정보화 사회에서 우리는 소중한 정보를 지키기 위해 10자리 암호, 공인인증서, 키보드 보안 프로그램, 백신, 방화벽 등 온갖 방어수단을 사용한다. 그러나 이러한 보안 솔루션을 한 번에 부숴 버릴 수 있는 가장 강력하고 막기 힘든 공격이 있다. 바로 '사회공학 공격'이다.

사회공학 공격은 컴퓨터 기반과 인간 기반 기법으로 나뉜다. 컴퓨터 기반 사회공학 공격은 컴퓨터 공학을 전공한 나조차도 감지하지 못하고 당하겠다 싶은데 컴퓨터 비전공자들더러 이래라저래라 할 자신이 없다. 보안프로그램을 설치하고 보안 업데이트를 하는 정도의 작은 반항밖에는 할 게 없다. 반대로 말하자면 컴퓨터 기반 사회공학 공격은 꽤 똑똑하고 치밀하고 악랄한 인물들이 제법 노력을 기울여야 겨우 정보를 빼낼 수 있다는 이야기다.

반면에 정말 주의해야 하는 인간 기반 사회공학 공격은 사람과 사람 사이의 믿음으로 사람을 속여 보안절차를 무시하는, 말하자면 '비기술적인' 공격 방법이다. 사람의 심리를 겨냥한 해킹이기에 누구든 공격 시도가 가능하다는 말이다.

이렇듯 제아무리 날고 기는 보안 시스템을 설치해봐도 어깨너머로 훔쳐보는 '친한 인물' 혹은 친한 척 다가오는 '아는 사람'을 당해내기엔 역부족일 수 있다. 살면서 한번쯤 내 비밀번호를 친한 이에게 알려 줘 본 일이 있지 않은가? 어쩌면 그것이 '사회공학 공격'이다.

공직자들은 남들보다 사회 전반적인 정보와 그 정보에 접근할 수 있는 권한을 갖는 경우가 많다. 이처럼 사회공학 공격의 직접적인 대상이 될 수 있는 사람이 가장 많은 집단이기에 이에 대한 대응책은 우리의 보안의식을 제고하여 항상 합리적 의심을 하는 습관을 길러야 한다는 것이다. 무엇보다 타인에게 성급하게 정보를 제공하지 않고, 원칙에 따라 업무를 처리하는 것이 우리 공직자들이 할 수 있는 당연하지만 가장 간단한 정보보안의 시작이다.

<이우진 제주시 정보화지원과 주무관>