12-1. 사회 공학 기법

목표

1. 사회 공학이 가지는 위험을 이해함

2. 여러 가지 사회 공학 기법을 알아봄

3. 사회 공학 기법에 대응하는 방법을 익힘

 

사회 공학 (Social Engineering)

: 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻기 위한 비기술적 침입 수단

 

ex) 청소부로 위장하여 내부 시스템에 침투하는 해커, 자연스럽게 재경이 자리에서 공부하고 있는 나

 

사회 공학에 취약한 조직의 특성

- 조직원 수가 많음 (누가 누구인지 구분하기 어려움)

- 구성체가 여러 곳에 분산되어 있음

- 조직원의 개인 정보가 노출됨

- 적절한 보안 교육의 부재

- 정보가 적절히 분류되어 관리되지 않음

 

사회 공학 공격의 대상

- 정보의 가치를 잘 모르는 사람 (컴맹 등)

- 특별한 권한을 가진 사람 (많은 정보를 한 번에 얻을 수 있음)

- 제조사, 벤더 (제품에 정보를 심어서 빼올 수 있음)

- 조직에 새로 들어온 사람

 

사회 공학 기법

인간 기반

직접적인 접근 (Direct Approach)

- 권력 이용

: 조직에서 높은 위치에 있는 사람으로 가장하여 정보를 획득함

 

- 동정심 호소

: 긴급한 상황에서 도움이 필요한 것처럼 행동함

ex) 업무 처리를 위해 난처한 상황이라 정상적인 절차를 밟기 어렵다고 호소하는 것

 

- 가장된 인간관계 이용

: 조직내의 개인 정보를 획득하여 어떤 사람의 친구로 가장하여 상대로 하여금 자신을 믿도록 한 뒤 정보를 획득함

 

도청 (Eavesdropping)

: 도청 장치르 설치하거나 유선 전화선의 중간을 따서 도청함

  유리나 벽의 진동을 레이저로 탐지하고 이를 음성으로 바꿔서 도청함

 

- 휴대폰도 도청이 가능함

 

어깨 너머로 훔쳐보기 (Shoulder Surfing)

: 작업 중인 사람의 뒤에 다가가 그 사람이 수행하는 업무 관련 정보나 패스워드 등을 알아냄

 

- 편광 필름을 이용한 화면 보호기를 사용하는 것으로 방지할 수 있음

 

휴지통 뒤지기 (Dumpster Diving)

: 사내 휴지통 탐지. 과거에 많이 사용한 방법이라고 함.

 

- 회사에서 버리는 폐지에도 정보가 있을 수 있는데, 때문에 문서를 완벽하게 파쇄해야 함

 

ex)

회사의 인사 구조도

메모

회사 약관록

회사 사무 일정

행사 계획

시스템 매뉴얼

유효기간이 지나거나 현재 사용중인 아이디와 패스워드

소스 인쇄본

하드 디스크, 디스켓, CD

 

컴퓨터 기반

시스템 분석 (Forensic analysis)

: 컴퓨터의 휴지통 뒤지기를 통해 획득한 하드나 미디어, 혹은 정보를 얻고 싶은 대상의 노트북이나 PC를 중고로 구입하여 분석하면 상당한 정보를 얻을 수 있음

 

ex) ArtSD를 사용하여 분석하는 방법

 

- 디스크에 쓰여진 정보는 7번까지 쓰고 지워도 해독이 가능함

- 이는 디스크에 쓰여진 자기체가 지워도 약간 남기 때문인데, 이런 잔존 자기체까지도 완전히 삭제하고자 할 때는 강력한 자기장을 발생시키는 자기 소거 장치를 사용함.

 

악성 소프트웨어 전송

: 서비스를 제공하는 사이거나 벤더인 것으로 가장하여 악성 코드를 패치이 것처럼 공격 대상에게 발송

 

- 가까이 있는 사람이라면 악성 코드를 플로피 디스크나 USB 메모리에 담아 그 사람의 시스템에서 몰래 실행시키는 것만으로도 충분히 가능함

 

인터넷을 이용한 사회 공학 공격

: 다양한 검색 엔진을 이용하여 인터넷에 존재하는 공격 대상과 관련된 개인정보 및 사회 활동 등 관련된 다양한 정보를 수집하는 방식

 

ex)

이름, 소속 회사, 직책, 주민등록번호, 주소, 전화번호, 이메일, ID 등

 

피싱 (Phishing)

: 개인정보(Private Data)와 낚시(Fishing)의 합성어로, 개인정보를 불법으로 도용하기 위한 속임수의 한 유형

 

- 일반적으로 피싱은 이메일을 통해서 이루어짐

- 피싱 메일의 특성

  * 링크 정보로 표시된 주소와 실제 리다이렉트(Redirect) w주소가 다름

     ex) 표시되는 정보는 wishbank이지만 소스에는 다른 IP 주소로 접속하게 되어 있음

 

  * 실제 공격 대상이 이용하는 URL과 유사한 URL로 연결 정보를 변형. 모조 제품이 알파벳 철자 하나를 바꾸는 것과 비슷

     ex) wishbank -> wishback

 

  * URL을 인코딩하여 사용자가 가짜 사이트의 링크 주소를 알기 어렵도록 조작함

 

  * 정상 사이트의 이미지, 참조링크 등을 그대로 사용하여 외형적인 면에서는 정상 사이트와 차이가 없게 함

 

- 피싱 사이트는 전 세계적으로 몇 만개에 달하며, 특성상 잠시 생겼다가 사라지는 것을 반복함.

- 사람들은 피싱 사이트에 대응하기 위해 antiphishing 사이트를 구성하여, 세계적으로 피싱 발생 현황을 확인할 수 있음

 

파밍 (Pharming)

: 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나, DNS(도메인 네임 시스템) 이름을 속여 사용자가 진짜 사이트로 오인하도록 유도하여 개인 정보를 탈취하는 수법

 

- 네트워크 보안에서 살펴본 DNS 스푸핑과 기본적으로 같은 공격 방식

 

- 인터넷 뱅킹에서 사용하는 보안 카드의 정보도 쉽게 탈취하도록 수법이 진화했음

 

대응책

: 조직 구성원에게 보안 관련 교육을 충분히 수행하여 보안 의식을 높이고 낯선 사람들에 대한 경계심을 높이는 것

 

사회공학 징후

- 전화로 정보를 요청하여 정보를 확인한 후 다시 전화를 주겠다(Call Back)고 했을 떄, 이를 거절하고 정보를 전달해줄 때까지 기다리겠다고 함. 이때 공격자는 자신의 위치를 노출시키지 않기 위해 자신의 전화번호를 알려주려 하지 않음.

 

- 정상적인 절차를 거치지 않은 정보의 요청.

  긴급하거나 정상적인 절차를밟기 어려운 상황임을 알리고 정보를 요청하더라도 신분을 충분히 확인할 수 있는 확인 절차는 거쳐야 함.

 

- 내부 또는 외부의 높은 직책에 있는 사람으로 가장하여 온다고 하더라도 적절한 절차를 거치게 해야 함

 

- 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하고, 이를 이용해 정보를 획득하려 함

 

- 정보를 요청하고 관련 사항에 대해 질문을 받으면 불편함을 표출함. 일반적으로 서비스직은 고객이 불편함을 표시할 때 깊은 정보를 질문하기 어려워한다는 사실을 악용하는 것

 

- 회사의 높은 사람들의 이름을 거론하며 특별한 권한을 가진 사람인 것으로 포장함

 

- 지속적인 잡담으로 주위를 산만하게 하여 공격 대상이 정보를 흘리도록 유도함