사회공학 정보 보안 개론 12장.

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

 도덕  3 학년 1 학기  개인의 가치와 도덕 문제  도덕 문제와 도덕 판단  도덕적 갈등 상황 [1~2/6] 도덕적 갈등 상황.
음란물에 대하여. 인터넷 음란물의 의미 돈벌이를 위해 단지 성적 욕망을 불러 일으키기 위한 음란한 인터넷 상의 사 진, 동영상, 만화 등을 말한다.
인터넷 피싱. 주로 메신저나 유령 사이트를 통하여 범죄가 이루어지며 그 수법이 점차 지능화되고 있음 인터넷을 통하여 개인을 현혹시킨 후 금품을 갈취하는 행위 피싱 (pishing) = Private date + Fishing = Sophisticated + Fishing.
U+Box 유치원원아 사진관리 서비스 Ⅰ. 유치원 사진관리 행태 Ⅱ. 유치원 사진관리의 새로운 방법 Ⅲ. U+Box 를 사용한 사진관리 Ⅳ. 별첨 - U+Box 질문 / 답변 - U+Box 따라하기.
 0 / 32 CATI 시스템 소개  사업 개요  CATI 시스템의 특징  기대효과  추진 일정  CATI 시스템 주요화면 설명  시연 및 질의응답.
아이핑 소개 (탁구대회) 아이핑 담당 신동일 네이버(다음)에서 아이핑검색 아이핑 소개 (탁구대회) 담당 신동일 아이핑.
목차 침해사고 현황 재난대응 안전한국훈련 (사이버분야) 침해사고 방지방안 학교 정보보안 기본수칙
2015년 아동·청소년대상 성범죄 신고의무기관 및 성범죄자 취업제한기관 종사자 등의 교육.
업무사례 중심의 개인정보보호법 이해 교육기관 기관별 정보보안 역할.
개인정보보호 방안 제주도교육청 (교육정보화과).
2015학년도 시스템보안 컴퓨터 공학과 발표자 : 안정섭
성결 어린이 영등포교회 유년부 정답은 뒷면에 제 11-31호 2011월 8월 14일 어디로 가세요?
목차 일모아시스템 시연 및 참고자료 일모아시스템 관련 법/제도/지침 개인정보보호 관련 유의사항 자주묻는질문
마을과 함께 꿈을 키우는 행복한 경기교육 2016 경기꿈의학교 사업비 지침.
전라북도 금융산업 이해 및 육성정책 과정 보이스피싱·불법사금융 피해 예방법.
개인정보 담당자의 고민.
자기신용 관리 교육 자료 (학생용).
Ⅵ. 빛(단원학습목표).
연구활동종사자 교육ㆍ훈련 수강방법 사무처 안전관리실
국가도서관통계시스템 수치입력자 매뉴얼 이의신청 방법 Version. 1.0.

1. PC 에서 회원가입 1. 회원가입 버튼 클릭 클릭.
감독관 사용설명서 프로메트릭 코리아 유한회사 Version 1.1.
자기신용 관리 교육 자료 (학생용).
PC 개인정보 보호시스템 교육 (기관 · 학교관리자)
17 20 정보보안 개인정보보호 능력 향상 마침표 없는 정보보호!.
통로이미지㈜ 마케팅실 신입/경력 모집 ◎ 모집부분 및 자격요건 ◎ 채용인원 ◎ 전형절차 ◎ 제출서류 ◎ 연봉 ◎ 사전인터뷰
[학생용] 학생 여러분 안녕하세요 오늘은 저작권에 대해 알아보겠습니다..
개인정보보호 및 정보통신보안 교 육 자 료 충주대학교 전산정보원.
DPC 1190 FS Scan & FAX Manual.
F5 삭제 및 신규 SSL_VPN 설치 메뉴얼 * 기존 SSL_VPN F5 삭제 ② ① * 신규 SSL_VPN 설치 ② ①
터치 모니터관련 지식 팁 Usb장치 인식 실패 원인과 해결책.
영덕풍력발전단지 준공 기념식 행사(안) 경영기획실.
한국마사회 ADSL 장애처리 방법 2003년 5월 16일.
제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.
초등학생이 pc방을 가도 되는가? 등마 초등학교 5학년 4반 김근아.
U+ Biz 그룹웨어 Mobile Office User Guide.
7장: 빛의 간섭과 회절 빛의 간섭 단일슬릿과 회절 회절격자 – 더 선명해진 간섭무늬.
[ 포털 사이트 연관검색어/자동완성 등록 서비스 ]
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
정보보안.
1. 하나투어 프로모션 페이지 수정사항 정리 – 리오타노 이태리 세미극세사 차렵이불_그레이
중앙대 원격교육원 범용공인인증서 홈페이지 등록 방법 .
국립중앙의료원 Messenger Server
자기신용 관리 교육 자료 (학생용).
MF-4150(K) 설치 Guide (소프트웨어) XP기준
정보보안 및 개인정보 보호의 이해 충청북도교육청.
Chap6_1_1.mp3 6장. 인터넷 사기.
건양대학교 OPIc 평가 신청 매뉴얼 (
활동도 조사표 작성 가이드 (조사대상업체용).
<정보 보안> 담당 교수: 박용대
[PC 전화 수〮 발신 / 고객별 통화이력 저장,확인]
100% 회비 환급 받는 방법!.
인터넷이 어떤 원리로 작동하는지를 재미있게 표현한 카툰 labnol
판촉왕 공식인증센터_PC
기술가정 2학년 1학기 2.재료의 이용>1) 목재,플라스틱,금속재료의 특성>11/15제품의 구상
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
12장. 침해사고 조사 절차.
▶서류관리 프로그램 1. 로그인….2 2. 서류등록 … 서류도착 서류스티커발행
학습목표 1.피싱의뜻 2.피싱의사례 3.피싱의예방방법 4.피싱의 대처요령
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
개인정보보호 현황 및‘08년 개인정보보호 정책방향
거래처 매뉴얼 리 얼 시 스 템 주 식 회 사.
100세 시대, 스마트 헬스케어와 미래직업 (3) 고령화 사회에 필요한 웨어러블.
1% 공부장학금 받는 방법.
코 칭 결 과 센 터 구성센터 (모바일) 코칭대상 프로 (엔지니어) 코칭일시
1. 하나투어 프로모션 페이지 수정사항 정리 – 인따르시아 여행용 파우치 5p (핑크)
1. 하나투어 프로모션 페이지 수정사항 정리 – [트래블이지] 비비드접이식가방 NO.1278
코딩교육, 어떻게 해야 할까 이천양정여자고등학교 김가연 안선영.
Presentation transcript:

사회공학 정보 보안 개론 12장

1 1 2 2 3 3 사회 공학이 가지는 위험을 이해한다. 여러 가지 사회공학 기법을 알아본다. 사회공학 기법에 대응하는 방법을 익힌다. 3

Section 01 사회공학에 대한 이해 사회공학(Social Engineering) 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻기 위한 비기술적 침입 수단 [그림 12-1] 청소부로 위장하여 내부 시스템에 침투하는 해커

Section 01 사회공학에 대한 이해 사회공학에 취약한 조직의 특성 사회공학 공격의 대상 조직원 수가 많은 조직 조직의 구성체가 여러 곳에 분산되어 있는 조직 조직원의 개인정보가 노출된 조직 적절한 보안 교육이 부재된 조직 정보가 적절히 분류되어 관리되지 않는 조직 사회공학 공격의 대상 정보의 가치를 잘 모르는 사람 특별한 권한을 가진 사람 제조사, 벤더 해당 조직에 새로 들어온 사람

Section 02 사회공학 기법 인간 기반 사회공학 기법 컴퓨터 기반 사회공학 기법 직접적인 접근 도청 어깨너머로 훔쳐보기 휴지통 뒤지기 컴퓨터 기반 사회공학 기법 시스템 분석 악성 소프트웨어 전송 인터넷을 이용한 사회공학 공격 파싱 파밍

인간 기반 사회공학 기법 직접적인 접근 도청 권력 이용하기 동정심에 호소하기 가장된 인간관계 이용하기 조직에서 높은 위치에 있는 사람으로 가장하여 정보를 획득. 동정심에 호소하기 무척 긴급한 상황에서 도움이 필요한 것처럼 행동한다. 예를 들면, 어떤 업무를 처리하지못하면 자신이 무척 난처 해지며 정상적인 절차를 밟기가 곤란하다고 호소 가장된 인간관계 이용하기 조직내의 개인정보를 획득하여, 어떤 사람의 친구로 가장해 상대로 하여금 자신을 믿도록 한 뒤 정보를 획득 도청 도청 장치를 설치하거나 유선 전화선의 중간을 따서 도청 유리나 벽의 진동을 레이저로 탐지하여 이를 음성으로 바꾸어 도청 휴대폰도 도청이 가능 [그림 12-2] 휴대폰 도청 장비

인간 기반 사회공학 기법 어깨너머로 훔쳐보기 휴지통 뒤지기 작업 중인 사람의 뒤에 다가가 그 사람이 수행하는 업무 관련 정보나 패스워드 등을 알아내는 방법. 휴지통 뒤지기 휴지통 뒤지기를 통해 얻을 수 있는 정보 회사 인사 구조도 메모 회사 약관록 회사 사무 일정 행사 계획 시스템 매뉴얼 유효기간이 지나거나 현재 사용 중인 아이디와 패스워드 소스 인쇄본 하드 디스크, 디스켓, CD [그림 12-3] 편광필름을 이용한 화면 보호기 [그림 12-4] 휴지통 뒤지기

인간 기반 사회공학 기법 [그림 12-6] 문서 세단기 [그림 12-5] 개인정보가 담긴 봉투로 고구마를 포장해주는 군고구마 장사 [그림 12-6] 문서 세단기

컴퓨터 기반 사회공학 기법 시스템 분석 컴퓨터 휴지통 뒤지기를 통해 획득한 하드나 미디어 또는 정보를 얻고 싶은 대상의 노트북이나 PC를 중고로 구입해 그 노트북을 분석하 면 상당한 정보를 얻을 수 있음. [그림 12-7] ArtSD를 실행한 화면 [그림 12-8] 자기 소거 장치 디스크에 쓰여진 정보는 7번까지 쓰고 지워도 해독이 가능 디스크에 쓰여진 자기체가 지워도 약간 남기 때문인데, 이런 잔존 자기체까지도 완전히 삭제하고자 할 때는 강력한 자기장을 발생시키는 자기소거 장치를 이용.

컴퓨터 기반 사회공학 기법 악성 소프트웨어 전송 인터넷을 이용한 사회공학 공격 서비스를 제공하는 사이거나 벤더인 것으로 가장하여, 악성 코드를 패치인 것처럼 공격 대상에게 발송할 수 있음. 가까이에 있는 사람이라면 악성 코드를 플로피 디스크나 USB 메모리에 담아 그 사람의 시스템에서 몰래 실행시키는 것만으로도 충분히 가능함. 인터넷을 이용한 사회공학 공격 인터넷에 존재하는 다양한 검색 엔진을 이용하여 인터넷에 존재하는 공격 대상과 관련된 개인정보 및 사회 활동과 관련된 다양한 정보를 수집하는 방식. 다음과 같은 정보를 찾는 것이 가능 이름 소속 회사, 직책 주민등록 번호 주소 전화번호 이메일 ID

컴퓨터 기반 사회공학 기법 피싱(Phishing) 개인정보(Private Data)와 낚시(Fishing)의 조합어로 개인정보를 불법으로 도용하기 위한 속임수의 한 유형 일반적으로 피싱은 이메일을 통해서 이루어짐. 피싱 메일의 특성은 다음과 같음. 링크 정보로 표시된 주소와 실제 리다이렉트(Redirect) 주소가 다르다. 예) 화면에 표시되는 정보는 www.wishbank.com이지만 소스에는 다른 IP 주소로 접속하게 되어 있다. 실제 공격 대상이 이용하는 URL과 유사한 URL로 연결 정보를 변형한다. 마치 짝퉁 제품이 브랜드의 알파벳 철자 하나를 바꾸는 것과 비슷하다. 예) www.wishbank.com → www.wishback.com URL을 인코딩하여 사용자가 가짜 사이트의 링크 주소를 알기 어렵도록 조작한다. 예) http://%77%72%71%77.%65%653-%69%6c11%6c%693%6c%69%6c.%6f%72%67 정상 사이트의 이미지, 참조 링크 등을 그대로 사용하여 외형적인 면에서는 정상 사이트와 차이가 없게 한다.

컴퓨터 기반 사회공학 기법 피싱(Phishing) 피싱 사이트는 세계적으로 벌써 몇 만개에 달하며, 그 특성상 잠시 생겼다가 사라지기를 반복함. 그런 이유로 사람들은 피싱 사이트에 대응하기 위해 antiphishing.org를 구성함. antiphishing.org 는 다음과 같이 세계적으로 피싱의 발생 현황을 확인할 수 있음. [그림 12-9] http://www.antiphishing.org/crimeware.html

컴퓨터 기반 사회공학 기법 파밍(Pharming) 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나, DNS(도메인네임시스템) 이름을 속여 사용자가 진짜 사이트로 오인하도록 유도하여 개인정보를 훔치는 수법 네트워크 보안에서 살펴본 DNS 스푸핑과 기본적으로 같은 공격.

Section 03 사회 공학에 대한 대응책 사회 공학에 대한 대응책 사회공학적 징후 사회공학 공격에 대한 대응책은 조직 구성원에게 보안 관련 교육을 충분히 수행함으로써, 보안 의식을 높이고 낯선 사람들에 대한 경계심을 높이는 것임. 사회공학적 징후 전화로 정보를 요청해, 정보를 확인한 후 다시 전화를 주겠다고 했을 때(Call back), 이를 거절하고 정보를 전달해줄 때까지 기다리겠다고 한다. 공격자는 자신의 위치를 노출시키지 않기 위해 자신의 전화번호를 알려주려 하지 않는다. 정상적인 절차를 거치지 않은 정보의 요청이다. 긴급하거나 정상적인 절차를 밟기 어려운 난처한 상황임을 알리고 정보를 요청해도, 신분을 충분히 확인할 수 있는 확인 절차는 거치게 해야 한다. 내부 또는 외부의 높은 직책에 있는 사람으로 가장한다. 설사 사장이라 하더라도 적절한 절차를 거치게 해야 한다. 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하고, 이를 이용해 정보를 획득하려 한다. 정보를 요청하고 관련 사항에 대해 질문을 받으면 이에 불편함을 표출한다. 일반적으로 서비스직은 고객이 불편함을 표시할 때 깊은 정보를 질문하기 어려워진다는 사실을 악용하는 경우다. 회사의 높은 사람들의 이름을 들먹여 특별한 권한을 가진 사람인 것처럼 가장한다. 지속적인 잡담으로 주위를 산만하게 하여 공격 대상이 정보를 흘리게 유도한다.

요약 사회공학 (Social Engineering) 인간 기반 사회공학 기법 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻는 비기술적인 침입 수단이다. 사회공학에 취약한 조직의 특성 조직원 수가 많은 조직 조직의 구성체가 여러 곳에 분산되어 있는 조직 조직원의 개인정보가 노출된 조직 적절한 보안 교육이 부재된 조직 정보가 적절히 분류되어 관리되지 않는 조직 인간 기반 사회공학 기법 직접적인 접근(Direct Approach) : 권력이나 동정심, 가장된 인간관계를 이용해 직접 접근하여 정보를 획득한다. 도청(Eavesdropping): 유무선 통화를 도청하거나 음성 대화 내용을 도청한다. 어깨너머로 훔쳐보기(Shoulder Surfing): 작업하는 사람의 어깨너머로 훔쳐본다. 휴지통 뒤지기(Dumpster Diving): 휴지통에서 공격 대상과 관련된 정보를 수집한다

요약 컴퓨터 기반 사회공학 기법 사회공학 공격의 징후 시스템 분석(Forensic analysis): 시스템 내부의 하드 디스크에 저장된 데이터를 분석한다. 악성 소프트웨어 전송: 백도어 등을 전송하여 공격 대상으로 하여금 설치하게 한 후 이를 이용한다. 인터넷 이용: 인터넷에서 검색 엔진을 이용하여 공격 대상과 관련된 정보를 수집한다. 피싱(Phishing): 위조된 이메일을 보내 공격 대상의 신용정보 및 금융정보를 획득한다. 파밍(Pharming): DNS 스푸핑을 통해 공격 대상의 신용정보 및 금융정보를 획득한다. 사회공학 공격의 징후 다시 전화를 주겠다고 했을 때(Call back) 이를 거절한다. 긴급하거나 정상적인 절차를 밟기 어려운 난처한 상황으로 가장한다. 내부 또는 외부의 높은 직책에 있는 사람으로 가장한다. 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하여 정보 획득을 시도한다. 정보를 요청하고 관련 사항에 대해 질문을 받으면 불편함을 표출한다. 회사의 높은 사람들의 이름을 들먹여 자신의 권한을 가장한다. 지속적인 잡담으로 주위를 산만하게 하여 공격 대상이 정보를 흘리게 유도한다.

정보 보안 개론 12장 끝