사회공학
사회공학(social engineering)은 보안학적 측면에서 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 일컫는다.
개요[편집]
사회공학의 사전적 정의는 '컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여, 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위'이다. 사회공학은 조직의 특성에 따라 보안에 큰 문제를 야기하기도 하는데 주변을 살펴보면 조직의 구성원에 의해 정보가 상당히 쉽게 유출되는 모습을 볼 수 있다. 일례로 정보를 얻기 위해 "혹시 OO에 아는 사람 있어?"라고 묻는 것도 사회공학을 이용한 사례에 해당한다. 실제로 조직 내에서 패스워드 점검 차원 등을 이유로 개인 패스워드를 물으면 상당수의 직원이 자신의 패스워드를 바로 알려주곤 한다. 그리고 약 2/3에 해당하는 사람이 업무상 패스워드와 개인용 이메일 혹은 인터넷뱅킹 패스워드를 동일하게 사용한다. 이런 사실을 악용할 경우 상당히 위험해진다.[1]
사회공학은 첩보/해킹의 한 분야가 학술적으로 정립된 것이라고도 할 수 있다. 사회공학 공격을 행하는 사람들은 어떤 학자나 기술자라고 보기는 어렵고, 컴퓨터 보안을 깨는 사기꾼이다. 고도의 컴퓨터 기술을 필요로 하는 다른 해킹의 분야와 달리 사회공학은 인간의 심리를 이용하는 경우가 많다. 필연적으로 사회공학만을 사용하기보다는 다른 해킹의 분야와 같이 사용되는 경우가 많다. 사회공학이라는 단어는 컴퓨터가 존재하기 이전부터 존재했을 정도로 유서가 깊다. 그 특성 상 해킹이 아닌 다른 인간의 심리를 다루는 분야와도 관련이 많은 편이다. 고로 일상생활에서도 유용한 기술이다. [2]
특징[편집]
방법[편집]
사회공학은 인간의 심리 현상 중에서도 신뢰를 이용하는 것에 기반을 두고 있다.
- 계획 설정 : 사회공학을 기법을 효과적으로 사용하기 위하여 사전에 설정할 필요가 있다.
- 출처 : 공격자가 전달하는 정보나 의사소통의 출처
- 채널 : 전달하는 수단 (예: 이메일, 전화 등)
- 메시지 : 수신자에게 어떤 말을 하려고 하는지 아는 것
- 수신자 : 목표 대상
- 피드백 : 효과적으로 의사소통을 한 다음 목표물에게서 얻고자 하는 것
- 정보 수집 : 공격자의 사고방식은 모든 정보를 의심하는 것이다. 쓰레기통을 뒤지거나 파쇄된 문서를 짜 맞춘다던지 하는 일반적으로 상상하기 힘든 모든 방법을 통해 정보를 수집한다. 이것에는 SNS, 기업의 웹사이트 등에 업로딩된 개인정보를 수집하는 것 또한 포함된다. 예를 들자면 미국의 어떤 웹사이트에서는 이용자가 사진을 올릴 때 사진에 포함된 GPS 위치 정보를 함께 제공하였다. 공격자는 이런 식의 모든 정보를 치밀하게 이용한다.
- 의사소통 : 의사소통의 목적은 의사소통을 통해 수집한 작은 정보를 더 큰 정보로 바꾸기 위함이다. 우리가 기존에 가지고 있는 정보를 알려줌으로서 상대방의 신뢰를 얻는 것이다. 이 때 대부분 의사소통을 이용해 상대방의 대한 정보량을 늘리게 되는데, 이 때 수집한 정보를 이용해 신뢰성을 주는 것이다. 예를 들어서 공격자가 택배 용지에 붙은 박스에서 타겟의 전화번호와 이름을 알게 되었다고 가정해보자. 상대의 휴대폰 고지서를 통해 통신사를 알게 된 공격자는 상대방에게 전화번호로 전화를 걸어서 "고객님 저희는 S통신사입니다"라고 하며 전화를 걸어 수집한 정보를 이용해 신뢰를 주고, "죄송하지만 고객님의 정보 오류가 개인정보 수정에 해당되는 사안이라 주민번호를 눌러주세요."라고 하는 등의 행위를 통해 개인정보를 탈취할 수 있다. 이렇게 더 많은 정보를 얻어내는 것이 의사소통의 역할이다.
- 의사소통의 원리
- 상대방이 자신과 같은 사고방식을 가지고 있다고 가정하지 않는다.
- 상대방이 자신의 유도한 방향대로만 해석할 것이라고 생각하지 않는다.
- 의사소통에 참여하는 사람이 많을수록 가치관과 해석하는 방향이 다르다는 것을 기억한다.
- 의사소통은 몸짓, 문자, 이모티콘 등도 의사소통의 한 분야임으로 말로 전달하는 것만 의사소통이라고 생각하지 않는다.
- 도출 : 특정한 결론이나 행동을 이끌어 내는 행위를 말한다.
- 프리텍스팅 : 목표물을 설득해 정보를 누설하거나 가해자가 원하는 행위를 하게 만드는 행위를 일컫는다. 단순히 거짓말을 하는 것 이상의 의미를 지닌다. 완전히 새로운 누군가로 위장하는 것 역시 이곳에 포함한다.
공격 절차[편집]
사회공학적 공격으로 유명한 케빈 미트닉(Mitnick, Kevin D)은 사회공학적 공격을 총 4단계로 분류하였다.
- 공격자는 목표 기업의 사내 보안 규정에 휴대용 저장 매체(ex: USB 메모리) 보안에 관련된 사항이 없으며 USB 메모리 사용에 대한 규정이 없다는 것을 발견하였다.
- 공격자는 최근에 나온 USB 3.0 메모리를 구매한 후 백도어를 생성하는 악성 코드를 삽입한다. 공격자는 USB 3.0 메모리를 퇴근 시간에 목표 회사의 현관에 떨어뜨려 놓는다.
- 보안 교육을 제대로 받지 않은 신입 사원이 마침 업무에 필요한 USB 3.0 메모리를 발견하고 호기심과 함께 자신의 업무용 컴퓨터에 연결을 해 본다. 컴퓨터가 USB 3.0 메모리를 인식함과 동시에 해당 컴퓨터에는 백도어가 자동으로 설치된다.
- 공격자는 백도어가 설치된 컴퓨터에 수시로 접속하여 정보를 빼내거나 사내 네트워크에 접속하여 또 다른 취약점이 있는지 확인한다.
공격 유형[편집]
개인간[편집]
- 프리텍스팅(Pretexting)
- 장 많이 이용하는 공격 유형 중 하나로, 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 신분을 조작하거나 적당한 시나리오를 꾸며내 피해자가 스스로 가해자가 원하는 행동을 하게 만드는데, 이 때 상대가 가상의 인물을 의심할 때 쓰이는 정보들을 최대한 많이 알아내야 유리하다. 미국의 컴퓨터 장비업체인 휴렛패커드(Hewlett-Packard)가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.[3]
- 사례
- 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
- 입사지원서를 통한 암호화폐 거래소 해킹 : 인사팀으로 입사지원서를 보내고 첨부파일에 악성 코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
- 잘못 보낸 중요한 이메일로 가장 : 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.
- 테일 게이트(Taligating) 및 피기배킹(Piggybacking)
- 피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼내는 방식이다. 대표적인 사례로 공시생 성적조작 사건이 있다. 침입자는 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작했다.
- 쿼드 프로 쿼(quid pro quo)
- ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다. 대표적인 사례로 IT 지원을 가장했던 사례가 있다. 회사의 전화번호마다 수십 번 수백 번 전화를 걸어 "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다."고 말한다. 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 하는데, 그때 "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
전자적 수법[편집]
- 피싱(Phishing)
- 이름, 주소, 주민등록번호 등 개인정보를 요구하는 방식으로, 단축된 도메인을 사용하거나 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다. 이때 공포감을 조성하고 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다. 공격자는 실제 공공기관이나 금융기관 등 믿을만한 기관을 사칭하여 개인정보를 요구하고 휴대폰에 알수 없는 APK파일을 설치할 것을 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다. 접근 수법으로는 '무료쿠폰 제공, 돌잔치 초대장' 등을 내용으로 하는 문자 메시지 내 인터넷 주소를 클릭하면 악성 코드가 설치되어 피해자가 모르는 사이에 소액 결제 피해 또는 개인 금융정보를 탈취하는 수법인 스미싱(SMS Phishing)과 전화를 이용하는 보이스피싱 등이 있다. 공격자들은 피싱을 통해 피해자의 나체 사진을 유포하거나 전기통신금융사기 등을 일으킨다.
- 또한 자사 인터넷뱅킹 서비스를 이용하려고 인터넷에 접속하는 사용자가 있다. 은행 입장에서는 그 사용자를 인증해서 문제가 없으면 서비스를 제공하고, 인증에 실패하면 서비스를 제공하지 않으면 된다. 관련 정책과 기술에서는 사용자를 얼마나 철저히 인증할 수 있는가가 주된 관심사였다. 이런 단일 방향 인증의 허점을 파고든 것이 바로 피싱 공격이다. 사용자 입장에서는 자신이 이용하고 있는 은행인 줄 알고 정보를 입력한다. 그런데 실제로는 거래하던 은행이 아니고 해커가 만들어놓은 가짜 은행인 것이다. 개인정보의 경제적 가치는 점점 높아진다. 이에 따라 사용자 정보를 불법적으로 빼내려는 악의적인 피싱 공격도 늘어날 것이다. 그 방식도 더욱 교묘해질 가능성이 크다. 그 흐름을 다음의 두 갈래 방향으로 예측할 수 있다.
- 첫째는 실시간 피싱(real-time phishing 또는 man-in-the-middle phishing)이다. 개인 보안카드의 코드 번호 전체 및 일련번호를 요구하는 기존의 피싱 수법은 앞으로 점차 줄어들 것이다. 피해 사례가 많이 알려질 것이기 때문이다. 그 대신 거래 중인 사용자와 서비스 시스템 사이에 실시간으로 끼어드는 형태의 공격이 나타날 가능성이 크다. 사용자에게는 정상적인 서비스 시스템인 척한다. 서비스 공급자에게는 정상적인 사용자인 것처럼 위장한다. 둘 사이에 있으면서 실시간으로 사용자의 정보를 빼내 금융 사기를 벌이는 수법이다. 기존의 피싱 공격은 사용자가 입력한 금융 정보를 탈취한 후, 그 탈취 정보를 이용해 불법 금융 사기를 벌였다. 여기에는 무작위로 생성되는 1회용 암호를 이용하는 일회용 비밀번호(OTP; One-Time Password) 인증이나 휴대전화 인증 등 ‘2채널 인증’으로 대응할 수 있었다. 반면, 실시간 피싱 공격의 경우 단순한 2채널 인증만으로는 해결할 수 없다. 사용자와 서버 사이에 있으면서 둘 모두를 속이는 수법이기 때문이다.
- 현재 이러한 공격을 방어하기 위해 위치 정보 등과 같은 부가 정보를 이용한 인증 방법이 개발되고 있다. 둘째는 오프라인 피싱(off-line phishing)을 예상할 수 있다. 기존에는 사용자에게 이메일이나 문자메시지를 보내 사용자의 개인정보를 가로채는 방식이 많았다. 요즘에는 NFC(Near Field Communication) 기술이 탑재된 스마트폰이 광범위하게 보급됐다. NFC란 10cm 이내의 가까운 거리에서 다양한 무선데이터를 주고받는 통신 방식이다. 이로 인해 스마트폰을 오프라인에서 터치하는 것만으로 결제뿐만 아니라 각종 정보 안내 등을 받을 수 있는 서비스들이 늘어나고 있다. [4]
- 이에 따라 포털 사이트의 온라인 카페 알림을 사칭한 스미싱이 확산돼 안랩이 주의를 당부하고 나섰다. 18일 안랩에 따르면 이번에 발견된 스미싱은 특정 포털 온라인 카페의 답글 등록 알림을 사칭하고 있다. 해당 스미싱 문자에는 '고객님 명의로 카페에 답글 1개가 등록됐습니다' 등의 내용이 담겨 실제 푸시 알림과 유사한 특성이 있다. 해당 URL을 누르면 안드로이드폰의 경우 악성 애플리케이션이 설치·실행되거나 개인정보 및 금융정보가 탈취될 수 있다. 해당 스미싱은 지난 16일부터 17일 사이 총 266건이 접수 돼 확산 추세를 보이고 있다. 이 수치는 안랩의 스미싱 예방 애플리케이션인 '안전한 문자'가 문구 수집에 동의한 사용자를 대상으로 수집한 건이어서 접수에 동의하지 않은 건수를 포함할 경우 피해자는 더욱 늘어날 것으로 보인다.
- 사용자가 스미싱 문자 내 URL을 실행해 해당 앱을 설치할 경우 포털 사이트의 로고를 사칭한 아이콘이 바탕화면에 생성되고 이 악성 앱은 금융정보를 요구하는 가짜 은행 앱 설치를 유도하거나 수신 전화를 차단, 주소록과 수신 문자메시지(SMS)를 공격자에게 유출하는 기능을 갖고 있다. 특히 이번 악성 앱은 최초 실행 시 관리자 권한을 요구해 사용자가 이를 허용하면 공격자를 삭제하지 못하도록 보호하는 기능을 갖고 있다. 또 바탕화면에 생성됐던 아이콘이 삭제됨으로써 사용자가 앱이 설치되었음을 알지 못하도록 위장한다. 악성 기능을 C&C서버(Command & Control 서버, 명령 제어 서버)를 통해 공격자가 원격으로 실행할 수 있도록 함으로써 동일한 악성 기능을 타인에게 문자로 전송할 수도 있다. [5]
- 스피어피싱(Spear Phishing)
- 불특정 다수에게 무작정으로 메시지를 뿌리는 것이 아니라 개인, 어떤 조직의 특정 인물, 특정 조직만을 선택해 사기를 치는 방식이다. 과거에는 이런 사기를 당하는 사람들이 정보기관이나 군인이었지만, 오늘날에는 큰 기업체를 통채로 공격 대상으로 삼는 것은 물론이고 보이스피싱도 스피어피싱의 요소를 갖추고 있다. 스피어피싱의 대표적인 사례로는 LG화학의 사례가 있는데, 사우디아라비아 아람코(Aramco)의 자회사 아람코프로덕트트레이딩(Aramco Trading Company , ATC)의 납품대금 계좌가 변경됐다는 가짜 이메일을 받고, 허위 계좌로 240억 원을 보냈다. 거래 계좌가 변경됐다는 이메일을 받은 LG화학의 담당자는 이메일에 나와 있는 전화번호를 통화를 했고, 서류까지 주고받아 확인한 뒤 별다른 의심 없이 변경 계좌에 큰 돈을 송금했다. 이러한 사기를 방지하기 위해서 은행에 명의와 계좌가 일치할 때만 송금하도록 조건부 송금 요청을 하는데 은행에서 이런 부분이 지켜지지 않았다. 아마도 사우디 아람코, 계좌 송금은행, LG화학 세 군데 중 하나의 보안이 뚫렸을 것으로 판단된다.
물리적 수법[편집]
- 베이팅(Baiting)
- 피해자를 특정해 놓지 않고 누군가는 걸리라는 방식으로 일반인들이 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌리는 방식이다. 대표적인 사례로는 회사에 방문객으로 위장해 들어가 USB를 떨어뜨려놓고 직원이 주워가기를 기다리는 것이다. 누군가가 회사 근처에서 주인 없는 USB를 주웠다고 가정해보자. 주인을 찾아 주려고 하든 안 하든 보통 열어보려는 심리를 가지고 있다. 일반인이라면 이것이 해킹 수법이라는 생각을 하지 않으며, 특히 회사 근처에서 주웠기 때문에 컴퓨터에 꽂아 열어보려는 심리가 있다. 그런데 만약 이 USB가 해킹 툴로 가득한 USB라면 그 순간부터 해당 컴퓨터는 해커의 목표물이 되어 해커는 회사 네트워크를 해당 컴퓨터를 통해 접근할 것이다.[2]
활용[편집]
심리학, 사회학, 신경 언어 프로그래밍(NLP), 프레이밍 등 사회공학 기술에 접목하기 쉬운 분야들과의 연계가 활발한 편이다. 또한 이것들이 사회공학 기술에 많은 영향을 주었다고 알려져 있고, 공격자들 역시 적극적으로 수용하여 사회공학과 같이 사용하고 있다고 한다. 예를 들어 여자, 어린이, 강아지 등을 사회공학 수법에 접목하면 외모지상주의 면이나 언더독 효과를 이용해 의심을 적게 살 수 있다. 미인계나 연애사기도 그렇고, 위에 설명된 각종 피싱에서 미인 지원자의 입사 자기소개서 같은 수단으로 해킹툴을 설치하는 것도 해당한다.[2]
대안[편집]
- 상호인증 방식 도입
- 사용자는 스마트폰을 태그나 센서가 장착된 정보 단말에 터치하는 것으로 부가적인 서비스를 얻을 수 있다. 이때 불법 태그나 센서를 통해 사용자를 악의적인 사이트로 유도한다면 스마트폰 속의 개인정보가 충분히 유출될 수 있다. 현재 이러한 문제점을 해결하기 위해 사용자가 주변 서비스 환경의 다양한 단말기를 인식 및 인증하고, 사용자의 통제하에서 사용자 정보가 교류될 수 있는 기술이 개발되고 있다. 그러나 피싱 수법과 그에 대한 방어 기술은 항상 ‘창과 방패’ 같은 관계다. 사용자 정보를 노리는 피싱 공격은 더욱 교묘한 방식으로 진화할 것이다. 이에 대비하려면 사용자가 서비스 이용 시 연결 주소를 잘 살피고 의심스런 사이트 접속과 파일 설치를 하지 않아야 한다. 이와 함께 사용자가 피싱 공격에 대해 제대로 인지하고, 관련 피해를 입지 않도록 실질적인 도움을 줄 수 있는 지속적인 기술 개발과 적용이 병행돼야 한다. 무엇보다 ‘상호 인증’ 방식에 대한 정책 및 기술적 고려가 필요하다. 은행이 사용자를 인증하는 만큼 사용자도 은행을 인증할 수 있어야 한다. 특히 향후 서비스 환경이 고도로 지능화된다면 사용자 주변에는 지금보다 훨씬 많은 전자 센서들이 나타나게 될 것이다. 사용자로서는 자신에게 서비스를 제공하려는 대상에 대한 인증이 더욱 중요해지는 것이다.[4]
- 주기적 검사
- 스미싱 피해를 최소화 하기 위해서는 소셜네트워크서비스(SNS)나 문자 메시지에 포함된 URL 실행을 주의하고 모바일 백신을 설치해 스마트폰을 주기적으로 검사해야 한다. 또 알 수 없는 출처의 허용을 금지하고 스미싱 탐지 전용 앱을 다운받는 것이 좋다. 최근에는 이같은 스미싱 외에도 '경제활동 인구조사 실시중입니다. 모바일참여로 간편한 협조 바랍니다' 또는 '모바일 표본조사 대상입니다' 등 정부조사를 사칭한 스미싱 문구도 등장하는 추세이다. 이호웅 안랩 시큐리티대응센터장은 "최근 스미싱이 유명 사업자의 이름을 사칭하거나 호기심을 자극하는 사회공학적 방법을 이용하는 등 더욱 교묘해지고 있다"며 "안전한 문자 등 스미싱 차단 전용 앱을 설치하는 등 사용자의 각별한 주의가 필요하다"고 말한다.
- 요구 사항 파악
- 상대와의 갑작스러운 통화는 사람을 당황하게 만든다. 그렇게 되면 판단능력이 흐려지고 중요한 사실을 잊게 될 수 있다. 갑작스럽게 전화가 와서 상대가 긴급한듯 대화를 시도하면 그 분위기에 휩쓸려 중요한 정보를 쉽게 유출할 수 있다는 것이다. 이는 평소에 이러한 상황에 대해 대비해야 할 필요성이 있지만 모든 사람들이 그러지는 못한다. 정확히 상대가 요구하는 정보가 무엇인지 내가 상대에게 주는 정보가 중요한지 아닌지 상대가 이 정보를 갖고 나에게 불이익을 줄 수 있는지 정확하게 판단할 수 있어야 한다. 무언가 낌새가 이상하고, 중요한 정보를 물어보는 상대에게는 경계해야할 필요가 충분하다.
각주[편집]
- ↑ 〈사회공학에 대한 이해〉, 《네이버 지식백과》
- ↑ 2.0 2.1 2.2 〈사회공학〉, 《나무위키》
- ↑ 〈프리텍스팅〉, 《네이버 지식백과》
- ↑ 4.0 4.1 〈당신뿐 아니라 은행까지 속인다〉, 《시사저널》
- ↑ 배윤경 기자, 〈온라인 카페 답글 달렸다고 클릭했다간…`스미싱 주의보`〉, 《매일경제》, 2014-02-18
참고자료[편집]
- 〈사회공학〉, 《나무위키》
- 〈프리텍스팅〉, 《네이버 지식백과》
- 〈사회공학에 대한 이해〉, 《네이버 지식백과》
- 〈사회공학〉, 《네이버 지식백과》
- 진승헌 , 〈당신뿐 아니라 은행까지 속인다〉, 《시사저널》, 2013-04-09
- 배윤경 , 〈온라인 카페 답글 달렸다고 클릭했다간…`스미싱 주의보`〉, 《매일경제》, 2014-02-18
같이 보기[편집]