검수요청.png검수요청.png

"사회공학"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
11번째 줄: 11번째 줄:
 
=== 개인 ===
 
=== 개인 ===
 
==== Pretexting ====
 
==== Pretexting ====
가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.<ref>〈[https://terms.naver.com/entry.nhn?docId=2064545&cid=50305&categoryId=50305 프리텍스팅]〉, 《네이버 지식백과》</ref>
+
가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.<ref>〈[https://terms.naver.com/entry.nhn?docId=2064545&cid=50305&categoryId=50305 프리텍스팅]〉, 《네이버 지식백과》</ref>
 
* 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
 
* 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
 
* 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
 
* 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
 
* 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.<ref name="나무위키"></ref>
 
* 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.<ref name="나무위키"></ref>
 
==== Tailgating, Piggybacking ====
 
==== Tailgating, Piggybacking ====
피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
+
피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
 
* 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.
 
* 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.
 
==== Quid Pro Quo ====
 
==== Quid Pro Quo ====
quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
+
quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
 
* IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
 
* IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
  

2019년 7월 26일 (금) 16:32 판

개요

역사

사회공학이란 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단이다. 즉 첩보/해킹의 한 분야가 학술적으로 정립된 것이라고도 할 수 있다. 어떤 학자나 기술자라고 보기는 어렵고, 컴퓨터 보안을 깨는 사기꾼이다. 고도의 컴퓨터 기술을 필요로 하는 다른 해킹의 분야와 달리 사회공학은 인간의 심리를 이용하는 경우가 많다. 필연적으로 사회공학만을 사용하기보다는 다른 해킹의 분야와 같이 사용되는 경우가 많다. 사회공학이라는 단어는 컴퓨터가 존재하기 이전부터 존재했을 정도로 유서가 깊다. 그 특성 상 해킹이 아닌 다른 인간의 심리를 다루는 분야와도 관련이 많은 편이다. 고로 일상생활에서도 유용한 기술이다. [1]

특징

공격 유형

개인

Pretexting

가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.[2]
  • 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
  • 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
  • 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.[1]

Tailgating, Piggybacking

피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
  • 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.

Quid Pro Quo

quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
  • IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.

매체를 이용한 전자적 수법

피싱

  • 이름, 주소, 주민등록번호 등 개인정보를 요구한다.
  • 단축된 도메인을 사용하거나, 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다.
  • 공포감을 조성하고, 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다.
  • 실제 공공기관이나 금융기관 등 믿을만한 기관을 사칭하여 개인정보를 요구한다.
  • 휴대폰에 알수 없는 APK파일을 설치하라고 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다.

Baiting

활용

대안

사례

각주

  1. 1.0 1.1 사회공학〉, 《나무위키》
  2. 프리텍스팅〉, 《네이버 지식백과》

참고자료

같이보기

  검수요청.png검수요청.png 이 사회공학 문서는 블록체인 기술에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.