검수요청.png검수요청.png

"사회공학"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
11번째 줄: 11번째 줄:
 
=== 개인 ===
 
=== 개인 ===
 
==== 프리텍스팅 ====
 
==== 프리텍스팅 ====
가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.<ref>〈[https://terms.naver.com/entry.nhn?docId=2064545&cid=50305&categoryId=50305 프리텍스팅]〉, 《네이버 지식백과》</ref>
+
가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.<ref>〈[https://terms.naver.com/entry.nhn?docId=2064545&cid=50305&categoryId=50305 프리텍스팅]〉, 《네이버 지식백과》</ref>
 
* 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
 
* 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
 
* 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
 
* 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
 
* 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.
 
* 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.
 
==== 테일 게이트, 피기배킹 ====
 
==== 테일 게이트, 피기배킹 ====
피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
+
피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
 
* 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.
 
* 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.
 
==== 쿼드 프로 쿼 ====
 
==== 쿼드 프로 쿼 ====
quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
+
quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
 
* IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
 
* IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
  
 
=== 매체를 이용한 전자적 수법 ===
 
=== 매체를 이용한 전자적 수법 ===
 
==== 피싱 ====
 
==== 피싱 ====
* 이름, 주소, 주민등록번호 등 개인정보를 요구한다.
+
* 이름, 주소, 주민등록번호 등 개인정보를 요구한다.
 
* 단축된 도메인을 사용하거나, 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다.
 
* 단축된 도메인을 사용하거나, 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다.
 
* 공포감을 조성하고, 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다.
 
* 공포감을 조성하고, 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다.
30번째 줄: 30번째 줄:
 
* 휴대폰에 알수 없는 APK파일을 설치하라고 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다.
 
* 휴대폰에 알수 없는 APK파일을 설치하라고 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다.
 
==== 베이팅 ====
 
==== 베이팅 ====
공짜 영화 다운로드, 공짜 포르노 등을 걸어놓고 프로그램 설치, 금융결제 등을 유도하여 개인정보를 알아낸다.
+
공짜 영화 다운로드, 공짜 포르노 등을 걸어놓고 프로그램 설치, 금융결제 등을 유도하여 개인정보를 알아낸다.
  
 
=== 불특정 다수에 대한 물리적 수법 ===
 
=== 불특정 다수에 대한 물리적 수법 ===
피해자를 특정해 놓지 않고 누군가는 걸리라는 방식으로 일반인들이 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌린다.
+
 
 +
피해자를 특정해 놓지 않고 누군가는 걸리라는 방식으로 일반인들이 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌린다.
 +
 
 
* 해킹 툴로 가득한 USB를 떨어뜨려 놓은 경우 : 해킹이라고는 미처 생각치 못한 일반인이 USB를 컴퓨터에 꽂는 순간 그 컴퓨터는 해커가 지배할 수 있다. <ref name="나무위키"></ref>
 
* 해킹 툴로 가득한 USB를 떨어뜨려 놓은 경우 : 해킹이라고는 미처 생각치 못한 일반인이 USB를 컴퓨터에 꽂는 순간 그 컴퓨터는 해커가 지배할 수 있다. <ref name="나무위키"></ref>
  

2019년 7월 26일 (금) 16:45 판

개요

역사

사회공학이란 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단이다. 즉 첩보/해킹의 한 분야가 학술적으로 정립된 것이라고도 할 수 있다. 어떤 학자나 기술자라고 보기는 어렵고, 컴퓨터 보안을 깨는 사기꾼이다. 고도의 컴퓨터 기술을 필요로 하는 다른 해킹의 분야와 달리 사회공학은 인간의 심리를 이용하는 경우가 많다. 필연적으로 사회공학만을 사용하기보다는 다른 해킹의 분야와 같이 사용되는 경우가 많다. 사회공학이라는 단어는 컴퓨터가 존재하기 이전부터 존재했을 정도로 유서가 깊다. 그 특성 상 해킹이 아닌 다른 인간의 심리를 다루는 분야와도 관련이 많은 편이다. 고로 일상생활에서도 유용한 기술이다. [1]

특징

공격 유형

개인

프리텍스팅

가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.[2]

  • 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
  • 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
  • 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.

테일 게이트, 피기배킹

피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.

  • 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.

쿼드 프로 쿼

quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.

  • IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.

매체를 이용한 전자적 수법

피싱

  • 이름, 주소, 주민등록번호 등 개인정보를 요구한다.
  • 단축된 도메인을 사용하거나, 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다.
  • 공포감을 조성하고, 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다.
  • 실제 공공기관이나 금융기관 등 믿을만한 기관을 사칭하여 개인정보를 요구한다.
  • 휴대폰에 알수 없는 APK파일을 설치하라고 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다.

베이팅

공짜 영화 다운로드, 공짜 포르노 등을 걸어놓고 프로그램 설치, 금융결제 등을 유도하여 개인정보를 알아낸다.

불특정 다수에 대한 물리적 수법

피해자를 특정해 놓지 않고 누군가는 걸리라는 방식으로 일반인들이 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌린다.

  • 해킹 툴로 가득한 USB를 떨어뜨려 놓은 경우 : 해킹이라고는 미처 생각치 못한 일반인이 USB를 컴퓨터에 꽂는 순간 그 컴퓨터는 해커가 지배할 수 있다. [1]

활용

대안

사례

각주

  1. 1.0 1.1 사회공학〉, 《나무위키》
  2. 프리텍스팅〉, 《네이버 지식백과》

참고자료

같이보기

  검수요청.png검수요청.png 이 사회공학 문서는 블록체인 기술에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.