서론
공개: 이 글에서 표현된 견해와 의견은 전적으로 저자에게 속하며, crypto.news의 편집부의 견해와 의견을 대변하지 않습니다.
해킹 사건의 근본 원인
지난 1년 동안 암호화폐 분야에서 발생한 가장 큰 해킹 사건들은 모두 같은 근본 원인을 가지고 있었습니다: 사람입니다. 최근 몇 달 동안, Ledger는 npm 유지 관리자가 속아 악성 패키지가 퍼진 후 사용자에게 온체인 활동을 중단할 것을 권장했습니다. Workday는 제3자 CRM에서 데이터에 접근한 사회 공학 캠페인을 공개했습니다. 또한 북한과 연계된 운영자들은 암호화폐 팀을 대상으로 악성 소프트웨어를 배포하기 위해 가짜 일자리 유인책을 계속 사용하고 있습니다.
사이버 보안의 인간 요소
수십억 달러가 사이버 보안에 지출되었음에도 불구하고, 기업들은 여전히 단순한 사회 공학 공격에 당하고 있습니다. 팀들은 기술적 안전장치, 감사 및 코드 검토에 많은 돈을 쏟고 있지만, 운영 보안, 장치 위생 및 기본적인 인간 요소를 소홀히 하고 있습니다. Verizon의 2025 데이터 유출 조사 보고서는 사이버 보안의 “인간 요소”(피싱, 도난된 자격 증명 및 일상적인 실수)가 데이터 유출의 약 60%를 차지한다고 밝혔습니다.
사회 공학 공격의 효과
사회 공학은 사람을 대상으로 하여 신뢰, 긴급성, 친숙함 및 일상적인 습관을 이용하기 때문에 효과적입니다.
이러한 유형의 해킹은 코드 감사로 제거할 수 없으며, 자동화된 사이버 보안 도구로 방어하기도 어렵습니다. 심지어 고도로 기술적인 팀도 걸려들 수 있습니다; 인간의 약점은 보편적이고 고집스럽습니다. 그 결과, 사회 공학은 실제 사건을 계속해서 유발하고 있습니다.
프로그래머블 머니의 위험
웹3에서는 시드 구문이나 API 토큰을 손상시키는 것이 은행 금고를 침해하는 것과 동등할 수 있습니다. 암호화폐 거래의 되돌릴 수 없는 특성은 실수를 증폭시킵니다: 자금이 이동하면 거래를 되돌릴 방법이 없는 경우가 많습니다. 장치 보안이나 키 처리에서의 단 한 번의 실수로 자산이 사라질 수 있습니다.
해커의 전략
해커들, 특히 국가 지원 용병들은 사회 공학 공격의 효과를 주목하고 그에 맞게 조정했습니다. 북한의 라자루스 그룹에 귀속된 작전은 사회 공학에 크게 의존합니다: 가짜 일자리 제안, 악성 PDF, 악성 패키지 및 인간의 취약점을 이용한 맞춤형 피싱이 포함됩니다.
운영 보안의 필요성
이러한 해킹은 놀라울 정도로 효과적이며 실행하기 간단하고, 기술 기업들은 이에 대한 방어를 하지 못하는 것 같습니다. 너무 많은 조직이 여전히 보안을 준수의 일환으로 간주하고 있으며, 이는 관대한 규제 기준에 의해 강화됩니다. 기업들은 운영상의 눈에 띄는 위험을 안고 있음에도 불구하고 감사에 통과하고 결점 없는 보고서를 발표합니다.
결론
사회 공학은 사라지지 않겠지만, 공격이 발생할 때 훨씬 덜 효과적이고 훨씬 덜 재앙적이게 만들 수 있습니다. 산업이 이러한 공격에 대해 스스로를 강화함에 따라, 사회 공학은 해커에게 덜 수익성이 높아지고 공격 비율이 감소하여 마침내 이러한 숨가쁜 해킹의 순환이 진정으로 끝나게 될 것입니다.
Jan Philipp Fritsche
