01 사회공학의 이해
사회공학
- 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 이용하여 사람을 속여 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위
- Ex.) 한 예로 정보를 얻기 위해 “혹시 00에 아는 사람 있어? 라고 묻는 것이 사회공학 이용
사회공학에 취약한 조직
- 직원 수가 많은 조직
- 구성체가 여러 곳에 분산된 조직
- 조직원의 개인 정보를 쉽게 획득할 수 있는 조직
- 보안 교육을 하지 않는 조직
- 정보의 분류와 관리가 허술한 조직
사회공학 공격 대상
- 조직에 새로 들어온 사람
- 정보의 가치를 모르는 사람
- 특별한 권한을 가진 사람
- 제조사 또는 판매사
02 사회공학 기법
인간 기반 사회공학 기법
직접적인 접근
- 인간 기반 기법의 가장 기본적인 형태로 직접 만나거나 전화
- 인간 기반 기법
- 권력을 이용한 접근
- 동정심에 호소한 접근
- 가장된 인간관계를 이용한 접근
- 인간 기반 기법
03 사회공학 사례와 대응책
- 전화로 정보 요청시 상대방이 정보를 확인 한 후 전화하겠다고하면 공격자는 이를 거절하고 정보 주겠다고 기다림
- 내부, 외부의 높은 직책에 있는 사람으로 가장
- 상대방에게 정보 흘리게 유도
- 조직 규정과 절차가 법에 어긋난다고 항의하여 정보 획득
- 도청(휴대전화도청장비, 레이저 마이크로폰)
- 어깨너머로 훔쳐보기
- 편광필름으로 방지
- 휴지통 뒤지기
- 회사 인사 구조도
- 업무 관련 메모
- 소스 인쇄본
- 문제 발생 시 해당 문서 인쇄한 사람에게 책임을 묻기 위해 문서 출력 기록을 인쇄 시스템에 저장하고 시간, 수행한 사람 정보 출력
컴퓨터 기반 사회공학 기법
시스템 분석
- 버려진 하드 디스크나 컴퓨터 사용, 정보를 얻고 싶은 대상의 노트북 분석
- 따라서 내부 데이터를 완벽히 삭제하고 버려야함
- Eraser와 같은 툴을 이용하여 삭제하려는 파일의 위치에 일괄적으로 0 값을 덮어쓰기
- 잔존 자기체까지 완전히 삭제하려면 강력한 자기장을 발생시키는 자기 소거 장치 이용
악성 소프트웨어 전송
- 공격 코드를 이용
인터넷을 이용한 공격
- 인터넷에 존재하는 공격 대상의 개인 정보와 사회 활동 정보를 수집하는 것
피싱
- 개인 정보를 불법으로 도용하려는 속임수의 한 유형, 이메일을 통해 이루어짐
- 링크 정보로 표시된 주소와 실제 리다이렉트 주소가 다름
파밍
- 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 악성 코드 감염으로 DNS 이름을 속여 사용자가 진짜 사이트로 오인하게 함(DNS스푸핑)
스미싱
- SMS + pishing, 문자메시지로 무료 쿠폰 제공하여 링크 접속 유도 개인 정보를 빼냄