사회공학 정보 보안 개론 12장

1 1 2 2 3 3 사회 공학이 가지는 위험을 이해한다. 여러 가지 사회공학 기법을 알아본다. 사회공학 기법에 대응하는 방법을 익힌다. 3

Section 01 사회공학에 대한 이해 사회공학(Social Engineering) 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻기 위한 비기술적 침입 수단 [그림 12-1] 청소부로 위장하여 내부 시스템에 침투하는 해커

Section 01 사회공학에 대한 이해 사회공학에 취약한 조직의 특성 사회공학 공격의 대상 조직원 수가 많은 조직 조직의 구성체가 여러 곳에 분산되어 있는 조직 조직원의 개인정보가 노출된 조직 적절한 보안 교육이 부재된 조직 정보가 적절히 분류되어 관리되지 않는 조직 사회공학 공격의 대상 정보의 가치를 잘 모르는 사람 특별한 권한을 가진 사람 제조사, 벤더 해당 조직에 새로 들어온 사람

Section 02 사회공학 기법 인간 기반 사회공학 기법 컴퓨터 기반 사회공학 기법 직접적인 접근 도청 어깨너머로 훔쳐보기 휴지통 뒤지기 컴퓨터 기반 사회공학 기법 시스템 분석 악성 소프트웨어 전송 인터넷을 이용한 사회공학 공격 파싱 파밍

인간 기반 사회공학 기법 직접적인 접근 도청 권력 이용하기 동정심에 호소하기 가장된 인간관계 이용하기 조직에서 높은 위치에 있는 사람으로 가장하여 정보를 획득. 동정심에 호소하기 무척 긴급한 상황에서 도움이 필요한 것처럼 행동한다. 예를 들면, 어떤 업무를 처리하지못하면 자신이 무척 난처 해지며 정상적인 절차를 밟기가 곤란하다고 호소 가장된 인간관계 이용하기 조직내의 개인정보를 획득하여, 어떤 사람의 친구로 가장해 상대로 하여금 자신을 믿도록 한 뒤 정보를 획득 도청 도청 장치를 설치하거나 유선 전화선의 중간을 따서 도청 유리나 벽의 진동을 레이저로 탐지하여 이를 음성으로 바꾸어 도청 휴대폰도 도청이 가능 [그림 12-2] 휴대폰 도청 장비

인간 기반 사회공학 기법 어깨너머로 훔쳐보기 휴지통 뒤지기 작업 중인 사람의 뒤에 다가가 그 사람이 수행하는 업무 관련 정보나 패스워드 등을 알아내는 방법. 휴지통 뒤지기 휴지통 뒤지기를 통해 얻을 수 있는 정보 회사 인사 구조도 메모 회사 약관록 회사 사무 일정 행사 계획 시스템 매뉴얼 유효기간이 지나거나 현재 사용 중인 아이디와 패스워드 소스 인쇄본 하드 디스크, 디스켓, CD [그림 12-3] 편광필름을 이용한 화면 보호기 [그림 12-4] 휴지통 뒤지기

인간 기반 사회공학 기법 [그림 12-6] 문서 세단기 [그림 12-5] 개인정보가 담긴 봉투로 고구마를 포장해주는 군고구마 장사 [그림 12-6] 문서 세단기

컴퓨터 기반 사회공학 기법 시스템 분석 컴퓨터 휴지통 뒤지기를 통해 획득한 하드나 미디어 또는 정보를 얻고 싶은 대상의 노트북이나 PC를 중고로 구입해 그 노트북을 분석하 면 상당한 정보를 얻을 수 있음. [그림 12-7] ArtSD를 실행한 화면 [그림 12-8] 자기 소거 장치 디스크에 쓰여진 정보는 7번까지 쓰고 지워도 해독이 가능 디스크에 쓰여진 자기체가 지워도 약간 남기 때문인데, 이런 잔존 자기체까지도 완전히 삭제하고자 할 때는 강력한 자기장을 발생시키는 자기소거 장치를 이용.

컴퓨터 기반 사회공학 기법 악성 소프트웨어 전송 인터넷을 이용한 사회공학 공격 서비스를 제공하는 사이거나 벤더인 것으로 가장하여, 악성 코드를 패치인 것처럼 공격 대상에게 발송할 수 있음. 가까이에 있는 사람이라면 악성 코드를 플로피 디스크나 USB 메모리에 담아 그 사람의 시스템에서 몰래 실행시키는 것만으로도 충분히 가능함. 인터넷을 이용한 사회공학 공격 인터넷에 존재하는 다양한 검색 엔진을 이용하여 인터넷에 존재하는 공격 대상과 관련된 개인정보 및 사회 활동과 관련된 다양한 정보를 수집하는 방식. 다음과 같은 정보를 찾는 것이 가능 이름 소속 회사, 직책 주민등록 번호 주소 전화번호 이메일 ID

컴퓨터 기반 사회공학 기법 피싱(Phishing) 개인정보(Private Data)와 낚시(Fishing)의 조합어로 개인정보를 불법으로 도용하기 위한 속임수의 한 유형 일반적으로 피싱은 이메일을 통해서 이루어짐. 피싱 메일의 특성은 다음과 같음. 링크 정보로 표시된 주소와 실제 리다이렉트(Redirect) 주소가 다르다. 예) 화면에 표시되는 정보는 www.wishbank.com이지만 소스에는 다른 IP 주소로 접속하게 되어 있다. 실제 공격 대상이 이용하는 URL과 유사한 URL로 연결 정보를 변형한다. 마치 짝퉁 제품이 브랜드의 알파벳 철자 하나를 바꾸는 것과 비슷하다. 예) www.wishbank.com → www.wishback.com URL을 인코딩하여 사용자가 가짜 사이트의 링크 주소를 알기 어렵도록 조작한다. 예) http://%77%72%71%77.%65%653-%69%6c11%6c%693%6c%69%6c.%6f%72%67 정상 사이트의 이미지, 참조 링크 등을 그대로 사용하여 외형적인 면에서는 정상 사이트와 차이가 없게 한다.

컴퓨터 기반 사회공학 기법 피싱(Phishing) 피싱 사이트는 세계적으로 벌써 몇 만개에 달하며, 그 특성상 잠시 생겼다가 사라지기를 반복함. 그런 이유로 사람들은 피싱 사이트에 대응하기 위해 antiphishing.org를 구성함. antiphishing.org 는 다음과 같이 세계적으로 피싱의 발생 현황을 확인할 수 있음. [그림 12-9] http://www.antiphishing.org/crimeware.html

컴퓨터 기반 사회공학 기법 파밍(Pharming) 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나, DNS(도메인네임시스템) 이름을 속여 사용자가 진짜 사이트로 오인하도록 유도하여 개인정보를 훔치는 수법 네트워크 보안에서 살펴본 DNS 스푸핑과 기본적으로 같은 공격.

Section 03 사회 공학에 대한 대응책 사회 공학에 대한 대응책 사회공학적 징후 사회공학 공격에 대한 대응책은 조직 구성원에게 보안 관련 교육을 충분히 수행함으로써, 보안 의식을 높이고 낯선 사람들에 대한 경계심을 높이는 것임. 사회공학적 징후 전화로 정보를 요청해, 정보를 확인한 후 다시 전화를 주겠다고 했을 때(Call back), 이를 거절하고 정보를 전달해줄 때까지 기다리겠다고 한다. 공격자는 자신의 위치를 노출시키지 않기 위해 자신의 전화번호를 알려주려 하지 않는다. 정상적인 절차를 거치지 않은 정보의 요청이다. 긴급하거나 정상적인 절차를 밟기 어려운 난처한 상황임을 알리고 정보를 요청해도, 신분을 충분히 확인할 수 있는 확인 절차는 거치게 해야 한다. 내부 또는 외부의 높은 직책에 있는 사람으로 가장한다. 설사 사장이라 하더라도 적절한 절차를 거치게 해야 한다. 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하고, 이를 이용해 정보를 획득하려 한다. 정보를 요청하고 관련 사항에 대해 질문을 받으면 이에 불편함을 표출한다. 일반적으로 서비스직은 고객이 불편함을 표시할 때 깊은 정보를 질문하기 어려워진다는 사실을 악용하는 경우다. 회사의 높은 사람들의 이름을 들먹여 특별한 권한을 가진 사람인 것처럼 가장한다. 지속적인 잡담으로 주위를 산만하게 하여 공격 대상이 정보를 흘리게 유도한다.

요약 사회공학 (Social Engineering) 인간 기반 사회공학 기법 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻는 비기술적인 침입 수단이다. 사회공학에 취약한 조직의 특성 조직원 수가 많은 조직 조직의 구성체가 여러 곳에 분산되어 있는 조직 조직원의 개인정보가 노출된 조직 적절한 보안 교육이 부재된 조직 정보가 적절히 분류되어 관리되지 않는 조직 인간 기반 사회공학 기법 직접적인 접근(Direct Approach) : 권력이나 동정심, 가장된 인간관계를 이용해 직접 접근하여 정보를 획득한다. 도청(Eavesdropping): 유무선 통화를 도청하거나 음성 대화 내용을 도청한다. 어깨너머로 훔쳐보기(Shoulder Surfing): 작업하는 사람의 어깨너머로 훔쳐본다. 휴지통 뒤지기(Dumpster Diving): 휴지통에서 공격 대상과 관련된 정보를 수집한다

요약 컴퓨터 기반 사회공학 기법 사회공학 공격의 징후 시스템 분석(Forensic analysis): 시스템 내부의 하드 디스크에 저장된 데이터를 분석한다. 악성 소프트웨어 전송: 백도어 등을 전송하여 공격 대상으로 하여금 설치하게 한 후 이를 이용한다. 인터넷 이용: 인터넷에서 검색 엔진을 이용하여 공격 대상과 관련된 정보를 수집한다. 피싱(Phishing): 위조된 이메일을 보내 공격 대상의 신용정보 및 금융정보를 획득한다. 파밍(Pharming): DNS 스푸핑을 통해 공격 대상의 신용정보 및 금융정보를 획득한다. 사회공학 공격의 징후 다시 전화를 주겠다고 했을 때(Call back) 이를 거절한다. 긴급하거나 정상적인 절차를 밟기 어려운 난처한 상황으로 가장한다. 내부 또는 외부의 높은 직책에 있는 사람으로 가장한다. 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하여 정보 획득을 시도한다. 정보를 요청하고 관련 사항에 대해 질문을 받으면 불편함을 표출한다. 회사의 높은 사람들의 이름을 들먹여 자신의 권한을 가장한다. 지속적인 잡담으로 주위를 산만하게 하여 공격 대상이 정보를 흘리게 유도한다.

정보 보안 개론 12장 끝