I. 인간 상호 신뢰기반 해킹 기법, 사회공학 기반 보안공격기법
인간의 상호 신뢰를 바탕으로 사람들을 속여 정상 보안 체계를 무력화하는 비기술적 해킹 기법
II. 사회공학 기법의 공격절차 및 공격유형
가. 사회공학 기법의 공격절차
| 공격절차 | 특징 | 세부 기법 |
|---|---|---|
| Research | – 관계 형성 – 정보 수집 | – 다양한 모임을 통해 정보 수집 및 관계 형성 |
| Developing Trust | – 주요인물 식별 – 접근, 유대 형성 | – 중요 인물에게 접근하여 유대관계, 신뢰 형성 |
| Exploiting Trust | – 감정에 호소 – 결정 요구 | – 사소한 요청 → 큰 요청 – 충분한 신뢰이후 수행 |
| Utilizing Trust | – 책임 회피 – 목적 수행 | – 내부자 도움으로 침투 – 타겟은 직접실행 피해 |
- 내부자의 지속적 탐색 및 신뢰 형성으로 시스템 보안을 회피
나. 사회공학 기법의 공격유형
| 구분 | 공격유형 | 설명 |
|---|---|---|
| 유대기반 사회공학 | 직접 접근 | – 내부자의 인간관계이용 |
| 도청/훔쳐보기 | – 도청 및 어깨넘어 정보획득 | |
| 휴지통 뒤지기 | – 파쇄 전 문건에서 정보획득 | |
| Piggybacking | – 앞사람과 함께 내부 진입 | |
| 컴퓨터 기반 사회공학 | 포렌식 | – 디지털 핑거프린팅 |
| 악성코드 배포 | – 고객/파트너사 위장 | |
| 크롤링 | – 인터넷상 정보 수집 | |
| 피싱/파밍 | – 개인정보 불법 도용 |
- 사람을 대상으로 하므로 100% 방어는 불가능하며, 인력/조직, 기술/프로세스 측면 대응체계 구축
III. 사회공학 기법의 대응 방안
| 구분 | 대응 방안 | 세부 방안 |
|---|---|---|
| 인력 및 조직 측면 | – 지속적 교육 – 보안 거버넌스 | – 주기적 보안 교육 실시 – 2 Factor 인증, 권한 체계 |
| 기술 및 프로세스 | – DRM/DLP, NAC – ACL, 접근제어 | – 내부자원 보안솔루션 적용 – Rule 통제, MAC/DAC/RBAC |
- 지속적인 모니터링과 개인 정보 비식별화 등 다양한 관점으로 대응을 통해 효과적인 대응 가능