ch. 12 사회공학 / 연습문제 12장

01 사회공학의 이해

02 사회공학 기법

03 사회공학 사례와 대응책

 

01. 사회공학의 이해

사회공학(social engineering) 컴퓨터 보안에서 인간 상호작용의 깊은 신뢰를 바탕으로 사람을 속여 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위.

 

케빈 미트닉: 회사는 방화벽이나 IDS, 암호, 그리고 각종 보안 기술에 수십만 달러를 쓸 수 있지만 공격자가 믿을 만한 사람이 회사 안에 있고 그 사람이 공격자를 도와준다면 보안을 위해 회사가 쓴 돈은 모두 쓸모없는 것이 된다.

 

 1. 사회공학에 취약한 조직

   -직원수가 많은 조직

   -구성체가 여러 곳에 분산되어 있는 조직(다른 지점의 직원으로 가장)

   -조직원의 개인 정보를 쉽게 획득할 수 있는 조직

   -보안 교육을 하지 않는 조직

   -정보의 분류와 관리가 허술한 조직

 

  2. 사회공학 공격 대상   

    -정보의 가치를 모르는 사람

    -특별한 권한을 가진 사람

    -제조사 또는 판매사

    -조직에 새로 들어온 사람

 

02. 사회공학 기법

 

1. 인간 기반 사회공학 기법

• 직접적인 접근(direct approach)

-권력을 이용한 접근

ex) 보이스 피싱

-동정심에 호소한 접근 : 매우 위급한 상황에 처해 도움이 필요한 것처럼 하는 경우

-가장된 인간관계를 이용한 접근 : 개인정보를 얻어 신분을 가장

• 도청(eavesdropping)
• 어깨너머로 훔쳐보기(sholder surfing)
• 휴지통 뒤지기(dumpster diving)

 

2. 컴퓨터 기반 사회공학 기법

• 시스템 분석

포렌식을 활용한 시스템 분석(forensic analysis) - 버려진 컴퓨터로 정보를 알아냄.

• 악성 소프트웨어 전송

서비스를 제공하는 업체로 가장하여 바이러스나 백도어 또는 키보드 입력을 모두 가로챌 수 있는 키로거 등을 전송하여 공격 대상이 이를 설치하게 만드는 것.

• 인터넷을 이용한 공격

다양한 검색 엔진으로 인터넷에 존재하는 공격 대상의 개인 정보와 사회 활동 정보를 수집하는 것

신상 털기라고 부르며 인터넷에서 정보를 역추적하는 방식

• 피싱(phishing)

:private data(개인 정보)와 fishing(낚시)의 합성어로 개인 정보를 불법으로 도용하려는 속임수다. 이메일을 통해 이뤄짐

• 파밍(pharming)

:합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 악성 코드 감염으로 DNS(Domain Name System) 이름을 속여 사용자가 진짜 사이트로 오인하게 함으로써 개인 정보를 훔치는 수법. ex) DNS 스푸핑

• 스미싱(smishing)

:sms + phishing의 합성어로 문자메시지로 장난질하는 수법.

 

03. 사회공학 사례와 대응책

 

연습문제

1. 다음 중 사회공학에 취약한 조직의 특성이 아닌 것은? 4 적절한 시기에 보안 교육을 하는 조직

 

2. 다음 중 컴퓨터 기반 사회공학 방법이 아닌 것은? 3 휴지통 뒤지기

 

3. 위조된 이메일을 보내 공격 대상의 신용 정보나 금융 정보를 획득하는 사회공학 기법은 무엇인가? 3 피싱

 

4. DNS 스푸핑 공격을 이용하여 공격 대상의 정보를 획득하는 사회공학 기법은 무엇인가? 4 파밍

 

5. 문제 메시지로 무료 쿠폰을 제공하여 링크 접속을 유도하고 결제를 유도하거나 개인 정보를 빼내는 사회공학 공격 기법은 무엇인가? 1 스미싱

 

6. 다음 중 사회공학 공격으로 의심할 만한 상황은? 3 내부 감사자라며 내부 감사와 관련된 특정인의 패스워드를 확인하려 한다.