MITRE ATT&CK 관련 기법: T1566 (Phishing), T1598 (Phishing for Information), T1656 (Impersonation) | 전술: Initial Access, Reconnaissance
회사에서 갑자기 전화가 왔다. IT 부서라고 했다.
"보안 시스템에 문제가 생겼습니다. 지금 바로 비밀번호를 변경해주셔야 합니다."
목소리는 급했고, 배경에는 사무실 소음이 들렸다. 진짜 IT 부서 같았다.
하지만 그 전화는 IT 부서가 아니었다.
이것이 사회공학 공격이다. 컴퓨터를 해킹하는 게 아니라, 사람의 심리를 해킹하는 것이다. Lazarus 그룹부터 Scattered Spider까지, 모든 APT 그룹이 사회공학을 핵심 무기로 사용한다.
사회공학이 뭔데?
사회공학(Social Engineering)은 기술적 취약점이 아니라 인간의 심리적 취약점을 이용하는 공격이다.
왜 공격자들이 이 방법을 선택할까?
이유는 단순하다. 사람이 가장 약한 고리이기 때문이다.
아무리 정교한 보안 시스템을 갖추고 있어도, 내부자가 직접 문을 열어주면 소용이 없다. 서버를 뚫으려면 제로데이 취약점을 찾아야 하고, 암호화를 깨려면 엄청난 연산이 필요하다. 하지만 사람에게 전화 한 통이면? 비밀번호를 그냥 알려준다.
Palo Alto Networks Unit 42의 2025년 분석에 따르면, 데이터 유출 사고의 36%가 사회공학 공격으로 시작되었다(Unit 42, 2025). 기술적 해킹보다 사람을 속이는 것이 더 효율적이라는 뜻이다.
IBM의 2024년 보고서는 이 비용을 숫자로 보여준다. 데이터 유출 사고의 평균 피해액은 **488만 달러(약 71억 원)**이며, 피싱 기반 유출은 **491만 달러(약 72억 원)**로 더 높다(IBM Cost of a Data Breach Report, 2024).
2024-2025 주요 통계
| 지표 | 수치 | 출처 |
|---|---|---|
| 사회공학 기반 침해 비율 | 36% | Unit 42 (2025) |
| 평균 데이터 유출 비용 | .88M | IBM (2024) |
| 피싱 기반 유출 평균 비용 | .91M | IBM (2024) |
| BEC 피해 총액 | .3B | FBI IC3 (2024) |
| AI 기반 피싱 이메일 비율 | 80%+ | ENISA (2025) |
| Vishing 탐지 증가율 | 442% | CrowdStrike (2024) |
어떤 방법으로 속이는 건데?
공격자의 도구상자에는 다양한 기법이 들어 있다. 그리고 해마다 새로운 도구가 추가되고 있다.
피싱 (Phishing) | T1566
특정인을 노린 맞춤형 낚시. 가장 오래됐지만, 여전히 가장 효과적인 기법이다.
공격자가 피싱을 선택하는 이유는 규모의 경제 때문이다. 이메일 한 통이면 수천, 수만 명에게 동시에 미끼를 던질 수 있다. 그중 단 한 명만 클릭해도 성공이다. 스피어피싱(특정 대상을 노린 피싱)은 성공률이 훨씬 높다. 대상의 이름, 직책, 최근 관심사까지 조사해서 완벽하게 맞춤형 메시지를 만들기 때문이다.
ENISA의 2025년 보고서에 따르면, AI 기반 피싱 이메일이 전체의 80% 이상을 차지하고 있다(ENISA Threat Landscape, 2025). AI가 문법 오류 없는 자연스러운 이메일을 대량으로 생성하면서, "이상한 한국어"로 피싱을 걸러내던 시대는 끝났다.
프리텍스팅 (Pretexting) | T1656
"IT 부서입니다", "경찰입니다", "거래처 담당자입니다."
프리텍스팅은 신뢰할 수 있는 인물이나 상황을 사칭하는 기법이다. 공격자가 이 방법을 쓰는 이유는, 사람들이 권위 있는 존재 앞에서 의심을 멈추기 때문이다.
CrowdStrike의 2024년 보고서에 따르면, 전화를 이용한 사회공학 공격(비싱) 탐지가 전년 대비 442% 증가했다(CrowdStrike Global Threat Report, 2024). 공격자들이 이메일에서 전화로 전환하고 있다는 신호다. 전화는 피해자에게 생각할 시간을 주지 않기 때문이다.
베이팅 (Baiting)
회사 주차장에 떨어진 USB 하나. 라벨에는 "2025 연봉 인상 계획"이라고 적혀 있다.
누가 안 꽂아보겠는가?
베이팅은 인간의 호기심과 탐욕을 이용하는 기법이다. 물리적 미끼(USB, 외장하드)뿐 아니라 디지털 미끼(무료 소프트웨어, 불법 다운로드 사이트)도 포함된다. 공격자는 미끼 안에 악성코드를 심어두고 피해자가 스스로 실행하기를 기다린다(T1204).
MFA 피로 공격 (MFA Fatigue) | T1621
"로그인 요청을 승인하시겠습니까?"
새벽 3시에 이 알림이 울린다. 무시한다. 또 울린다. 또 울린다. 30번, 50번, 100번.
결국 잠이 덜 깬 상태에서 "승인"을 누른다.
MFA 피로 공격은 다중 인증의 가장 취약한 부분, 즉 사람의 인내심을 공격한다. 기술적으로 MFA를 우회하는 것이 아니라, 피해자가 직접 승인 버튼을 누르게 만드는 것이다. 2022년 Uber 해킹이 바로 이 방법이었다.
ClickFix
최근 급부상한 기법이다. 화면에 "이 페이지를 보려면 아래 명령을 실행하세요"라는 메시지가 뜬다. 사용자가 안내대로 PowerShell이나 터미널에 명령어를 복사-붙여넣기하면, 악성코드가 실행된다.
공격자가 ClickFix를 선호하는 이유는 사용자가 직접 실행하기 때문에 보안 소프트웨어의 탐지를 우회할 수 있기 때문이다(T1204). "사용자가 스스로 한 행동"은 보안 시스템이 차단하기 어렵다. 공급망 공격과 결합되면 탐지가 더욱 어려워진다.
딥페이크 (Deepfake)
AI가 만든 가짜 영상 통화. 상사의 얼굴, 상사의 목소리. 하지만 상사가 아니다. 국내에서는 SK텔레콤 해킹처럼 기술적 APT와 사회공학이 결합된 사례도 있다.
딥페이크는 사회공학의 가장 최신 무기다. 프리텍스팅의 진화형이라고 할 수 있다. 전화 목소리를 사칭하는 것을 넘어, 이제는 실시간 영상 통화에서 얼굴까지 사칭한다. 2024년 Arup 사건이 이를 증명했다.
퀴드프로쿠오 & 테일게이팅
퀴드프로쿠오는 "도움을 줄게요, 대신 이것만 해주세요" 식의 거래형 기법이다. 테일게이팅은 출입문이 열릴 때 뒤따라 들어가는 물리적 침투다. 둘 다 사람의 선의와 예의를 악용한다. 문을 잡아주는 것이 예의라고 배웠기 때문에, 뒤따라오는 사람을 막기가 심리적으로 어렵다.
왜 이렇게 잘 먹히는 건데?
사회공학이 수십 년째 효과적인 이유는 기술이 아니라 인간 심리의 보편적 약점을 공격하기 때문이다. 보안 패치는 가능하지만, 인간의 본능은 패치할 수 없다.
권위에 대한 복종
"사장님이 급히 처리하라고 하셨습니다."
이 한마디에 검증 절차를 건너뛰는 직원이 얼마나 많을까. 사람은 권위 있는 존재의 지시에 놀라울 정도로 순종한다. 공격자는 CEO, IT 관리자, 경찰, 은행 직원을 사칭해 이 본능을 자극한다.
긴급성 조작
"지금 즉시 처리하지 않으면 계정이 잠깁니다."
시간 압박은 판단력을 마비시킨다. 공격자가 "급하다"는 메시지를 보내는 이유는, 피해자가 한 발짝 물러서서 "이거 진짜인가?" 하고 생각할 틈을 주지 않기 위해서다.
호감과 유사성
사람들은 자신과 비슷하거나, 친절하거나, 매력적인 상대에게 마음을 연다. 공격자는 SNS를 통해 대상의 취미, 출신 학교, 관심사를 파악한 후, "저도 같은 학교 출신이에요"라며 접근한다.
사회적 증거
"다른 직원분들도 다 이 링크로 업데이트하셨습니다."
남들이 했다고 하면 안심한다. 특히 조직 내에서 "다른 팀도 다 했다"는 말은 강력한 설득 도구가 된다.
이 네 가지 심리 기법은 단독으로도 강력하지만, 조합되면 거의 방어가 불가능하다. 대부분의 사회공학 공격은 권위 + 긴급성을 동시에 사용한다. "사장님이(권위) 지금 당장(긴급성) 처리하라고 했다"는 식이다.
실제로 누가 당했는데?
"우리 회사는 보안이 잘 되어 있으니까 괜찮다"고 생각할 수도 있다. 하지만 아래 사례들을 보면, 세계 최고 수준의 보안팀을 가진 기업들도 사회공학 앞에서는 무너졌다.
Coinbase 내부자 매수 (2025)
| 항목 | 상세 |
|---|
| 공격 기법 | 내부자 매수 + 타겟 사회공학 | | 피해 범위 | 고객 이름, 생년월일, 이메일, SSN 일부 | | 랜섬 요구 | $20M (거절됨) |
2025년, 공격자들은 Coinbase의 기술 시스템을 공격하지 않았다. 대신 해외 고객 지원 직원들에게 뇌물을 줘서 내부 데이터에 접근했다. 고객 이름, 주소, 거래 내역이 유출되었고, 공격자들은 2,000만 달러(약 290억 원)의 몸값을 요구했다. Coinbase는 지불을 거부했다.
왜 이 방법이었을까? 기술적 해킹보다 사람을 매수하는 것이 더 확실했기 때문이다.
Arup 딥페이크 화상회의 사기 (2024)
| 항목 | 상세 |
|---|---|
| 피해 금액 | $25.6M (약 373억 원) |
| 공격 기법 | 딥페이크 화상회의 |
영국 엔지니어링 기업 Arup의 홍콩 지사 직원이 화상회의에 참석했다. CFO를 포함한 여러 임원이 참석해 있었다. 그들의 지시에 따라 직원은 **2,560만 달러(약 373억 원)**를 송금했다.
하지만 화면 속 임원들은 모두 AI가 만든 딥페이크였다. 실시간 영상 통화에서 여러 명을 동시에 사칭한, 전례 없는 사건이었다.
출처: Sprinto Security
MGM Resorts & Caesars 해킹 (2023)
| 항목 | 상세 |
|---|---|
| 공격 그룹 | Scattered Spider + ALPHV |
| 공격 기법 | Vishing (헬프데스크 대상), LinkedIn 정찰 |
| 피해 규모 | MGM: $100M+ 손실, Caesars: $15M 랜섬 지불 |
| MITRE 기법 | T1656 (Impersonation), T1566 (Phishing) |
Scattered Spider는 LinkedIn에서 MGM 직원 정보를 수집한 후, IT 헬프데스크에 전화를 걸어 해당 직원인 것처럼 행동했다. 단 10분의 전화 통화로 Okta와 Azure 관리자 권한을 획득했고, MGM의 피해액은 1억 달러(약 1,460억 원) 이상이었다.
한국에서도 3.20 사이버테러에서 유사한 사칭 기법이 사용됐다. 공격자가 LinkedIn과 전화를 조합한 이유는, IT 헬프데스크가 "도와줘야 한다"는 업무 특성상 의심보다 협조를 우선하기 때문이다.
Uber 해킹 (2022)
| 항목 | 상세 |
|---|---|
| 공격 그룹 | LAPSUS$ - G1004 |
| 공격 기법 | MFA Fatigue Attack, 소셜 엔지니어링 |
| 피해 범위 | 내부 시스템, Slack, AWS, Google Workspace |
| MITRE 기법 | T1621 (MFA Request Generation), T1656 (Impersonation) |
LAPSUS$ 그룹의 해커는 Uber 직원에게 MFA 피로 공격을 감행했다. 반복적으로 인증 요청을 보낸 후, WhatsApp으로 "IT 부서입니다, 승인해주세요"라고 메시지를 보냈다.
직원이 승인 버튼을 누른 순간, 해커는 Uber의 내부 시스템 전체에 접근할 수 있었다.
출처: Uber Newsroom | BleepingComputer
Twitter 해킹 (2020)
| 항목 | 상세 |
|---|---|
| 공격자 | 17세 플로리다 청소년 주도 |
| 공격 기법 | 전화 피싱 (Voice Phishing), SIM 스와핑 |
| 피해 계정 | 130개 이상 (오바마, 머스크, 게이츠, 애플 등) |
| 피해 금액 | 약 $120,000 상당 비트코인 |
| MITRE 기법 | T1656 (Impersonation), T1566 (Phishing) |
2020년 7월 15일, 버락 오바마, 일론 머스크, 애플 공식 계정 등 유명 계정 130개가 동시에 비트코인 사기 메시지를 게시했다.
공격자들은 Twitter 직원에게 전화를 걸어 IT 지원팀을 사칭하고, 재택근무 관련 VPN 문제를 해결해주겠다며 내부 관리 도구의 접근 권한을 얻었다. 기술적 취약점이 아니라, 직원의 신뢰를 이용한 전형적인 사회공학 공격이었다.
John Podesta 이메일 해킹 (2016)
| 항목 | 상세 |
|---|---|
| 피해자 | 존 포데스타 (힐러리 클린턴 선거캠프 의장) |
| 공격 그룹 | APT28 (Fancy Bear) - G0007 |
| 배후 | 러시아 GRU (군사정보국) |
| 공격 기법 | 스피어 피싱 (Gmail 비밀번호 변경 위장) |
| 유출 이메일 | 약 60,000건 |
| MITRE 기법 | T1566.002 (Spearphishing Link), T1598 (Phishing for Information) |
"누군가 당신의 비밀번호를 알고 있습니다. 지금 바로 변경하세요."
포데스타는 구글 보안 알림으로 위장한 이메일을 받았다. 캠프 IT 담당자의 실수로 "정당한(legitimate) 이메일"이라고 회신했고, 포데스타는 가짜 링크를 클릭해 자격 증명을 입력했다. 수만 건의 이메일이 유출되어 WikiLeaks에 공개되었다.
국가 수준의 공격자가 피싱을 선택한 이유는, 대상이 아무리 중요한 인물이라도 이메일 한 통에 속을 수 있기 때문이다.
출처: Secureworks | Mueller Report
어떻게 막을 수 있는데?
사회공학 공격의 본질은 심리 조작이다. 따라서 방어도 기술 + 인간 양면에서 이루어져야 한다.
조직 차원
보안 인식 교육을 "연례 행사"에서 "일상"으로
연 1회 온라인 교육으로는 부족하다. 실제 피싱 시뮬레이션을 정기적으로 실시하고, 최신 공격 사례를 공유하는 것이 효과적이다. 특히 IT 헬프데스크 직원에 대한 교육이 핵심이다. MGM 사건에서 보았듯, 헬프데스크는 가장 빈번한 진입점이다.
검증 절차를 문화로 만들기
금전 이체, 비밀번호 초기화, 권한 변경 등 중요한 요청은 반드시 별도 채널로 본인 확인을 거치도록 해야 한다. "사장님이 급하다고 했다"는 말에 바로 실행하는 것이 아니라, 사장님에게 직접 전화해서 확인하는 문화가 필요하다.
기술적 보완 조치
- 피싱 방지 MFA 도입: FIDO2/WebAuthn 기반 하드웨어 키 사용. 일반 푸시 알림 방식은 MFA 피로 공격에 취약하다.
- 이메일 보안 강화: DMARC, DKIM, SPF 설정으로 이메일 발신자 위조를 차단한다.
- 권한 최소화 원칙: 직원에게 업무에 필요한 최소한의 접근 권한만 부여한다. Coinbase 사건에서 해외 지원 직원이 광범위한 고객 데이터에 접근할 수 있었던 것이 문제였다.
- 내부 위협 모니터링: 비정상적인 데이터 접근 패턴을 탐지하는 시스템을 운영한다.
개인 차원
"잠깐만" 습관 만들기
급한 요청일수록 한 발짝 물러서라. 긴급성을 강조하는 메시지는 사회공학의 가장 흔한 신호다. 30초만 멈추고 생각하면, 대부분의 피싱을 걸러낼 수 있다.
발신자를 항상 독립적으로 확인하기
이메일이나 전화로 온 요청은, 해당 메일에 답장하거나 알려준 번호로 다시 전화하지 말고, 공식 채널을 통해 직접 확인하라. 공격자가 알려준 연락처는 공격자에게 연결된다.
SNS 정보 공개 최소화
공격자는 피싱 이메일을 맞춤 제작하기 위해 SNS를 샅샅이 뒤진다. 출신 학교, 현재 프로젝트, 동료 이름 등의 정보가 스피어피싱의 재료가 된다.
출처 불명의 파일, 링크, USB 경계
모르는 발신자의 첨부파일, 의심스러운 링크, 주차장에서 주운 USB는 절대 열지 마라.
자주 묻는 질문 (FAQ)
Q. 사회공학 공격은 주로 어떤 산업을 노리나요?
모든 산업이 대상이다. 다만 금융(Coinbase), 기술(Twitter, Uber), 엔터테인먼트(MGM/Caesars), 건설/엔지니어링(Arup), 정치(Podesta) 등 금전적 가치가 높거나 사회적 영향력이 큰 조직이 우선 대상이 된다. FBI IC3의 2024년 보고서에 따르면, BEC(비즈니스 이메일 침해)로 인한 누적 피해액만 **63억 달러(약 9.2조 원)**에 달한다(FBI IC3, 2024).
Q. AI 시대에 사회공학 공격은 어떻게 변하고 있나요?
AI는 사회공학의 규모와 품질을 동시에 끌어올리고 있다. 문법 오류 없는 피싱 이메일 대량 생산, 실시간 음성 복제를 이용한 비싱, 딥페이크 영상 통화까지. Arup 사건처럼 실시간 화상회의에서 여러 명의 얼굴을 동시에 사칭하는 수준까지 도달했다.
Q. MFA를 사용하면 안전한 거 아닌가요?
일반 푸시 알림 방식의 MFA는 MFA 피로 공격에 취약하다. Uber 해킹이 이를 증명했다. FIDO2/WebAuthn 기반의 피싱 방지 MFA(하드웨어 보안 키, 패스키)가 현재로서는 가장 효과적인 대안이다.
Q. 개인이 당했을 때 어떻게 해야 하나요?
즉시 비밀번호를 변경하고, 해당 서비스의 보안팀에 신고하라. 금전 피해가 발생했다면 경찰 사이버수사대와 금융기관에 즉시 연락한다. 피싱 이메일은 삭제하지 말고 보관하라. 수사에 필요한 증거가 된다.
참고 자료
- Unit 42 2025 IR Report
- IBM - Cost of a Data Breach Report 2024
- ENISA - Threat Landscape 2025
- CrowdStrike - Global Threat Report 2024
- FBI IC3 - Internet Crime Report 2024
- DeepStrike Security - Social Engineering Statistics 2025
- Sprinto Security - Social Engineering Statistics
- Okta Security Advisory - MGM/Caesars
- Uber Newsroom - Security Update 2022
- BleepingComputer - Uber Hack Analysis
- BBC News - Twitter Hack 2020
- US DOJ - Twitter Hack Charges
- Secureworks - Threat Group 4127
- Mueller Report 2019
- MITRE ATT&CK - T1566 Phishing
- MITRE ATT&CK - T1598 Phishing for Information
- MITRE ATT&CK - T1656 Impersonation
- MITRE ATT&CK - T1204 User Execution
- MITRE ATT&CK - T1621 MFA Request Generation
- MITRE ATT&CK - LAPSUS$ (G1004)
- MITRE ATT&CK - APT28 (G0007)
관련 글 더 보기
한국 주요 사이버보안 사건
- 3.20 사이버테러: 32,000대 PC를 파괴한 북한의 공격
- SK텔레콤 2324만명 유심 침해: BPFDoor의 3년간 잠복
- Lazarus 그룹: 북한 해커 조직의 실체
- NotPetya: 100억 달러 피해를 낸 러시아의 사이버 전쟁 무기
관련 MITRE ATT&CK 기법
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.