소셜 엔지니어링(피싱 및 사기성 사이트)
소셜 엔지니어링은 방문자를 속여 기밀 정보를 유출하거나 소프트웨어를 다운로드하게 하는 등 위험한 작업을 수행하게 하는 콘텐츠입니다. Google에서 웹사이트에 소셜 엔지니어링 콘텐츠가 포함된 것을 감지하는 경우 Chrome 브라우저에서 사이트를 보는 방문자에게 '사기성 사이트 주의' 경고를 표시할 수 있습니다. Search Console의 보안 문제 보고서에서 사이트에 소셜 엔지니어링 공격이 포함된 것으로 의심되는 페이지가 있는지 확인할 수 있습니다.
소셜 엔지니어링이란 무엇인가요?
소셜 엔지니어링 공격이란 웹 사용자를 속여서 온라인에서 위험한 작업을 수행하도록 하는 경우를 말합니다.
소셜 엔지니어링 공격에는 몇 가지 유형이 있습니다.
- 피싱: 피싱 사이트는 사용자를 속여서 개인 정보(예: 비밀번호, 전화번호, 주민등록번호)를 노출하도록 유도할 수 있습니다. 피싱 사이트는 콘텐츠가 브라우저나 운영체제, 은행, 정부 등 신뢰할 수 있는 프로그램/사이트처럼 디자인되었거나 작동합니다.
- 사기성 콘텐츠: 이러한 콘텐츠는 사용자를 속여 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드와 같은 신뢰할 수 있는 프로그램/사이트에서만 실행할 만한 작업을 하도록 유도합니다. 기기 소프트웨어가 오래되었다는 허위 주장이 담긴 광고를 통해 사용자가 원치 않는 소프트웨어를 설치하도록 하는 콘텐츠도 여기에 해당됩니다.
- 불충분한 라벨이 지정된 타사 서비스: 타사 서비스란 누군가 다른 주체를 대신하여 운영하는 사이트 또는 서비스를 말합니다. 귀하(타사)가 다른 당사자(자사)와의 관계를 명확하게 밝히지 않고 다른 당사자를 대신하여 사이트를 운영하는 경우 소셜 엔지니어링으로 신고될 수 있습니다. 예를 들어, 자사에서 자선 웹사이트를 운영하고 있으며 기부금 관리 웹사이트(타사)를 사용하여 사이트에서 모금된 기부금을 처리하고 있다면, 기부금 관리 사이트는 해당 자선 사이트를 대신하여 운영되는 타사 플랫폼이라는 사실을 명확히 밝혀야 하며, 그러지 않으면 소셜 엔지니어링으로 간주될 수 있습니다.
Google 세이프 브라우징은 사용자가 소셜 엔지니어링에 지속적으로 관여하는 페이지를 방문하기 전에 경고를 표시하여 웹 사용자를 보호합니다.
다음 경우 웹페이지가 소셜 엔지니어링으로 간주됩니다.
- 내 기기 또는 브라우저 등 신뢰할 수 있는 대상이나 웹사이트 자체인 것처럼 작동하거나 그렇게 보이도록 하는 외형을 갖춤
- 사용자를 속여서 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드 등 신뢰할 수 있는 대상에만 실행하는 작업을 하도록 유도함
삽입된 콘텐츠에 소셜 엔지니어링이 표시되는 경우
소셜 엔지니어링은 무해한 웹사이트에 삽입된 콘텐츠에 표시될 수도 있으며 주로 광고에 표시됩니다. 호스트 페이지에 삽입된 소셜 엔지니어링 콘텐츠가 있으면 정책 위반에 해당합니다.
예처럼 삽입된 소셜 엔지니어링 콘텐츠가 호스트 페이지에서 사용자에게 표시되는 경우도 있습니다. 그 외에도 호스트 사이트에 광고가 직접 표시되지는 않지만 팝업, 팝언더 또는 기타 유형의 리디렉션을 통해 사용자를 소셜 엔지니어링 페이지로 이동시키기도 합니다. 어떤 경우든 이렇게 삽입된 소셜 엔지니어링 콘텐츠 유형이 있는 경우 해당 호스트 페이지는 정책을 위반한 것으로 간주됩니다.
하지만 저는 소셜 엔지니어링에 관여하지 않아요
이미지나 기타 타사 구성요소, 광고 등 페이지에 삽입된 리소스를 통해 사기성 소셜 엔지니어링 콘텐츠가 포함되었을 수 있습니다. 이러한 사기성 콘텐츠가 사이트 방문자를 속여서 원치 않는 소프트웨어를 다운로드하도록 유도할 수 있습니다.
또한 해커가 무해한 사이트를 제어하여 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포하도록 이용할 수 있습니다. 해커는 주로 방문자를 속여서 신용카드 번호와 같은 개인 정보를 빼내기 위해 사이트의 콘텐츠를 변경하거나 사이트에 페이지를 추가할 수 있습니다. Search Console의 보안 문제 보고서를 확인하여 사이트가 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포하는 사이트로 분류되었는지 확인할 수 있습니다.
사이트가 해킹되었다고 생각하는 경우 해킹된 사이트에 관한 도움말을 참고하시기 바랍니다.
소셜 엔지니어링 위반 사례
사기성 콘텐츠 사례
다음은 소셜 엔지니어링 페이지의 예입니다.
사기성 광고 사례
다음은 삽입된 광고를 이용한 사기성 콘텐츠의 예입니다. 이러한 광고는 광고가 아닌 페이지 인터페이스의 일부인 것처럼 표시됩니다.
문제 해결
사이트가 소셜 엔지니어링 콘텐츠(사기성 콘텐츠)를 포함하는 것으로 신고되면 내 페이지가 예시에 포함된 관행에 해당하지 않도록 조치를 취한 다음 아래 단계를 따르세요.
-
Search Console에서 확인합니다.
- Search Console에서 본인이 사이트의 소유자임을 확인하고 의심스러운 소유자가 새로 추가되었는지 알아봅니다.
-
보안 문제 보고서에서 사이트가 사기성 콘텐츠(소셜 엔지니어링 보고용 용어)를 포함하는 것으로 리스트에 등록되어 있는지 확인합니다. 보고서에 신고된 샘플 URL이 있다면 보고서에 표시된 URL 중 일부를 방문하되, 웹사이트를 게재하는 네트워크 외부에 있는 컴퓨터를 사용하세요. 숙련된 해커라면 방문자가 웹사이트 소유자라고 판단하는 경우 공격을 중단할 수 있습니다.
보고서에 샘플 URL이 포함되어 있지 않고 사이트에 소셜 엔지니어링(사기성 콘텐츠)이 포함되지 않는 것을 확신하는 경우 보안 문제 보고서에서 보안 검토를 요청합니다.
- 사기성 콘텐츠를 삭제합니다. 사이트에 사기성 콘텐츠가 포함된 페이지가 하나도 없어야 합니다. 세이프 브라우징이 웹페이지를 잘못 분류했다고 생각되면 신고하세요.
-
사이트에 포함된 타사 리소스를 확인합니다. 사이트의 페이지에 사기성 광고, 이미지 또는 기타 삽입된 서드 파티 리소스가 없는지 확인합니다.
- 광고 네트워크에서 사이트의 페이지에 광고를 로테이션해 표시할 수 있으므로, 소셜 엔지니어링 광고가 표시되기 전에 페이지를 몇 번 새로고침해야 할 수 있습니다.
- 일부 광고는 휴대기기와 데스크톱 컴퓨터에서 다르게 표시되기도 합니다. URL 검사 도구를 사용하면 휴대기기와 데스크톱 보기 모두에서 사이트를 확인할 수 있습니다.
- 사이트에서 사용하는 타사 서비스(예: 결제 서비스)의 경우 타사 서비스 가이드라인을 따릅니다.
- 검토를 요청합니다. 사이트에서 소셜 엔지니어링 콘텐츠를 모두 삭제한 뒤 보안 문제 보고서에서 보안 검토를 요청할 수 있습니다. 검토가 완료되기까지는 며칠 정도 걸립니다.
타사 서비스 가이드라인
사이트에 타사 서비스가 포함된 경우 소셜 엔지니어링으로 분류되지 않으려면 다음 조건을 충족하는 것이 좋습니다.
- 타사 사이트는 모든 페이지에 사용자에게 사이트 운영자를 파악할 수 있도록 타사 브랜드를 명시합니다. 예를 들어 페이지 상단에 타사 브랜드를 명시할 수 있습니다.
- 자사 브랜드가 포함된 모든 페이지에서 자사와 타사의 관계를 명시하고 자세한 정보를 확인할 수 있는 링크를 제공해야 합니다. 예를 들어, 다음과 같이 명시할 수 있습니다.
이 서비스는 Example.charities.com을 대신하여 Example.com에서 호스팅합니다. 추가 정보.
사용자가 페이지를 하나만 보더라도 자신이 어떤 사이트에 있는지, 자사와 타사의 관계는 어떠한지 항상 알 수 있어야 합니다.
Search Console 사용자이며, 사이트에 지속적이거나 해결할 수 없는 보안 문제가 있는 경우 Google에 알려 주세요.