소셜 엔지니어링(피싱 및 사기성 사이트)

소셜 엔지니어링은 방문자를 속여 기밀 정보를 유출하거나 소프트웨어를 다운로드하게 하는 등 위험한 작업을 실행하게 하는 콘텐츠입니다. Google에서 웹사이트에 소셜 엔지니어링 콘텐츠가 포함된 것을 감지하면 Chrome 브라우저에서 사이트를 보는 방문자에게 '사기성 사이트 주의' 경고를 표시할 수 있습니다. 보안 문제 보고서에서 사이트에 소셜 엔지니어링 공격이 포함된 것으로 의심되는 페이지가 있는지 확인할 수 있습니다.

개요

소셜 엔지니어링이란 무엇인가요?

소셜 엔지니어링 공격이란 웹 사용자를 속여서 온라인에서 위험한 작업을 수행하도록 하는 경우를 말합니다.

소셜 엔지니어링 공격에는 몇 가지 유형이 있습니다.

  • 피싱: 피싱 사이트는 사용자를 속여서 개인 정보(예: 비밀번호, 전화번호, 신용카드 정보)를 노출하도록 유도할 수 있습니다. 이 경우 콘텐츠가 브라우저나 운영체제, 은행, 정부 등 신뢰할 수 있는 프로그램/사이트처럼 디자인되었거나 작동합니다.
  • 사기성 콘텐츠: 이러한 콘텐츠는 사용자를 속여 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드와 같은 신뢰할 수 있는 프로그램/사이트에서만 실행할 만한 작업을 하도록 유도합니다. 기기 소프트웨어가 오래되었다는 허위 주장이 담긴 광고를 통해 사용자가 원치 않는 소프트웨어를 설치하도록 하는 콘텐츠도 여기에 해당됩니다.
  • 불충분한 라벨이 지정된 타사 서비스: 타사 서비스란 누군가 다른 주체를 대신하여 운영하는 사이트 또는 서비스를 말합니다. 귀하(타사)가 다른 당사자(자사)와의 관계를 명확하게 밝히지 않고 다른 당사자를 대신하여 사이트를 운영하는 경우 소셜 엔지니어링으로 신고될 수 있습니다. 예를 들어, 자사에서 자선 웹사이트를 운영하고 있으며 기부금 관리 웹사이트(타사)를 사용하여 사이트에서 모금된 기부금을 처리하고 있다면, 기부금 관리 사이트는 자신이 자선 사이트를 대신하여 운영되는 타사 플랫폼이라는 사실을 명확히 밝혀야 하며, 그렇지 않으면 소셜 엔지니어링으로 간주될 수 있습니다.

Google 세이프 브라우징은 사용자가 소셜 엔지니어링에 지속적으로 관여하는 페이지를 방문하기 전에 경고를 표시하여 웹 사용자를 보호합니다.

다음 경우 웹페이지가 소셜 엔지니어링으로 간주됩니다.

  • 내 기기 또는 브라우저 등 신뢰할 수 있는 대상이나 웹사이트 자체인 것처럼 작동하거나 디자인되어 있음
  • 사용자를 속여 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드 등 신뢰할 수 있는 프로그램/사이트에서만 실행할 만한 작업을 하도록 유도함

삽입된 콘텐츠에 소셜 엔지니어링이 표시되는 경우

또한 소셜 엔지니어링은 무해한 웹사이트에 삽입된 콘텐츠에 표시될 수 있으며 주로 광고에 표시됩니다. 호스트 페이지에 삽입된 소셜 엔지니어링 콘텐츠가 있으면 정책 위반에 해당합니다.

아래 예처럼 때로는 삽입된 소셜 엔지니어링 콘텐츠가 호스트 페이지에서 표시될 수 있습니다. 그 외에도 호스트 사이트가 광고를 직접 표시하지 않으나 팝업, 팝언더 또는 기타 유형의 리디렉션을 통해 사용자를 소셜 엔지니어링 페이지로 이동시키기도 합니다. 어떤 경우든 이렇게 삽입된 소셜 엔지니어링 콘텐츠 유형이 있는 경우 호스트 페이지는 정책을 위반한 것으로 간주됩니다.

하지만 저는 소셜 엔지니어링에 관여하지 않아요

이미지나 기타 타사 구성요소, 광고 등 페이지에 삽입된 리소스를 통해 사기성 소셜 엔지니어링 콘텐츠가 포함되었을 수 있습니다. 이러한 사기성 콘텐츠가 사이트 방문자를 속여서 원치 않는 소프트웨어를 다운로드하도록 유도할 수 있습니다.

또한 해커가 무해한 사이트를 제어하여 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포하도록 이용할 수 있습니다. 해커는 주로 방문자를 속여서 신용카드 번호와 같은 개인 정보를 빼내기 위해 사이트의 콘텐츠를 변경하거나 사이트에 페이지를 추가할 수 있습니다. Search Console의 보안 문제 보고서를 확인하여 사이트가 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포하는 사이트로 분류되었는지 확인할 수 있습니다.

사이트가 해킹되었다고 생각하는 경우 해킹된 사이트에 대한 도움말을 참조하시기 바랍니다.

소셜 엔지니어링 위반 사례

사기성 콘텐츠 사례

다음은 소셜 엔지니어링 페이지의 예입니다.

원치 않는 애플리케이션을 설치하도록 사용자를 유도하는 소셜 엔지니어링 팝업
사용자를 속여 멀웨어를 설치하도록 유도하는 사기성 팝업
브라우저 업데이트를 요구하는 소셜 엔지니어링 시도의 예
사용자에게 브라우저 업데이트를 요청하는 사기성 팝업
가짜 Google 로그인 페이지. 사기성 URL에 주의합니다. 이러한 피싱 사이트는 신용카드 정보와 같은 다른 개인 정보를 제공하도록 사용자를 속일 수 있습니다. 피싱 사이트는 실제 사이트와 똑같아 보일 수 있으므로 주소 표시줄을 보고 URL이 올바른지 확인하고 웹사이트가 https://로 시작하는지도 확인해야 합니다.

사기성 광고 사례

다음은 삽입된 광고를 이용한 사기성 콘텐츠의 예입니다. 이러한 광고는 광고가 아닌 페이지 인터페이스의 일부인 것처럼 표시됩니다.

페이지에서 미디어 플레이어 업데이트를 요구하는 사기성 광고
사용자 소프트웨어가 오래되었다고 주장하는 사기성 팝업
필수 구성요소의 설치 프로그램이라고 주장하는 사기성 광고
FLV 개발자가 요청한다고 주장하는 사기성 팝업
호스트 페이지의 재생 컨트롤러 버튼인 것처럼 주장하는 사기성 광고
페이지 작업 버튼 같은 광고 매스커레이드

문제 해결

사이트가 소셜 엔지니어링 콘텐츠(사기성 콘텐츠)를 포함하는 것으로 신고되면 페이지가 위의 예에서 설명한 관행을 보이지 않는지 확인한 다음 아래 단계를 따르세요.

  1. Search Console에서 확인합니다.
    • Search Console에서 본인이 사이트의 소유자임을 확인하고 의심스러운 소유자가 새로 추가되었는지 알아봅니다.
    • 보안 문제 보고서에서 사이트가 사기성 콘텐츠(소셜 엔지니어링 보고용 용어)를 포함한다고 명시되어 있는지 확인합니다. 보고서에 명시된 일부 신고된 샘플 URL을 방문합니다. 이때, 내 웹사이트를 게재하는 네트워크의 외부에 있는 컴퓨터를 사용해야 합니다. 똑똑한 해커는 방문자가 웹사이트 소유자로 판단되면 공격을 중지할 수 있기 때문입니다.
  2. 사기성 콘텐츠를 삭제합니다. 사이트에 사기성 콘텐츠가 포함된 페이지가 하나도 없어야 합니다. 세이프 브라우징이 웹페이지를 잘못 분류했다고 생각되면 여기에서 신고하세요.
  3. 사이트에 포함된 타사 리소스를 확인합니다. 사이트의 페이지에 게재된 모든 광고나 이미지, 기타 삽입된 타사 리소스에 사기성 콘텐츠가 없는지 확인합니다.
    • 광고 네트워크에서 사이트 페이지에 광고를 순환 게재할 수 있으므로, 소셜 엔지니어링 광고가 표시되는지 확인하려면 페이지를 여러 번 새로고침해야 할 수 있습니다.
    • 일부 광고는 휴대기기와 데스크톱 컴퓨터에서 다르게 표시될 수 있습니다. URL 검사 도구를 사용하면 휴대기기와 데스크톱 보기 모두에서 사이트를 볼 수 있습니다.
    • 사이트에서 사용하는 타사 서비스(예: 결제 서비스)의 경우 아래에 설명된 타사 서비스 가이드라인을 따릅니다.
  4. 검토를 요청합니다. 사이트에서 소셜 엔지니어링 콘텐츠를 모두 삭제한 뒤 보안 문제 보고서에서 보안 검토를 요청할 수 있습니다. 검토가 완료되기까지는 며칠 정도 걸립니다.

타사 서비스 가이드라인

사이트에 타사 서비스가 포함된 경우, 소셜 엔지니어링으로 분류되지 않으려면 다음과 같은 조건을 충족해야 합니다.

  • 타사 사이트는 모든 페이지에 타사 브랜드를 명시하여 사용자에게 사이트 운영자가 누구인지 알려야 합니다. 예를 들어 페이지 상단에 타사 브랜드를 명시할 수 있습니다.
  • 자사 브랜드가 포함된 모든 페이지에서 자사와 타사의 관계를 명시하고 자세한 정보를 확인할 수 있는 링크를 제공해야 합니다. 예를 들어, 다음과 같이 명시할 수 있습니다.

이 서비스는 Example.charities.com을 대신하여 Example.com에서 호스팅합니다. 추가 정보

사용자가 페이지를 하나만 보더라도 자신이 어떤 사이트에 있는지, 자사와 타사의 관계는 어떠한지 항상 알 수 있어야 합니다.

권장사항: 사이트와 관련된 기본적인 지원 서비스를 제공하는 데 타사가 필요한 경우, 해당 서비스 분야의 업계 표준을 준수하는 타사를 이용하는 것이 바람직합니다. 예를 들어, 사이트에서 사용자 인증을 관리해야 한다면 인증을 직접 관리하는 대신 OAuth를 이용해야 합니다.