Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

소셜엔지니어링

와츠앱 사용자 전화번호 5억 개, 다크웹 매물로…소셜 엔지니어링 등 우려

4억 8,700만 건의 와츠앱 사용자 휴대전화 번호 데이터베이스가 해킹 커뮤니티인 브리치드(Breached.vc)에서 판매된 것이 뒤늦게 알려졌다. 보안 미디어 사이버뉴스(Cybernews)는 이 데이터 세트에는 84개국 이상의 와츠앱 사용자 정보가 담겨 있다고 보도했다. 와츠앱에서 유출된 데이터의 판매자는 메신저 앱 텔레그램으로도 데이터를 판매하고 있다. 텔레그램 사용자 혹은 그룹명 Palm Yunn 채널에서 판매하는데, 해킹 커뮤니티에서 이 사용자는 Agency123456으로 불리기도 한다. 판매자는 유출 데이터가 2022년 습득한 최신 데이터라고 강조했다.   메타 소유인 와츠앱은 전 세계 활성 사용자가 20억 명에 달하는 거대 메신저 앱이다. 브리치드에서 판매된 데이터가 모두 진본이라면 전체 와츠앱 사용자의 1/4에 가까운 데이터가 유출된 셈이다. 사이버뉴스가 입수한 영국 사용자 1,097명, 미국 사용자 817명의 ‘샘플’ 데이터는 조사 기관이 유효하다고 확인한 상태다. 데이터 출처는 확인할 수 없었고, 와츠앱은 유출된 데이터라는 증거가 없다고 주장했다. 와츠앱 대변인은 이메일을 통해 “사이버뉴스 기사에 실린 스크린샷은 입증되지 않았고 와츠앱에서 유출된 데이터라는 증거가 없다”라고 밝혔다.   와츠앱 데이터가 사기에 악용될 가능성 그럼에도 사이버보안 전문가는 개인 데이터가 피싱, 스미싱, 사기 사건에 악용될 확률이 있다고 경고했다. 사이버보안과 개인정보 정책 변호사 프라샨트 말리는 “위협 단체 등이 사용자 개인 휴대전화 번호를 피싱 사기에 악용할 위험이 있다. 전화번호가 은행 계좌와 연동된 경우에도 금전적 피해로 이어질 수 있다”라고 경고했다. 핑세이프(PingSafe) 설립자이자 버그 바운티 전문가 아난드 프라카쉬 역시 유출된 개인 전화번호가 소셜 엔지니어링에 악용될 것을 우려했다. 그러나 프라카쉬는 유출 데이터세트 자체에는 민감한 정보가 없다며 “다른 사람이 메시지를 읽거나 원격으로 와츠앱에 접속할 수 있는 수준의 아주 ...

와츠앱 다크웹 텔레그램 2022.11.29

글로벌 칼럼 | 직원들의 온오프라인 데이터가 위험하다

많은 사람이 소셜 미디어에 일상을 공유하고 삶에 대한 주요 세부 사항을 공개하는 것을 주저하지 않는다. 하지만 온라인에서 공유하는 내용과 사이버 공격자가 이런 정보를 사용해 비즈니스를 표적으로 삼는 방법에 대해 재고할 필요가 있다. 하나의 문자 메시지가 기업의 보안 침해로 이어질 수 있기 때문이다.   공격자가 신입 직원을 표적으로 삼는 과정 한 회사에 새 인턴이 입사했다고 가정해 보자. 온보딩 과정에서 인턴은 사무실 건물 열쇠, 네트워크 로그인 및 이메일 주소를 받는다. 일반적으로 직원들은 회사 이메일 외에도 개인 이메일과 휴대폰을 보유하고 있다. 다중 인증을 사용하는 곳이라면 회사 규모에 따라 직원의 개인 휴대폰에 2단계 인증용 토큰 또는 애플리케이션을 배포하거나 업무용 휴대폰을 제공하기도 한다. 입사 후 며칠 간은 다루어야 할 여러 새로운 기술로 인해 바쁠 수 있다. 열정적인 신입 직원이 직장에 적응하고 요구에 부응하는 것은 부담스러울 뿐 아니라 스트레스를 받는 일이다. 공격자는 바로 이 시기를 악용한다. 공격자는 새로운 상사를 기쁘게 해주려는 열정적인 직원을 물색한다. 최근 필자는 공격자가 새로 입사한 환경에 적응하는 직원을 어떻게 노리는지 직접 목격했다. 이메일의 시작은 악의가 없었다. 인턴에게 마감일까지 프로젝트를 도와 달라고 요청하는 내용이었고, 현재 비공개 회의에 참석해 있으니 최대한 신속하게 처리해달라고 적혀 있었다. 이메일은 ‘가능한 한 빨리 휴대폰 번호를 알려 달라’는 내용으로 마무리됐다.   이 공격자는 어떻게 신입 직원에 대해 알게 됐을까? 비즈니스 연결에 사용하는 도구로 피싱 공격을 개인화하는 것에서 시작한다. 공격자는 링크드인 같은 사이트를 모니터링하면서 필자가 새로 고용한 회계직 인턴과 파트너가 연결된 것을 발견했고, 파트너가 인턴에게 보내는 것처럼 이메일을 작성했다. 이때 공격자는 인턴에게 문자 메시지를 보낼 수 있도록 휴대폰 번호를 알려 달라고 요청했다.  이런 이메일을 받은 것은 3번이지...

보안 피싱 우버해킹 2022.09.29

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 2022.08.17

소셜 엔지니어링에 대해 잘못 알려진 5가지 착각 

소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.   프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다.  실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다.  착각 1. 해커는 공격 대상과 대화하지 않는다  많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다.  프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다. 착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다 사람들은 자신이 잘 ...

소셜엔지니어링 2022.06.29

인간을 표적으로 하는 대표적인 사이버 공격 수법 4가지

기술의 실패는 매일같이 발생한다. 사기성 메일, 피싱 메일처럼 원하지 않는 이메일을 막는 일은 이메일을 사용하기 시작한 날부터 줄곧 실패했다. 지난 2000년 수많은 IT 동료를 감염시킨 악명 높은 이메일 기반 컴퓨터 악성코드 ‘아이러브유(ILOVEYOU) 바이러스’를 생각해 보자.   아이러브유 바이러스 희생자들은 ‘아이러브유(ILOVEYOU)’라는 제목의 이메일을 클릭하지 말았어야 했지만 클릭했고, 그 후에는 뒷정리를 감당해야 했다. 많은 사용자가 백신이나 엔드포인트 보호 소프트웨어가 이런 문제를 경고해 줄 것으로 기대하지만 현실은 그렇지 않을 때가 많다. 기술이 실패하는 이유는 공격자가 사람을 표적으로 한 공격 수법으로 해당 기술을 피해갔기 때문이다. 대표적인 4가지 수법을 소개한다. 1. 특정인을 목표로 한 소셜 엔지니어링 사람을 대상으로 한 사이버 공격은 여러 가지다. 가장 대표적인 방법이 특정 인물을 목표로 삼은 공격 방법이다. 이런 공격 방법은 최근 소셜프루프 시큐리티(SocialProof Security) CEO 레이첼 토바크가 공개한 영상에 잘 소개돼 있다. 토바크는 영화 제작자 제프리 캐천버그의 컴퓨터를 해킹하기 위해 우선 웹상에 공개된 데이터베이스를 조사해 캐천버그가 믿을 만한 회사 동료 앤서니 살레로 가장했다. 토바크는 살레의 이메일과 매우 비슷한 주소로 캐천버그에게 피싱 메일을 전송한 후, 살레의 전화번호를 도용해 전화를 걸었다. 살레의 전화를 받았다고 생각한 캐천버그가 피싱 메일에 포함된 링크를 클릭하자, 토바크는 캐천버그가 보유한 모든 연락처를 포함해 캐천버그가 노트북으로 로그인한 모든 것에 접근할 수 있었다.   소셜 엔지니어링 기법이 새로운 것은 아니다. 1990년대에 검거된 유명 해커 캐빈 미트닉은 소셜 엔지니어링 기법으로 입수한 비밀번호와 암호만으로 컴퓨터를 해킹했다고 밝힌 바 있다. FBI는 미트닉이 사용하던 워싱턴 지역의 임원과 비서 인명록을 증거로 압수했는데, 필자는 페이지 모서리가 접혀 있는 ...

소셜엔지니어링 피싱메일 다중인증 2022.04.04

딥페이크를 이용한 소셜 엔지니어링 및 인증 위협 방법과 대응 방안

딥페이크(Deepfakes) 기술로 인해 기업의 사이버보안 위협이 증가하고 있다. 사이버 범죄자들은 사이버 공격과 사기에 사용할 합성 또는 조작된 디지털 콘텐츠(이미지, 동영상, 오디오, 문자 포함)를 만들기 위해 AI 및 머신러닝에 투자하고 있다. 이 콘텐츠는 인간과 자율적인 인식 수단을 속여 그들이 보고 듣고 읽는 것이 진실하고, 신뢰할 수 있다고 믿게 만드는 것을 목적으로, 외모, 음성, 버릇, 또는 어휘를 사실적으로 복제하거나 변경한 것이다.     2021년 3월, 미 FBI는 기존 스피어 피싱 및 소셜 엔지니어링 캠페인의 연장선상에서 합성 또는 조작된 디지털 콘텐츠를 활용하는 악의적인 행위자들이 증가하고 있다고 경고했다. 이 공격자들이 사용하는 합성 매체의 정교함 때문에 심각한 영향을 미칠 수 있다고 덧붙였다. 기업은 증가하는 딥페이크 사이버 위협을 인식하고 이를 기반으로 한 사이버 공격과 사기를 방지하기 위한 조치를 취해야 한다.   딥페이크 기술을 도입하는 사이버 범죄자  ISF(Information Security Forum) 리서치 애널리스트 마크 워드는 “음란물이 IT 기술 도입을 주도한다고 종종 말해왔는데, 딥페이크가 처음 등장했을 때도 마찬가지였다. 이제 이 기술은 비외설적인 분야, 특히 조직화된 사이버 범죄 집단에서 인기를 끌고 있다”라고 말했다.    워드는 “현재 딥페이크를 이용한 공격은 소수에 불과하며, 전문 범죄집단이나 국가 주도의 공격 집단이 실행한 몇몇 성공적인 사용만 있을 뿐이다. 하지만 도구, 기술, 잠재적인 보상이 알려지면, 모든 기술이 그렇듯 확산될 것이다”라고 경고했다 이런 추세는 범죄자들이 딥페이크 노하우와 전문지식을 공유하는 지하 세계와 다크웹 포럼에서 이미 입증되고 있다. VM웨어 연구팀은 딥페이크 도구와 기술을 설명하는 다크웹 튜토리얼을 발견했는데, VM웨어 사이버보안 전략가인 릭 맥엘로이가 기업을 침해할 목적으로 협력하...

딥페이크 소셜엔지니어링 2021.10.26

공격자가 현재 사용하는 7가지 소셜 엔지니어링 전술

최근 소셜 엔지니어링 공격이 증가하고 있다. 코로나 19에 대한 두려움, 소득에 대한 우려가 커지면서 절박감, 건강과 복지에 대한 걱정은 범죄자가 공격하기 쉽게 만들었다. 물론 소셜 엔지니어링은 컴퓨터 시스템 자체가 아닌 사용자를 공격해 정보를 빼내거나 해킹으로 이어질 행동을 유도하는 것을 의미한다.    보안 인식 교육 업체인 노우비포(KnowBe4) 전략 책임자 페리 카펜터는 “일반적으로 소셜 엔지니어링 기법은 오래된 기술을 새로운 포장지에 포장한 것과 같다”라고 말했다. 보안 전문가가 알고 있듯이 패키징이 중요하며, 익숙한 공격을 익숙하지 않은 형태로 방어를 뚫을 수 있다. 이번 기사에서는 소셜 엔지니어링 전문가가 2021년에 증가할 것이라고 말하는 7가지 전술에 관해 알아보자.    1. 악성 QR 코드  최근 1년 사이에 QR 코드 관련 피싱 사기가 많아졌다. 정사각형으로 배열된 기계 판독이 가능한 흑백 매트릭스 코드인 QR 코드는 기업이 코로나 19의 한복판에서 소비자와 소통하고 서비스를 제공하는 수단으로 점점 더 인기를 끌고 있다.  예를 들어, 많은 식당이 종이 메뉴판을 버리고 대신 손님에게 자신의 스마트폰으로 QR 코드를 스캔해 메뉴판을 대신하도록 한다. 이와 비슷하게 많은 걸스카우트가 올해 봄, 무 접촉 주문 및 쿠키 전달을 위해 QR 코드를 게시했다(국내에서는 코로나 19 방역을 위해 모든 장소의 출입명부를 QR 코드를 통해 대신하고 있다. 편집자 주). 그러나 QR 코드가 사람들에게 보내는 웹사이트 가운데 상당수는 서드파티 공급업체에서 운영한다. 악성 QR 코드를 스캔하면 마치 악성 링크를 클릭하는 것처럼 휴대폰에 악의적인 대상에 연결할 수 있다. 카펜터는 “사람들은 QR 코드와 웹 사이트가 합법적이라고 판단할 수 있다”라고 경고했다.  이 소셜 엔지니어링 공격의 전달 방법은 다양한다. 영국에 본사를 둔 보안 및 분석업체 사이브세이프(CybSafe) CEO 오즈 알라...

소셜엔지니어링 사회공학 QR코드 2021.04.19

“피싱 키트란 무엇인가” 피싱 공격의 구성 요소와 사용자가 대처하는 방법

피싱 키트(phishing kits)의 개념은 보안과 관련한 사람이 아니라면 다소 어려울 수 있다. 이번 기사는 피싱 키트에 대한 간략한 개요와 작동 방식, 그리고 이에 대처하는 방법에 대해 설명한다.    피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다.  피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 언급하거나 고위 경영진의 이메일을 스푸핑(spoofing)해 수행한다.  비싱(Vishing, 보이스 피싱)은 전화를 통한 피싱에 부여되는 용어다. 동일한 목표, 동일한 감정적 촉발, 이메일 대신 범죄자가 피해자에게 직접 전화를 건다. 일반적인 비싱 공격의 예로는 IRS 사기 및 기술 지원 사기가 있다. 2가지 경우, 모두 범죄자들은 개인정보와 돈을 얻기를 바라고 있다.  어떤 유형의 피싱 공격이 시작되든 목표는 피해자가 사용자 이름과 비밀번호를 공개하거나, 문서 및 기타 중요한 세부 정보를 공유하는 등의 작업을 수행하도록 하는 것이다.  피싱 공격은 일반적으로 긴급성을 강조하거나 기꺼이 도와주려는 의지에 따라 행해진다. 피싱 공격은 심각한 결과를 경고함으로써 두려움을 불러일으킬 수 있다. 때로는 일시 중지된 서비스, 중요한 데이터 손실 또는 다양한 개인적 결과에 대한 위협일 수도 있다. 그러나 일반적으로 피싱 공격은 피해자의 호기심을 자극함으로써 시작된다는 것이다. 어떡해든 피해자가 이메일을 열게 만드는 것, 그것이 피싱의 시작이다.  피싱 키트란 무엇인가? ...

피싱키트 피싱 소셜엔지니어링 2021.04.02

트위터 VIP 계정 해킹 사건으로 본 ‘내부자 위협’의 위험

대부분의 기업은 원격 공격으로부터 네트워크 경계선을 방어하기 위해 많은 노력을 하지만, 조직 내부에서 비롯되는 위협에는 많은 관심을 기울이지 않는다. 최근 유명인사와 브랜드의 트위터 계정이 하이재킹당한 공격이 있었다. 이는 악의적인 의도를 갖고 있거나, 잘 속는 내부자나 관리 액세스 권한을 제대로 관리하지 못했을 때 기업에 초래할 수 있는 위험을 알려주는 사건이었다.   트위터 해킹 사건 개요 15일, 기업 경영자와 예술가, 정치가, 유명 브랜드의 트위터 계정에 특정 주소로 비트코인을 보내라는 암호화폐 사기와 관련된 게시물이 게시됐다. 엘론 머스크, 빌 게이츠, 제프 베조스, 버락 오바마, 조 바이든, 카니예 웨스트, 킴 카시디안, 마이크 블룸버그, 우버, 애플, 심지어 트위터 고객지원 계정에서도 이런 일이 일어났다. 공격자들이 트위터에서 유명인을 가장해 이런 스캠 메시지를 게시하는 사례들이 종종 있다. 그러나 통상 팔로워가 몇 명 없는 가짜 계정으로 이런 일을 한다. 그런데 이번 사건에서는 트위터가 진짜 신원을 확인해 이름 옆에 체크 표시를 한 공식 계정에 이런 악성 메시지가 게시됐다. 이는 수많은 사용자가 이 스캠 메시지를 믿도록 만들었다. 공격자들은 이번 공격으로 약 12만 달러의 부당이득을 챙긴 것으로 추정되고 있다. 트위터는 모든 확인된 계정을 대상으로 일시적으로 새 메시지를 게시하지 못하도록 만드는 조치를 취했고, 그 즉시 이번 사건에 대해 조사하기 시작했다. 그런데 공격자들은 어떻게 한 번에 이렇게 많은 계정에 대한 액세스 권한을 획득할 수 있었을까? 사용자 계정 관리에 사용하는 내부 도구의 액세스 권한을 갖고 있는 1명 이상의 트위터 직원들을 통해 이렇게 할 수 있었다. 트위터에 이 도구의 스크린샷들이 게시되었지만, 트위터는 약관을 위반했다며 이들 스크린샷을 삭제했다. 트위터 직원들이 계정 일시 정지, 트윗 블랙리스트 처리, 계정과 연결된 이메일 주소 변경 등 여러 관리자 권한 작업을 수행할 수 있는 도구로 판단된다. 이번 공격에서...

트위터 해킹 내부자위협 2020.07.21

'프리텍스팅'의 정의와 사례, 그리고 방지하는 방법

프리텍스팅(Pretexting)은 소셜 엔지니어링 공격의 일종으로, 공격자가 피해자를 '설득'해 값진 정보나 서비스, 시스템에 대한 액세스 권한을 넘겨주도록 유도하는 공격 방법이다.    이 공격의 특징은 피해자를 속이기 위해 스토리, 다시 말해 프리텍스트(Pretext, 구실)를 사용하는 것이다. 이런 공격을 하는 사기꾼은 프리텍스트를 이용, 목표로 하는 정보에 액세스할 권한이 있는 사람이나 정보를 이용해 피해자를 도울 수 있는 사람으로 위장한다. 프리텍스팅의 정의와 기법 프리텍스팅은 역사가 꽤 길다. 블래깅(blagging)이라는 명칭으로도 부르는 이 행위는 영국에서는 타블로이드 신문 기자가 오래 전부터 연예인과 정치인의 가십을 얻기 위해 사용했던 방법이다. 그러나 요즘은 사기꾼이 개인이나 기업의 금융 계좌 정보나 사적인 데이터를 얻기 위해 사용하는 사례가 아주 많다. 프리텍스팅 공격자는 이메일과 문자, 음성 전화 통화 등 모든 종류의 통신 수단을 사용할 수 있다. 보안 엔지니어인 가빈 왓슨은 '소셜 엔지니어링 칩입 테스팅(Social Engineering Penetration Testing)'에서 프리텍스팅의 토대가 되는 기법에 대해 설명했다. 왓슨은 "가장 중요한 부분은 피해자를 끌어들이기 위해 사용하는 프리텍스트, 즉 시나리오를 만드는 것이다. 프리텍스트는 공격을 위한 무대, 캐릭터, 플롯을 만드는 역할을 한다. 목적을 달성하기 위해 이용하는 다른 많은 기법의 토대가 된다"라고 말했다. 프리텍스트는 2가지 주요 요소로 구성된다. 사기꾼이 연기하는 인물과 해당 인물이 추구하는 정보를 가질 권리가 있거나, 이 정보가 필요하다는 것을 설득시킬 그럴듯한 상황이다.  예를 들어, 우리는 자동 결제 시스템에 간혹 오류가 발생할 수도 있다는 점을 알고 있다. 신용카드나 은행 계좌에서 매달 자동 결제가 되도록 설정을 해 놓았다. 그런데 결제를 받아야 하는 회사에서 연락이 와서, 알 수 없는 이유로 결제가 되지 않아 연락을 했다고...

프리텍스팅 프리텍스트 소셜엔지니어링 2020.06.11

소셜 엔지니어링 공격에 당하고 있다는 10가지 신호

피싱(phishing)과 소셜 엔지니어링(social engineering)은 가장 기본적인 공격 방법이며, 컴퓨터가 발명된 이래로 거의 지속적으로 사용됐다.  1980년 대 초, 필자는 인터넷이 인터넷이기 전에 “HowtoGetAFreeHSTModem(HST 모뎀을 공짜로 얻는 방법)”이라는 텍스트 파일을 발견했다. 필자는 HST 9600 모뎀이 매우 탐났으며 텍스트 파일을 빨리 열었다. 그러자 “훔쳐라, 이 바보야”라는 텍스트가 나타났다. 해당 텍스트 파일을 닫기 위해 재빨리 esc 키를 눌렀다.  일반 텍스트 파일에는 보이지 않는 ANSI 제어 코드가 포함되어 있는데, 키보드에서 다음에 누르면 하드드라이브를 포맷했다. 그 이후로 필자는 2가지를 배웠다. 하나는 해커가 텍스트 파일을 사용해 공격할 수 있으면 모든 디지털 콘텐츠를 사용할 수 있다는 것과 또 하나는 적절하게 배치된 메시지를 통한 소셜 엔지니어링 공격으로 누구나 속일 수 있다는 것이다.    소셜 엔지니어링 공격을 받고 있다는 10가지 신호는 다음과 같다.  1. 로그온 정보 요청  소셜 엔지니어링의 가장 큰 특징은 로그온 정보를 요청하는 이메일, 웹사이트 또는 전화다. 그들이 로그온 정보를 요청하면 그들은 피해자를 상대로 이를 사용해 계정에 로그인하고, 제어하고, 피해자나 피해자의 조직에 대해 조치를 취한다. 구글과 마이크로소프트는 매일 수백만 건의 이메일 계정과 싸우고 있다.  위험을 줄이는 한 가지 방법은 다단계 인증(Multi Factor Authentication, MFA)이나 비밀번호 관리자(password manager)를 사용하는 것이다. 사기꾼은 사용자가 갖고 있지 않거나 모르는 비밀번호를 피싱할 수는 없다.  불행히도 MFA 솔루션은 모든 곳에서 작동하는 것이 아니며, 비밀번호는 오랫동안 우리 곁에 있을 것이다. 또한 모든 MFA 솔루션은 여러 가지 방법으로 해킹될 수 있다. 필자는 MFA를 해...

소셜엔지니어링 피싱 MFA 2019.09.24

유명한 소셜 엔지니어링 공격, 12가지 교묘한 속임수

인간은 사회적 동물이다. 다른 사람을 돕기를 좋아한다. 또한 일반적으로 계층 구조에서 자기보다 위에 있는 사람들의 말을 따르는 편이다. 다른 사람이 정직하다고 믿는 경향이 있다. 즉, 다른 사람이 하는 말이나 그 사람이 주장하는 스스로의 신원을 쉽게 믿는다. 정당한 이유 없이 의문을 제기하는 것은 무례한 행동이기 때문이다.   하지만 이런 사회적 미덕은 정보 보안에서 사람을 가장 약한 연결 고리로 만들기도 한다. 기술적 결함이 아닌, 스스로 가드를 내리도록 유도하는 이른바 소셜 엔지니어링에 의한 해킹이 빈번하게 발생한다. 소셜 엔지니어링 기법의 상당수는 사기 자체만큼 오래됐지만 디지털 시대에 맞게 업데이트됐다. 다음에 소개하는 12가지 소셜 엔지니어링 공격 사례를 교훈으로 삼아보자. 케빈 미트닉 소동 케빈 미트닉은 1980년대와 90년대 컴퓨터 시대의 가장 악명높은 해커 가운데 한 명이다. 미트닉을 움직인 동기는 수익이 아닌 호기심이었는데, 특히 소셜 엔지니어링 능력이 출중했다.  1979년 당시 16세였던 미트닉은 어느 해커 집단과 친분을 맺었다. 해커들은 DEC(Digital Equipment Corporation)이 운영체제 개발에 사용했던 시스템의 다이얼업 모뎀 번호를 알아냈지만 계정 이름이나 비밀번호를 몰랐기 때문에 아무런 쓸모가 없다고 미트닉에게 말했다. 그 말을 들은 미트닉은 DEC의 시스템 관리자에게 전화를 걸어 자신을 DEC의 선임 개발자 중 한 명인 안톤 셰노프라고 주장하며 로그인에 문제가 있다고 말했다. 그러자 전화를 받은 사람은 바로 미트닉에게 높은 수준의 시스템 액세스 권한을 부여하는 로그인 정보를 제공했다(미트닉은 교화 후 현재 보안 컨설팅 분야에 종사하고 있다). 형제의 범죄 1990년대 중동에서 가장 악명을 떨친 해커는 무저, 샤데, 래미 바디르 형제다. 이스라엘인인 이들 3형제는 선천적인 맹인이다. 바디르 형제가 가장 즐겨 공격한 대상은 전화 업체였다. 한창 활동할 당시에는 직접 해적 통신 업체를 운영...

속임수 소셜엔지니어링 보안 2019.08.14

"AB가 해킹을 차단해주지 않는다" 해킹을 비용효율적으로 방지하는 방법

"AB(Assume Breach)"는 기업이 이미 해킹을 당했거나 공격자에 의해 해킹을 당할 수 있다는 전제를 기반으로 한 사이버보안 방어 전략이다. 대부분의 기업과 조직은 해킹이 쉽기 때문에 이런 접근방식은 매우 유용하다. 하지만 반드시 그런 것은 아니다.   일부 고위 임원들은 이해가 되지 않을 수 있지만 조직을 해킹하기 매우 어렵게 만들 수 있다. 사실 일련의 방어책으로 사이버보안 위험을 크게 낮출 수 있다. 여기에는 ▲소셜 엔지니어링 및 피싱 대응 개선 ▲공격당할 가능성이 높은 소셜 엔지니어링 패치 개선 ▲모든 로그온에 MFA(Multi-Factory Authentication) 요구하기 등이 포함된다. 그렇다고 해서 공격을 모두 막을 수 있다는 것은 아니지만 위험은 감소한다. 그런데, 얼마나 감소하는 것일까? 설문조사에 따라 다르지만 모든 사이버 공격의 최대 91%는 피싱에 성공하면서 시작된다. 효과적인 소셜 엔지니어링 인식 프로그램으로 얻을 수 있는 이점이 무엇일지 생각해 보자.  필자의 경험상 이 3가지를 모두 제대로 하면 사이버보안 위험이 99% 감소한다. 사후 방어 전략인 AB 전략으로는 불가능하다. AB 전략은 단지 침입한 악당을 조기에 탐지하고 확산을 제한해 피해를 최소화하는 것일 뿐이다. 더 이상 해킹을 당하고 싶지 않다면 처음부터 해킹을 당하지 않는 것에 집중해야 한다. 향상된 보안 모니터링, 도메인 격리, 침입 탐지 등 AB 전략을 버릴 수는 없다. 안타깝게도 최근 대부분의 조직은 해킹 방지 전략 대신에 AB 방어책에 더 많은 돈을 지출하고 있다. 패치 및 소셜 엔지니어링과 피싱 방지 프로그램, 가장 비용효율적  앞서 설명한 3가지 방어책 가운데 2가지인 소셜 엔지니어링 대응 및 소셜 엔지니어링 패치는 비용이 높지 않다. 이미 비용을 지불했을 수도 있다. 단지 더 잘하면 된다. 위험의 90% 이상을 구성하는 이 두 가지 문제에 대해 IT 보안 예산의 5% 이하를 지출하고 있을 가능...

AB 소셜엔지니어링 해킹 2019.04.26

2019년 경계해야 할 모바일 보안 위협 6가지

요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분의 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다.  입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스개 소리로는 스마트폰이 악성코드에 감염될 확률은 번개에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현되어 있는 방어 체계때문에 그렇다. Credit: IDGNS 이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다. 1. 데이터 유출 2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다. 이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다. 가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)...

데이터유출 소셜엔지니어링 모바일위협 2018.11.22

"인간을 패치해야 할 때가 왔다"…소셜 엔지니어링 대응법

"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구는 "절대적으로 맞다"고 말했다. 데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다. 이는 허풍이 아니라 실존하는 위협이다. 스트리트와의 대화는 올해 그가 참석하는 컨퍼런스에 대해 묻는 간단한 질문에서 시작됐다. 실제로 스트리트는 에이프릴 C, 라이트와 함께 올해 라스베이거스의 블랙햇(Black Hat)에서 보안 팀에게 인간 침입 탐지 시스템을 개발하도록 가르치는 교육 강습을 하고 있다. 흥미로운 보안 위험 요소, 인간 필자가 본지에서 가장 재미있게 작성한 기사 가운데 하나는 스트리트가 은행의 침투 테스트를 시행했던 이야기다 2015년에 발행한 이 이야기는 다음에서 찾아볼 수 있다. 이 기사의 주제는 낙관적인 사고와 모든 사람을 최선을 추정하는 것은 실제로 위험하다는 것이다. 당시 스트리트는 단순히 은행에 들어갔다(미국이 아닌 다른 국가). 스트리트는 이 은행의 카운터 뒤쪽으로 가서 해킹된 시스템을 자유롭게 사용했다. 그는 은행에서 돈을 받고 물리적인 침투 테스트를 수행하는 임무를 받았다. 해당 은행에서 이 외국인이 좋은 사람이 아님을 파악한 사람은 아무도 없었다. 스트리트는 이 일에 대해 말하면서 "사람들은 자신에게 일어나는 부정적인 일에 대해서는 생각하길 싫어한다"고 말했다. 이는 인간 본성에 어긋난다. 스트리트는 "나는 그들에게 합리적인 설명을 해줄 수 있다면 그들은 나쁘게 보지 않고 오히려 낙관적으로 생각한다"고 말했다. 현재 스트리트는 여전히 보안을 위해 소셜 엔지니어링 훈련을 시행하고 있지만, 자신과 같은 조직을 방어하는 이들을 도와주는 사명도 맡고 있다. 인간 패...

패치 소셜엔지니어링 인간 2018.04.17

ITWorld 용어풀이 | 소셜 엔지니어링 공격

최근 기업들은 정보 유출 등 각종 보안 사고로 인해 시스템이나 데이터, 네트워크를 지키는 데 많은 투자를 하고 있습니다. 하지만 보안 체계에 있어 가장 취약한 부분은 바로 사람입니다. 소셜 엔지니어링(social engineering) 공격은 시스템에 침입하는데, 기술적인 해킹 기법을 사용하는 대신 사람의 심리를 악용해 시스템 또는 데이터, 건물에 대한 출입 권한을 확보하는 기술로, 사회공학적 공격이라고도 합니다(다만 사회 공학은 사회학적 전문지식을 실제적인 사회 분야에 응용하는 학문, 또는 작업이라는 의미도 있어 보안 분야에서는 소셜 엔지니어링을 그대로 쓰는 편이 의미 전달에 도움이 됩니다). 예를 들어, 소셜 엔지니어링 공격자는 소프트웨어 취약점을 찾아 이를 악용하는 대신, IT 직원인 것처럼 직원에게 전화를 걸어 비밀번호를 누설하게 만듭니다. 또는 회계팀인 것처럼 특정 직원에게 전화를 걸어 '방금 스프레드시트가 첨부된 이메일을 보냈습니다. 이 내용을 파악하고 답변을 달라'고 요청합니다. 이렇게 하면 상대방을 신뢰해 이메일을 열 수밖에 없습니다. 물론 첨부된 파일에는 악성코드나 트로이목마가 담겨있습니다. 이렇게 공격자가 비밀번호를 탈취하거나 트로이 목마를 설치하게 되면 해당 직원의 신원으로 로그인해 여기저기 마음대로 돌아다닐 수 있습니다. 이런 기법들은 아주 오래 전부터 존재했지만, 1990년대 유명 해커인 케빈 미닉이 '소셜 엔지니어링'이란 용어를 퍼트리는 데 일조했습니다. 소셜 엔지니어링 공격 방법은 나날이 다양해지고 치밀해지고 있습니다. 또한 기업이 엄청난 투자를 통해 구축해 놓은 보안 체계를 아주 적은 비용으로 무력화시킬 수 있습니다. 이 때문에 소셜 엔지니어링 공격은 APT와 같은 사이버 범죄에서 스피어 피싱과 함께 기본적인 침투 방법으로 사이버범죄자들이 선호합니다. 소셜 엔지니어(social engineer)는 오랜 시간을 두고 여러 수단과 방법을 복합적으로 사용하고 사람의 본성과 감...

소셜엔지니어링 2018.01.31

소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리

화이트햇 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 해야 할 일이 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 알려줬다. Q. 소속 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안 담당팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객들이 목적과 목표를 인식하고 있어, 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우, 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후, 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 고객은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했었다. 테스트를 통해 취약점 하나를 발견했...

컴플라이언스 소셜엔지니어링 화이트햇 2016.08.16

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.