2011.02.16

사례로 보는 소셜 엔지니어링과 주의사항

Joan Goodchild | CIO

크리스 해드너기는 사람들을 속여 돈을 벌고 오랜 간의 경험을 통해 속이는 것에 꽤 익숙해졌다. social-engineering.org의 공동 설립자이자 ‘소셜 엔지니어링: 휴먼 해킹의 기술(Social Engineering: The Art of Human Hacking)의 저자이기도 한 해드너기(Hadnagy)는 어떻게 해커들이 정보에 접근하는 가를 고객들에게 설명하는 데 조작 전술(manipulation tactics)을 10년 넘도록 이용하고 있다.

해드너기는 자신의 신간에 수록된 소셜 엔지니어링 테스트 중에서 기억에 남는 3가지 경험을 소개하고 그러한 결과로부터 기관들이 무엇을 배워야 하는가에 대해 설명했다.

 

자부심이 강했던 CEO의 사례

한 사례에서, 해드너기는 지적 재산권을 보유하고 경쟁업체가 있는 한 프린팅 업체의 서버에 접속하기 위해 SE 감사원으로 채용된 경험에 대해 이야기했다. 사업 파트너와의 전화 회의에서 해당 업체의 CEO는 해드너기에게 자신은 “비밀을 부인에게도 털어놓지 않기” 때문에 “그를 해킹하는 것은 불가능”하다고 말했다고 한다.

 

해드너기는 ”그 CEO는 결코 속지 않을 것이라고 자신했다”며 “그는 아마도 누군가 자신에게 전화를 걸어 비밀 번호를 물어볼 것이라고 생각했고 그것에 대한 준비를 마쳤다”고 이야기했다.

 

약간의 정보를 수집한 후에, 해드너기는 서버의 위치, IP 주소, 이메일 주고, 전화 번호, 주소, 메일 서버, 직원들의 이름과 직함 등을 파악했다. 그러나 해드너기는 그 CEO의 가족 중 한 명이 암으로 투병했다 회복되어 그 CEO가 암을 위함 모금 활동과 연구에 참여하고 있다는 것을 알게 되는 커다란 수확을 거뒀다. 그리고 페이스북을 통해 해드너기는 그 CEO가 좋아하는 식당과 스포츠 팀 등 자세한 개인적인 정보를 알 수 있게 되었다.

 

정보로 무장한 채로, 해드너기는 공격할 만반의 준비를 마쳤다. 그는 CEO에게 전화를 걸어 CEO가 이전에 참여했던 암 관련 자선단체의 기금 조달자인 척하며, 기부에 대한 감사의 표시로 CEO가 좋아하는 스포츠 팀의 게임 티켓과 함께 그가 좋아하는 식당을 포함한 여러 식당의 상품권이 제공될 것이라고 말했다.

 

그 CEO는 그것을 덥석 물었고, 자금 모집에 대한 추가 정보가 담긴 PDF 파일 수신에 동의했다. 심지어 그는 “파일 전송 후 귀하가 전송된 PDF 파일을 여는데 불편함이 없기를 바란다”며 CEO가 어느 버전의 어도비(Adoce) 리더를 사용하는지에 대해서도 가까스로 알아 냈다. 해드너기가 PDF 파일을 전송하자마자 CEO는 파일을 열었고 그의 컴퓨터에 접속하는 통로의 역할을 하는 쉘이 설치되었다.

 

해드너기는 자신과 그의 파트너가 CEO의 컴퓨터에 접속하는데 성공했다는 것을 보고했을 때 그 CEO는 분명히 화가 난 상태였다면서 “그 CEO는 우리가 그러한 점을 이용한 것이 불공평하다고 생각했지만 그것이 세상이 돌아가는 이치이다. 악의적인 해커는 그러한 정보를 이용하는 것을 주저하지 않는다”고 말했다.

 

주의 사항 1 개인적인 것이든 혹은 감정적인 것이든 간에 정보가 없다는 것은 나쁜 짓을 하고자 하는 해커들에게 장애가 되지 않는다.

 

주의 사항 2 자신이 가장 안전하다고 생각하는 사람이 가장 큰 취약점을 나타내는 사람이다. 최근 한 보안 컨설턴트는 CSO에게 “소셜 엔지니어링 전문가들에게는 임원들이 가장 쉬운 공격 대상이다”라고 말했다.

 

테마마크 스캔들 사례

본 사례에서의 대상은 티켓 발급 시스템의 잠재적인 위험성을 우려한 테마파크 고객이었다. 입장 시스템으로 사용되는 컴퓨터에는 서버, 고객 정보, 그리고 금융 기록에 대한 링크가 저장되어 있었다. 그 고객은 만약 입장 시스템의 컴퓨터가 취약하다면 심각한 데이터 사고가 발생할 수 있을 것이라는 점을 우려했다.

 

AP41DE.JPG해드너기는 해당 테마파크에 전화를 걸어 소프트웨어 판매직원인 척하는 것으로 테스트를 시작했다. 그는 새로운 PDF 리더 프로그램을 제공한다고 말했고, 그는 테마파크가 그 프로그램을 시험 삼아 설치해 보기를 원했다. 그는 테마파크에서 어떤 버전이 사용되고 있는 지를 물어보았고 쉽게 정보를 얻어 냄으로써 2단계를 위한 준비가 완료되었다.

 

다음 단계에서는 현장 소셜 엔지니어링 필요했고, 성공을 위해 해드너기는 자신의 가족을 이용했다. 그의 부인 그리고 두 살짜리 아기와 함께 티켓 발급소로 향하면서, 그는 한 직원에게 이메일에 입장권 할인 쿠폰이 담긴 파일이 있어 이메일을 확인해야 하는데 컴퓨터를 좀 이용하고 싶다고 말했다.

 

해드너기는 ”만약 그 직원이 ‘죄송합니다만, 그것은 불가합니다’라고 말한다면 계획은 물거품이 되는 것이었다” 그러나 “테마파크에 빨리 들어가고 싶어하는 아기를 가진 아버지처럼 보이는 것은 직원의 마음을 움직일 수도 있을 것이다”라고 설명했다.

 

해당 직원은 컴퓨터 사용을 허용했고, 테마 파크의 컴퓨터 시스템은 바로 해드너기의 악성 PDF에 감염되었다. 몇 분만에, 해드너기의 파트너는 그가 ‘성공’했고 ‘보고서 작성을 위한 정보를 수집’했다는 문자 메시지를 보내왔다.

 

해드너기는 또한 비록 해당 테마파크의 직원 수칙에는 불분명한 출처의 사람(심지어 고객이 도움을 필요로 하는 경우에도)이 첨부 파일을 열지 못하도록 명시되어 있지만 그것을 실제로 강제하는 규정은 없었다고 지적하며 “사람들은 다른 사람을 돕기 위해 기꺼이 많은 것을 한다.”고 말했다.

 

주의 사항 3 보안 정책은 강제될 때만 유효한 것이다.

 

주의 사항 4 범죄자들은 직원들의 선의와 돕고자 하는 마음을 이용하기도 한다.

 

해커가 해킹 당한 사례

해드너기는 방어를 위한 목적으로 소셜 엔지니어링 전문가들이 활용될 수 있는 사례를 설명했다. 그는 표준 네트워크 펜 테스트 수행을 위해 침투 테스터로 고용된 ‘존’에 대해 이야기 했다. 그는 ‘메타스플로잇(Metasploit)를 이용하여 스캐닝을 수행했,고 그 결과 네트워크 상에 있는 다른 컴퓨터를 통제할 수 있는 오픈 NVC(가상 네트워크 컴퓨팅) 서버가 있다는 것이 확인되었다.

 

그는 열려 있는 NVC 세션이 발견되었다는 문서를 작성하는 중이었는데 갑자기 백그라운드에서 마우스가 화면에서 움직이기 시작했다. 존씨는 그것이 발생한 시간 대에 합법적인 이유로 네트워크에 접속할 사용자는 없기 때문에 공격이라는 것을 알았다. 그는 네트워크에 침입자가 있다고 의심했다.

 

그 기회를 이용하여, 존은 ‘해킹에 대해 잘 모르는 ‘n00b’라는 해커인 척하며 메모장을 열어 침입자와 대화를 시작했다.

 

해드너기는 “그는 ‘어떻게 내가 그 사람으로부터 더 많은 정보를 얻어 고객에게 귀중한 정보를 제공할 수 있을까?’라고 생각했다’”며 존은 해킹에 대해 잘 알고 싶어하는 새내기 해커인 척하면서 침입자의 자만심을 이용했다고 말했다.

 

존씨는 몇 가지 해킹 트릭을 배우고 다른 해커들과 교류하고 싶어하는 젊은이인척 하면서 침입자에게 여러 가지를 질문했다. 채팅이 마무리될 즈음에 그는 침입자의 이메일, 연락처, 그리고 심지어는 그의 사진도 받게 되었다. 그는 고객에게 그러한 정보를 제공했고 시스템에 쉽게 접근할 수 있는 문제가 수정되었다.

 

해드너기는 해커와의 대화를 통해 해커가 실제로는 해당 업체를 ‘목표로 삼은’ 것이 아니고 취약성이 있는 대상을 물색하던 중 해당 업체의 오픈 시스템이 침입하기에 쉽다는 것이 발견되었다는 것을 존이 알게 되었다고 이야기했다.

 

주의사항 5 소셜 엔지니어링자들은 기업 방어 전략의 일환이 될 수 있다.

 

주의사항 6 범죄자들은 따기 쉬운 열매에 접근한다. 보안 수준이 낮다면 누구라도 대상이 될 수 있다.  editor@idg.co.kr



2011.02.16

사례로 보는 소셜 엔지니어링과 주의사항

Joan Goodchild | CIO

크리스 해드너기는 사람들을 속여 돈을 벌고 오랜 간의 경험을 통해 속이는 것에 꽤 익숙해졌다. social-engineering.org의 공동 설립자이자 ‘소셜 엔지니어링: 휴먼 해킹의 기술(Social Engineering: The Art of Human Hacking)의 저자이기도 한 해드너기(Hadnagy)는 어떻게 해커들이 정보에 접근하는 가를 고객들에게 설명하는 데 조작 전술(manipulation tactics)을 10년 넘도록 이용하고 있다.

해드너기는 자신의 신간에 수록된 소셜 엔지니어링 테스트 중에서 기억에 남는 3가지 경험을 소개하고 그러한 결과로부터 기관들이 무엇을 배워야 하는가에 대해 설명했다.

 

자부심이 강했던 CEO의 사례

한 사례에서, 해드너기는 지적 재산권을 보유하고 경쟁업체가 있는 한 프린팅 업체의 서버에 접속하기 위해 SE 감사원으로 채용된 경험에 대해 이야기했다. 사업 파트너와의 전화 회의에서 해당 업체의 CEO는 해드너기에게 자신은 “비밀을 부인에게도 털어놓지 않기” 때문에 “그를 해킹하는 것은 불가능”하다고 말했다고 한다.

 

해드너기는 ”그 CEO는 결코 속지 않을 것이라고 자신했다”며 “그는 아마도 누군가 자신에게 전화를 걸어 비밀 번호를 물어볼 것이라고 생각했고 그것에 대한 준비를 마쳤다”고 이야기했다.

 

약간의 정보를 수집한 후에, 해드너기는 서버의 위치, IP 주소, 이메일 주고, 전화 번호, 주소, 메일 서버, 직원들의 이름과 직함 등을 파악했다. 그러나 해드너기는 그 CEO의 가족 중 한 명이 암으로 투병했다 회복되어 그 CEO가 암을 위함 모금 활동과 연구에 참여하고 있다는 것을 알게 되는 커다란 수확을 거뒀다. 그리고 페이스북을 통해 해드너기는 그 CEO가 좋아하는 식당과 스포츠 팀 등 자세한 개인적인 정보를 알 수 있게 되었다.

 

정보로 무장한 채로, 해드너기는 공격할 만반의 준비를 마쳤다. 그는 CEO에게 전화를 걸어 CEO가 이전에 참여했던 암 관련 자선단체의 기금 조달자인 척하며, 기부에 대한 감사의 표시로 CEO가 좋아하는 스포츠 팀의 게임 티켓과 함께 그가 좋아하는 식당을 포함한 여러 식당의 상품권이 제공될 것이라고 말했다.

 

그 CEO는 그것을 덥석 물었고, 자금 모집에 대한 추가 정보가 담긴 PDF 파일 수신에 동의했다. 심지어 그는 “파일 전송 후 귀하가 전송된 PDF 파일을 여는데 불편함이 없기를 바란다”며 CEO가 어느 버전의 어도비(Adoce) 리더를 사용하는지에 대해서도 가까스로 알아 냈다. 해드너기가 PDF 파일을 전송하자마자 CEO는 파일을 열었고 그의 컴퓨터에 접속하는 통로의 역할을 하는 쉘이 설치되었다.

 

해드너기는 자신과 그의 파트너가 CEO의 컴퓨터에 접속하는데 성공했다는 것을 보고했을 때 그 CEO는 분명히 화가 난 상태였다면서 “그 CEO는 우리가 그러한 점을 이용한 것이 불공평하다고 생각했지만 그것이 세상이 돌아가는 이치이다. 악의적인 해커는 그러한 정보를 이용하는 것을 주저하지 않는다”고 말했다.

 

주의 사항 1 개인적인 것이든 혹은 감정적인 것이든 간에 정보가 없다는 것은 나쁜 짓을 하고자 하는 해커들에게 장애가 되지 않는다.

 

주의 사항 2 자신이 가장 안전하다고 생각하는 사람이 가장 큰 취약점을 나타내는 사람이다. 최근 한 보안 컨설턴트는 CSO에게 “소셜 엔지니어링 전문가들에게는 임원들이 가장 쉬운 공격 대상이다”라고 말했다.

 

테마마크 스캔들 사례

본 사례에서의 대상은 티켓 발급 시스템의 잠재적인 위험성을 우려한 테마파크 고객이었다. 입장 시스템으로 사용되는 컴퓨터에는 서버, 고객 정보, 그리고 금융 기록에 대한 링크가 저장되어 있었다. 그 고객은 만약 입장 시스템의 컴퓨터가 취약하다면 심각한 데이터 사고가 발생할 수 있을 것이라는 점을 우려했다.

 

AP41DE.JPG해드너기는 해당 테마파크에 전화를 걸어 소프트웨어 판매직원인 척하는 것으로 테스트를 시작했다. 그는 새로운 PDF 리더 프로그램을 제공한다고 말했고, 그는 테마파크가 그 프로그램을 시험 삼아 설치해 보기를 원했다. 그는 테마파크에서 어떤 버전이 사용되고 있는 지를 물어보았고 쉽게 정보를 얻어 냄으로써 2단계를 위한 준비가 완료되었다.

 

다음 단계에서는 현장 소셜 엔지니어링 필요했고, 성공을 위해 해드너기는 자신의 가족을 이용했다. 그의 부인 그리고 두 살짜리 아기와 함께 티켓 발급소로 향하면서, 그는 한 직원에게 이메일에 입장권 할인 쿠폰이 담긴 파일이 있어 이메일을 확인해야 하는데 컴퓨터를 좀 이용하고 싶다고 말했다.

 

해드너기는 ”만약 그 직원이 ‘죄송합니다만, 그것은 불가합니다’라고 말한다면 계획은 물거품이 되는 것이었다” 그러나 “테마파크에 빨리 들어가고 싶어하는 아기를 가진 아버지처럼 보이는 것은 직원의 마음을 움직일 수도 있을 것이다”라고 설명했다.

 

해당 직원은 컴퓨터 사용을 허용했고, 테마 파크의 컴퓨터 시스템은 바로 해드너기의 악성 PDF에 감염되었다. 몇 분만에, 해드너기의 파트너는 그가 ‘성공’했고 ‘보고서 작성을 위한 정보를 수집’했다는 문자 메시지를 보내왔다.

 

해드너기는 또한 비록 해당 테마파크의 직원 수칙에는 불분명한 출처의 사람(심지어 고객이 도움을 필요로 하는 경우에도)이 첨부 파일을 열지 못하도록 명시되어 있지만 그것을 실제로 강제하는 규정은 없었다고 지적하며 “사람들은 다른 사람을 돕기 위해 기꺼이 많은 것을 한다.”고 말했다.

 

주의 사항 3 보안 정책은 강제될 때만 유효한 것이다.

 

주의 사항 4 범죄자들은 직원들의 선의와 돕고자 하는 마음을 이용하기도 한다.

 

해커가 해킹 당한 사례

해드너기는 방어를 위한 목적으로 소셜 엔지니어링 전문가들이 활용될 수 있는 사례를 설명했다. 그는 표준 네트워크 펜 테스트 수행을 위해 침투 테스터로 고용된 ‘존’에 대해 이야기 했다. 그는 ‘메타스플로잇(Metasploit)를 이용하여 스캐닝을 수행했,고 그 결과 네트워크 상에 있는 다른 컴퓨터를 통제할 수 있는 오픈 NVC(가상 네트워크 컴퓨팅) 서버가 있다는 것이 확인되었다.

 

그는 열려 있는 NVC 세션이 발견되었다는 문서를 작성하는 중이었는데 갑자기 백그라운드에서 마우스가 화면에서 움직이기 시작했다. 존씨는 그것이 발생한 시간 대에 합법적인 이유로 네트워크에 접속할 사용자는 없기 때문에 공격이라는 것을 알았다. 그는 네트워크에 침입자가 있다고 의심했다.

 

그 기회를 이용하여, 존은 ‘해킹에 대해 잘 모르는 ‘n00b’라는 해커인 척하며 메모장을 열어 침입자와 대화를 시작했다.

 

해드너기는 “그는 ‘어떻게 내가 그 사람으로부터 더 많은 정보를 얻어 고객에게 귀중한 정보를 제공할 수 있을까?’라고 생각했다’”며 존은 해킹에 대해 잘 알고 싶어하는 새내기 해커인 척하면서 침입자의 자만심을 이용했다고 말했다.

 

존씨는 몇 가지 해킹 트릭을 배우고 다른 해커들과 교류하고 싶어하는 젊은이인척 하면서 침입자에게 여러 가지를 질문했다. 채팅이 마무리될 즈음에 그는 침입자의 이메일, 연락처, 그리고 심지어는 그의 사진도 받게 되었다. 그는 고객에게 그러한 정보를 제공했고 시스템에 쉽게 접근할 수 있는 문제가 수정되었다.

 

해드너기는 해커와의 대화를 통해 해커가 실제로는 해당 업체를 ‘목표로 삼은’ 것이 아니고 취약성이 있는 대상을 물색하던 중 해당 업체의 오픈 시스템이 침입하기에 쉽다는 것이 발견되었다는 것을 존이 알게 되었다고 이야기했다.

 

주의사항 5 소셜 엔지니어링자들은 기업 방어 전략의 일환이 될 수 있다.

 

주의사항 6 범죄자들은 따기 쉬운 열매에 접근한다. 보안 수준이 낮다면 누구라도 대상이 될 수 있다.  editor@idg.co.kr



X