사회공학 기법과 해킹
들어가며
사회공학 기법 해킹(Social Engineering Hacking)은 사람의 심리적인 취약점을 이용하여 중요한 정보를 획득하려는 시도이다. 이 방법은 전통적인 해킹 방법과는 달리 기술적인 취약점을 찾아내는 것이 아니라, 대상의 신뢰를 이용하거나 두려움, 궁금증 등의 감정을 이용하여 정보를 얻는 기술이다.
사회공학(Social Engineering)은 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리기 위한 비기술적 침입 수단을 말한다.
사회공학이란?
사회공학이란 개인이나 조직의 정보를 획득하기 위해 사람들의 심리적, 사회적 취약점을 이용하는 방법을 말한다. 정보보안에 있어서, 이는 자신의 신분을 속이거나 사람들을 조종하는 기법을 통해 특별한 기술적 지식 없어도 정보를 얻는 방법이다. 이러한 방식으로 정보를 얻는 과정을 우리는 사회공학적 해킹이라고 한다.
사회 공학적 해킹은 시스템의 기술적인 취약점을 공격하는 것이 아니라 사람의 취약점을 공격한다. 예를 들어 보이스피싱, 우편, 이메일 피싱 등 개인 정보 도난 등은 모두 사회공학적 해킹에 해당한다. 이러한 방법은 특별한 기술이 없어도 기본 정보를 쉽게 얻어낼 수 있다.
해커 중 사회공학적 해킹 기법을 가장 잘 사용했던 해커 케빈미트닉이 있다. 케빈 미트닉은 사람을 공략하는 사회공학적 기법이 가장 효과적인 공격 기법이라고 한다.
사회공학은 보안 위협 중 하나로, 사람의 예측 불가능성과 쉽게 조작에 걸리는 측면을 악용한다. 최근에는 피싱, 파밍, 스미싱, 피싱 등의 사회공학적 위협이 증가하고 있으며, 이로 인해 사회공학에 대한 관심도 높아지고 있다. 기술적인 침입이 어려워진 현대에서, 사회공학은 보안 문제의 심각한 원인이 될 수 있다.
이러한 사회공학적 해킹에 대비하기 위해서는 이에 대한 교육과 인식 확산이 중요하다. 모든 사용자가 이메일, 문자 메시지, 전화 등을 통한 사기를 인식하고, 알려지지 않은 출처의 요청이나 이상한 링크를 클릭하지 않도록 주의하는 것이 중요하다. 또한 개인 정보를 공유하거나 비밀번호를 전달하지 않는 등의 안전한 인터넷 사용 습관을 기르는 것이 필요하다.
웨일링 이란?
“웨일링”은 고위직이나 중요한 사람을 대상으로 한 피싱 공격을 지칭하는 사이버 보안 용어이다. 이 용어는 “고래”라는 의미의 ‘whale’에서 유래되었는데, 여기서 “고래”는 대형 회사나 조직의 중요한 사람들을 의미한다. 대상이 보통 고위직이나 고급 관리자와 같은 중요한 역할을 하는 사람들이며, 이들은 대개 회사의 중요한 정보에 접근할 수 있기 때문에 보안 위협에 대해 특히 취약한 위치에 있다. 이러한 공격은 지식재산권이나 중요한 비즈니스 정보를 훔치는 목적을 가지며, 성공하게 되면 기업이나 조직의 핵심 정보가 대량으로 유출될 위험이 있어 주의가 필요하다.
웨일링 공격은 일반적인 피싱 공격과 매우 유사하지만, 보통 훨씬 더 정교하고 특정 대상에 대해 개인화된 메시지를 사용하는 특징을 가진다. 이는 공격자가 대상의 개인 정보나 관심사를 잘 알고 있다는 것을 보여주며, 이를 통해 피해자가 사기임을 인식하는 것을 어렵게 만든다. 또한, 일반적인 스팸 이메일과는 달리 특정 개인을 대상으로 하므로 자동 필터링으로 차단하기 어렵다는 특징도 있다.
인터넷이 개인 정보를 쉽게 수집할 수 있는 환경을 제공함에 따라, 특히 유명 인사들에 대한 정보가 공개되는 경우 웨일링 공격의 성공률이 높아진다. 웨일링의 성공은 주로 사전 정보의 풍부함과 타겟에 대한 완벽한 위장에 의존하며, 공격자는 소셜 네트워크 사이트 등을 통해 수집한 정보를 바탕으로 공격 방안을 설계한다. 웨일링 공격을 방어하기 위해서는 중요한 정보에 대한 접근을 제한하고, 이메일과 같은 디지털 통신에서의 보안을 강화하는 것이 중요하다.
또한, 고위직이나 중요한 역할을 하는 사람들에게 보안에 대한 교육을 강화하는 것이 중요하며, 이와 함께 개인 정보를 최소한으로 공유하고, 이메일이나 다른 디지털 통신에서 의심스러운 요청에 대해 경계하는 것이 필요하다. 사용자들에게 이러한 공격의 가능성에 대해 교육하는 것도 중요한 방어 수단이다. 그리고 조직 내에서 이러한 공격을 식별하고 대응할 수 있는 체계를 구축하는 것도 중요하다.
인터넷과 소셜 미디어의 성장으로 인해 개인 정보가 쉽게 접근 가능해진 만큼, 웨일링에 공격에 대비하여 개인정보 보호와 교육의 중요성은 더욱 강조되고 있다. 이러한 상황에서 웨일링 공격이 주요 보안 위협 중 하나로 부상하였으며, 이를 통해 기업과 개인 모두가 그들의 정보와 자산을 보호하기 위한 새로운 방법을 찾아야 하는 것이 명확해졌다.
또한, 웨일링 공격은 특정 대상을 신중하게 선정하고, 그 대상의 개인적인 세부 사항을 활용하여 공격을 개인화하는 데 특별히 주의를 기울인다. 공격자는 피해자의 개인 정보나 관심사를 잘 알고 있다는 것을 보여주는 메시지를 만들어, 공격의 타당성을 높이고 피해자가 사기임을 인식하는 것을 어렵게 만든다. 이런 이유로, 웨일링 공격은 더욱더 난해하게 만들어, 그것을 식별하고 대응하는 것을 어렵게 한다.
이런 위험을 줄이기 위해, 기업과 단체는 정보 보호를 강화하고, 이메일 및 디지털 통신의 보안을 강화하려는 노력이 필요하다. 그러나 이것만으로는 충분하지 않다. 기업이나 조직 내의 모든 사람은 사회공학 공격의 가능성에 대해 잘 이해하고, 어떻게 이런 위협을 인식하고 피할 수 있는지에 대한 교육이 필요하다. 이는 공격에 대한 인식을 높이고, 공격이 일어날 경우 즉시 대응할 수 있는 능력을 키우는 데 도움이 된다.
결론적으로, 웨일링은 고도로 정교한 해킹 기법으로, 개인 정보의 쉽고 빠른 수집이 가능한 현대 사회에서 더욱 위협이 될 수 있다. 이에 따라 개인과 기업 모두가 보안에 대해 더욱 주의를 기울이고, 적절한 대응 전략을 마련해야 함을 잊어서는 안 된다.
공격 흐름
사회공학 기법 공격 흐름
정보 수집(Information Gathering): 공격자는 피해자에 대한 정보를 수집한다. 이는 피해자의 이름, 생일, 주소, 직장, 취미 등의 개인정보일 수 있으며, 이러한 정보를 이용해 공격에 사용될 수 있다. 공격자는 이 단계에서 수집한 다양한 정보들을 다음 단계인 관계 형성을 위해서 사용하게 된다.
관계 형성(Developing Relationship): 정보를 바탕으로 공격자는 공격 계획을 세우게 된다. 피해자를 어떻게 속일지, 어떤 정보를 얻을지 등을 결정하게 된다. 공격자는 공격 대상에게 자신의 본모습을 숨기고 다른 누군가로 위장하여 접근하게 된다. 이렇게 다른 누군가로 가장하여 공격 대상에게 접근하는 것은 공격 대상이 가질 수 있는 경계심을 없애고 신뢰할 수 있는 사람이라는 신뢰감을 형성하기 위한 것이다.
공격(Exploitation): 공격자는 피해자를 속이고, 피해자로부터 정보를 얻거나 피해자가 원치 않는 행동을 하도록 만든다. 이는 이메일, 전화, 사회 네트워크 등 다양한 방법을 통해 이루어질 수 있다. 이 세 번째 단계로 넘어가기 위해서는 공격자 자신을 공격 대상이 더 이상 의심하지 않는다는 판단이 중요하게 작용하게 된다. 이러한 신뢰 관계가 충분히 형성되면 공격자는 자신의 특수한 목적을 이룰 수 있는 사항을 공격이라는 단계에서 공격 대상에게 요청하게 된다.
실행(Execution) 및 목표 달성: 피해자가 속아 공격자의 요구에 따라 행동하게 된다. 이는 보안 정보를 공유하거나, 악성 링크를 클릭하는 등의 행동일 수 있다. 실행 단계에서 피해자는 공격자가 요청한 사항에 대해 직접적인 실행으로 옮김으로써 이에 따라 실질적인 피해가 발생하게 된다. 그리고 공격자는 요청 사항으로 인해 확보한 유형의 또는 무형의 자산을 이용하여 실질적인 목적을 수행하게 된다. 이를 통해 공격자는 피해자로부터 원하는 정보를 얻거나, 원하는 행동을 유도함으로써 목표를 달성하게 된다.
사회공학 공격에는 피싱, 스피어 피싱, 웨일링, 베이팅, 프리텍 스팅 등 다양한 방법이 있다. 이러한 공격을 방어하기 위해서는 개인정보를 안전하게 보호하고, 의심스러운 이메일이나 메시지, 요청에 대해 주의 깊게 살펴보는 것이 중요하다. 또한 사회공학 공격에 대한 교육과 훈련을 통해 사람들이 이러한 위협을 인식하고 대응할 수 있는 능력을 키우는 것도 중요하다.
공격 기법
| 유형 | 방법 | 설명 |
|---|---|---|
| 직접적인 접근 (Direct Approach) | 권력 이용하기 | 조직에서 높은 위치에 있는 사람으로 가장 |
| 동정심에 호소하기 | 긴급한 상황에서 도움이 필요한 것처럼 행동 | |
| 가장된 인간관계 이용하기 | 특정 사람의 친구로 가장해 신뢰감 형성 | |
| 도청 (Eavesdropping) | 도청장치 설치 또는 유선 전화선의 중간을 따서 도청 | 유선 전화선을 통해 정보를 수집 |
| 유리나 벽의 진동을 레이저로 탐지하여 이를 음성으로 바꾸어 도청 | 사운드를 통한 정보 수집 | |
| 어깨너머로 훔쳐보기 (Shoulder Surfing) | 공격 대상의 주위에서 직접적인 관찰 | 업무 내역과 전화 통화 내역 등을 통한 정보 수집 |
| 휴지통 뒤지기 (Dumpster Diving) | 가정 또는 직장에서 무심코 버리는 메모지, 영수증 또는 업무 중 발생된 자료 등을 수집 | 휴지통에서 발견한 문서를 통해 유용한 정보 수집 |
| 설문조사 (Mail-outs) | 공격 대상의 관심을 끌만한 사항을 설문 | 개인 정보와 사회적인 활동에 관련된 정보를 수집 |
| Piggybacking (Tailgating) | 출입통제 시스템에서 신원이 확인된 앞 사람을 따라 출입 | 보안 지역으로의 무단 출입 |
이러한 사회공학 기법은 공격 대상이 바로 사람이며, 사람 간의 친분 및 신뢰를 이용하기 때문에 100% 완벽한 방어는 어렵다. 따라서 완벽에 가까운 물리적ㆍ기술적 보안을 구축하는 것도 중요하지만, 이를 우회할 방법을 제공하지 않는 것이 더 중요하다는 것을 명심해야 한다.
사람을 믿는 것은 중요하지만, 주의를 기울이는 것 역시 중요하다. 이 점을 잊지 말아야 한다. 우리는 디지털 세계에서 보안을 위협하는 다양한 방법에 대비해야 하며, 이에 대한 지식과 이해는 이러한 위협을 피하는 데 큰 도움이 된다.
| 컴퓨터기반 사회공학 기법 유형 | 설명 |
|---|---|
| 시스템 분석 (Forensic Analysis) | 공격 대상이 사용하는 컴퓨터 시스템에 접근하여 해당 시스템에 존재하는 문서, 웹 사이트 방문 기록 등의 정보를 수집 |
| 악성소프트웨어 전송 | 서비스 제공자나 벤더인 척 하여, 악성 코드를 패치인 것처럼 공격 대상에게 발송 |
| 인터넷을 이용한 공격 | 검색 엔진을 이용하여 인터넷에 있는 공격 대상과 관련된 정보를 수집 |
| 피싱 (Phishing) | 이메일을 통해 개인정보를 불법으로 도용하는 방법 |
| 파밍 (Pharming) | 사용자의 도메인을 탈취하거나, DNS를 속여 개인정보를 훔치는 수법 |
| 사회공학 기법의 방어의 어려움 |
|---|
| 공격 대상이 바로 사람이기 때문에 100% 완벽한 방어는 불가능 |
| 사람은 외부에서 걸려온 전화 한 통화로 모든 보안 체계를 우회할 수 있음 |
| 단계별 대응 전략 | 설명 | 방법 |
|---|---|---|
| 정보 수집 단계에서의 대응 | 공격자가 정보를 수집하는 것을 사전에 방해 | 개인 신상 정보와 관련한 문서 관리 철저, 온라인상의 개인 정보 관리 철저 |
| 공격 단계에서의 대응 | 공격자의 요청을 거부하여 공격이 실행되지 않도록 함 | 사회 공학 기법의 공격 형태 인지, 배경 조사 |
| 실행 단계에서의 대응 | 피해를 최소화하기 위해 유출된 정보를 공격자가 활용하지 못하게 함 | 신속한 관계 기관 신고 |
사회공학 기법 공격 징후
사회공학 공격의 징후를 인식하는 것은 매우 중요하다. 이러한 공격의 몇 가지 주요한 신호를 명확하게 이해하고 있으면, 취약점을 이용하려는 공격자들로부터 자신을 보호하는 데 큰 도움이 될 수 있다. 다음은 사회공학 공격의 일반적인 신호이다. :
긴급성 강조: 공격자들은 종종 피해자가 충분히 생각하지 못하도록 긴급성을 강조한다. 이메일에서 ‘당장 이 링크를 클릭하십시오’ 또는 ‘계정이 곧 만료되므로 즉시 업데이트하십시오’와 같은 요청은 사회공학 공격의 일반적인 예 이다.
요청에 대한 의심: 사회공학 공격은 종종 개인 정보나 보안 정보를 요청하는 형태로 나타난다. 패스워드, 신용카드 번호, 개인 신분증 번호 등을 요청하는 이메일, 전화, 또는 메시지를 받았을 때는 주의해야 한다.
정상적인 절차를 거치지 않은 정보 요청: 공격자는 종종 긴급하거나 정상적인 절차를 밟기 어려운 난처한 상황임을 알리고 정보를 요청한다. 이 경우에도 신분을 충분히 확인할 수 있는 확인 절차는 거치게 해야 한다.
스펠링이나 문법 오류: 사회공학 공격자들의 메시지에는 종종 스펠링이나 문법 오류가 있다. 이러한 오류는 피싱 이메일이나 사기성 웹사이트의 일반적인 특징이다.
불합리한 보상 제공: ‘무료 선물’, ‘현금 보상’, ‘당신이 대량 상품에 당첨되었습니다’ 등과 같은 메시지는 주의해야 한다. 이러한 유혹은 종종 사회공학 공격의 일부이다.
직위를 가장함: 공격자들은 종종 내부 또는 외부의 높은 직위에 있는 사람으로 가장한다. 사장이라고 주장이라 하더라도 적절한 확인 절차를 거치는 것이 중요하다.
정보 누락: 이메일이나 전화 통화에서 상대방이 기본적인 정보를 알지 못하는 경우, 이는 사회공학 공격의 가능성이 있다. 예를 들어, 은행이 ‘계좌 번호를 확인해 주시겠습니까?’라고 묻는 경우, 이는 의심스러운 상황일 수 있다.
위치 노출을 회피: 공격자는 자신의 위치를 노출하지 않기 위해 정보를 요청하고, 당신이 확인을 위해 전화를 다시 걸겠다고 제안하면 이를 거절하고 당신이 정보를 전달할 때까지 기다릴 수 있다.
규정과 절차에 대한 항의: 조직의 규정과 절차가 법에서 정한 내용과 일치하지 않음을 항의하고, 이를 이용해 정보를 획득하려 할 수 있다.
불편함 표현: 정보를 요청하고 관련 사항에 대해 질문을 받으면 이에 불편함을 표출할 수 있다. 이는 일반적으로 서비스직에서 고객이 불편함을 표시할 때 깊은 정보를 질문하기 어려워지는 것을 악용하는 경우이다.
이러한 징후들은 당신이 사회공학 공격에 대한 피해를 방지하도록 도와줄 수 있다. 이러한 공격에 대해 의심스럽거나 불확실한 경우에는, 해당 기관이나 회사에 직접 연락하여 확인하는 것이 가장 안전한 방법이다.
기법 중..
네트워크 보안에서의 Piggybacking: Piggybacking은 허가되지 않은 사람이 다른 사람의 네트워크 연결을 사용하는 것을 말한다. 예를 들어, 누군가가 공개적으로 접근할 수 있는 Wi-Fi에 연결하여 인터넷을 사용하는 것은 Piggybacking의 한 예가 될 수 있다.
물리적 보안에서의 Piggybacking: 이 경우, Piggybacking은 누군가가 허가된 사용자를 따라서 보안된 영역에 무단으로 들어가는 행위를 말한다. 예를 들어, 누군가가 허가된 사용자가 건물의 보안 문을 열어준 틈을 타고 들어가는 것이 여기에 해당한다.
데이터 통신에서의 Piggybacking: Piggybacking은 데이터 패킷을 전송하는 과정에서 발생하는 지연을 최소화하는 방법이다. 양방향 통신에서, ACK(acknowledgement) 메시지는 다음 데이터 패킷과 함께 보내질 수 있다. 이렇게 ACK 메시지를 데이터 패킷에 “piggyback”하는 것을 통해 효율성을 높이고 지연을 최소화한다.
그래서 피기배킹은 무엇이냐 피기 배 왕은 돼지 뒤에다 짐을 심는 행위를 말한다. 그래서 무엇이냐며 뒤따라 들어가는 행위를 말한다. 다음은 피기배킹의 예시 영상이다.
위의 영상은 우리가 잘 아는 내용이다. 12대가 출차를 했는데 0원이 나왔다. 위의 뉴스와 같이 한대가 나가고 차단기가 내려오기 전에 다른 차들이 뒤따라서 차가 나온 것이다. 사실 차단기라는 보안 시스템의 취약점을 이용한 것이다. 이런 식으로 다른 회사에 침입할 수도 있을 거 같다.
예방 및 대응방안
먼저, 정보를 보호하는 가장 효과적인 방법은 교육이다. 사람들이 사회공학 공격의 징후를 인식하고 어떻게 대응해야 하는지 알고 있어야 한다. 이를 위해 직원 교육 프로그램을 구축하거나, 개인적으로는 자신의 온라인 보안에 대해 계속 배우려는 태도를 갖는 것이 중요하다.
다음으로, 개인 정보를 최소한으로 유지하고 불필요한 정보 공개를 피하는 것이 중요하다. 사회공학 공격자들은 공개적으로 사용할 수 있는 정보를 사용하여 피해자를 조작하려고 시도한다. 따라서, 소셜 미디어 프로필을 개인 설정으로 바꾸거나, 개인 정보를 공유하기 전에 항상 두 번 생각하는 것이 좋다.
또한, 항상 의심하는 태도를 유지하는 것이 중요하다. 사회공학 공격자들은 종종 긴급한 상황을 만들거나 권위를 가장하여 정보를 얻으려고 시도한다. 이런 상황에서 감정적으로 반응하기보다는 차분하게 생각하고, 필요한 경우 전문가의 도움을 청하는 것이 중요하다.
사회공학 공격에도 불구하고 정보가 유출된 경우, 즉각적인 대응이 필요하다. 먼저, 해당 계정의 비밀번호를 변경하고, 가능하면 2단계 인증을 설정해야 한다. 그다음으로, 해당 사건을 관련 기관에 신고하고, 가능하면 사기 피해를 당한 계정을 모니터링해야 한다. 이러한 단계는 개인 정보가 추가로 유출되는 것을 방지하고, 이미 유출된 정보의 사용을 감시하는 데 도움이 된다.
마지막으로, 사회공학 공격을 예방하고 대응하는 가장 효과적인 방법은 계속해서 학습하고, 정보를 업데이트하는 것이다. 사회공학 공격의 방법은 계속 변화하므로, 최신의 보안 위협과 이에 대응하는 방법에 대해 알아두는 것이 필수적이다. 이는 보안 뉴스 주기적으로 시청하거나 꾸준한 관심을 가져야 한다. 또한 주기적으로 보안 교육을 받는 등의 방법으로 이루어질 수 있다. 이렇게 함으로써 최신의 위협을 인지하고, 이를 피하거나 미리 대비하는 데 필요한 전략을 세울 수 있다.
또한, 기술적인 보호 조치를 취하는 것도 중요하다. 이는 방화벽, 안티바이러스 소프트웨어, 스팸 필터 등의 도구를 포함하며, 이러한 도구들은 사회공학 공격으로부터 보호하는 데 도움이 될 수 있다. 이러한 도구를 사용하는 것만으로도 많은 공격을 예방할 수 있지만, 항상 이러한 도구들이 100%의 보호를 제공하지는 않는다는 것을 인지하고 있어야 한다. 따라서, 항상 최신의 보안 업데이트를 적용하고, 비밀번호를 복잡하고 고유하게 만들며, 가능하다면 2단계 인증을 사용하는 등의 추가적인 보안 조치를 취하는 것이 중요하다.
또한, 개인이나 조직이 이메일을 통해 민감한 정보를 요청받았을 때는 이에 대한 확인 절차를 갖는 것이 좋다. 예를 들어, 공식적인 요청을 받았다면 직접 그 기관에 연락하여 그 요청이 진짜인지 확인해 볼 수 있다. 이메일이나 전화 등을 통해 받은 요청에 대해 확실하지 않을 때는 항상 의심하는 태도를 가지고, 필요한 정보를 제공하기 전에 충분한 확인을 하는 것이 중요하다.
마지막으로, 사회공학 공격에 대한 인식을 높이는 것은 매우 중요하다. 이러한 공격은 아직 많은 사람에게는 잘 알려지지 않으며, 이러한 사실을 알려주는 것만으로도 큰 피해를 방지할 수 있다. 이를 위해 개인적으로는 소셜 미디어 등을 통해 이러한 정보를 공유하거나, 조직에서는 직원들에게 이러한 위협에 대해 교육하는 등의 노력을 기울여야 한다.
사회공학 공격에 대한 예방과 대응은 복잡한 문제일 수 있다. 하지만 그 본질에는 보안에 대한 지속적인 교육, 신중함, 그리고 끊임없는 업데이트가 필요하다.
상기한 대응 및 해결 방안들을 보면, 우리는 사회공학 공격이 보안의 기술적 측면과 아울러 인간의 행동과 인식에도 의존한다는 것을 깨닫는다. 그렇기에 공격자들은 우리의 신뢰와 알지 못하는 상태, 그리고 종종 우리의 도덕적 또는 사회적 감각을 악용한다.
따라서 우리 자신의 행동을 이해하고 우리를 둘러싼 정보를 신중하게 관리하는 것은 이러한 위협을 피하는데 매우 중요하다. 우리는 우리의 개인 정보를 어떻게 공유하고, 어떤 종류의 요청에 어떻게 반응하며, 우리가 믿는 것은 무엇인지에 대해 자각해야 한다. 이것은 우리가 어떻게 소통하고, 어떻게 정보를 이해하고, 어떻게 결정을 내리는지에 대한 깊은 이해가 필요하다.
결국, 사회공학 공격에 대한 예방과 대응은 자신의 온라인 행동과 정보 관리에 대한 충분한 이해와 그에 따른 신중함이 결정적인 역할을 한다. 그렇게 함으로써 우리는 사회공학 공격자들이 이용하려는 취약점을 최소화하고, 우리 자신과 우리의 정보를 보호할 수 있다.
또한 모든 사용자에게 올바른 행동 지침을 제시하고, 그들의 인식을 제고시키는 것이 꼭 필요하다. 이는 정기적인 교육과 모의 훈련을 통해 진행될 수 있다. 사회공학 공격에 대처하기 위해서는 강력한 보안 의식이 필수적이다. 또한 각 기업과 단체들이 사회공학 공격에 대비한 교육을 받을 수 있도록 정부 차원에서 가이드라인을 제공하는 것도 중요하다.
물론, 이러한 인간의 역할에 대한 교육과 훈련만으로는 충분하지 않다. 시스템 차원에서의 대비책도 필요하다. 사용자의 실수를 최소화하고 보안을 강화하기 위해 적절한 시스템과 기술을 도입해야 한다. 주요 정보에 대한 모니터링 시스템을 구축하여 보안 단계를 거치지 않고는 외부 유출이 불가능 하도록 해야 한다.
새로운 유형의 사회공학 공격이 등장함에 따라, 이를 예측하고 신속하게 대처할 수 있는 체계를 구축하는 것도 중요하며. 정보기기의 종류와 활용 범위 증가, 새로운 IT 서비스의 증가로 인해 발생할 수 있는 사회공학적 공격 통로를 예측하고 사용자들에게 미리 위험성을 알리는 것이 중요하다. 또한, 현재 유포되고 있는 사회공학 공격의 현황을 신속하게 공개하여 피해 확산을 방지할 수 있는 시스템을 마련하는 것도 중요하다.
그런데도, 사회공학 공격이 발생한 경우에는 적절한 대응 및 해결 방안이 필요하다. 대응 전략은 정보 수집, 공격, 그리고 실행의 3단계로 나눠볼 수 있다.
첫 번째 단계인 정보 수집 단계에서는 공격자가 공격 대상과의 관계 형성을 위해 필요한 정보를 수집하는 것을 방해하는 것이 중요하다. 이를 위해 개인 신상 정보와 관련한 문서 관리가 중요하며, 이를 파쇄하거나 안전한 장소에 보관해야 한다. 또한 온라인상에서 개인 정보를 불필요하게 공개하지 않는 것이 중요하다.
두 번째 단계인 공격 단계에서는 공격자가 요구하는 특수한 목적을 수행하도록 요청할 때 이를 거부하는 것이 중요하다. 이를 위해 사회공학 기법의 다양한 공격 유형을 이해하고, 새로운 공격 유형에 대한 정보를 지속적으로 파악하는 것이 필요하다. 또한 의심스러운 요청이 있을 때는 요청자의 신분을 확인하고, 그들이 주장하는 기관이나 회사에 연락하여 요청 사항이 진행 중인지 확인하는 것이 좋다.
세 번째 단계인 실행 단계에서는 이미 공격자의 요청을 수행한 후이므로, 이 단계에서는 피해를 최소화하고 더 이상의 피해를 막는 것이 주된 목표이다. 이를 위해 관련 기관에 신속하게 신고하고, 공격자가 요청한 사항이 무엇인지 파악한 후, 그로 인해 발생할 수 있는 피해를 사전에 방지하거나 최소화하는 조치를 취해야 한다. 이러한 조치는 공격자가 유출된 정보를 특수한 목적으로 활용하는 것을 방지하고, 피해를 최소화하는 데 도움이 된다.
사회공학 공격은 인간의 심리를 이용하여 정보를 획득하려는 시도이므로, 이에 대한 인식과 교육이 가장 중요한 예방 방안이다. 사용자 개개인이 보안에 대한 의식을 갖고, 주의를 기울이는 것이 중요하다. 또한, 이러한 공격을 방지하고 대응하기 위한 체계적인 시스템과 대책도 중요하며, 이를 위해서는 기업, 정부, 그리고 개인 모두가 함께 노력해야 한다.
마무리 하며
출처 : https://v12.battlepage.com/??=Board.Etc.View&page=4&no=170457
다음은 고무호스 암호 분석이 있는데 고무호스 암호분석(Rubber-hose cryptanalysis)은 암호분석기법 중 하나로, 해킹 기법 중에서는 가장 강력하고 단순한 공격이다. 위의 사진처럼 암호 해독 방법의 하나이다.
출처 : https://v12.battlepage.com/??=Board.Etc.View&page=4&no=170457
과정은 위의 사진과 같다. 암호를 알고 있는 사람을 확보한 뒤 고무호스 등을 적절하게 사용하고 암호를 획득한다.
출처 : https://v12.battlepage.com/??=Board.Etc.View&page=4&no=170457
결국은 협박과 고문을 의미한다. 단어의 유래는 미국 법무부에 재직했던 교수 하워드 W. 콕스가 비공개회의에서 한 농담이라고 한다. 농담 입니다.
“The Biggest threat to the security of a company is not a computer virus, an unpatched hole in a key program or a badly installed firewall. In fact, the biggest threat could be you.” - Kevin Mitnick -
불법적인 해킹 행위는 불법입니다. 절때 따라하시면 안됩니다.
댓글남기기