사회공학적 해킹

ㅇ 사회공학적 해킹이란?

    - 사회공학이란  사회행동의  과학적 연구로 얻어진 기초적인  식견(識見)이나 법칙을 응용하여 사회생활에서

       당면하는 여러 가지의  실천상의  특수문제를 해결하고 또 그 때문에 필요한 기술적  제 문제에 관하여 연구하는

       학문
 
    -  사회공학적 해킹은 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법을 통칭
 
    -  불확실성이 내포되어 있는 보안 대비책은 취약성을 지닐 수 밖에 없음을 고려할 때,   많은 변수를 가지고 있는

       인간이라는  요소는 시스템체인 내에서 취약점으로 작용할 수  있음

    -  전화사기, 이메일 피싱,  우편물 등을 통한 개인정보 도난 등 특별한 기술 없이도 손쉽게 기본 정보를 얻어내는

        비기술적 침입 방법

        .  1990년대  가장 유명한 해커였던 케빈 미트닉은 사회공학적 해킹법을  가장  잘 사용하기로 유명하였음

           그는  시스템을 이루는 노드들 중 인간을 공략하는 사회공학적 기법이  가장 효과적인 공격법이었다고 회고

           실제로 그가 저지른 해킹의  상당수가 전화통화로  시작되었으며,  모토로라 최신 핸드폰의  핵심  소스코드를

           전화 몇  통화만으로 탈취해  낸  것은 매우 유명한 일화

    -  인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시키고  원하는 정보를 탈취하는 기술
 
    -  공격대상에게 신뢰를 줄 수 있는 가장(假裝)을 통해 공격자가 접근시, 보유한 정보의 가치에 대한 무지,

       보안의식 부재 등은  사회공학적 공격에 대한  취약점으로 작용

ㅇ 사례

    -  미국  2008년  대통령선거에서 공화당의  부통령 후보로 지명된 세라 페일린의 개인  이메일 계정이 해킹당하는

       사고가 발생
 
        . 전문 해커에 의한  기술적  해킹이  아니라 평범한 대학생에 의한  것

        . 비밀번호를 잊어버릴 경우를 대비해  미리 설정해놓는 비밀번호 힌트라는 메일 시스템 서비스를 악용

        . 위키피디아,  구글 등의  검색을 통해  얻은 정보를 바탕으로 비밀번호 힌트의 답을 유추하여 메일 계정  해킹

          에  성공


    -  미  국무성에서 계약직으로 일하던 두 명의  직원이 당시 대통령 경선 후보이던 힐러리 클린턴,  존  매케인, 

       버락 오바마의  여권 기록을 무단 조회한 것이 밝혀져 해고됨


    -  2008년  10월  니콜라 사르코지 프랑스 대통령 가족의  계좌 해킹

        .  경찰 금융범죄 전담  수사반은  사건  직후  조사에  들어가 대규모 해킹단  적발

        .  수사  과정에서 계좌 관리의  허술함과  함께 은행직원 150여  명이  대통령  계좌를 재미삼아 조회해  본

           사실이 드러나면서 은행측의  내부자 보안관리 문제 이슈화


ㅇ 사회공학 기법의 종류

    - 인간기반 : 공격 대상에게 직접적인 접근이나 전화 등을 통해 접근

    - 컴퓨터기반 : 공격 대상에게 악성코드, 컴퓨터 프로그램, 웹 사이트 등의 수단을 이용하여 접근 (Phishing 등)

    - 악성코드 유포를 위해 적용되는 사회공학기법은 주로 컴퓨터 시스템을 감염시키기 위한 목적으로 수행하며

      감염된 컴퓨터 네트워크 시스템(봇넷)을 이용한 대규모 스팸발송, DDos(Distributed Denial of Services) 공격

      등이 가능


ㅇ 사회공학적 해킹의 흐름

    -  보안기술의  발달에 힘입어 시스템의  보안성은 상당부분 강화되고 있는 반면, 상대적으로 사이버스페이스의

       연결 노드 중 인간이 가장 보안에 취약한 요소로 나타나면서,  시스템을 타겟으로하는 공격방식은  줄어들고

      사용자를 공격하는 사회공학적 해킹이  다양한  방법으로 시도됨

    -  사회공학적  해킹의  적용  통로  다양화

         .  이메일, 인터넷 메신저, 모바일 등  사람에게로의 접근이 용이해지면서 사회공학적 기법의 적용범위 확대

         .  가트너(Gartner)의 연구에 따르면 2006년 전체 인터넷 사기의 12%가 인터넷 메신저를 통해 이루질 정도로

            채널이 다각화
        
         .  특히 인터넷 메신저의  경우 아래와 같은 특성으로 인해  말웨어(malware)  공격자들에게 매우 매력적인

            통로가 됨

             1) 이미 등록된 친구의  메세지는 별 의심  없이 받아들이는 특성

             2) 컴퓨터 간의  통신이기  때문에 가장 많이 사용되는 전통적인  게이트웨이 기반 방식의 바이러스 스캐닝

                 을 통과할 수 있다는 특성

     -  모바일 기기의 발전과 대용량화로 인한 보안 위험 증가

          . 기존  PC에서 수행되던 다양한 기능들이 모바일로 이식되고 있으며, 모바일  기기 안에 중요  정보들을 저장

            할 수 있게됨에 따라 새로운 해킹통로가  될 위험성이 존재

     -  웨일링(Whaling)의  증가 : 인터넷을 통한 개인정보의 수집이 용이해지면서 특히 유명인사를 타겟으로 하는

        해킹인  웨일링 증가

        .  2007년에 처음 웨일링(Whaling)이라는 용어를 사용하기 시작
   
        .  기관이나 단체, 기업의 대표를 타겟으로 하는 공격
   
        .  지적 재산권이나 기업의 중요  정보를 노리는 매우 고도화되고 특화된 유형의 사회공학적  공격

        .   MessageLabs의  보고서에 따르면, 1차 주요 웨일링 공격은 2007년  6월에 발견

             512개의  이메일에 spying trojan이 심어져있는 MS-Word파일 첨부되어 각국의  많은 단체 대표들에게
   
             제목라인에 각 타겟의  이름과  직함이 적혀있는 이메일이 보내짐

             비슷한 방식으로 2007년 9월,  11월에도 이러한 시도가 발견되었으며 3차례 모두 같은  범죄조직에 의한 

             것으로 추정

         .  웨일링 공격이 성공할 경우,  기업이나 단체에 대한 핵심 정보가 대량으로 유출 될  가능성이 있으므로

            세심한 주의가 필요 
 
         .  대규모로 발송되는 스팸메일과는 달리  웨일링의 경우,  특정인물을 타겟으로 작은 규모의 이메일만이

            발송되므로 자동 필터링이 불가능하며 피해 규모를 산출하기도 어려움 

         .  개인정보의 범람, 특히 사회적으로 잘  알려진 인사들에 대한 무분별한 정보공개는 웨일링의 성공률을

            높이는데 크게 기여

         .  웨일링의  성공을 위해 가장 중요한 두가지 요소는 풍부한 사전정보와 완벽한 위장술 즉, 타겟에 대한

             배경조사를  통해 얼마나 실제와 유사하게 위장할 수  있는가 하는 것

         .  소셜 네트워크 사이트(Social  Network Site)등 다양한 경로를 통해 수집한 정보는 타겟에  대한  구체적인

             공격방안을 설계하는  바탕이  됨

ㅇ 사회공학적  해킹에  대한  인식현황  설문

    -  보안기술에의  투자는 그 기술을 이용하는 사람에 대한  적절한 교육 없이는무용지물이 될 수 있음에도 불구

       하고, 이에 대한  대비가 아직 충분히 이루어지지 않고 있으며 기술적인  보안문제에만 집중되는 경향이 있음을

       시사

    -  정보보호 보안정책 추진에 가장 큰  장벽으로 작용하는 요소로  50%의 응답자들이 조직의 인식수준이

        문제라고 대답.  자원의 가용성(availability of resources) 48%, 충분한 예산(adequate budget) 33% 보다 높은 수치

    -  직원의 보안훈련시 사회공학적  시도에 대한 테스트 빈도는 낮은 수준

    -  주기적인 보안훈련으로, 인터넷 테스팅  85%,  인프라 스트럭쳐 테스팅 73%,  원격 접속  49%,  보안지역으로의

       물리적 접근 테스트  46%를 실시한다고 응답한 반면  사회공학적  시도에 대한 테스트는  19%에 불과


ㅇ 대응방안


    -  전사차원의  정기적인  교육  및  모의훈련  등을  통해  사용자에게 올바른 행동지침  제시  및  인식제고

    -  주요  정보를  관리하는  모니터링  시스템을  구축하는  등, 시스템 차원의  대비책을  적절히  병행하여

       사용자의  실수를  최소화

    -  개인정보의  범람, 사회공학적  기법의  고도화, 접근채널의  확대  등으로 인해  발생할  수  있는  새로운  유형

       의  사회공학적  해킹에  대한  연구



    1.   교육과  훈련(education and training)을  통해  사용자에게  올바른 행동지침 제시  및  인식제고

          o  전사차원의 정기적인 교육 및  모의훈련 실시

               -  인간의 심리를 악용하는 사회공학적  해킹에  적절히 대응하기 위해서는 철저한 보안의식 수립이

                   가장 핵심적 요소

          o  각 기업이나 단체들이 사회공학적  해킹에  대비한 교육에 사용할 수 있도록 정부차원에서 가이드라인을

               마련하여 배포

                ※  ENISA는 최근 사회공학적 해킹에 대응하는 백서를 발간하였으며, 네트워크 보안에서 인간의

                     취약점이 차지하는 영향력에 대한 연구과제들이 전  세계적으로 활발히 진행중


     2.    시스템  차원의  대비책을  적절히  병행하여  사용자의 수를  최소화 하는  체계  구축  필요


          o   교육․훈련에 대한 보완통제 방안으로 사용자의 부주의를 예방할 수  있는 시스템 및 기술개발 병행

               ※  KISA는 웹사이트 보안수준 확인시스템(Check  Web) 구축을 통해 악성코드에 대응할 수 있는 방안을

                     모색하고 있음

          o  주요  정보에 대한 모니터링 시스템 구축

             -  적법한 보안단계를 거치지 않고는 외부유출이 불가능 하도록 시스템 구축


    3.    새로운  유형의  사회공학적  해킹에  대해  연구하고  신속하게  대처할 수  있는  정부차원의  체계  구축

          o  정보기기의 종류와 활용범위 증가,  새로운  IT서비스의 증가로 인해 발생할 수 있는 사회공학적  공격 통로

              를  예측하고 사용자들에게 미리 위험성을 경고

              ※ 스마트폰의 발전, 소셜 네트워트 사이트의 확산 등

          o   유포되고 있는 사회공학적  해킹의  현황을  신속하게 보도하여 피해 확산을 방지할 수 있는 시스템 마련

              -  개인정보 수집이 용이해지고 사회공학적  공격법이 정밀해짐에 따라 사용자가 사회공학적 해킹을

                 판별해내는 것이 어려워지므로,  공격유형 정보를 신속히 제공하여 확산 방지