 입장에서는 "평소 잘 쓰던 사이트"에서 감염되어 의심하기 어려움
• Drive-by Download와의 관계: "방문 → 감염" 단계에 Drive-by Download 기법이 자주 사용됩니다. 워터링 홀이 전략(표적 선정), Drive-by Download가 전술(감염 수단)
• 대응책: 브라우저·OS·플러그인 최신 패치 유지, 의심 URL 모니터링, EDR(Endpoint Detection and Response) 솔루션

Business Scam (BEC, Business Email Compromise) 기초

Business Scam은 기업의 재무·구매 담당자를 노린 사칭 이메일 공격입니다. 공격자는 CEO·CFO·거래처 담당자를 사칭해 "긴급히 송금을 처리해 달라"는 메일을 보내고, 피해 기업이 공격자 계좌로 대금을 송금하도록 유도합니다.

영어권에서는 BEC(Business Email Compromise) 로 부릅니다. 여기서 Compromise는 "침해·장악"을 뜻해 직역하면 "업무 이메일 계정 침해" 입니다. 임원·거래처의 이메일 계정을 실제로 탈취하거나, 그와 거의 똑같이 생긴 유사 도메인을 사용해 이메일의 신뢰 자체를 무너뜨린다는 뉘앙스가 담겨 있습니다. 국내에서는 흔히 스캠 메일 또는 비즈니스 이메일 사기로 불리며, 시험에서는 Business Scam과 BEC 두 표현 모두 등장할 수 있습니다.

• 원리: 임원·거래처 이메일 계정 탈취 또는 유사 도메인 사용(예: example.com → exampIe.com, I를 소문자 l로 교체) → 송금 요청
• 특징: 개인이 아닌 기업을 표적. 피해 규모가 한 건당 수천만 원~수억 원 단위
• 대응책: 송금 전 전화·대면으로 이중 확인, 이메일 도메인 정밀 검사, DMARC/SPF/DKIM¹ 이메일 인증 적용

정보처리기사 실기 대비 문제