보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
고도화된 사회 공학적 공격기법, 사람을 겨냥하다
2019.07.03
11,157
1. 사이버 범죄자들은 끊임없이 공격을 시도하고 있다
잘 지어진 한 건물이 있다. 이 건물의 주인은 수백억의 가치를 하는 귀중한 보물을 보관하기 위해 크고 튼튼한 금고를 제작하여 건물 내부에 설치하였다. 또한 외부인의 불법적인 침입을 막기 위해 출입문과 창문에는 최첨단 보안장비를 설치하였고, 경비원을 고용해 365일 24시간 건물을 지키도록 하였다.
위의 상황을 사이버 환경으로 바꾸어 생각해 보자. 건물 안의 보물은 기업 또는 개인의 중요한 데이터이며, 이 데이터를 보호하기 위해 방화벽, 관제시스템 등 각종 보안 장비들을 365일 24시간 운영하고 있다. 과연 이렇게 지킨다고 한들 날로 발전하는 사이버 범죄자들로부터 안전하다고 장담할 수 있을까?
[그림 1] 사이버 범죄자들의 공격 루트들
2. 사이버 보안에서 가장 취약한 부분은 사람이다
변화하는 IT 환경에서 데이터의 가치가 높아지면서 보안기술 또한 상당히 많은 발전을 이루었다. 최근에는 인공지능을 접목한 차세대 보안관제 시스템이 출시되면서 위협을 탐지하고 대응하기까지 걸리는 시간이 획기적으로 단축되었고, 알려지지 않은 이상행위를 선제 판별할 수도 있게 되었다. 이러한 시대 흐름은 사이버 범죄자들에게도 영향을 주었는데, 보안성이 강화된 시스템이 아닌 상대적으로 취약한 사람을 목표로 공격하는 경우가 증가하였다. 이처럼 데이터와 금품을 갈취하기 위해 사람을 이용하는 공격을 사회 공학적 공격(Social Engineering Hacking)이라고 한다.
사회 공학적 공격은 사람을 타킷으로 이용하는 공격이기 때문에, 방어하는 입장에서 위협을 판단하기는 쉽지 않다. 또한 사람들의 일상과 개인정보가 소셜미디어(SNS)를 통해서 공유되고, 각종 여론과 사회이슈가 인터넷으로 쉽게 전달되면서 사람들의 심리까지 이용하는 고도화된 기법으로 진화하고 있다.
아래 [그림 2]의 메일내용을 보면, 사이버 범죄자는 기술적 취약점이 아닌 사용자가 스스로 클릭할 수밖에 없는 내용으로 악성 홈페이지 접속을 유도하고 있다.
[그림 2] 악성 메일 샘플
3. 사회 공학적 공격기법(Social Engineering Hacking)
사회 공학적 공격은 아래와 같이 4단계로 진행된다. 우선 타깃이 되는 사용자를 정하고 공격에 필요한 정보를 수집한다. 공격 과정에 사용자의 신뢰를 얻는 것이 가장 중요하기 때문에 앞서 수집한 정보를 가공하여 맞춤형 공격을 실행한다. 마지막으로 공격에 성공을 하면 자신의 흔적을 지운 후 사라진다.
[그림 3] Social Engineering Attack Lifecycle
사회 공학적 공격이 가장 위협적인 점은 소프트웨어 및 시스템의 취약점이 아닌 사람의 실수를 공격에 이용한다는 것이다.
따라서, 침입 및 위협을 판단하기가 굉장히 어렵다. 사회 공학적 공격의 유형은 아래와 같이 분류할 수 있다.
|
공격 유형 |
설 명 |
|
Baiting |
•사용자의 호기심을 자극하는 미끼를 가지고 공격한다.
사용자의 눈에 잘 띄는 책상, 화장실, 엘리베이터 등에 악성코드가 담긴 USB, 물리적 저장매체를 두고, 사용자가
호기심에 스스로 실행하게 만드는 공격이다.
•2010년, 이란 부셰르 원자력발전소 원심분리기가 ‘스턱스넷’ 공격으로 파괴되었다. [1]
|
|
Scareware |
•웹브라우저 등을 통해 사용자에게 악성코드 감염을 당했다고 속여, 가짜 안티바이러스 프로그램을 설치하게 만든다. 악성코드에 감염되지 않았지만 제거를 해야 한다며 금품을 요구한다.
•2018년, 해외 MS 엔지니어는 스케어웨어 공격을 도와 25만달러에 이르는 부당 수익을 챙겼다. [2]
|
|
Pretexting |
•사용자가 신뢰하는 대상으로 위장해 정보를 빼내는 수법이다.
사용자가 이용하는 통신사 또는 거래하는 은행의 직원으로 위장해 정보를 탈취한다.
•2018년, 버라이즌은 프리텍스팅 공격이 전년도에 비해 5배
이상 늘어났다고 발표했다. [3]
|
|
Phishing |
•낚시(fishing)에서 유래한 단어로, 불특정 다수에게 이메일,
메시지를 보내 데이터를 탈취하는 수법이다.
|
|
Spear phishing |
•작살 낚시(Spearfishing)에서 유래한 단어로, 특정한
개인 또는 기업의 정보를 수집하고 분석한 후 이메일
또는 메시지 등을 보내 데이터를 탈취하는 수법이다.
•2017년, 악성코드가 포함된 이력서를 이메일에 첨부해 6,038대 PC를 악성코드에 감염시켰다. [4]
|
|
Watering Hole |
•사용자가 자주 방문하는 홈페이지를 사전에 해킹을 한 후, 사용자가 방문할 경우 악성코드에 감염시킨다.
방문한 다른 사용자 역시 영향을 받게 된다.
•2018년, 가상 화폐거래소 ‘워터링홀’ 공격으로 200억원의 암호화폐를 탈취당했다. [5]
|
[1] “악성코드 옮길라… 길에 떨어진 USB도 조심” (http://www.inews24.com/view/1090617)
[2] "전 MS 엔지니어, 랜섬웨어 제작에 가담해 18개월 형 선고 받아" (https://www.dailysecu.com/?mod=news&act=articleView&idxno=37625)
[3] “데이터 유출 사고 보고서 발표한 버라이즌, 랜섬웨어가 1등” (https://www.boannews.com/media/view.asp?idx=68317&kind=1)
[4] “이력서에 악성코드 심어 채굴… PC 6천여 대 감염” (http://www.mbn.co.kr/pages/vod/programView.mbn?bcastSeqNo=1196935)
[5] “1년전 가상 화폐거래소 해킹, ‘워터링홀’ 공격에 당했다.” (http://www.inews24.com/view/1169061)
4. 어떻게 대응해야 하나?
# Spear Phishing Mail (예시)
제목 : 고생하신 임직원님을 위한 소정의 선물을 마련했습니다. 보내는 사람 : 인사팀 |
어느 날 A씨는 인사팀으로 위와 같은 메일을 받았다. 평소 회사를 위해 궂은일과 야근을 많이 했었던 A씨는 드디어 자신의 노고를 인정받는구나 라는 마음으로 아무런 의심 없이 본문의 링크를 클릭하였다. 그러나 A씨의 기쁨은 여기까지였다. 클릭과 동시에 A씨의 컴퓨터는 사이버 범죄자의 손에 넘어갔기 때문이다.
위의 경우 메일을 보낸 사람에게 확인 전화를 했었다면, 악성 메일인지 판단할 수 있었을 것이다. 사회 공학적 공격기법은 사용자 개인의 분별력 제고 및 보안의식 수준에 크게 영향을 미치기 때문에, 평소 악성메일 모의훈련과 교육 등을 통해서 사용자의 보안인식 수준을 향상 시켜야 한다.
[그림 4] 이글루시큐리티 악성메일 모의훈련 프로세스
5. 결론
지금까지 사이버 범죄자들이 사람의 심리, 특성, 호기심 등을 분석하여 공격에 활용하는 내용에 대해 알아보았다. 사용자는 평소에 보안 인식을 가지고 위협에 대비하는 것이 가장 중요하며, 아래 ‘사용자 보안수칙’을 마지막으로 ‘고도화된 사회 공학적 공격기법, 사람을 겨냥하다.’의 기고를 마무리하겠다.
