사회공학
사회공학(social engineering)은 보안학적 측면에서 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 일컫는다.
목차
개요
사회공학(social engineering)의 사전적 정의는 '컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여, 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위'이다. 사회공학은 조직의 특성에 따라 보안에 큰 문제를 야기하기도 하는데 주변을 살펴보면 조직의 구성원에 의해 정보가 상당히 쉽게 유출되는 모습을 볼 수 있다. 일례로 정보를 얻기 위해 "혹시 OO에 아는 사람 있어?"라고 묻는 것도 사회공학을 이용한 사례에 해당한다. 실제로 조직 내에서 패스워드 점검 차원 등을 이유로 개인 패스워드를 물으면 상당수의 직원이 자신의 패스워드를 바로 알려주곤 한다. 그리고 약 2/3에 해당하는 사람이 업무상 패스워드와 개인용 이메일 혹은 인터넷뱅킹 패스워드를 동일하게 사용한다. 이런 사실을 악용할 경우 상당히 위험해진다.[1]
역사
사회공학이란 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단이다. 즉 첩보/해킹의 한 분야가 학술적으로 정립된 것이라고도 할 수 있다. 어떤 학자나 기술자라고 보기는 어렵고, 컴퓨터 보안을 깨는 사기꾼이다. 고도의 컴퓨터 기술을 필요로 하는 다른 해킹의 분야와 달리 사회공학은 인간의 심리를 이용하는 경우가 많다. 필연적으로 사회공학만을 사용하기보다는 다른 해킹의 분야와 같이 사용되는 경우가 많다. 사회공학이라는 단어는 컴퓨터가 존재하기 이전부터 존재했을 정도로 유서가 깊다. 그 특성 상 해킹이 아닌 다른 인간의 심리를 다루는 분야와도 관련이 많은 편이다. 고로 일상생활에서도 유용한 기술이다. [2]
특징
컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단. 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일을 통해 그들의 약점과 도움을 이용하는 것이다. 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 몰라서 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 사회 공학적 기술이다. 이 수단을 이용하여 시스템 접근 코드와 비밀번호를 알아내 시스템에 침입하는 것으로 물리적, 네트워크 및 시스템 보안에 못지 않게 인간적 보안이 중요하다.[3]
방법
사회공학은 인간의 심리 현상 중에서도 신뢰를 이용하는 것에 기반을 두고 있다.
- 출처: 공격자가 전달하는 정보나 의사소통의 출처.
- 채널: 전달하는 수단을 말한다. (예: 이메일, 전화 등)
- 메시지: 수신자에게 어떤 말을 하려고 하는지 아는 것이다.
- 수신자: 목표 대상을 말한다.
- 피드백: 효과적으로 의사소통을 한 다음 목표물에게서 얻고자 하는 것을 말한다.
1) 정보 수집 공격자의 사고방식은 모든 정보를 의심하는 것이다. 쓰레기통을 뒤지거나 파쇄된 문서를 짜 맞춘다던지 하는 일반적으로 상상하기 힘든 모든 방법을 통해 정보를 수집한다. 이것에는 SNS, 기업의 웹사이트 등에 업로딩된 개인정보를 수집하는 것 또한 포함된다. 예를 들자면 미국의 어떤 웹사이트에서는 이용자가 사진을 올릴 때 사진에 포함된 GPS 위치 정보를 함께 제공하였다. 공격자는 이런 식의 모든 정보를 치밀하게 이용한다.
2)의사소통 의사소통의 목적은 의사소통을 통해 수집한 작은 정보를 더 큰 정보로 바꾸기 위함이다. 우리가 기존에 가지고 있는 정보를 알려줌으로서 상대방의 신뢰를 얻는 것이다. 이 때 대부분 의사소통을 이용해 상대방의 대한 정보량을 늘리게 되는데, 이 때 수집한 정보를 이용해 신뢰성을 주는 것이다.
의사소통의 원리 1. 상대방이 자신과 같은 사고방식을 가지고 있다고 가정하지 않는다. 2. 상대방이 자신의 유도한 방향대로만 해석할 것이라고 생각하지 않는다. 3. 의사소통에 참여하는 사람이 많을수록 가치관과 해석하는 방향이 다르다는 것을 기억한다. 4. 의사소통은 몸짓, 문자, 이모티콘 등도 의사소통의 한 분야임으로 말로 전달하는 것만 의사소통이라고 생각하지 않는다.
3)도출 특정한 결론이나 행동을 이끌어 내는 행위를 말한다.
4)프리텍스팅 목표물을 설득해 정보를 누설하거나 가해자가 원하는 행위를 하게 만드는 행위를 일컫는다. 단순히 거짓말을 하는 것 이상의 의미를 지닌다. 완전히 새로운 누군가로 위장하는 것 역시 이곳에 포함한다.
사회공학 사이클
케빈 미트닉(Mitnick, Kevin D)은 사회공학적 공격을 총 4단계로 분류하였다.
- 1단계(research): 공격자는 목표 기업의 사내 보안 규정에 휴대용 저장 매체(ex: USB 메모리) 보안에 관련된 사항이 없으며 USB 메모리 사용에 대한 규정이 없다는 것을 발견하였다.
- 2단계(developing trust): 공격자는 최근에 나온 USB 3.0 메모리를 구매한 후 백도어를 생성하는 악성 코드를 삽입한다. 공격자는 USB 3.0 메모리를 퇴근 시간에 목표 회사의 현관에 떨어뜨려 놓는다.
- 3단계(exploiting trust): 보안 교육을 제대로 받지 않은 신입 사원이 마침 업무에 필요한 USB 3.0 메모리를 발견하고 호기심과 함께 자신의 업무용 컴퓨터에 연결을 해 본다. 컴퓨터가 USB 3.0 메모리를 인식함과 동시에 해당 컴퓨터에는 백도어가 자동으로 설치 된다.
- 4단계(utilizing trust): 공격자는 백도어가 설치된 컴퓨터에 수시로 접속하여 정보를 빼내거나 사내 네트워크에 접속하여 또 다른 취약점이 있는지 확인한다.
공격 유형
개인
프리텍스팅
가장 많이 이용하는 공격 유형 중 하나이다. 다른 사람의 통화기록과 같은 사적인 정보를 회사 등이 본인을 사칭해 입수하는 것을 말한다. 휴렛패커드가 자사 정보가 계속 언론에 유출되자 내부자 소행으로 보고 외부업체를 고용해 조사하면서 프리텍스팅 수법을 사용한 것으로 드러나면서 세간에 이슈가 됐다.[4]
- 모델 회사를 창업하는 것으로 가장 : 면접을 위한 자기소개서를 홈페이지 상에서 단계별로 요구한다는 식의 방법으로 여성들의 나체 사진을 획득한다.
- 입사지원서를 통한 가상화폐 거래소 해킹: 인사팀으로 입사지원서를 보내고 첨부파일에 악성코드를 심어놓는다. 특히 파일을 열어보게 만들 마음으로 본문에 예쁜 여성의 사진을 첨부하면서 지원자라고 속인다.
- 잘못 보낸 중요한 이메일로 가장: 첨부파일에 송장 (invoice) 등의 이름을 붙여놓는다. 피해자는 모르는 사람이 보낸 이메일이기는 하지만 어떤 중요한 내용이 있을까 궁금해져서 첨부파일을 열어본다. 이를 통해 악성코드에 감염되어 백도어가 열린다.
테일 게이트, 피기배킹
피해자를 이용해 자연스럽게 뒤따라 가서 정보를 빼낸다.
- 공시생 성적조작 사건 : 침입자는 외출-외박 복귀하는 청사 경비 의경 3~4명 뒤를 따라 정부서울청사 후문에 아무 제지 받지 않고 침입하는 데 성공하고, 1층 체력단련실의 샤워실 옆 라커룸에서 공무원 출입증을 훔치는 데도 성공한다. 이 출입증으로 침입한 후 정부서울청사 내부의 컴퓨터에 로그인해 성적을 조작한다.
쿼드 프로 쿼
quid pro quo’는 ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용한다.
- IT 지원을 가장하는 경우: 회사의 전화번호마다 수십번 수백번 전화를 건다. "여기는 컴퓨터 지원부서인데 IT 도움이 필요하다는 연락을 받고 전화드리게 되었다." 수십번 전화를 하다 보면 한 명 정도는 실제로 이런 상황에 처한 사람이 받기도 한다. "프로그램 재설치를 위해서는 회사 전산시스템에 접속해야 하거든요. 아 이거 잘 안 되네. 아이디랑 패스워드 좀 줘보세요."라는 식으로 정보를 캐어낸다.
매체를 이용한 전자적 수법
피싱
- 이름, 주소, 주민등록번호 등 개인정보를 요구한다.
- 단축된 도메인을 사용하거나, 합법적인 사이트에서 리다이렉트 연결하는 것으로 속인다.
- 공포감을 조성하고, 위협하여 긴급상황을 가장해 피해자가 정상적인 판단을 하지 못하도록 한다.
- 실제 공공기관이나 금융기관 등 믿을만한 기관을 사칭하여 개인정보를 요구한다.
- 휴대폰에 알수 없는 APK파일을 설치하라고 요구한다. 설치하면 휴대폰 안의 개인정보를 빼간다.
베이팅
공짜 영화 다운로드, 공짜 포르노 등을 걸어놓고 프로그램 설치, 금융결제 등을 유도하여 개인정보를 알아낸다.
불특정 다수에 대한 물리적 수법
피해자를 특정해 놓지 않고 누군가는 걸리라는 방식으로 일반인들이 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌린다.
- 해킹 툴로 가득한 USB를 떨어뜨려 놓은 경우 : 해킹이라고는 미처 생각치 못한 일반인이 USB를 컴퓨터에 꽂는 순간 그 컴퓨터는 해커가 지배할 수 있다. [2]
활용
대안
사례
각주
참고자료
- 〈사회공학〉, 《나무위키》
- 〈프리텍스팅〉, 《네이버 지식백과》
- 〈사회공학에 대한 이해〉, 《네이버 지식백과》
- 〈사회공학〉, 《네이버 지식백과》