ㅇ 사회공학적 해킹이란?
- 사회공학이란 사회행동의 과학적 연구로 얻어진 기초적인 식견(識見)이나 법칙을 응용하여 사회생활에서
당면하는 여러 가지의 실천상의 특수문제를 해결하고 또 그 때문에 필요한 기술적 제 문제에 관하여 연구하는
학문
- 사회공학적 해킹은 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법을 통칭
- 불확실성이 내포되어 있는 보안 대비책은 취약성을 지닐 수 밖에 없음을 고려할 때, 많은 변수를 가지고 있는
인간이라는 요소는 시스템체인 내에서 취약점으로 작용할 수 있음
- 전화사기, 이메일 피싱, 우편물 등을 통한 개인정보 도난 등 특별한 기술 없이도 손쉽게 기본 정보를 얻어내는
비기술적 침입 방법
. 1990년대 가장 유명한 해커였던 케빈 미트닉은 사회공학적 해킹법을 가장 잘 사용하기로 유명하였음
그는 시스템을 이루는 노드들 중 인간을 공략하는 사회공학적 기법이 가장 효과적인 공격법이었다고 회고
실제로 그가 저지른 해킹의 상당수가 전화통화로 시작되었으며, 모토로라 최신 핸드폰의 핵심 소스코드를
전화 몇 통화만으로 탈취해 낸 것은 매우 유명한 일화
- 인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시키고 원하는 정보를 탈취하는 기술
- 공격대상에게 신뢰를 줄 수 있는 가장(假裝)을 통해 공격자가 접근시, 보유한 정보의 가치에 대한 무지,
보안의식 부재 등은 사회공학적 공격에 대한 취약점으로 작용
ㅇ 사례
- 미국 2008년 대통령선거에서 공화당의 부통령 후보로 지명된 세라 페일린의 개인 이메일 계정이 해킹당하는
사고가 발생
. 전문 해커에 의한 기술적 해킹이 아니라 평범한 대학생에 의한 것
. 비밀번호를 잊어버릴 경우를 대비해 미리 설정해놓는 비밀번호 힌트라는 메일 시스템 서비스를 악용
. 위키피디아, 구글 등의 검색을 통해 얻은 정보를 바탕으로 비밀번호 힌트의 답을 유추하여 메일 계정 해킹
에 성공
- 미 국무성에서 계약직으로 일하던 두 명의 직원이 당시 대통령 경선 후보이던 힐러리 클린턴, 존 매케인,
버락 오바마의 여권 기록을 무단 조회한 것이 밝혀져 해고됨
- 2008년 10월 니콜라 사르코지 프랑스 대통령 가족의 계좌 해킹
. 경찰 금융범죄 전담 수사반은 사건 직후 조사에 들어가 대규모 해킹단 적발
. 수사 과정에서 계좌 관리의 허술함과 함께 은행직원 150여 명이 대통령 계좌를 재미삼아 조회해 본
사실이 드러나면서 은행측의 내부자 보안관리 문제 이슈화
ㅇ 사회공학 기법의 종류
- 인간기반 : 공격 대상에게 직접적인 접근이나 전화 등을 통해 접근
- 컴퓨터기반 : 공격 대상에게 악성코드, 컴퓨터 프로그램, 웹 사이트 등의 수단을 이용하여 접근 (Phishing 등)
- 악성코드 유포를 위해 적용되는 사회공학기법은 주로 컴퓨터 시스템을 감염시키기 위한 목적으로 수행하며
감염된 컴퓨터 네트워크 시스템(봇넷)을 이용한 대규모 스팸발송, DDos(Distributed Denial of Services) 공격
등이 가능
ㅇ 사회공학적 해킹의 흐름
- 보안기술의 발달에 힘입어 시스템의 보안성은 상당부분 강화되고 있는 반면, 상대적으로 사이버스페이스의
연결 노드 중 인간이 가장 보안에 취약한 요소로 나타나면서, 시스템을 타겟으로하는 공격방식은 줄어들고
사용자를 공격하는 사회공학적 해킹이 다양한 방법으로 시도됨
- 사회공학적 해킹의 적용 통로 다양화
. 이메일, 인터넷 메신저, 모바일 등 사람에게로의 접근이 용이해지면서 사회공학적 기법의 적용범위 확대
. 가트너(Gartner)의 연구에 따르면 2006년 전체 인터넷 사기의 12%가 인터넷 메신저를 통해 이루질 정도로
채널이 다각화
. 특히 인터넷 메신저의 경우 아래와 같은 특성으로 인해 말웨어(malware) 공격자들에게 매우 매력적인
통로가 됨
1) 이미 등록된 친구의 메세지는 별 의심 없이 받아들이는 특성
2) 컴퓨터 간의 통신이기 때문에 가장 많이 사용되는 전통적인 게이트웨이 기반 방식의 바이러스 스캐닝
을 통과할 수 있다는 특성
- 모바일 기기의 발전과 대용량화로 인한 보안 위험 증가
. 기존 PC에서 수행되던 다양한 기능들이 모바일로 이식되고 있으며, 모바일 기기 안에 중요 정보들을 저장
할 수 있게됨에 따라 새로운 해킹통로가 될 위험성이 존재
- 웨일링(Whaling)의 증가 : 인터넷을 통한 개인정보의 수집이 용이해지면서 특히 유명인사를 타겟으로 하는
해킹인 웨일링 증가
. 2007년에 처음 웨일링(Whaling)이라는 용어를 사용하기 시작
. 기관이나 단체, 기업의 대표를 타겟으로 하는 공격
. 지적 재산권이나 기업의 중요 정보를 노리는 매우 고도화되고 특화된 유형의 사회공학적 공격
. MessageLabs의 보고서에 따르면, 1차 주요 웨일링 공격은 2007년 6월에 발견
512개의 이메일에 spying trojan이 심어져있는 MS-Word파일 첨부되어 각국의 많은 단체 대표들에게
제목라인에 각 타겟의 이름과 직함이 적혀있는 이메일이 보내짐
비슷한 방식으로 2007년 9월, 11월에도 이러한 시도가 발견되었으며 3차례 모두 같은 범죄조직에 의한
것으로 추정
. 웨일링 공격이 성공할 경우, 기업이나 단체에 대한 핵심 정보가 대량으로 유출 될 가능성이 있으므로
세심한 주의가 필요
. 대규모로 발송되는 스팸메일과는 달리 웨일링의 경우, 특정인물을 타겟으로 작은 규모의 이메일만이
발송되므로 자동 필터링이 불가능하며 피해 규모를 산출하기도 어려움
. 개인정보의 범람, 특히 사회적으로 잘 알려진 인사들에 대한 무분별한 정보공개는 웨일링의 성공률을
높이는데 크게 기여
. 웨일링의 성공을 위해 가장 중요한 두가지 요소는 풍부한 사전정보와 완벽한 위장술 즉, 타겟에 대한
배경조사를 통해 얼마나 실제와 유사하게 위장할 수 있는가 하는 것
. 소셜 네트워크 사이트(Social Network Site)등 다양한 경로를 통해 수집한 정보는 타겟에 대한 구체적인
공격방안을 설계하는 바탕이 됨
ㅇ 사회공학적 해킹에 대한 인식현황 설문
- 보안기술에의 투자는 그 기술을 이용하는 사람에 대한 적절한 교육 없이는무용지물이 될 수 있음에도 불구
하고, 이에 대한 대비가 아직 충분히 이루어지지 않고 있으며 기술적인 보안문제에만 집중되는 경향이 있음을
시사
- 정보보호 보안정책 추진에 가장 큰 장벽으로 작용하는 요소로 50%의 응답자들이 조직의 인식수준이
문제라고 대답. 자원의 가용성(availability of resources) 48%, 충분한 예산(adequate budget) 33% 보다 높은 수치
- 직원의 보안훈련시 사회공학적 시도에 대한 테스트 빈도는 낮은 수준
- 주기적인 보안훈련으로, 인터넷 테스팅 85%, 인프라 스트럭쳐 테스팅 73%, 원격 접속 49%, 보안지역으로의
물리적 접근 테스트 46%를 실시한다고 응답한 반면 사회공학적 시도에 대한 테스트는 19%에 불과
ㅇ 대응방안
- 전사차원의 정기적인 교육 및 모의훈련 등을 통해 사용자에게 올바른 행동지침 제시 및 인식제고
- 주요 정보를 관리하는 모니터링 시스템을 구축하는 등, 시스템 차원의 대비책을 적절히 병행하여
사용자의 실수를 최소화
- 개인정보의 범람, 사회공학적 기법의 고도화, 접근채널의 확대 등으로 인해 발생할 수 있는 새로운 유형
의 사회공학적 해킹에 대한 연구
1. 교육과 훈련(education and training)을 통해 사용자에게 올바른 행동지침 제시 및 인식제고
o 전사차원의 정기적인 교육 및 모의훈련 실시
- 인간의 심리를 악용하는 사회공학적 해킹에 적절히 대응하기 위해서는 철저한 보안의식 수립이
가장 핵심적 요소
o 각 기업이나 단체들이 사회공학적 해킹에 대비한 교육에 사용할 수 있도록 정부차원에서 가이드라인을
마련하여 배포
※ ENISA는 최근 사회공학적 해킹에 대응하는 백서를 발간하였으며, 네트워크 보안에서 인간의
취약점이 차지하는 영향력에 대한 연구과제들이 전 세계적으로 활발히 진행중
2. 시스템 차원의 대비책을 적절히 병행하여 사용자의 수를 최소화 하는 체계 구축 필요
o 교육․훈련에 대한 보완통제 방안으로 사용자의 부주의를 예방할 수 있는 시스템 및 기술개발 병행
※ KISA는 웹사이트 보안수준 확인시스템(Check Web) 구축을 통해 악성코드에 대응할 수 있는 방안을
모색하고 있음
o 주요 정보에 대한 모니터링 시스템 구축
- 적법한 보안단계를 거치지 않고는 외부유출이 불가능 하도록 시스템 구축
3. 새로운 유형의 사회공학적 해킹에 대해 연구하고 신속하게 대처할 수 있는 정부차원의 체계 구축
o 정보기기의 종류와 활용범위 증가, 새로운 IT서비스의 증가로 인해 발생할 수 있는 사회공학적 공격 통로
를 예측하고 사용자들에게 미리 위험성을 경고
※ 스마트폰의 발전, 소셜 네트워트 사이트의 확산 등
o 유포되고 있는 사회공학적 해킹의 현황을 신속하게 보도하여 피해 확산을 방지할 수 있는 시스템 마련
- 개인정보 수집이 용이해지고 사회공학적 공격법이 정밀해짐에 따라 사용자가 사회공학적 해킹을
판별해내는 것이 어려워지므로, 공격유형 정보를 신속히 제공하여 확산 방지
No comments:
Post a Comment