온라인 보안 주의사항: 사회 공학적 해킹

Booking.com 파트너로서 귀사는 고객의 성명, 주소, 신용카드 정보, 전화번호 등의 다양한 정보를 열람할 수 있는 잠재적 권한을 가지고 있습니다.

따라서 귀사의 엑스트라넷 계정은 사이버 범죄 및 사기의 주요 대상이 될 가능성이 크며, 사이버 범죄자는 다양한 수법을 시도하여 계정 내의 정보에 접근하고자 할 수 있습니다.

정보에 접근을 시도하는 방법 중 하나는 ‘사회 공학적 해킹’이라는 기술을 이용하는 것입니다.

사회 공학적 해킹이란?

사회 공학적 해킹이란 사이버 범죄자들이 일반적으로 공개되지 않아야 할 민감한 정보나 데이터에 접근할 목적으로 귀하를 속이거나 현혹하기 위해 사용하는 기술입니다.

Booking.com에 대입해보자면, 개인 식별 정보나 결제 카드 정보 등 민감한 고객 정보를 도용할 목적으로 엑스트라넷 계정에 접근을 시도하는 행위에 이러한 기술들이 사용되는 것입니다.

사회 공학적 해킹 범죄자들이 원하는 것은?

대부분의 경우, 범죄자들은 사회 공학적 해킹 기술을 사용하여 엑스트라넷 관리자페이지 계정에 접근을 시도하며, 이 때 다음과 같은 민감한 정보가 침범될 가능성이 있습니다.

  • 고객 개인 정보 (성명, 전화번호, 주소 등)
  • 고객 결제 정보 (신용카드 번호)
  • 귀사/담당자 정보(연락처, 재무 정보 등)

범죄자들이 사회 공학적 해킹 기술을 이용해 계정에 침범할 경우 엑스트라넷 관리자페이지에 나타나는 모든 정보는 도용 대상이 될 수 있습니다.

사회 공학적 해킹을 인지하는 방법은?

사회 공학적 해킹은 피해자가 인지하기 어렵다는 특징 때문에 범죄자들이 선호하는 기술로 널리 자리잡았습니다. 따라서 사회 공학적 해킹으로 인한 피해를 방지하려면 다음과 같은 경우에 유의하는 것이 중요합니다:

일반적이지 않은 요청 사항이 갑작스럽게 발생하는 경우

  • 범죄자들은 이 기술을 사용하여 일반적인 상황에서는 귀사에서 실행하지 않을 사항을 실행하도록 유도합니다. 신원을 알 수 없는 주체가 전화 또는 이메일을 통해 특정 사안의 처리를 요구한다면, 요청 사유는 무엇이고 주체는 누구인지 반드시 확인하시기 바랍니다.
  • 범죄자들은 본인들을 신뢰할 수 있는 주체로 설명합니다. 만약 “Booking.com” 또는 귀사의 “관리자”를 사칭하여 전화를 걸고 의심스러운 요청을 하는 경우, 반드시 발신자의 번호와 신원을 확인하시기 바랍니다.

긴급한 상황이 연출되는 경우

  • 범죄자들은 본인들의 요청 사항이 빠르게 진행되도록 하기 위해 매우 긴급한 상황을 연출합니다. 요청 사항을 실행하지 않을 경우 “계정이 잠길 수 있다” 또는 “숙소 계정이 곧 삭제된다”는 등의 내용을 언급하여 불안감을 조성할 수 있습니다.

어색하고 서투른 실수를 포착할 경우

  • 범죄자들은 당사의 시스템이나 업무 진행 방식을 자세히 파악하고 있지 않으므로, “정상 참작을 해야 하는 상황”이라거나 “절차가 변경되었다”와 같은 모호한 이유를 대며 의심스러운 요청을 할 수 있습니다.

사회 공학적 해킹의 피해를 방지하는 법

  • 사회 공학적 해킹을 하려는 자로부터 의심스러운 전화나 메시지(SMS, WhatsApp, 이메일)를 받으신 경우, 해당 발신자는 Booking.com 직원, 또는 귀사 숙소의 직원임을 사칭할 수 있습니다. 확실하지 않은 경우, 이들의 요청 사항에 응하기 전에 반드시 report@booking.com으로 먼저 연락해주시기 바랍니다.
  • 누군가 Booking.com 또는 귀사의 직원을 사칭하여 귀사의 로그인 ID와 비밀번호를 요청할 경우 절대 응하지 마십시오. Booking.com은 그 어떠한 경우에도 귀사의 로그인 ID나 비밀번호를 요청하지 않습니다. 또한 이중 인증(2FA) 핀코드를 타인과 절대 공유하지 마십시오.
  • 엑스트라넷 관리자페이지의 계정 정보 변경을 요청하는 메시지나 전화를 받으실 경우(예: 연락처 수정, 사용자 계정 추가, 신규 프로모션 추가 등), 적법하고 타당한 주체로부터의 요청인지 반드시 확인하시기 바랍니다.
    • Booking.com의 연락으로 추정될 경우, 담당 어카운트 매니저나 고객 서비스 팀에 연락하여 확인해주십시오.
    • 발신자가 귀사의 직원이라고 주장할 경우, 해당 직원에게 연락하여 요청 사실을 확인하십시오.

사회 공학적 해킹을 당한 것 같습니다. 어떻게 해야 하나요?

계정 보호를 위해 다음 단계를 따라주시기 바랍니다:

  1. 여기를 클릭하여 Booking.com 엑스트라넷 계정을 재설정하세요.
  2. 엑스트라넷 계정에서 모든 정보를 확인하여 변경 사항이 있는지 확인해주세요(객실 재고, 프로모션, 연락처, 신규 사용자 계정 등).
  3. 신고해주세요! 귀사의 계정에는 민감한 개인 정보가 포함되어 있으므로, 계정이 노출될 상황에 처해있다고 판단될 때에는 Booking.com 측으로 즉시 연락하여 알려주시기 바랍니다. 이메일 주소는 report@booking.com입니다.
  4. 이메일을 보내실 때에는 상황 파악에 도움이 될 만한 유용한 정보를 모두 기재해주시기 바랍니다(통화 발신자 혹은 연락한 사람이 밝힌 신원, 대화 내용)