사회공학적 해킹의 정의
요 약
o 사회공학적 해킹은 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법을 통칭
o 전화사기, 이메일 피싱, 우편물 등을 통한 개인정보 도난 등 특별한 기술 없이도 손쉽게 기본 정보를 얻어내는 비기술적
침입 방법
o 인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시키고 원하는 정보를 탈취하는 기술
□ 사회공학적 해킹의 흐름과 인식현황
o 이메일, 인터넷 메신저, 모바일 등 사람에게로의 접근채널이 다각화됨에 따라 사회공학적 해킹을 적용할 수 있는 통로가
확대
o 인터넷을 통한 개인정보의 수집이 용이해지면서 특히 유명인사를 타겟으로 하는 해킹인 웨일링(Whaling) 증가
o 조직의 정보보호 의식 수준이 성공적인 보안정책 수립에 가장 큰 장벽으로 작용하고 있으며, 사람에 대한 교육보다는
기술적인 보안대책에만 편중되는 경향이 있음
□ 대응방안
o 전사차원의 정기적인 교육 및 모의훈련 등을 통해 사용자에게 올바른 행동지침 제시 및 인식제고 필요
o 주요 정보를 관리하는 모니터링 시스템을 구축하는 등, 시스템 차원의 대비책을 적절히 병행하여 사용자의 실수를
최소화
o 개인정보의 범람, 사회공학적 기법의 고도화, 접근채널의 확대 등으로 인해 발생할 수 있는 새로운 유형의 사회공학적
해킹에 대한 연구
I. 배 경
1. 이 슈
▶ 최근 미국 2008년 대통령선거에서 공화당의 부통령 후보로 지명된 세라 페일린 (Sarah Louise Heath Palin)의
개인 이메일 계정이 해킹당하는 사고가 발생
- 전문 해커에 의한 기술적 해킹이 아니라 평범한 대학생에 의한 것
- 비밀번호를 잊어버릴 경우를 대비해 미리 설정해놓는 비밀번호 힌트라는 메일 시스템 서비스를 악용
- 위키피디아, 구글 등의 검색을 통해 얻은 정보를 바탕으로 비밀번호 힌트의 답을 유추하여 메일 계정 해킹에 성공
▶ 올해 초, 미 국무성에서 계약직으로 일하던 두 명의 직원이 당시 대통령 경선 후보이던 힐러리 클린턴, 존 매케인,
버락 오바마의 여권 기록을 무단 조회한 것이 밝혀져 해고됨
▶ 2008년 10월 니콜라 사르코지 프랑스 대통령 가족의 계좌 해킹
- 경찰 금융범죄 전담 수사반은 사건 직후 조사에 들어가 대규모 해킹단 적발
- 수사 과정에서 계좌 관리의 허술함과 함께 은행직원 150여 명이 대통령 계좌를 재미삼아 조회해 본 사실이
드러나면서 은행측의 내부자 보안관리 문제 이슈화
o 대중에게 잘 알려진 유명 인사들을 타겟으로 하는 사회공학적 해킹 증가
- 인터넷을 통해 제공되는 정보량이 방대해짐에 따라 개인정보의 수집이 용이해지는 현상을 악용
- 특히 유명 인사들의 경우 사생활에 관한 정보들까지 무분별하게 인터넷에 노출되어 사회공학적 해킹 가능성이 높음
o 민감한 개인정보를 대량 보유하고 있는 단체의 보안 관리체계 미비, 중요정보를 다루는 직원들의 보안의식 미흡은
사회공학적 해킹의 공격 대상이 될 수 있음
※ 최근 국내에서는 청와대 비서관을 사칭하여 정부 연구기관에 접근, 중요정보를 탈취하려는 시도가 있었음
2. 사회공학적 해킹의 정의
▶ 사회공학이란 사회행동의 과학적 연구로 얻어진 기초적인 식견(識見)이나 법칙을 응용하여 사회생활에서 당면하는
여러 가지의 실천상의 특수문제를 해결하고 또 그 때문에 필요한 기술적 제 문제에 관하여 연구하는 학문
(출처: 두산백과사전)
▶ 사회공학(Social Engineering)의 정의 중 가장 널리 인용되는 문구
- “The art and science of getting people to comply with your wishes.”
사람들로 하여금 당신이 원하는 바대로 응하도록 하는 예술이자 과학
(출처: Harl의 “People Hacking”)
o 사회공학적 해킹은 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법을 통칭
- 불확실성이 내포되어 있는 보안 대비책은 취약성을 지닐 수 밖에 없음을 고려할 때, 많은 변수를 가지고 있는 인간이라는
요소는 시스템체인 내에서 취약점으로 작용할 수 있음
o 전화사기, 이메일 피싱, 우편물 등을 통한 개인정보 도난 등 특별한 기술 없이도 손쉽게 기본 정보를 얻어내는 비기술적
침입 방법
- 1990년대 가장 유명한 해커였던 케빈 미트닉은 사회공학적 해킹법을 가장 잘 사용하기로 유명하였음
- 그는 시스템을 이루는 노드들 중 인간을 공략하는 사회공학적 기법이 가장 효과적인 공격법이었다고 회고
- 실제로 그가 저지른 해킹의 상당수가 전화통화로 시작되었으며, 모토로라 최신 핸드폰의 핵심 소스코드를 전화
몇 통화만으로 탈취해 낸 것은 매우 유명한 일화
o 인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시키고 원하는 정보를 탈취하는 기술
- 공격대상에게 신뢰를 줄 수 있는 가장(假裝)을 통해 공격자가 접근시, 보유한 정보의 가치에 대한 무지, 보안의식 부재 등은
사회공학적 공격에 대한 취약점으로 작용
3. 사회공학 기법의 종류
o 사회공학 기법은 접근 수단을 무엇으로 하느냐에 따라서 인간 기반과 컴퓨터 기반으로 나누어짐
- 인간 기반(Human Based): 공격 대상에게 직접적인 접근이나 전화 등을 통해 접근하는 경우
※ 중요한 고객이나 상위기관 직원 혹은 기술지원 요원 등으로 가장하여 경계심을 없애고 원하는 정보를 취득하는 방법
- 컴퓨터 기반(Computer Based): 공격 대상에게 악성코드, 컴퓨터 프로그램 혹은 웹 사이트 등의 수단을 이용하여 접근하는
경우
※ 피싱(Phishing), 스팸메일을 통한 악성코드 유포 등
o 악성코드 유포를 위해 적용되는 사회공학 기법은 주로 컴퓨터 시스템을 감염시키기 위한 목적으로 수행됨
(출처: CERT-CC)
- 감염된 컴퓨터 네트워크 시스템(봇넷)을 이용한 대규모 스팸발송, DDos(Distributed Denial of Services) 공격 등이 가능
<봇넷을 이용한 공격 흐름도 (출처: KISA)>
Ⅱ. 사회공학적 해킹의 흐름과 인식현황
▶ 보안기술의 발달에 힘입어 시스템의 보안성은 상당부분 강화되고 있는 반면, 상대적으로 사이버스페이스의 연결 노드
중 인간이 가장 보안에 취약한 요소로 나타나면서, 시스템을 타겟으로하는 공격방식은 줄어들고 사용자를 공격하는
사회공학적 해킹이 다양한 방법으로 시도됨
□ 사회공학적 해킹의 적용 통로 다양화
o 이메일, 인터넷 메신저, 모바일 등 사람에게로의 접근이 용이해지면서 사회공학적 기법의 적용범위 확대
o 가트너(Gartner)의 연구에 따르면 2006년 전체 인터넷 사기의 12%가 인터넷 메신저를 통해 이루질 정도로 채널이 다각화
특히 인터넷 메신저의 경우 아래와 같은 특성으로 인해 말웨어(malware) 공격자들에게 매우 매력적인 통로가 됨
- 이미 등록된 친구의 메세지는 별 의심 없이 받아들이는 특성
- 컴퓨터 간의 통신이기 때문에 가장 많이 사용되는 전통적인 게이트웨이 기반 방식의 바이러스 스캐닝을 통과할
수 있다는 특성
o 모바일 기기의 발전과 대용량화로 인한 보안 위험 증가
- 기존 PC에서 수행되던 다양한 기능들이 모바일로 이식되고 있으며, 모바일 기기 안에 중요 정보들을 저장할 수 있게
됨에 따라 새로운 해킹통로가 될 위험성이 존재
□ 웨일링(Whaling)의 증가
o 인터넷을 통한 개인정보의 수집이 용이해지면서 특히 유명인사를 타겟으로 하는 해킹인 웨일링 증가
- 2007년에 처음 웨일링(Whaling)이라는 용어를 사용하기 시작
- 기관이나 단체, 기업의 대표를 타겟으로 하는 공격
- 지적 재산권이나 기업의 중요 정보를 노리는 매우 고도화되고 특화된 유형의 사회공학적 공격
MessageLabs의 보고서에 따르면, 1차 주요 웨일링 공격은 2007년 6월에 발견
- 512개의 이메일에 spying trojan이 심어져있는 MS-Word파일 첨부
- 각국의 많은 단체 대표들에게 보내짐
- 제목라인에 각 타겟의 이름과 직함이 적혀있는 이메일
비슷한 방식으로 2007년 9월, 11월에도 이러한 시도가 발견되었으며 3차례 모두 같은 범죄조직에 의한 것으로 추정
o 웨일링 공격이 성공할 경우, 기업이나 단체에 대한 핵심 정보가 대량으로 유출 될 가능성이 있으므로 세심한 주의가 필요
o 대규모로 발송되는 스팸메일과는 달리 웨일링의 경우, 특정인물을 타겟으로 작은 규모의 이메일만이 발송되므로 자동
필터링이 불가능하며 피해 규모를 산출하기도 어려움
o 개인정보의 범람, 특히 사회적으로 잘 알려진 인사들에 대한 무분별한 정보공개는 웨일링의 성공률을 높이는데 크게 기여
- 웨일링의 성공을 위해 가장 중요한 두가지 요소는 풍부한 사전정보와 완벽한 위장술 즉, 타겟에 대한 배경조사를 통해
얼마나 실제와 유사하게 위장할 수 있는가 하는 것
- 소셜 네트워크 사이트(Social Network Site)등 다양한 경로를 통해 수집한 정보는 타겟에 대한 구체적인 공격방안을
설계하는 바탕이 됨
□ 사회공학적 해킹에 대한 인식현황 설문1)
▶ 보안기술에의 투자는 그 기술을 이용하는 사람에 대한 적절한 교육 없이는무용지물이 될 수 있음에도 불구하고,
이에 대한 대비가 아직 충분히 이루어지지 않고 있으며 기술적인 보안문제에만 집중되는 경향이 있음을 시사
o 정보보호 보안정책 추진에 가장 큰 장벽으로 작용하는 요소로 50%의 응답자들이 조직의 인식수준(organizational
awareness)이 문제라고 대답
- 자원의 가용성(availability of resources) 48%, 충분한 예산(adequate budget) 33% 보다 높은 수치
o 직원의 보안훈련시 사회공학적 시도에 대한 테스트 빈도는 낮은 수준
- 주기적인 보안훈련으로, 인터넷 테스팅 85%, 인프라 스트럭쳐 테스팅 73%, 원격 접속 49%, 보안지역으로의 물리적
접근 테스트 46%를 실시한다고 응답한 반면 사회공학적 시도에 대한 테스트는 19%에 불과
Ⅲ. 대응방안
▶ 전사차원의 정기적인 교육 및 모의훈련 등을 통해 사용자에게 올바른 행동지침 제시 및 인식제고
▶ 주요 정보를 관리하는 모니터링 시스템을 구축하는 등, 시스템 차원의 대비책을 적절히 병행하여 사용자의 실수를 최소화
▶ 개인정보의 범람, 사회공학적 기법의 고도화, 접근채널의 확대 등으로 인해 발생할 수 있는 새로운 유형의 사회공학적 해킹에 대한 연구
1. 교육과 훈련(education and training)을 통해 사용자에게 올바른 행동지침 제시 및 인식제고
o 전사차원의 정기적인 교육 및 모의훈련 실시
- 인간의 심리를 악용하는 사회공학적 해킹에 적절히 대응하기 위해서는 철저한 보안의식 수립이 가장 핵심적 요소
o 각 기업이나 단체들이 사회공학적 해킹에 대비한 교육에 사용할 수 있도록 정부차원에서 가이드라인을 마련하여 배포
※ ENISA는 최근 사회공학적 해킹에 대응하는 백서를 발간하였으며, 네트워크 보안에서 인간의 취약점이 차지하는
영향력에 대한 연구과제들이 전 세계적으로 활발히 진행중
2. 시스템 차원의 대비책을 적절히 병행하여 사용자의 수를 최소화 하는 체계 구축 필요
o 교육․훈련에 대한 보완통제 방안으로 사용자의 부주의를 예방할 수 있는 시스템 및 기술개발 병행
※ KISA는 웹사이트 보안수준 확인시스템(Check Web) 구축을 통해 악성코드에 대응할 수 있는 방안을 모색하고 있음
o 주요 정보에 대한 모니터링 시스템 구축
- 적법한 보안단계를 거치지 않고는 외부유출이 불가능 하도록 시스템 구축
3. 새로운 유형의 사회공학적 해킹에 대해 연구하고 신속하게 대처할 수 있는 정부차원의 체계 구축
o 정보기기의 종류와 활용범위 증가, 새로운 IT서비스의 증가로 인해 발생할 수 있는 사회공학적 공격 통로를 예측하고
사용자들에게 미리 위험성을 경고
※ 스마트폰의 발전, 소셜 네트워트 사이트의 확산 등
o 유포되고 있는 사회공학적 해킹의 현황을 신속하게 보도하여 피해 확산을 방지할 수 있는 시스템 마련
- 개인정보 수집이 용이해지고 사회공학적 공격법이 정밀해짐에 따라 사용자가 사회공학적 해킹을 판별해내는 것이
어려워지므로, 공격유형 정보를 신속히 제공하여 확산 방지
출처 : KISA 한국정보보호진흥원
'정보보호 세미나' 카테고리의 다른 글
| 사회공학적 해킹의 변화 (1) | 2009/08/24 |
|---|---|
| 정보 보안(Information Security, 정보 보호)의 정의 (0) | 2009/06/25 |
| 고성능 침해탐지 및 대응기술 (0) | 2009/06/25 |
| 정보보안시스템 구축 현황 (0) | 2009/06/25 |
| 정보보호대학 (0) | 2009/06/22 |
| 웹 hack basic (0) | 2009/06/22 |
