보안 / 소셜미디어

오라클-애플-IBM 등, 소셜 엔지니어의 '밥'

Joan Goodchild | CSO 2011.11.01
소셜 엔지니어링 공격방법을 이용하는 소셜 엔지니어들이 하계 데프콘 19 시큐리티 컨퍼런스에서 '취약점을 차지하라'라는 이벤트에 참여한 지 2년째가 됐다. 
 
그리고 이번 연습 문제를 통해 새롭게 드러난 것을 요약하면 조직들이 소셜 엔지니어링 해킹에 고도의 취약점을 드러냈다는 점이다. 
 
'슈무즈 스트라이크 백(The Schmooze Strikes Back)'이라 불리는 연습 문제는 '소셜 엔지니어링 : 인간 해킹의 예술'의 저자이자  웹사이트 social-engineering.org의 설립자인 크리스토퍼 해드너기에 의해 만들어졌다. 해드너기는 결과 보고서를 이번 주에 읽을 수 있을 것이라고 발표했다.  
 
해드너기는 "이 이벤트는 첫해의 성공을 기반으로, 많은 기업들이 참가자들을 위한 요구사항을 주문했고, 이후에 취약점을 찾음으로써 성공적으로 치뤄졌다"고 밝혔다.  
 
그 중 몇 가지는 우리가 조금만 움직여도 오픈 FTPs, '기밀'이라고 표시한 문서가 있는 그 웹의 모든 정보를 누설할 수 있는 정보와 업체 정보 누설, 그리고 그보다 더 많은 것을 알아낼 수 있었다. 
 
해드너기는 "참가자들은 단지 저항의 아주 작은 부분을 보여줬으며, 사실상 어떤 기업도 잠재적으로 미래 공격에 사용할 수 있는 민감한 정보를 수집하는 그들의 노력을 원천적으로 봉쇄할 수 없다"고 주장했다. 
 
애플, AT&T, 코나그라 식품, 델, 델타 항공, IBM, 맥도날드, 오라클, 시만텍, Sysco 식품, 타깃(Target), 유나이티드 항공, 버라이즌과 월마트 등의 14개 기업이 참여하려고 접촉했다. 
 
거기에서 62개의 잠재적인 깃발 또는 민감한 정보의 조각들을 발견할 수 있었고, 둘째날에는 14개 기업을 성공적으로 함락시킬 수 있었다. 
 
참가자는 목표에 대한 온라인 조사를 했고, '프리텍스트(pretext)' 시나리오를 사용, 다른 조직에서 온 고객, 고용인 또는 영업 담당자로 가장해 그들에게 접촉했다.  
 
"단지 4개의 기업만이 소셜 엔지니어에게 저항을 했다"며, "소매를 기반으로 하는 그 기업들은 데이터를 뽑아내는데 가장 어려움이 있었다"고 밝혔다.  AT&T 스토어, 월마트와 같은 기업과 소매 환경에서 고객을 맞이하는 기업들은 질문과 요구에 좀더 신중하게 대처했다고. 
 
그러나 대형 콜센터 또는 고객지원센터를 보유한 항공사와 기술 산업군의 기업은 가장 약했다. 

AT&T가 가장 높은 순위 보안을 유지하고 있었으며, 오라클이 가장 낮았다. 

소셜 엔지니어링 침투 연습은 그 어느 때보다 필요해 보이지만, 여전히 서비스 이후에 지극히 작은 수의 기업만이 이를 구하고 있다. 
 
해드너기는 "이번 결과 보고서를 읽어보면서 기업들이 테스트와 교육에 시간과 비용을 쓰지않고는 조금도 나아지지 않는다는 것을 빨리 알아차리기를 바란다"고 마무리했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.