Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

소셜엔지니어링

해커들이 악용하는 4가지 '감정'

본 기고문은 벤더가 작성했지만 특정 제품이나 서비스를 알리는 내용을 담고 있지 않다. 해커가 특정 시스템, 기업, 개인을 공격하거나 해킹하는데 있어 전문 지식이 중요한 것은 물론이다. 그러나 종종 간과되는 점이 있다. 소셜 엔지니어링 같은 '속임수'는 기술적 게임인 동시에 '심리 게임'이기도 하다는 점이다. 따라서 이런 종류의 공격을 방어하는 대책에는 '인간'에 대한 고려도 포함돼야 한다. 이를 위해서는 공격자들이 사람의 감정을 어떻게 공격에 유리하게 이용하는지 이해해야 한다. 여기 해커들이 소셜 엔지니어링 공격에서 즐겨 이용하는 4가지 감정과 행동, 특정 공격의 특징과 악용하는 감정, 조직과 직원들이 향후 이런 종류의 공격을 방어하는데 도움을 줄 중요 고려 사항 몇 가지를 소개한다. - 두려움: 누군가 또는 무언가 (고통이나 위협 등) 위험을 초래한다고 생각할 때 생기는 불쾌한 감정이다. 두려움은 가장 강력한 동기 유발 요소 가운데 하나로, 소셜 엔지니어링에서 가장 많이 악용되는 감정이기도 하다. 온라인 뱅킹 계정이 침해 당했으니 비밀번호를 변경하라는 가짜 이메일, 긴급한 보안 침해 상황을 알리는 은행의 통지문 등을 예로 들 수 있다. 이런 '스캠(사기행위)'은 특정인이나 집단을 대상으로 특정한 위협을 이용하기도 한다. 또 피해자에게 위험한 상황을 피하거나 바로잡기 위해 신속히 행동할 것을 촉구하는 경향도 있다. 세금 신고 기간을 악용한 소셜 엔지니어링을 예로 들 수 있다. 최근 사이버 범죄자들은 IRS에서 훔친 정보를 이용, 납세자에게 전화를 걸어 위협했다. 이들 공격자는 지금 당장 가짜 IRS 계좌에 송금을 해, 세금 신고가 잘못된 것을 바로잡지 않으면 처벌을 받을 수 있다고 협박했다. - 복종: 법과 명령, 요청, 또는 타인의 권한을 따르는 감정을 의미한다. 복종을 이용하는 소셜 엔지니어링 스캠은 종종 법 집행 기관이나 회사 경영진 등 권력이 큰 사람이나 집단이 보낸...

해커 소셜엔지니어링 2016.05.17

테크비디오 | 소셜 엔지니어링이란 무엇인가?

이 세상에는 보안을 해치는 여러가지 방법이 있지만, 사람의 심리를 악용하는 기법도 있습니다. 바로 소셜 엔지니어링이라고 불리는 것인데요, 소셜 엔지니어링의 개념과 막는 방법을 애니메이션으로 알아보시죠.

소셜엔지니어링 보안 테크비디오 2016.02.05

CIO를 위한 ‘소셜 비즈니스 전략’ 구축법

‘사용하지 않는 데이터’, ‘확장 불가능’, ‘신규 솔루션 도입의 어려움’, ‘과다한 비용 지출’, ‘보안상의 허점 메우기’ 등등.   포레스터 리서치가 최근 발간한 보고서에 따르면, 이들은 기업들이 소셜 솔루션을 도입할 때 직면하거나 종종 실패의 원인을 제공하는 데 공통적으로 발생하는 현상이다.   점점 더 많은 기업들이 소셜 테크놀로지를 활용하고 있다. 그리고 여기서 소셜 비즈니스 전략은 성공의 열쇠다. 이번 보고서의 작성자이자 애널리스트인 니겔 펜윅은 "시장의 요구 사항을 토대로 구축된 과거의 전략은 오늘날의 비즈니스 세계에서는 무용지물이 됐다"라며 "기업과 고객이 직면하고 있는 문제를 해결하는데 초점을 맞춘 소셜 커넥션에 뿌리를 둔 역동적이고 수평적인 구조를 갖춘 기업들이 기존의 위계적인 기업들을 대체하고 있는 중"이라고 설명한다.   하지만 CIO들은 소셜 비즈니스 전략을 개발하기 앞서, CMO와 협력해 다음 두 영역을 다뤄야 한다:   먼저 소셜 비즈니스 전략 위원회를 구성해야 한다. 즉 CIO나 CMO 개인이 아닌 임원진이 전략에 책임을 져야 한다는 점을 수용해야 한다. 그리고 IT와 HR, 법률 지원 부서 등, 전사적인 부서별 책임자와 관리자가 포함된 소셜 비즈니스 전략 위원회 구성을 위해 CEO의 지원을 얻어야 한다. 이 위원회는 전략 수립을 지원하고, 이의 이행을 관장하는 책임을 맡게 될 것이다.   그 다음, '결정적인’ 계기를 만들어 가야 한다. 이 계기는 고위 임원진이 소셜 테크놀로지의 잠재성이 비즈니스를 개선할 수 있다는 사실을 깨닫게 될 때 창출된다. 임원들이 함께 협력해 소셜 테크놀로지를 이용해 기업의 부문들을 개혁할 방법을 탐구하고, 구현 가능한 목표를 토론할 때 이런 계기가 만들어질 수 있다.   포레스터는 소셜 비즈니스 전략을 수립할...

CIO SNS 전략 2011.03.03

사례로 보는 소셜 엔지니어링과 주의사항

크리스 해드너기는 사람들을 속여 돈을 벌고 오랜 간의 경험을 통해 속이는 것에 꽤 익숙해졌다. social-engineering.org의 공동 설립자이자 ‘소셜 엔지니어링: 휴먼 해킹의 기술(Social Engineering: The Art of Human Hacking)의 저자이기도 한 해드너기(Hadnagy)는 어떻게 해커들이 정보에 접근하는 가를 고객들에게 설명하는 데 조작 전술(manipulation tactics)을 10년 넘도록 이용하고 있다. 해드너기는 자신의 신간에 수록된 소셜 엔지니어링 테스트 중에서 기억에 남는 3가지 경험을 소개하고 그러한 결과로부터 기관들이 무엇을 배워야 하는가에 대해 설명했다.   자부심이 강했던 CEO의 사례 한 사례에서, 해드너기는 지적 재산권을 보유하고 경쟁업체가 있는 한 프린팅 업체의 서버에 접속하기 위해 SE 감사원으로 채용된 경험에 대해 이야기했다. 사업 파트너와의 전화 회의에서 해당 업체의 CEO는 해드너기에게 자신은 “비밀을 부인에게도 털어놓지 않기” 때문에 “그를 해킹하는 것은 불가능”하다고 말했다고 한다.   해드너기는 ”그 CEO는 결코 속지 않을 것이라고 자신했다”며 “그는 아마도 누군가 자신에게 전화를 걸어 비밀 번호를 물어볼 것이라고 생각했고 그것에 대한 준비를 마쳤다”고 이야기했다.   약간의 정보를 수집한 후에, 해드너기는 서버의 위치, IP 주소, 이메일 주고, 전화 번호, 주소, 메일 서버, 직원들의 이름과 직함 등을 파악했다. 그러나 해드너기는 그 CEO의 가족 중 한 명이 암으로 투병했다 회복되어 그 CEO가 암을 위함 모금 활동과 연구에 참여하고 있다는 것을 알게 되는 커다란 수확을 거뒀다. 그리고 페이스북을 통해 해드너기는 그 CEO가 좋아하는 식당과 스포츠 팀 등 자세한 개인적인 정보를 알 수 있게 되었다.   정보로 무장한 채로, 해드너기는 공격할 만반의 ...

보안 해킹 소셜엔지니어링 2011.02.16

달라지고 있는 기업 보안 위협 양상과 방안

보안 위협의 양상을 수년 동안 다뤄오고 있지만, 2가지 기본적인 문제는 변함이 없다. 첫째, 위협 양상은 지속적으로 진화하고 있으며 점점 더 복잡해지고 있다. 둘째, 사람, 프로세스, 그리고 기술의 전 분야에 걸쳐서 취약점을 악용하는데 있어서는 공격자가 방어자보다 항상 한발 앞서 나갈 것이다. 그 외에 이런 공격의 동기, 방법과 도구는 어떻게 달라졌을까? 이제 우리는 더 이상 해커 개개인과 싸우고 있는 것이 아니라, 고도로 조직화되고, 풍부한 자금 지원을 받고 있는 범죄 조직과 싸우고 있으며, 어떤 경우에는 정부의 지원까지도 받고 있는 정부 요원과 싸우고 있다.   IT 보안 전문가가 높은 성과를 내는 보안 조직을 꾸려나가기 위해서는, 보안 양상의 변화하고 있는 본질을 필수적으로 고려해야 할 것이다. 특히, 다음과 같은 변화를 기본적으로 숙지하고 있자.   동기: 해커들이 명성과 악명을 드높이기 위해서 가장 최근에 자신이 한 악용 사례를 공개적으로 떠벌리던 시절은 갔다. 지금은 이런 시도에 조직 범죄가 개입되어 있을 뿐 아니라, 해커들이 막대한 금전적 이익까지도 얻으려 하고 있다. 공격자는 수 백만 건의 기록을 저장하고 있는 시스템을 노리고 있다. 다음 통계치를 자세히 보자. 미 의회의 보고서에 따르면 사이버 범죄는 미국 경제에 80억 달러의 비용을 유발하고 있으며, 이 금액은 바하마의 국내 총생산(GDP)과 같은 액수이다.   방법: 과거의 가시적인 공격과 달리, 눈에 잘 띄지 않는 완만하게 진행되는 공격은 체계적이고 정확한 공격을 감행하는 것으로, 공격자는 수 개월에 걸쳐 목표에 대한 정보를 수집한 다음에 취약점을 체계적으로 노리고, 목표 환경의 여러 부분에 침투하면서 존재 흔적을 모두 지운다. 최종 목표는 장기간에 걸쳐 지속적인 자금 줄을 만들기 위해 어떻게 해서든 애플리케이션을 수정하는 것이다. 악명 높은 TJX 고객정보 유출 사건처럼.   도구:...

맬웨어 해킹 기업보안 2010.08.17

기업 임원들이 소셜 엔지니어링의 주요 타깃이 되는 4 가지 이유

보안 관리자들의 주된 관심은, 직장에서 페이스북을 사용하는 직원들이 “지금 난 런던에 있는데, 돈이 필요하다” 와 같은 419 금융사기에 말려들까 하는 염려에 있다. 아마도 조직의 몇 명은 나이지리아 왕자임을 확신하고 행운을 나눠 가지려는 사람들도 있을 것이다. 또한 스피어 피싱(spear 피싱 - 불특정 다수가 아닌, 정확한 공격대상을 정하고 그 대상에 대한 피싱공격을 수행하는 것)을 목적으로 한 이메일 공격은 직원이나 은행, 기타 믿을만한 기관을 사칭하므로, 모든 직원들이 이러한 기술적인 범죄에 대하여 인지하고 대응할 수 있는 프로그램의 모색이 필요하다.     하지만, 스트레이트젬 1 솔루션(Stratagem 1 Solutions)의 CIO이자 보안 컨설턴트인 제이슨 스트리트에 의하면, 가장 큰 문제는 그것이 아니다. 소셜 엔지니어링에 있어 가장 위협이 되는 것은, 회사의 최고 경영진이며, 그들이야말로 가장 교육이 절실한 대상이라는 것이다.    “인간 문제 해결방안”에 대하여 조언을 하고 있는 스트리트는 민감한 데이터와 극비 사항에 접근할 수 있는 C-레벨의 관리자들은 범죄의 가장 좋은 대상이며, 회사를 심각한 위기 상황으로 몰아넣을 수 있다. 이러한 위험 요소들은 조직의 아래에서 맨 위의 관리자 레벨까지 모든 사람들이 보안에 대한 인식을 올바로 이해하기 전까지는 해소될 수 없다고 말한다.   “경영진은 이러한 모든 위험요소들을 파악하여, 어떤 위험이 닥칠지, 어떻게 피해가야 할지를 이해해야 한다”라고 설명한다.   또한 스트리트는 왜 고위 임원진들이 소셜 엔지니어링 공격의 대상이 되는 가에 대한 네 가지 이유를 아래와 같이 설명하고 있다.   보안 규정을 준수할 필요가 없다. 최고 임원들은 회사에서 가장 중요한 사람들이므로, 그들의 업무는 굉장히 중요하고 까다롭기 때문에, 업무 수행에 불편을 ...

보안 소셜엔지니어링 2010.07.21

기업의 보안 능력 시험하는 타깃 사이버공격

올해 초 구글을 비롯 30여 기업을 공격했던 것과 같은 타깃화된 사이버공격이 새로운 방법으로 기업의 보안 모델을 시험하고 전면적인 사이버전쟁 보다 민감한 데이터에 즉각적인 위협이 되고 있다.   또한, FBI측은 지난 주 사이버공격은 미국에 “실존하는 위험”이라고 경고했다.   오래된 이메일 및 네트워크 웜, 바이러스와는 다르게 타깃 공격은 도둑질 같은 것이고, 기업 네트워크에 침투해 오랫동안 숨어있을 수 있도록 한다. 전형적으로 이런 공격의 실제 목적은 중요한 정보를 훔치는 것이다.   지난 몇 년간 주에서 지원을 받는 고도의 기술 능력 및 컴퓨팅 리소스를 가진 단체들이 정부나 군을 노린 이런 공격 대응을 관리하고 있다. 그러나 공격의 숫자가 증가하고 일반 기업 영역으로도 확장되어 일부 사람들은 미국이 사이버 전쟁의 중심에 있는지 여부에 대해 생각하게 됐다.   아직, 전쟁은 아니다   아직 전쟁까지는 아니라는 것이 일반적인 견해다. 대신 타깃 공격으로 인해 미국의 기업체들은 APT(advanced persistent threat)에 직면하고 있다. 타깃 공격은 전형적으로 정교한 소셜 엔지니어링 기술을 이용해서 알려지지 않은 보안 취약점을 이용하는데, 일반적으로 회사에서 많이 사용하는 서명 기반의 맬웨어 추적툴을 피하도록 설계되어 있기 때문에 공격을 방어하기가 어렵다.   대부분의 공격은 핵심 정보에 접속할 수 있는 사람들을 속여서 감염된 이메일이나 다른 메시지들을 열도록 하는 소셜 엔지니어링을 이용한다.   시만텍의 메시지랩스 인텔리전스(MessageLabs Intelligence) 유닛의 수석 분석가인 폴 우드는 악성 메시지는 수신자가 알고 있는 누군가로부터 온 듯하게 작성된다고 설명했다. 심지어 진행 중인 이메일 교환에 끼어들어서 익숙한 제목과 내용을 포함 시켜 신빙성...

구글 보안 사이버공격 2010.04.08

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.