소셜 엔지니어링(피싱 및 사기성 사이트)

소셜 엔지니어링은 방문자를 속여 기밀 정보를 유출하거나 소프트웨어를 다운로드하게 하는 등 위험한 작업을 수행하게 하는 콘텐츠입니다. Google에서 웹사이트에 소셜 엔지니어링 콘텐츠가 포함되어 있음을 감지하는 경우 Chrome 브라우저에서 사이트를 보는 방문자에게 '사기성 사이트 주의' 경고를 표시할 수 있습니다. 보안 문제 보고서에서 사이트에 소셜 엔지니어링 공격이 포함된 것으로 의심되는 페이지가 있는지 확인할 수 있습니다.

보안 문제 보고서 열기

개요

소셜 엔지니어링이란 무엇인가요?

소셜 엔지니어링 공격이란 웹 사용자를 속여서 온라인에서 위험한 작업을 수행하도록 하는 경우를 말합니다.

소셜 엔지니어링 공격에는 몇 가지 유형이 있습니다.

  • 피싱: 피싱 사이트는 사용자를 속여서 개인정보(예: 비밀번호, 전화번호, 신용카드 정보)를 노출하도록 할 수 있습니다. 이 경우 콘텐츠가 브라우저나 운영체제, 은행, 정부 등 신뢰할 수 있는 프로그램/사이트처럼 디자인되었거나 작동합니다.
  • 사기성 콘텐츠: 콘텐츠가 사용자를 속여서 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드 등 신뢰할 수 있는 프로그램/사이트를 통해서만 할 만한 작업을 하도록 유도합니다. 여기에는 거짓 광고를 통해 기기 소프트웨어가 오래되었다고 주장하여 사용자가 원치 않는 소프트웨어를 설치하도록 하는 콘텐츠도 포함됩니다.
  • 불충분한 라벨이 지정된 타사 서비스: 타사 서비스란 다른 주체를 대신하여 사이트 또는 서비스를 운영하는 사람을 말합니다. 귀하(타사)가 다른 당사자(자사)와의 관계를 명확하게 밝히지 않고 다른 당사자를 대신하여 사이트를 운영하는 경우 소셜 엔지니어링으로 신고될 수 있습니다. 에를 들어 내(자사)가 자선 웹사이트를 운영하고 있으며 사이트의 기부금 수집을 처리하는 기부금 관리 웹사이트(타사)를 사용하고 있는 경우, 기부금 사이트에서는 자선 사이트를 대신해 활동하는 타사 플랫폼이라는 사실을 명확히 밝혀야 하며, 그렇지 않으면 소셜 엔지니어링으로 간주될 수 있습니다.

Google 세이프 브라우징은 사용자가 소셜 엔지니어링에 지속적으로 관여하는 페이지를 방문하기 전에 경고를 표시하여 웹 사용자를 보호합니다.

다음 경우 웹페이지가 소셜 엔지니어링으로 간주됩니다.

  • 내 기기 또는 브라우저 등 신뢰할 수 있는 프로그램/사이트나 웹사이트 자체인 것처럼 작동하거나 외형적으로 보이도록 함
  • 사용자를 속여서 비밀번호 공유, 기술 지원팀에 전화, 소프트웨어 다운로드 등 신뢰할 수 있는 프로그램/사이트를 통해서만 할 만한 작업을 하도록 유도

삽입된 콘텐츠에 소셜 엔지니어링 콘텐츠가 표시되는 경우

또한 소셜 엔지니어링은 무해한 웹사이트에 삽입된 콘텐츠에 표시될 수 있으며 주로 광고에 표시됩니다. 호스트 페이지에 소셜 엔지니어링 콘텐츠가 삽입되면 정책 위반에 해당합니다.

아래 예처럼 때로는 삽입된 소셜 엔지니어링 콘텐츠가 호스트 페이지에서 표시될 수 있습니다. 그외에는 호스트 사이트가 광고를 직접 표시하지 않으나 팝업, 팝언더 또는 기타 유형의 리디렉션을 통해 사용자를 소셜 엔지니어링 페이지로 이동시키기도 합니다. 어떤 경우든 이렇게 삽입된 소셜 엔지니어링 콘텐츠 유형이 있는 경우 호스트 페이지는 정책을 위반한 것으로 간주됩니다.

하지만 저는 소셜 엔지니어링에 관여하지 않아요

이미지나 기타 제3자 구성요소, 광고 등 페이지에 삽입된 리소스를 통해 사기성 소셜 엔지니어링 콘텐츠가 포함되었을 수 있습니다. 이러한 사기성 콘텐츠가 사이트 방문자를 속여서 원치 않는 소프트웨어를 다운로드하도록 유도할 수 있습니다. 

또한 해커가 무해한 사이트를 제어하고 이용하여 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포할 수 있습니다. 해커는 주로 방문자를 속여서 신용카드 번호와 같은 개인정보를 빼내기 위해 사이트의 콘텐츠를 변경하거나 사이트에 페이지를 추가할 수 있습니다. Search Console에서 보안 문제 보고서를 보면 사이트가 소셜 엔지니어링 콘텐츠를 호스팅하거나 배포하는 사이트로 분류되었는지 확인할 수 있습니다.

사이트가 해킹된 것으로 생각되는 경우 해킹된 사이트에 대한 도움말을 참조하시기 바랍니다.

소셜 엔지니어링 위반 사례

사기성 콘텐츠 사례

다음은 소셜 엔지니어링 페이지의 예입니다.

Social engineering popup that tries to make the user install an unwanted application.
사용자를 속여 멀웨어를 설치하도록 하는 사기성 팝업
Example of social engineering attempt claiming a browser update is required
사용자에게 브라우저를 업데이트하라고 주장하는 사기성 팝업
가짜 Google 로그인 페이지입니다. 사기성 URL에 유의하세요. 이러한 피싱 사이트는 사용자를 속여 신용카드 정보와 같은 다른 개인정보를 제공하게 하기도 합니다. 피싱 사이트는 실제 사이트와 똑같아 보일 수 있으므로 주소표시줄을 보고 URL이 올바른지 확인하고 웹사이트가 https://로 시작하는지도 확인해야 합니다.

사기성 광고 사례

다음은 삽입된 광고를 이용한 사기성 콘텐츠의 예입니다. 이 광고는 광고가 아닌 페이지 인터페이스의 일부인 것처럼 표시됩니다.

Deceptive ad claiming to be a media player update on the page.
사용자 소프트웨어가 오래되었다고 주장하는 사기성 팝업
Deceptive ad claiming to be an installer for a required component.
출처가 FLV 개발자라고 주장하는 사기성 팝업
Deceptive ads claiming to be playback controller buttons on the host page.
페이지 작업 버튼을 가장하는 광고

문제해결

사이트가 소셜 엔지니어링 콘텐츠(사기성 콘텐츠)를 포함하는 것으로 신고되면 페이지가 위의 예에서 설명한 관행을 보이지 않는지 확인한 다음 아래 단계를 따르세요.

  1. Search Console에서 확인합니다
    • Search Console에서 본인이 사이트의 소유자임을 확인하고 의심스러운 소유자가 새로 추가되었는지 알아봅니다.
    • 보안 문제 보고서에서 사이트가 사기성 콘텐츠(소셜 엔지니어링 보고용 용어)를 포함한다고 명시되어 있는지 확인합니다. 보고서에 등록된 일부 신고된 샘플 URL을 방문합니다. 이때 내 웹사이트를 게재하는 네트워크 외부의 컴퓨터를 사용해야 합니다. 똑똑한 해커는 방문자가 사이트 웹마스터로 판단되는 경우 공격을 중지할 수 있기 때문입니다.
  2. 사기성 콘텐츠를 삭제합니다. 사이트에 사기성 콘텐츠가 포함된 페이지가 하나도 없어야 합니다. 세이프 브라우징이 웹페이지를 잘못 분류했다고 생각되면 여기에서 신고하세요.
  3. 사이트에 포함된 타사 리소스를 확인합니다. 사이트의 페이지에 게재된 모든 광고나 이미지, 기타 삽입된 타사 리소스에 사기성 콘텐츠가 없는지 확인합니다.
    • 광고 네트워크에서 사이트의 페이지에 광고를 로테이션해 표시할 수 있으므로, 소셜 엔지니어링 광고가 표시되는지 확인하려면 페이지를 여러 번 새로고침해야 할 수 있습니다.
    • 일부 광고는 휴대기기와 데스크톱 컴퓨터에서 다르게 표시될 수 있습니다. URL 검사 도구를 사용하면 휴대기기와 데스크톱 보기 모두에서 사이트를 볼 수 있습니다.
    • 결제 서비스 등 사이트에서 사용하는 타사 서비스의 경우 아래에 설명된 타사 서비스 가이드라인을 따릅니다.
  4. 검토를 요청합니다. 사이트에서 소셜 엔지니어링 콘텐츠를 모두 삭제한 뒤 보안 문제 보고서에서 보안 검토를 요청할 수 있습니다. 검토가 완료되기까지는 며칠 정도 걸립니다.

타사 서비스 가이드라인

사이트에 타사 서비스가 포함된 경우, 소셜 엔지니어링으로 분류되지 않으려면 다음과 같은 조건을 충족해야 합니다.

  • 타사 사이트는 모든 페이지에 타사 브랜드를 명시하여 사용자에게 사이트 운영자가 누구인지 알려야 합니다. 예를 들어 페이지 상단에 타사 브랜드를 명시할 수 있습니다.
  • 자사 브랜드가 포함된 모든 페이지에서 자사와 타사의 관계를 명시하고 자세한 정보를 확인할 수 있는 링크를 제공해야 합니다.  예를 들어 다음과 같이 명시할 수 있습니다.

      이 서비스는 Example.charities.com을 대신하여 Example.com에서 호스팅합니다. 자세히 알아보기

사용자가 페이지를 하나만 보더라도 자신이 어떤 사이트에 있는지, 자사의 타사의 관계는 어떠한지 항상 알 수 있어야 합니다.

권장사항: 사이트와 관련된 기본적인 지원 서비스를 제공하는 데 타사가 필요한 경우, 업계 표준을 준수하는 타사를 이용하는 것이 바람직합니다. 예를 들어 사이트에서 사용자 인증을 관리해야 한다면 인증을 직접 관리하는 대신 OAuth를 이용해야 합니다.
도움이 되었나요?
어떻게 하면 개선할 수 있을까요?