Human hacking based on social engineering skills has recently emerged as a new, serious threat to information security. The government, public organizations and businesses in Korea have been pouring increasing amounts of resources in recent years in enhancing cyber security. Yet, their multi-layered defensive systems remain vulnerable to the latest type of high-tech assaults. Human hacking refers to a new hacking method which targets psychological vulnerabilities rather than systemic weaknesses. It can be divided into two categories -- human-based and computer-based -- and has been evolving into a converged form of both. Human hacking groups are also becoming increasingly better coordinated, differentiated and specialized to stage more efficient attacks. They usually target large groups whose members do not know each other well. They also target persons who do not well aware of the value of information or who have an exceptional access to information. Human hacking is conducted in four stages; information gathering, relationship developing, exploitation and execution. Mostly, information leaks through malwares such as spyware, key-logger and Trojan-horse, which have been installed on target PCs and smart devices through phishing, pharming, smishing and Qshing. In human hacking, a variety of psychological tactics taking advantage of authority, friendship/trust and intimidation are used to hinder rational judgment of targets. Those who are highly wishful, excessively self-confident and success-oriented are largely susceptible to such tactics. Access paths are diversifying as on-line communication channels are increasing. Attack patterns are also shifting from random attacks on masses to tailored methods targeting specific individuals. To effectively cope with these sophisticated human attacks, a set of comprehensive response systems are required. From a technological point of view, multi-level authentication, encoding, blacklisting, additional security features and use of dedicated devices can help delay time it takes to break into systems, and minimize the damage. In the aspect of process, human hacking could be blocked with a slight modification of processes. Damage could be lessened by improving the processes of authenticating, information request and software download from open markets. In terms of law and policies, increasing penalties on perpetrators including those indirectly involved in such crimes, introducing cash rewards for reporting violations, and modifying financial service procedures etc. are also recommendable. Lastly, from a social and educational point of view, it is important to raise people’s awareness of the importance of information protection, and encourage them to actively participate in security training and try to learn security skills by themselves. Also support from the government and corporations should be increased to foster a better training environment and heighten information safety awareness among citizens. In order to reduce the damage from human hacking, it is important to understand how it works or whom it targets, not to mention incessant and consistent efforts to develop and practice effective solutions.

공공기관 및 기업들은 보안 시스템 강화를 위한 투자를 확대하고 있다. 하지만 이중 삼중으로 구축된 보안 시스템이 사회공학적 휴먼 해킹(이하 휴먼 해킹) 시도로 무력화되는 사례가 점차 늘어나고 있어 심각한 보안 위협이 되고 있다. 휴먼 해킹이란 시스템이 아닌 사람의 심리적 취약점을 공략하는 신종 해킹 기법이다. 인간 기반의 휴먼 해킹 및 컴퓨터 기반의 휴먼 해킹으로 구분할 수 있으나 점차 인간 기반과 컴퓨터 기반을 융합한 형태로 진화하고 있다. 범죄 조직은 조직화, 분업화, 전문화된 체계를 갖추고 휴먼 해킹을 전략적으로 범죄에 활용하고 있다. 휴먼 해킹은 주로 직원 수가 많거나 직원들 간 서로 잘 알지 못하는 조직, 정보의 가치를 모르거나 예외적인 접근 권한을 가진 개인을 표적으로 삼는다. 휴먼 해킹은 정보수집 단계, 관계형성 단계, 공격형성 단계, 실행 단계를 거쳐 이루어진다. 공격자는 피싱, 파밍, 스미싱, 큐싱 등의 해킹 기법을 통해 악성코드(스파이웨어, 키로거, 트로이목마 등)를 공격대상의 PC나 스마트 폰에 설치하여 정보를 유출한다. 공격자는 이렇게 확보한 정보와 권위, 친분/신뢰, 협박 등의 심리 전술을 이용하여 공격대상의 이성적 판단을 방해한다. 주로 기대 심리 또는 자기 확신이 지나치게 강하거나 성공 지향적인 사람이 휴먼 해킹 심리전의 표적이 된다. 최근 휴먼 해킹은 온라인 소통 채널의 증가로 인해 이전보다 더욱 다양한 접근 경로를 확보하고 공격대상에 접근하고 있으며 불특정 다수보다는 특정 개인이나 단체를 표적으로 맞춤형 공격을 수행하고 있다. 이렇게 지능화된 휴먼 해킹에 대응하기 위해서는 종합적인 대응체계가 마련되어야 한다. 기술적 측면에서는 다단계 인증, 암호화, 블랙리스트, 보안기능 개선, 전용 보안 솔루션 등의 적용을 통해 휴먼 해킹을 예방할 수 있다. 프로세스 측면에서 휴먼 해킹의 접근 경로를 파악하고 인증 프로세스, 정보 열람 프로세스, 오픈 마켓을 통한 앱 다운로드 프로세스, 감사(Audit) 프로세스 등을 개선하여 휴먼 해킹과 관련된 취약점을 보완해야 한다. 법, 제도 측면에서는 신고 포상제, 지연 인출 제도, 대포폰, 대포통장 대여자에 대한 처벌 대상 확대 등을 통해 범죄 조직의 활동 반경을 축소해야 한다. 마지막으로 교육 측면에서는 정부와 기업의 참여를 통해 휴먼 해킹에 대한 상시 연구 환경을 마련하고 이를 바탕으로 휴먼 해킹 대응 지침이 마련되어야 한다. 또한, 조직 및 개인 대상으로 지속적인 정보보안 교육을 추진하고 정보보안 인식 향상을 위한 대국민 홍보, 캠페인을 추진해야 한다. 심층 인터뷰 결과는 다음과 같다. 첫째, 휴먼 해킹에 대한 사회적 인식과 관련된 질문에 3명의 보안 담당자 모두 휴먼 해킹에 대한 사회적 인식이 부족하다고 답변하였다. 기업들의 장기적 실적 부진, 보안 위협을 줄이기 위한 정부 주도의 대책 마련 미흡, 보안 사고에 대한 원인 파악 미흡 등을 주된 원인으로 지목하였다. 둘째, 보안 사고의 원인 중에 휴먼 해킹이 차지하는 비중이 어느 정도이며 그 영향력은 어떠한지에 대해 물어보았다. 3명 모두 전체 해킹 과정에서 휴먼 해킹이 차지하는 비중이 상당이 커지고 있으며 휴먼 해킹 시도가 증가할 경우 피해 규모는 더욱 커질 것으로 예상하고 있었다. 셋째, 휴먼 해킹 위협에 대한 소속 기관의 대응 체계와 관련하여 빈약한 교육 체계, 기술 측면에 편중된 대응 방식, 정보보호관리체계(ISMS) 내 휴먼 해킹에 대한 대응 지침 미흡 등을 주요 개선사항으로 지적하였다. 넷째, 휴먼 해킹이 증가하는 원인으로 스마트 폰의 보급과 Social Networking 문화의 확산, 휴먼 해킹 분야 전문가 부족, 휴먼 해킹 피해자들의 소극적 대응 등을 지적하였다. 마지막으로 휴먼 해킹 피해를 줄이기 위한 대책으로 휴먼 해킹 피해 사례 수집 및 분석을 통한 지침 마련과 휴먼 해킹에 대한 지속적 홍보, 교육 추진, 휴먼 해킹 위험성에 대한 지속적인 이슈화와 기업 중심의 적극적인 참여를 통한 장기적인 보안 대책 마련 등을 해결 방안으로 제시하였다.