프리텍스팅은 피해자의 신뢰를 얻거나 피해자를 속이거나 조종하여 민감한 정보를 공유하거나, 멀웨어를 다운로드하거나, 범죄자에게 돈을 보내거나, 피해자 자신 또는 피해자의 조직에 해를 끼치도록 유도하기 위해 꾸며낸 이야기, 즉 프리텍스트(pretext, 구실)를 이용하는 것입니다.
프리텍스팅은 표적 기반 사회공학적 공격의 핵심 전술입니다. 사회공학적 공격의 예로는 스피어 피싱, 웨일링(whaling) 및 비즈니스 이메일 침해(business email compromise, BEC)(아래 참조) 등이 있습니다. 그러나 사이버 범죄자 그리고 단순히 현실 세계의 범죄자도 개인 또는 조직으로부터 가치 있는 정보나 자산을 훔치기 위해 프리텍스팅을 이용할 수 있습니다.
Social Engineering Penetration Testing(사회공학적 침투 테스트)(ibm.com 외부 링크)에서 보안 전문가인 Gavin Watson, Andrew Mason 및 Richard Ackroyd는 대부분의 프리텍스트가 인물 및 상황이라는 두 가지 기본 요소로 구성되어 있다고 서술했습니다.
인물은 사기꾼이 이야기 속에서 맡은 역할입니다. 잠재적인 피해자와 신뢰를 쌓기 위해 사기꾼은 일반적으로 피해자보다 우월한 권위를 가진 사람, 예를 들면 상사 또는 임원으로 가장합니다. 또는 피해자가 신뢰하기 쉬운 사람, 즉 동료, IT 직원 또는 서비스 제공자로 가장합니다. 표적이 된 피해자의 친구 또는 사랑하는 사람으로 가장하려고 시도하는 공격자도 있습니다.
상황은 사기꾼의 가짜 이야기의 플롯입니다. 즉, 인물이 피해자에게 무언가를 해 달라고 요청하는 이유입니다. 상황은 '계정 정보를 업데이트해야 합니다'와 같이 일반적일 수 있습니다. 또는 매우 구체적일 수 있습니다. 특히, 사기꾼이 특정 피해자를 겨냥하고 있는 경우 그렇습니다.
인물의 가장 행위와 상황을 믿을 만하게 만들기 위해 위협 행위자는 일반적으로 인물과 표적에 대한 조사를 온라인으로 수행합니다. 이러한 조사는 그렇게 어렵지 않습니다. Omdia의 보고서 (ibm.com 외부 링크)에 따르면, 해커는 일반적인 Google 검색을 단 100분 동안 수행한 후에 소셜 미디어 피드와 기타 공개된 출처에서 수집한 정보를 기반으로 믿을 만한 이야기를 만들어 낼 수 있다고 합니다.
인물을 더 믿을 만하게 만들기 위한 기타 기법으로는 인물의 이메일 주소나 전화번호를 스푸핑하거나 인물의 실제 이메일 계정 또는 전화번호에 직접적으로 무단 액세스하여 이를 메시지를 보내는 데 사용하는 것 등이 있습니다. 프리텍스팅의 미래를 엿볼 수 있는 한 사례에서는, 2019년에 사기꾼들이 인공 지능(AI)을 활용해 한 영국 에너지 회사의 모회사 CEO의 목소리를 흉내내어 회사의 공급업체에 돈을 지급하도록 요청하는 사기 전화를 걸어 이 회사로부터 미화 243,000 달러를 받아냈습니다.
비즈니스 이메일 침해 사기
비즈니스 이메일 침해(BEC)는 프리텍스팅에 크게 의존하는 표적 기반 사회공학적 공격 중에서도 특히 악의적인 유형입니다. BEC에서 인물은 표적에게 권위나 영향력을 행사할 수 있는 실제 회사의 임원이거나 고위 비즈니스 관계자입니다. 상황은 인물이 긴급한 작업에 도움이 필요한 경우로 설정됩니다. 예를 들면, 저는 공항에 발이 묶였는데 비밀번호를 잊어버렸습니다. 지급 시스템의 비밀번호를 보내 주시겠어요? 또는 첨부된 인보이스 금액을 지급하기 위해 USDXXX,XXX.XX를 #YYYYYY 은행 계좌로 이체해 주시겠어요? 와 같은 메시지를 보낼 수 있습니다.
매년 BEC는 가장 비용이 많이 초래되는 사이버 범죄에 속합니다. IBM Cost of a Data Breach 2022 (2022년 IBM 데이터 침해 비용)보고서에 따르면 BEC로 인한 데이터 침해 때문에 피해자는 평균 489만 달러의 비용을 치러야 하는 것으로 나타났습니다. FBI의 Internet Crime Complaint Center (PDF, 1.3MB, ibm.com 외부 링크)에 따르면 BEC로 인해 2021년에 피해자들은 거의 24억 달러에 달하는 총 손실을 입은 것으로 나타났습니다.
계정 업데이트 사기
이 경우 사기꾼은 회사의 담당자인 것으로 가장하여 피해자에게 계정에 비용 청구 정보 소멸 또는 의심스러운 구매와 같은 문제가 있다고 알립니다. 사기꾼은 인증 자격증명, 신용 카드 정보, 은행 계좌번호 또는 사회 보장 번호를 훔치는 가짜 웹사이트로 피해자가 연결되게 하는 링크를 보냅니다.
조부모 사기
많은 사회공학적 사기가 그렇듯이, 이 사기 유형은 노인을 악용합니다. 사이버 범죄자는 피해자의 손주인 것처럼 가장하고 문제에 봉착했다고 말합니다. 예를 들면, 자동차 사고가 났거나 체포되었다고 말하고 병원비나 보석금을 낼 수 있도록 돈을 보내 달라고 조부모에게 요청합니다.
로맨스 사기
데이트 프리텍스팅 사기에서 사기꾼은 피해자와 연애를 하고 싶은 척합니다. 피해자의 마음을 얻은 후, 사기꾼은 일반적으로 두 사람이 만나는 것을 방해하는 최종 장애물을 제거해 줄 돈이 필요하다고 요청합니다. 예를 들면, 감당할 수 없는 채무 또는 법적 의무를 이행하기 위한 비용 또는 피해자를 방문하기 위한 항공권 비용이 필요하다고 말합니다.
암호화폐 사기
사기꾼은 확실한 암호화폐 투자 기회가 있다고 말하며 성공적인 투자자로 가장하여 피해자를 가짜 암호화폐 거래소로 보냅니다. 그리고 이 암호화폐 거래소는 피해자의 금융 정보나 금전을 훔칩니다. 연방거래위원회(Federal Trade Commission, FTC) (ibm.com 외부 링크)에 따르면, 미국 소비자들은 2021년 1월부터 2022년 3월까지 암호화폐 사기로 미화 10억 달러 이상을 잃은 것으로 나타났습니다.
IRS/정부 기관 사기
사기꾼은 IRS 담당관, 법 집행 담당관 또는 기타 정부 기관 담당관으로 가장하여 표적이 세금 미납부 또는 체포 영장 발부와 같은 문제에 직면했다고 말합니다. 그리고 표적에게 저당권 설정, 임금 차압 또는 징역을 피하기 위해 돈을 지불하도록 지시합니다. 물론 지급액은 사기꾼의 계좌로 들어갑니다.
프리텍스팅은 다음을 포함한 많은 사회공학적 사기의 주요 구성 요소입니다.
피싱. 앞서 말한 대로, 프리텍스팅은 표적 기반 피싱 공격에서 특히 흔하게 사용됩니다. 피싱 공격에는 특정 개인을 겨냥하는 피싱 공격인 스피어 피싱과 민감한 정보 또는 시스템에 대한 특별 액세스 권한을 가진 임원 또는 직원을 겨냥하는 스피어 피싱인 웨일링이 포함됩니다.
그러나 프리텍스팅은 또한 비표적 기반의 무차별 전송 후 기도하기('spray-and-pray') 이메일 피싱, 보이스 피싱(비싱) 또는 SMS 문자 피싱(스미싱) 사기에서도 일정 역할을 수행합니다. 예를 들면, 사기꾼은 ‘[글로벌 은행의 이름을 여기에 삽입]: 귀하의 계좌가 초과인출되었습니다’와 같은 문자 메시지를 수백만 명의 사람들에게 전송하고, 일부 응답자가 이 은행의 고객이고 이 고객들 중 일부가 이 메시지에 응답할 것이라고 기대할 수 있습니다.
테일게이팅. 때로는 피기배킹("piggybacking")이라고도 불리는 테일게이팅은 권한이 없는 사람이 권한이 있는 사람을 따라가서 보안이 적용된 사무소 건물과 같은 출입 승인이 필요한 장소로 들어가는 것을 말합니다. 예를 들면 사기꾼들은 배달원으로 가장하면서 의심하지 않는 직원에게 잠긴 문을 열어달라고 요청함으로써 테일게이팅 시도에 성공하기 위해 프리텍스팅을 활용합니다.
미끼 공격. 이러한 유형의 공격에서 범죄자는 매력적이지만 유해한 미끼로 유혹하면서 피해자를 속여 멀웨어를 다운로드하게 만듭니다. 미끼는 물리적 형태(예: 눈에 띄게 공공 장소에 남겨진 악성 코드가 포함된 USB 스틱)이거나 디지털 형태(예: 영화 무료 다운로드 광고이지만 사실 멀웨어를 다운로드하게 되는 경우)일 수 있습니다. 사기꾼들은 종종 프리텍스팅을 사용하여 더 유혹적인 미끼를 제공합니다. 예를 들면, 사기꾼은 침해된 USB 드라이브에 라벨을 부착하여 해당 드라이브가 특정 회사의 것이며 중요한 파일을 포함했다고 암시할 수 있습니다.
업계별 여러 법규는 명시적으로 프리텍스팅을 대상으로 합니다. 1999 Gramm-Leach-Bliley Act는 금융 기관과 관련된 프리텍스팅과 거짓으로 위장하여 고객의 금융 정보를 획득하는 것을 범죄로 규정했습니다. 또한 이 법에 따라 금융 기관은 프리텍스팅을 감지하고 예방하기 위한 직원 교육을 실시해야 합니다. Telephone Records and Privacy Protection Act of 2006(2006년 전화 기록 및 개인 정보 보호법)은 통신 서비스 제공업체가 보유한 고객 정보에 접근하기 위해 프리텍스팅을 이용하는 것을 명시적으로 금지했습니다.
2021년 12월, FTC는 정부 기관 또는 기업을 사칭하는 것을 공식적으로 금지하는 새로운 규칙을 제안했습니다(ibm.com 외부 링크). 이 규칙으로 FTC는 허가 없이 기업의 로고를 사용하여 합법적 기업을 모방하는 가짜 웹사이트를 만들고 기업 이메일을 스푸핑하는 것과 같은 일반적인 프리텍스팅 전술을 금지할 수 있을 것입니다.
다른 형태의 사회공학적 기법과 마찬가지로 프리텍스팅과 싸우는 일은 어려울 수 있습니다. 프리텍스팅은 해결 가능한 기술적 취약성보다는 인간의 심리를 악용하기 때문입니다. 그러나 조직이 취할 수 있는 효과적인 조치들이 있습니다.
- 도메인 기반 메시지 인증 보고(DMARC): DMARC는 스푸핑을 방지할 수 있는 이메일 인증 프로토콜입니다. DMARC는 이메일이 발송된 것으로 보이는 도메인이 정말로 원래의 도메인인지 검증합니다. 이메일이 스푸핑된 것으로 확인되면 해당 이메일은 자동으로 스팸 폴더로 이동되거나 삭제될 수 있습니다.
- 기타 사이버 보안 기술: DMARC 이외에도, 조직은 알려진 프리텍스팅 공격에서 사용되는 문구와 제목을 감지하는 AI 기반 이메일 필터를 실행할 수 있습니다. 보안이 적용된 웹 게이트웨이는 사용자가 의심스러운 웹사이트로 연결되는 피싱 이메일 링크를 클릭하지 않도록 예방할 수 있습니다. 공격자가 프리텍스팅을 통해 네트워크에 액세스하는 경우, EDR(endpoint detection and response), NDR(network detection and response) 및 XDR(extended detection and response) 플랫폼과 같은 사이버 보안 기술이 악의적 활동을 가로챌 수 있습니다.
- 보안 인식 교육: 프리텍스팅은 사람들이 자신의 보안을 침해하도록 조종하므로, 직원이 프리텍스팅 사기를 감지하고 적절하게 대응하도록 교육하면 조직을 보호하는 데 도움이 될 수 있습니다. 전문가들은 직원들이 프리텍스팅과 동료의 정당한 요청을 구분하는 데 도움을 주기 위해 실제 프리텍스팅 사례를 기반으로 시뮬레이션을 실행할 것을 권장합니다. 교육에는 또한 가치 있는 정보의 취급, 지급 승인, 요청 이행 전 요청을 제기한 소스의 검증에 관한 분명한 프로토콜이 포함될 수 있습니다.
X-Force Red 사회공학적 기법 서비스를 활용하여 직원이 피싱, 비싱 및 물리적 사회공학적 기법 연습을 통해 테스트를 받을 수 있도록 할 수 있습니다.
고도의 위협을 감지하는 것은 물론, 정확하고 빠르게 대응하고 운영 중단으로부터 복구하도록 돕는 지능형 통합 위협 관리 접근법으로 비즈니스를 보호합니다.
선제적 보호를 위해서는 AI, 분석 및 딥 러닝을, 정확한 감지를 위해서는 머신 러닝을, 그리고 빠른 대응을 위해서는 자동화와 분석을 활용합니다.