2018년 12월 3일
사회공학 기반 보안공격기법
I. 인간 상호 신뢰기반 해킹 기법, 사회공학 기반 보안공격기법
인간의 상호 신뢰를 바탕으로 사람들을 속여 정상 보안 체계를 무력화하는 비기술적 해킹 기법
II. 사회공학 기법의 공격절차 및 공격유형
가. 사회공학 기법의 공격절차
| 공격절차 | 특징 | 세부 기법 |
|---|---|---|
| Research | – 관계 형성 – 정보 수집 | – 다양한 모임을 통해 정보 수집 및 관계 형성 |
| Developing Trust | – 주요인물 식별 – 접근, 유대 형성 | – 중요 인물에게 접근하여 유대관계, 신뢰 형성 |
| Exploiting Trust | – 감정에 호소 – 결정 요구 | – 사소한 요청 → 큰 요청 – 충분한 신뢰이후 수행 |
| Utilizing Trust | – 책임 회피 – 목적 수행 | – 내부자 도움으로 침투 – 타겟은 직접실행 피해 |
- 내부자의 지속적 탐색 및 신뢰 형성으로 시스템 보안을 회피
나. 사회공학 기법의 공격유형
| 구분 | 공격유형 | 설명 |
|---|---|---|
| 유대기반 사회공학 | 직접 접근 | – 내부자의 인간관계이용 |
| 도청/훔쳐보기 | – 도청 및 어깨넘어 정보획득 | |
| 휴지통 뒤지기 | – 파쇄 전 문건에서 정보획득 | |
| Piggybacking | – 앞사람과 함께 내부 진입 | |
| 컴퓨터 기반 사회공학 | 포렌식 | – 디지털 핑거프린팅 |
| 악성코드 배포 | – 고객/파트너사 위장 | |
| 크롤링 | – 인터넷상 정보 수집 | |
| 피싱/파밍 | – 개인정보 불법 도용 |
- 사람을 대상으로 하므로 100% 방어는 불가능하며, 인력/조직, 기술/프로세스 측면 대응체계 구축
III. 사회공학 기법의 대응 방안
| 구분 | 대응 방안 | 세부 방안 |
|---|---|---|
| 인력 및 조직 측면 | – 지속적 교육 – 보안 거버넌스 | – 주기적 보안 교육 실시 – 2 Factor 인증, 권한 체계 |
| 기술 및 프로세스 | – DRM/DLP, NAC – ACL, 접근제어 | – 내부자원 보안솔루션 적용 – Rule 통제, MAC/DAC/RBAC |
- 지속적인 모니터링과 개인 정보 비식별화 등 다양한 관점으로 대응을 통해 효과적인 대응 가능
About The Author
