6 건의
Social Engineering 검색결과

more..


[이전 글]

Ⅵ. 사회 공학 기법의 대응 전략

앞서 설명한 바와 같이 악성코드에서도 사용되고 있는 사회 공학 기법의 공격을 어떻게 하면 100% 완벽하게 방어를 할 수는 있는 것일까? 정답은 100% 완벽한 방어는 불가능하다 이다. 사회 공학 기법의 공격으로부터 100% 완벽한 방어가 불가능한 이유는 다름이 아니라 이 공격 기법의 대상이 바로 사람이기 때문이다. 일반적으로 정보 보안에서는 보안에서 가장 취약한 부분을 사람(Human being is the weakest link in a security system)이라고 이야기하고 있다. 이는 완벽에 가까운 물리적 보안(Physical Security) 및 시스템 보안(System Security) 그리고 보안 정책(Security Polices)을 모두 갖추고 있다고 하더라도 사람은 외부에서 걸려온 전화 한 통화로 인해 이 모든 것을 우회할 수 있는 방법을 외부에 제공 해 줄 수도 있기 때문이다. 그러나 100% 완벽하게 사회 공학 기법의 공격을 방어하지 못한다고 하더라도 이러한 기법을 이용한 공격의 성공을 어렵게 할 수 있는 전략들은 존재한다.
일반적으로 사회 공학 기법을 이용한 공격에 대응할 수 있는 전략은 크게 정보 수집(Information Gathering) 단계의 대응, 공격(Exploitation) 단계의 대응 그리고 실행(Execution) 단계의 대응과 같이 총 3가지 부분으로 나누어 볼 수 있다.

1) 정보 수집(Information Gathering) 단계에서의 대응

정보 수집 단계에서의 대응 전략은 공격자가 공격 대상과 관계 형성(Developing Relationship)에 있어서 필수적인 요소인 관련 정보들을 수집하는 것을 사전에 어렵도록 하는 것이다. 그럼으로써 공격자가 사회 공학 공격 흐름의 2단계인 공격 대상과의 관계 형성(Developing Relationship)이 가능해지는 것 자체를 방해하는 것이 주된 목적이다.

- 개인 신상 정보와 관련한 문서 관리
개인 신상 정보가 포함되어 있는 세금, 일반 요금 고지서, 신용 카드 영수증 및 송금 전표 등 개인 신상 정보와 관련된 문서들은 함부로 휴지통에 버리지 말고 문서 파쇄기를 이용해 파쇄하도록 한다. 만약 손으로 찢어 버릴 경우에는 조각난 문서들을 재조합 하지 못하도록 세밀하게 찢어 버리도록 한다. 그리고 개인 신상 정보가 있는 문서들을 함부로 방치하지 말고 다른 사람들의 손이 닿기 어려운 별도의 보관 장소를 이용하여 보관하도록 한다.
특히나 다른 사람이 휴지통에 버린 문서 등을 수거해가는 행위 자체는 법적으로는 문제가 되지 않는다. 그러나 사회 통념적으로 기업간의 이러한 행위는 산업 스파이 행위에 버금가는 도덕적 비난을 받는다.

- 온라인상의 개인 정보 관리
특정 웹 사이트 회원 가입 또는 경품 응모 등 개인 정보를 필요로 하는 곳에 불필요하게 자세한 개인 정보를 남기지 않도록 한다. 그리고 블로그 등과 같이 외부에 알려져 있는 공간에서는 자신의 신상 정보를 지나칠 정도로 자세히 기록하지 않도록 한다.

2) 공격(Exploitation) 단계에서의 대응

공격 단계에서의 대응 전략은 공격자가 자신의 특수한 목적을 수행하기 위한 사항을 요청하더라도 공격 대상이 이를 거부함으로써 실행(Execution)되지 않도록 방해하는 것이 주된 목적이다.

- 사회 공학 기법의 공격 형태 인지
사회 공학 기법이 어떠한 것이며 이러한 공격 방법에는 어떠한 것들이 있는지 사전에 인지하도록 한다. 그리고 안철수연구소와 같이 신뢰할 수 있는 정보 보안 업체에서 제공하는 최신 보안 정보를 통해 새로운 사회 공학 기법의 공격 유형을 파악하여 동일하거나 유사한 공격 형태가 보일 경우에는 단호하게 이를 거절 할 수 있도록 한다.

- 배경 조사(Background Check)
사회 공학 기법의 공격을 받고 있는 것으로 의심될 때에는 공격자로 의심되는 사람의 신분을 그 사람이 밝힌 소속 기관 및 기업 등에 연락하여 정확한 신분을 재확인 하도록 한다. 그리고 요청한 사항이 실제로 해당 기관 및 기업에서 진행하고 있는 사항인지를 확인하도록 한다.

3) 실행(Execution) 단계에서의 대응

실행(Execution) 단계에서의 대응 전략은 공격 대상이 공격자의 특수한 목적을 위한 요청 사항을 이미 수행하였음으로 보안 사고 예방 차원에서의 접근이 아니라 사고 대응(Incident Response) 차원에서 접근하도록 하여야 한다. 이 단계에서의 주된 목적은 유출된 정보를 공격자가 특수한 목적으로 활용하지 못하도록 하여 피해를 최소화는 것이다.

- 신속한 관계 기관 신고
사회 공학 기법의 공격을 받아 공격자가 요구한 민감한 정보가 유출되었다고 판단된다면 신속하게 관계 기관에 신고를 하도록 한다. 그리고 해당 기관의 도움을 이용하여 공격자가 요청한 사항이 어떠한 것인지 파악한 후 수행한 요청 사항으로 인해 피해를 받을 수 있는 부분에 대하여 사전에 조치를 취하도록 한다. 그래서 공격자가 특수한 목적으로 그 정보들을 활용하지 못하도록 하여 피해를 최소화 하도록 한다.

현재 한국에서 "전화 사기" 또는 피싱 등과 같이 사회 공학 기법의 공격 등과 관련하여 신고 및 상담을 할 수 있는 관계 기관들은 다음과 같다.

* 금융보안연구원
금융회사와 관련된 피싱(Phishing) 신고
신고메일: phishing@fsa.or.kr
피싱(Phishing) 신고 전용 전화: 02)6919-9119
웹 사이트: www.fsa.or.kr

* 금융감독원 전자민원창구
은행, 증권, 카드, 보험 관련 분쟁, 금융범죄 등 상담 및 신고
전화: 02)1332
웹 사이트: minwon.fss.or.kr

* 국가정보원 국가사이버안전센터
정부, 공공, 교육 등 주요기관 관련 각종 침해사고 신고 및 상담
전화: 02)3432-0462
웹 사이트: www.ncsc.go.kr

* 경찰청 사이버테러대응센터
주민등록번호 도용, IP추적, Voice 피싱(Phishing), 인터넷상의 아이템사기, 사용자ID도용, 사기, 해킹/바이러스 유포 등
전화: 02)3939-112
웹 사이트: www.ctrc.go.kr

* 한국정보보호진흥원
1) 인터넷 침해사고 대응지원센터
해킹사고, 게임사이트 및 포털 사이트를 사칭하는 피싱(Phishing) 사고, 보안 취약점 등 신고
신고메일: cert@krcert.or.kr, phishing@krcert.or.kr
전화: 국번 없이 118
웹 사이트: www.krcert.or.kr

2) 개인정보 침해신고센터
주민번호, ID 등 개인정보도용, 회원탈퇴 미조치 등 인터넷상의 개인정보침해 관련 사항 신고
전화: 국번 없이 1336
웹 사이트: www.cyberprivacy.or.kr, www.1336.or.kr

맺음말

우리는 이제까지 사회 공학(Social Engineering) 기법의 공격이 어떠한 순서로 발생하게 되는지 그리고 각 단계에서 공격자(Social Engineer)는 어떠한 행동을 취하게 되는지 알아보았다. 그리고 공격 대상은 어떠한 상황으로 인해 공격자의 특수한 목적의 요청 사항을 수락하고 실행하게 되는지도 살펴보았다. 여기에서 더 나아가 이러한 사회 공학 기법이 악성코드에서는 어떠한 방식으로 사용되고 있는지도 알아보았다.
인간의 심리를 공격한다고 이야기하는 사회 공학 기법에 대한 최고의 방어는 결국 개개인이 정보 보안에 많은 관심을 가지고 자신의 개인 신상 정보와 관련된 사항들과 자주 사용하고 중요한 정보가 있는 컴퓨터 시스템을 잘 관리하는 것이 철두철미하게 보안 사고에 조심하는 것이 아닌가 생각된다. 1980년대와 90년대의 유명한 해커이자 사회 공학 기법의 공격에 능통한 케빈 미트닉(Kevin Mitnick)이 영국 BBC 방송국과의 인터뷰에서 밝힌 정보 보안에 대한 그의 견해를 마지막으로 이 글을 마무리 하고자 한다.

"The Biggest threat to the security of a company is not a computer
virus, an unpatched hole in a key program or a badly installed
firewall. In fact, the biggest threat could be you."

"기업 정보 보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다."


참고 문헌

  • Introduction to Computer Security Matt Bishop (Addison Wesley, 2005)
  • Social Engineering : A Means to Violate a Computer System Malcolm Allen (SANS, 2006)
  • Social Engineering Aaron Dolan (GSEC, 2004)
  • A Proactive Defense to Social Engineering Wendy Arthurs (SANS, 2003)
  • The Threat of Social Engineering and Your Defense Against It Radha Gulati (GSEC, 2003)
  • A Multi-Level Defense Against Social Engineering David Gragg (GSEC, 2002)
  • Social Engineering Fundamentals, Part 1 : Hacker Tactics Sarah Granger (Securityfocus, 2001)
  • Social Engineering Fundamentals, Part 2 : Combat Strategies Sarah Granger (Securityfocus, 2002)

[저자] 안철수연구소 ASEC 장영준 주임연구원

[안철수연구소 2007-04-24]


출처 : 안철수연구소(www.ahnlab.com)

TokenMarket ICO calendar