2012.04.30

인기절정의 '소셜 엔지니어링 툴킷'··· 3가지 활용 조언

Joan Goodchild | CSO
2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다.

케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다.

현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다.

케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다.

각자 조사하고 준비한다
케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다.

그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다.
그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크드인을 조사하는 것이 회사와 회사의 구조를 이해하는데 도움이 된다. 우리는 또 웹사이트에서 PDF와 워드 문서, 엑셀 스프레드 시트, 기타 데이터를 끄집어낸다. 또 사용하고 있는 어도비와 워드 버전, 운영 시스템이 무엇인지 알려주는 메타데이터를 추출한다"고 설명했다.

소셜-엔지니어닷컴의 창립자인 크리스 하드나지도 여기에 동의했다.

하드나지는 "가장 중요한 부분은 정보 수집이다. 시간의 약 절반 이상을 정보 수집에 투자해야 한다. 품질 정보, 유효한 이름, 이메일, 전화번호를 수집하면 성공확률이 높아진다. 이런 정보 수집 과정에 테스트 없이도 보안 취약점을 발견할 수 있다. 그러면 테스트를 해 확인을 해야 한다"고 말했다.

문제점을 지적하지 말고, 가르친다
케네디는 키트를 사용하는 침투 테스터들이 침투 테스트 성공률을 높이려면 회사의 다른 직원들을 먼저 준비시킬 필요가 있다고 충고했다. 그러나 경고란 달갑지 않기 마련이다. 케네디는 이때야말로 문제를 지적하기보다는 가르칠 기회라고 강조했다.

케네디는 "보안 전문가들이 달가워하지 않는 것 중의 하나가 사용자를 평가한다는 것이다. 물론 사용자는 보안과 관련된 문제를 제대로 인식해야 한다. 하지만 보안 담당자들이 명심할 부분이 있다. 사용자의 문제점을 지적하기 보다는 가르치는 것이 보안 담당자의 역할이라는 사실이다. 침투 테스트는 누군가가 잘못했다고 지적하는 기회가 아닌 교육의 기회가 되어야 한다"고 설명했다.

케네디는 사용자가 실수를 하고, 소셜 엔지니어링 해킹이라는 함정에 빠져들 때, 이는 누구에게나 일어날 수 있는 실수라는 점을 분명히 해야 한다고 권고했다.

케네디는  "학습을 할 수 있는 기회이고, 뭐가 잘못됐는지 파악하는 기회라는 점을 알려줘야 한다. 또 향후 똑같은 실수를 반복하지 않도록 교훈을 얻을 수 있는 기회라는 점을 지적해야 한다"고 말했다.

그는 또 "사용자들에게 앞으로의 침투 테스트에서는 더 나은 결과를 얻을 수 있다고 안심을 시켜야 한다. 사용자들은 반복 경험을 통해 이런 것들을 인식하게 될 것이다"라고 덧붙였다.

하드나지도 보안에 문제가 있다고 회사를 들쑤시는 것은 끔직한 아이디어라고 강조했다.

하드나지는 "보안 감사 결과를 직원 교육의 일부로 항상 활용해야 한다. 직원들을 당황시켜서는 안 된다. 문제점을 알리고, 교육을 시키는데 중점을 둬야 한다. 예를 들어, 나는 고객을 피싱 했을 때 보고서에 이름을 적지 않는다. 단지 클릭한 직원들에게 피싱을 당했다는 사실과, 이를 방지하는 방법을 알려주는 정보를 자동으로 발송할 뿐이다"라고 설명했다.

그는 이와 함께 여러 직원들을 함께 교육시킬 때, 특정 직원의 이름을 언급하거나 농담거리로 삼아서는 안 된다고 강조했다. SET 같은 툴은 테스터가 누가 클릭을 하고 응답을 했는지 추적할 수 있도록 해준다. 이는 많은 도움이 될 수 있다. 대기업의 경우 취약한 영역을 파악할 수 있고, 따라서 더욱 효과적인 교육을 할 수 있기 때문이다.

직원뿐만 아니라 스스로의 문제점을 파악한다
케네디는 "키트를 사용하는 사람들이 직면하게 되는 가장 큰 도전은 소셜 엔지니어링 개념과 공격을 하는 방법을 이해하는 것이다. 기업이 소셜 엔지니어링 공격을 어떻게 방어하는지 정확히 이해를 할 필요가 있다"라고 설명했다.

따라서 침투 테스트를 마치고 나면, 성공과 실패 사례를 조사해야 한다. 이런 방식으로 기업이 방어 확률을 높일 수 이는 정보를 제공해야 한다. 또 이와 동시에 자신의 접근 방식에 있어 문제점이 있었는지 파악해야 한다.

케네디는 "침투 테스터가 조사를 충분히 하지 못했을 경우 실패할 확률이 높아진다. 그냥 침투를 해 확인을 하고 반응을 하는 경우가 많은데, 이는 실패만을 보장할 뿐이다"라고 설명했다. ciokr@idg.co.kr



2012.04.30

인기절정의 '소셜 엔지니어링 툴킷'··· 3가지 활용 조언

Joan Goodchild | CSO
2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다.

케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다.

현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다.

케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다.

각자 조사하고 준비한다
케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다.

그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다.
그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크드인을 조사하는 것이 회사와 회사의 구조를 이해하는데 도움이 된다. 우리는 또 웹사이트에서 PDF와 워드 문서, 엑셀 스프레드 시트, 기타 데이터를 끄집어낸다. 또 사용하고 있는 어도비와 워드 버전, 운영 시스템이 무엇인지 알려주는 메타데이터를 추출한다"고 설명했다.

소셜-엔지니어닷컴의 창립자인 크리스 하드나지도 여기에 동의했다.

하드나지는 "가장 중요한 부분은 정보 수집이다. 시간의 약 절반 이상을 정보 수집에 투자해야 한다. 품질 정보, 유효한 이름, 이메일, 전화번호를 수집하면 성공확률이 높아진다. 이런 정보 수집 과정에 테스트 없이도 보안 취약점을 발견할 수 있다. 그러면 테스트를 해 확인을 해야 한다"고 말했다.

문제점을 지적하지 말고, 가르친다
케네디는 키트를 사용하는 침투 테스터들이 침투 테스트 성공률을 높이려면 회사의 다른 직원들을 먼저 준비시킬 필요가 있다고 충고했다. 그러나 경고란 달갑지 않기 마련이다. 케네디는 이때야말로 문제를 지적하기보다는 가르칠 기회라고 강조했다.

케네디는 "보안 전문가들이 달가워하지 않는 것 중의 하나가 사용자를 평가한다는 것이다. 물론 사용자는 보안과 관련된 문제를 제대로 인식해야 한다. 하지만 보안 담당자들이 명심할 부분이 있다. 사용자의 문제점을 지적하기 보다는 가르치는 것이 보안 담당자의 역할이라는 사실이다. 침투 테스트는 누군가가 잘못했다고 지적하는 기회가 아닌 교육의 기회가 되어야 한다"고 설명했다.

케네디는 사용자가 실수를 하고, 소셜 엔지니어링 해킹이라는 함정에 빠져들 때, 이는 누구에게나 일어날 수 있는 실수라는 점을 분명히 해야 한다고 권고했다.

케네디는  "학습을 할 수 있는 기회이고, 뭐가 잘못됐는지 파악하는 기회라는 점을 알려줘야 한다. 또 향후 똑같은 실수를 반복하지 않도록 교훈을 얻을 수 있는 기회라는 점을 지적해야 한다"고 말했다.

그는 또 "사용자들에게 앞으로의 침투 테스트에서는 더 나은 결과를 얻을 수 있다고 안심을 시켜야 한다. 사용자들은 반복 경험을 통해 이런 것들을 인식하게 될 것이다"라고 덧붙였다.

하드나지도 보안에 문제가 있다고 회사를 들쑤시는 것은 끔직한 아이디어라고 강조했다.

하드나지는 "보안 감사 결과를 직원 교육의 일부로 항상 활용해야 한다. 직원들을 당황시켜서는 안 된다. 문제점을 알리고, 교육을 시키는데 중점을 둬야 한다. 예를 들어, 나는 고객을 피싱 했을 때 보고서에 이름을 적지 않는다. 단지 클릭한 직원들에게 피싱을 당했다는 사실과, 이를 방지하는 방법을 알려주는 정보를 자동으로 발송할 뿐이다"라고 설명했다.

그는 이와 함께 여러 직원들을 함께 교육시킬 때, 특정 직원의 이름을 언급하거나 농담거리로 삼아서는 안 된다고 강조했다. SET 같은 툴은 테스터가 누가 클릭을 하고 응답을 했는지 추적할 수 있도록 해준다. 이는 많은 도움이 될 수 있다. 대기업의 경우 취약한 영역을 파악할 수 있고, 따라서 더욱 효과적인 교육을 할 수 있기 때문이다.

직원뿐만 아니라 스스로의 문제점을 파악한다
케네디는 "키트를 사용하는 사람들이 직면하게 되는 가장 큰 도전은 소셜 엔지니어링 개념과 공격을 하는 방법을 이해하는 것이다. 기업이 소셜 엔지니어링 공격을 어떻게 방어하는지 정확히 이해를 할 필요가 있다"라고 설명했다.

따라서 침투 테스트를 마치고 나면, 성공과 실패 사례를 조사해야 한다. 이런 방식으로 기업이 방어 확률을 높일 수 이는 정보를 제공해야 한다. 또 이와 동시에 자신의 접근 방식에 있어 문제점이 있었는지 파악해야 한다.

케네디는 "침투 테스터가 조사를 충분히 하지 못했을 경우 실패할 확률이 높아진다. 그냥 침투를 해 확인을 하고 반응을 하는 경우가 많은데, 이는 실패만을 보장할 뿐이다"라고 설명했다. ciokr@idg.co.kr

X