사람과 물리, 기술 너머의 공격면: 피싱·딥페이크·내부자·물리보안·공급망까지 실전 방어 가이드

방화벽을 아무리 높이 쌓아도, 그 비밀번호가 모니터 옆 포스트잇에 적혀 있으면 소용이 없습니다. 침해 사고를 끝까지 추적해 보면, 마지막 한 칸은 거의 언제나 '사람'입니다.

웹 보안을 이야기하면 대부분 포트, 인증서, 암호화, 로그 같은 기술적인 것들만 떠올립니다. 하지만 실제 사고의 시작점은 방화벽 바깥이 아니라 방화벽 안쪽, 즉 키보드 앞에 앉은 사람과 서버가 놓인 물리적 공간에서 더 자주 열립니다. 이 글은 기술 문서에서 늘 뒷전으로 밀리지만 침해의 가장 흔한 입구인 네 가지 — 소셜 엔지니어링(피싱), 내부자 위협, 물리적 접근, 공급망·서드파티 — 를 1인·소규모 팀이 오늘 바로 실행할 수 있는 형태로 정리합니다. 직관에 기대지 않고 절차와 구조로 막는 방법, 그리고 한국에서 피해를 당했을 때 어디에 신고하는지까지 담았습니다.

공격면은 케이블이 끝나는 곳에서 끝나지 않는다

기술적 방어는 분명 필수입니다. 그러나 한 가지 불편한 사실을 먼저 인정하고 시작해야 합니다. 공격자는 가장 단단한 벽을 정면으로 부수지 않습니다. 벽이 단단할수록, 그들은 벽을 우회할 가장 무른 지점을 찾습니다.

그 무른 지점이 바로 사람과 물리입니다. 다음 표가 그 이유를 한눈에 보여 줍니다.

핵심 명제는 단순합니다. 방어는 가장 약한 고리만큼만 강합니다. 기술은 단단한데 사람과 물리가 허술하면, 전체 방어선의 강도는 그 허술한 쪽에 맞춰집니다. 게다가 뒤에서 다룰 소셜 엔지니어링은 AI 때문에 질적으로 강해졌습니다. 그러니 이 영역은 점점 덜 중요해지는 것이 아니라 오히려 더 중요해지고 있습니다.

이제 네 영역을 차례로 짚겠습니다.

1. 소셜 엔지니어링: 시스템이 아니라 사람을 공략한다

소셜 엔지니어링(social engineering)은 기술이 아니라 사람을 속여 보안을 무너뜨리는 기법입니다. 가장 오래됐고, 동시에 가장 효과적입니다.

이유는 허무할 만큼 간단합니다. 잘 설정된 시스템을 기술로 뚫는 일은 어렵고 오래 걸리지만, 그 시스템을 쓰는 사람을 속여 비밀번호를 받아내거나 첨부파일을 열게 하는 일은 훨씬 쉽기 때문입니다. 공격자에게 사람은 시스템으로 들어가는 우회로입니다.

소셜 엔지니어링이 통하는 건 사람의 정상적인 성향을 역이용하기 때문입니다. 신뢰하려는 마음, 권위에 따르려는 마음, 남을 도우려는 마음, 급할 때 절차를 건너뛰려는 마음, 두려움과 호기심. 사회생활에 꼭 필요한 이 성향들이 그대로 공격의 지렛대가 됩니다.

참고. 소셜 엔지니어링은 막연한 사기가 아니라 공격자들이 체계적으로 분류해 쓰는 전술입니다. 어떤 수법이 실제로 쓰이는지는 MITRE ATT&CK의 Phishing 같은 기법 항목에 정리돼 있습니다. 한국어로 된 최신 피싱·스미싱 사례와 대응 자료, 그리고 무엇보다 침해를 당했을 때의 신고 창구는 KISA 보호나라(boho.or.kr)에 있습니다. 이 글에서 반복해 등장할 곳이니 기억해 두십시오.

AI가 무너뜨린 '어색함을 알아채라'는 방어

과거 피싱 메일에는 단서가 있었습니다. 어색한 문법, 부자연스러운 번역 투, 이상한 발신 주소. 그래서 오랫동안 보안 교육의 핵심은 "이상한 점을 알아채라"였습니다.

AI는 이 직관적 방어를 통째로 무너뜨렸습니다. 이제 공격자는 문법적으로 완벽하고, 표적 개인의 직책·거래처·최근 상황까지 맞춘 미끼를 대량으로 찍어냅니다. 한발 더 나아가 딥페이크(deepfake, AI로 합성한 가짜 음성·영상)로 신뢰하는 사람의 목소리와 얼굴까지 위조합니다.

2026년 현재 이것은 가설이 아닙니다. 영상통화에 등장한 '임원'의 얼굴과 목소리가 합성된 것이어서 거액이 송금된 사건이 이미 여러 건 보도됐고, 국내에서도 가족·지인의 목소리를 흉내 낸 보이스피싱 시도가 늘고 있습니다. 방어자 입장에서 가장 곤란한 변화는 바로 이것입니다. "이메일 주소가 이상하다", "말투가 어색하다" 같은 직관적 단서가 통째로 사라졌다는 점입니다.

그래서 결론은 분명합니다. 방어의 무게중심을 직관에서 절차로 옮겨야 합니다.

피싱의 여러 이름, 그러나 본질은 하나

소셜 엔지니어링의 가장 흔한 형태가 피싱입니다. 신뢰할 만한 출처로 위장해 정보를 빼내거나 악성 행동을 유도하는 것이죠. 채널과 표적에 따라 이름이 갈립니다.

용어를 외울 필요는 없습니다. 공통점은 단 하나, 신뢰를 가장해 사람의 판단을 흐린다는 것이고, 아래 방어책은 이 모든 변종에 똑같이 적용됩니다.

방어: 신호가 아니라 절차로, 그리고 문화로

직관이 무너졌으니, 검증 가능한 절차와 건강한 문화가 그 자리를 대신해야 합니다.

대역 외 확인(out-of-band verification). 민감한 요청 — 송금, 권한 변경, 자격 증명 제공, 중요 정보 전달 — 은 반드시 요청이 들어온 경로와 다른 경로로 재확인합니다. 메일로 온 지시는 메일로 답하지 말고 평소 알던 번호로 전화해 확인하고, 음성으로 온 지시는 사전에 약속한 별도 수단으로 검증합니다. 딥페이크 시대에 이 원칙이 특히 중요한 이유는, 목소리와 얼굴을 더 이상 신뢰의 근거로 쓸 수 없기 때문입니다.

절차의 신성함. "급하니까 절차는 생략하자"는 요청 그 자체를 위험 신호로 취급합니다. 진짜 급한 상황이라도 검증은 지켜져야 하며, 절차를 건너뛰라는 압박이야말로 공격의 전형적 특징입니다.

권위에 대한 건강한 의심. 상사·임원 사칭이 워낙 흔하므로, 직위가 높은 사람의 비정상적 요청일수록 더 신중히 검증하는 문화를 만듭니다. "높은 분 지시니까 묻지도 따지지도 않는다"는 분위기가 오히려 가장 위험합니다.

비난하지 않는 문화. 이것이 결정적입니다. 사람은 실수하고, 정교한 공격 앞에서는 누구나 속을 수 있습니다. 만약 속은 직원이 처벌과 책망을 두려워한다면, 그는 실수를 숨길 것이고, 침해는 늦게 발견되어 피해가 눈덩이처럼 불어납니다. 반대로 "속은 것 같으면 부끄러워 말고 즉시 알려라"는 문화가 있으면 침해를 빠르게 탐지하고 대응할 수 있습니다. 실수를 처벌하지 말고, 빠른 보고를 보상하십시오.

피싱에 강한 다단계 인증(MFA). MFA(다단계 인증, 비밀번호 외에 두 번째 인증 요소를 추가로 요구하는 것)는 자격 증명이 유출돼도 두 번째 요소로 침입을 막아 주는 강력한 기술적 보완책입니다. 단, 모든 MFA가 피싱에 강한 건 아닙니다. 문자(SMS) 인증번호는 가짜 로그인 페이지에 그대로 입력당하면 우회됩니다. 가능하면 하드웨어 보안 키나 패스키(passkey, FIDO2 기반 표준)처럼 인증이 정상 도메인에 묶여 가짜 사이트에서는 아예 동작하지 않는 방식을 우선하십시오.

당했다고 의심될 때 — 첫 단계는 책망이 아니라 차단. "수상한 링크를 눌렀다", "자격 증명을 입력한 것 같다"는 보고가 들어오면 순서는 이렇습니다.

1. 해당 계정의 비밀번호를 즉시 변경한다. MFA가 켜져 있다면 활성 세션도 강제 종료한다.
2. 같은 미끼가 다른 직원에게도 갔는지 확인한다(공격은 보통 한 명만 노리지 않습니다).
3. 한국에서 피싱·해킹·악성코드 피해를 신고하고 도움받는 공식 창구는 KISA 보호나라(boho.or.kr)와 국번 없이 118 상담센터입니다.

작은 회사일수록 "이런 걸 신고해도 되나" 망설이다 골든타임을 놓칩니다. 망설이지 마십시오. 사고 대응에서 가장 먼저 확인해야 할 것은 "범인이 누구냐"가 아니라 "직원이 솔직하게 다 말했느냐"입니다. 숨긴 한 줄 때문에 대응이 며칠씩 늦어지는 경우가 흔합니다.

2. 내부자 위협: 이미 안에 있는 사람을 어떻게 막나

내부자 위협은 가장 막기 어려운 위협 중 하나입니다. 근본 이유는 한 문장으로 정리됩니다. 그들은 이미 안에 있습니다.

닫은 포트, 강한 인증, Zero Trust 게이트웨이 — 이 모든 외부 방어는 바깥의 위협을 거르기 위한 관문입니다. 그런데 내부자는 이 관문을 정당하게 통과한 사람입니다. 합법적인 접근 권한을 쥐고 있으니, 외부 방어가 그들에게는 작동하지 않습니다.

내부자는 두 종류입니다.

여기서 꼭 기억할 사실 하나. 대부분의 내부자 사고는 악의가 아니라 부주의에서 비롯됩니다. 그래서 방어의 초점도 '감시'보다 '구조'에 둬야 합니다.

방어: 기술적 차단이 아니라 구조적 통제

이미 안에 있는 사람을 막는 게 아니라, 그들이 할 수 있는 일과 그 파급을 좁히는 것이 핵심입니다.

• 최소 권한 원칙. 각자 자기 업무에 꼭 필요한 최소한의 권한만 갖습니다. 그러면 악의적 내부자가 입힐 수 있는 피해 범위가 그 권한으로 제한되고, 부주의한 실수의 파급도 줄어듭니다. 누구도 필요 이상의 접근을 갖지 않는 것이 전부입니다.
• 직무 분리. 중요한 작업은 한 사람이 혼자 완결할 수 없게 쪼갭니다. 그러면 한 사람의 악의나 실수만으로는 중대한 피해가 일어나지 않고, 공모나 동시 실수가 필요해져 위험이 크게 떨어집니다.
• 모든 행위의 기록과 감사. "누가 무엇을 했는지"가 기록·감사된다는 사실 자체가 악의적 행동을 억제합니다. 내부자도 자기 행위가 남는다는 걸 알면 함부로 움직이기 어렵습니다.
• 권한의 주기적 검토와 적시 회수. 사람의 역할은 변합니다. 부서를 옮기고, 프로젝트가 끝나고, 퇴사합니다. 그런데 권한은 그 변화를 따라가지 못하고 그대로 남는 경우가 많습니다. 더 이상 필요 없는 권한, 떠난 사람의 살아 있는 권한이 곧 위험입니다. 정기적으로 검토하고, 역할 변경 — 특히 퇴사 — 시 즉시 회수하십시오. SSH 키를 퇴사 즉시 폐기해야 하는 것도 같은 맥락입니다.

퇴사 체크리스트 한 장. 소규모 팀에서 가장 흔히 살아남는 '유령 접근'은 거창한 게 아닙니다. 아래 목록을 한 장으로 두고 사람이 나갈 때 하나씩 지우십시오.

• 공용으로 돌려 쓰던 관리자 비밀번호 (→ 사람이 나갈 때마다 비밀번호 자체를 교체)
• 개인 노트북·기기에 남은 SSH 키
• 깃 저장소(GitHub 등) 협력자(collaborator) 권한
• 클라우드 콘솔 계정·액세스 키
• 호스팅·도메인·결제 대시보드 로그인

특히 여러 명이 같은 비밀번호를 공유하고 있었다면, 한 명이 나갈 때마다 그 비밀번호를 반드시 바꿔야 합니다. 현장에서 침해의 시작점으로 가장 자주 발견되는 것이 바로 이 "퇴사자가 알던, 안 바뀐 공용 비밀번호"입니다. 근본 해법은 비밀번호 관리자(Bitwarden, 1Password)로 계정을 1인 1계정화해 공용 비밀번호 자체를 없애는 것입니다.

3. 물리적 보안: 손이 닿으면 끝이다

네트워크를 거치지 않는 또 하나의 공격면이 물리적 접근입니다. 보안 업계의 오랜 격언이 그 위력을 잘 보여 줍니다.

"공격자가 당신의 기기에 물리적으로 손을 댔다면, 그것은 더 이상 당신의 기기가 아니다."

다소 과장이지만, 핵심은 정확합니다. 물리적 접근은 대부분의 논리적 방어를 우회합니다. 물리적 공격면은 다양합니다. 잠기지 않은 서버실, 분실·도난당한 노트북과 휴대기기, 제대로 폐기되지 않은 저장 장치, 무단으로 꽂힌 외부 장치, 어깨너머로 화면·비밀번호를 훔쳐보는 행위까지.

물리와 사회 공학이 결합할 때 — 미행 진입

특히 위험한 건 물리적 침입이 소셜 엔지니어링과 결합하는 경우입니다. 공격자는 택배 기사, 시설 관리자, 협력업체 직원으로 위장해 건물에 들어오거나, 직원을 속여 보안문을 통과합니다. 아무리 정교한 디지털 방어를 갖춘 조직도, 친절한 직원 한 명이 모르는 사람을 위해 보안문을 잡아 주는 순간 물리적으로 뚫립니다. 이를 미행 진입(tailgating)이라 하며, 놀랄 만큼 효과적입니다.

방어: 기본적인 물리 통제 — 오늘 당장 확인할 것

물리적 보안은 IT 보안 논의에서 자주 잊히지만, 깊이 방어의 한 겹으로 절대 빼면 안 됩니다.

저장 장치 암호화 — 가장 강력한 단일 조치. 노트북이나 기기를 분실·도난당해도, 디스크가 암호화(disk encryption, 디스크 전체를 암호로 잠가 기기 없이는 내용을 못 읽게 하는 것)되어 있으면 그 안의 데이터는 읽히지 않습니다. 다행히 별도 비용도, 어려운 설정도 필요 없습니다. 운영체제에 이미 내장돼 있으니 켜져 있는지 오늘 바로 확인하면 됩니다.

# macOS — FileVault가 켜져 있는지 확인 (기대값: FileVault is On.)
fdesetup status

# Linux — 암호화된 블록 장치가 crypto_LUKS로 잡히는지 확인
lsblk -f

# Windows — 각 볼륨의 보호 상태 확인 (기대값: Protection On)
manage-bde -status

물리적 접근 통제. 서버·중요 장비가 있는 공간의 접근을 통제합니다. 시건 장치, 출입 통제, 그리고 누가 출입했는지에 대한 기록. 중요한 것은 물리적으로도 보호되어야 합니다.

분실 대비. 기기 분실은 '일어날 수 있는 일'로 가정하십시오(침해를 가정하라). 원격으로 잠그거나 데이터를 지울 수단, 그리고 분실을 빠르게 인지·대응하는 절차를 갖춥니다.

안전한 폐기. 더 이상 쓰지 않는 저장 장치를 그냥 버리면 안의 데이터가 복원될 수 있습니다. 데이터를 복원 불가능하게 만든 뒤 폐기하십시오.

미행 진입 인식. 직원들이 미행 진입의 위험을 알고 모르는 사람의 출입에 경각심을 갖도록 교육합니다. 이 교육은 앞의 소셜 엔지니어링 교육과 함께 묶어 진행하는 것이 좋습니다.

4. 공급망과 서드파티: 신뢰의 연쇄, 곧 위험의 연쇄

마지막은 코드 차원을 넘어선 더 넓은 공급망 위험입니다.

현대의 어떤 조직도 홀로 존재하지 않습니다. 소프트웨어 공급자, 서비스 제공자, 협력업체, 위탁업체 등 수많은 외부와 연결되어 그들을 신뢰합니다. 그런데 이 신뢰의 연쇄는 곧 위험의 연쇄이기도 합니다. 당신이 신뢰하는 누군가가 뚫리면, 그 침해가 당신에게로 흘러옵니다.

이것은 새로운 패턴이 아닙니다. APT(지능형 지속 위협) 공격자는 단단한 주 표적을 직접 치는 대신 약한 협력사를 먼저 노립니다. 공급망 공격은 널리 쓰이는 라이브러리를 오염시켜 그것을 쓰는 모든 곳을 한꺼번에 뚫습니다. 공통 원리는 하나입니다. 공격자는 당신을 직접 치는 대신, 당신이 신뢰하는 약한 고리를 통해 우회합니다.

서드파티 위험은 여러 형태로 나타납니다.

• 당신이 쓰는 소프트웨어·라이브러리의 취약점이나 오염
• 당신에게 서비스를 제공하는 업체의 침해를 통한 간접 피해
• 당신의 데이터를 다루는 위탁업체의 부주의나 침해
• 당신의 시스템에 접근 권한을 가진 협력업체를 통한 침입

특히 마지막이 위험합니다. 협력업체·위탁업체에 부여한 접근 권한은, 그들이 뚫렸을 때 당신으로 들어오는 통로가 됩니다. 그들의 보안 수준이 곧 당신의 보안 수준의 일부가 되는 셈입니다.

방어: 신뢰하되 검증하고, 최소화하라

이 모든 것의 핵심은 하나입니다. 신뢰가 맹목적이어서는 안 됩니다. "신뢰하되 검증하라"는 원칙은 서드파티 관계에 그대로 적용됩니다.

한 장으로 보는 실행 체크리스트

위 내용을 그대로 복사해 쓸 수 있는 형태로 압축했습니다.

• 소셜 엔지니어링을 절차·문화로 — 대역 외 확인 규칙 수립, "긴급=위험 신호" 인식, 비난하지 않고 빠른 보고를 장려
• 피싱에 강한 MFA 적용 — 가능하면 SMS 대신 하드웨어 키·패스키(FIDO2)
• 사람에게 최소 권한 적용 — 누구도 필요 이상의 접근을 갖지 않게
• 권한 주기 검토 + 적시 회수 — 퇴사·역할 변경 시 즉시, 공용 비밀번호는 사람이 나갈 때마다 교체
• 저장 장치 암호화 확인 — BitLocker/FileVault/LUKS가 켜졌는지 오늘 점검
• 물리 접근 통제·안전한 폐기·미행 진입 인식 — 출입 기록, 분실 대비, 복원 불가능 폐기
• 서드파티 신뢰 목록화·최소화·검증 — 내 보안은 내가 신뢰하는 것들만큼 강하다
• 사고 신고 창구를 미리 공유 — 보호나라(boho.or.kr), 국번 없이 118

자주 묻는 질문 (FAQ)

Q. 직원 교육을 아무리 해도 정교한 피싱은 못 알아챕니다. 무엇을 우선해야 하나요? AI 때문에 "어색함을 알아채라"는 직관적 교육의 효용이 크게 떨어진 것이 사실입니다. 그래서 무게중심을 직관에서 절차로 옮겨야 합니다. 핵심은 두 가지입니다. 첫째, 송금·권한 변경·자격 증명 제공 같은 민감한 요청은 들어온 경로와 다른 경로로 반드시 재확인하는 '대역 외 확인'을 규칙으로 만드십시오. 둘째, 피싱에 강한 MFA(하드웨어 키·패스키)를 적용하면 직원이 속아 자격 증명을 넘겨도 두 번째 요소가 침입을 막아 줍니다. 사람의 판단에만 의존하지 않는 구조를 만드는 것이 핵심입니다.

Q. 딥페이크 음성·영상통화는 어떻게 막나요? 목소리와 얼굴을 더 이상 신뢰의 근거로 삼지 않는 것이 출발점입니다. 영상통화 속 임원이라도, 그 자리에서 거액 송금이나 긴급 권한 변경을 지시한다면 사전에 약속한 별도 채널로 반드시 검증하십시오. "급하니 절차를 건너뛰라"는 압박 자체를 위험 신호로 취급하는 문화가 가장 강력한 방어입니다. 진짜 급한 일이라도 검증 절차는 지켜져야 하며, 합성 음성·영상은 이 '대역 외 확인' 한 단계를 통과하지 못합니다.

Q. SMS로 받는 인증번호도 MFA인데, 그걸로 충분하지 않나요? SMS 인증번호도 비밀번호보다는 낫지만, 피싱에는 약합니다. 가짜 로그인 페이지가 사용자에게 인증번호까지 입력하게 만들면 그대로 우회되기 때문입니다. 가능하면 하드웨어 보안 키나 패스키(FIDO2 기반)를 쓰십시오. 이 방식은 인증이 정상 도메인에 묶여 있어 가짜 사이트에서는 아예 동작하지 않으므로, 사용자가 속더라도 자격 증명이 넘어가지 않습니다.

Q. 퇴사자 때문에 사고가 가장 많다는데, 가장 먼저 무엇을 확인해야 하나요? 가장 흔한 '유령 접근'은 거창한 게 아니라 공용 관리자 비밀번호, 개인 기기에 남은 SSH 키, 깃 저장소 협력자 권한, 클라우드 콘솔 계정, 호스팅·도메인·결제 대시보드 로그인입니다. 사람이 나갈 때 이 목록을 한 장으로 두고 하나씩 지우십시오. 특히 여러 명이 같은 비밀번호를 공유하고 있었다면 한 명이 나갈 때마다 그 비밀번호 자체를 교체해야 합니다. 근본적으로는 비밀번호 관리자로 1인 1계정화해 공용 비밀번호를 없애는 것이 답입니다.

Q. 노트북 분실에 대비해 할 수 있는 가장 효과적인 한 가지는 무엇인가요? 저장 장치 암호화입니다. 디스크가 암호화되어 있으면 기기를 분실·도난당해도 안의 데이터는 읽히지 않습니다. 별도 비용이나 어려운 설정 없이 운영체제에 내장돼 있으니, 켜져 있는지 확인만 하면 됩니다. Windows는 BitLocker(manage-bde -status), macOS는 FileVault(fdesetup status), Linux는 LUKS(lsblk -f), 스마트폰은 잠금 설정만 해도 사실상 켜집니다. 여기에 원격 잠금·삭제 수단과 분실 시 빠른 인지·대응 절차를 더하면 물리적 분실의 피해를 크게 줄일 수 있습니다.

원문 출처 및 더 알아보기

이 글은 (주)뎁팀 웹 보안팀이 운영하는 보안 가이드 사이트 SGAEPS(시그앱스)의 가이드를 바탕으로 재구성했습니다. 더 깊은 원문은 SGAEPS 가이드 원문에서 확인하실 수 있습니다.

웹 보안 점검·긴급 대응이 필요하시면 DevTeam의 웹 긴급지원 또는 개발/보안 문의를 이용해 주세요.