2012.08.17

데이터 보호를 위한 인적 관리 가이드

Thor Olavsrud | CIO
기업의 자산을 지키기 위해 적용한 보안 전문성과 자원을 투입하더라도, 조직 내에서 가장 취약한 부분을 신경쓰지 않는다면 안전을 보장할 순 없다. 바로 직원들이다.
 
보안 인증 연구 및 교육 기관인 SANS 연구소 인간 보안 프로그램의 훈련 책임자 랜스 스피츠너는 "컴퓨터는 지난 15년간 점점 안전해졌지만, 인간은 그렇지 못했다"며, "이제 인간은 보안의 가장 취약한 고리가 됐다"고 말했다. 
 
보안에서 인간이 가장 허술하다
보안 기술 그 자체가 더 이상 허술하지 않은 지금, 악성 해커들은 조직 침투를 위한 좀더 쉬운 방법을 찾고있다. 사회 공학적(social engineering) 침투나 암호를 치밀하게 관리하지 못하는 직원이 그 예다. 
 
스피츠너는 일반적인 직원들은 강력한 암호를 만드는 방법, 데이터 보호 정책을 제대로 준수하는 방법, 데이터를 안전하게 공유하는 방법등에 무지하다고 말했다.
 
보안 교육 기관인 소셜-엔지니어링.org 공동 창립자이자 오펜시브 시큐리티 업무 팀장 크리스 해드내기는 "사회공학은 사람들이 무엇에 의해 생각하고 반응하며, 그 감정적 반응을 통해 그들이 해주길 바라는 행동으로 유도하는 작업에 대해 이해하는 일"이라 정의했다. 해드내기는 <소셜 엔지니어링: 인간 해킹 기술(Social Engineering: The Art of Human Hacking>의 저자이기도 하다.
 
2010년에 개최된 데프콘 18 해킹 컨퍼런스(DEF CON 18 Hacking Conference)에서 소셜-엔지니어링.org는 어떻게 사회공학적 침투자들이 기업의 방어책을 무너뜨리는지 보여주기 위해 첫 사회공학적 깃발잡기 경연대회를 열었다.
 
컨퍼런스 2주 전에 사회공학적 침투 경험이 거의 없는 아마추어로 구성된 경연대회 참가자에게 각각 기업의 실제 이름을 주었다. 
 
참가자들은 경연 대회 전까지 2주간 구글 검색과 같은 '비침투적' 기술을 사용해 그들에게 주어진만큼의 기업 자료 일체를 수집하도록 했다. 그들은 이메일이나 전화 사용은 물론 기업과의 직접 접촉도 금지된 채, 웹상에서 자유롭게 떠돌아다니는 것들만 이용해야 했다. 
 
수집된 자료 일체를 통해 기업의 프로필을 작성하고 '공격 진로'를 계획하고, 대상 기업의 직원이 '깃발' 혹은 자료 일부을 드러내게 하는 전략 수립에 사용됐다.
 
소셜-엔지니어링.org는 누가 기업의 테이프 백업을 관장하는지, 기업의 직원들이 사용하는 브라우저의 버전이 무엇인지, 직원이 사용하는 PDF 클라이언트, 기업 구내식당이 있는지, 누가 운영하는 지 등의 목표 깃발을 설정했다.  FBI가 그 깃발 등을 심사했고, 경연 참가자는 암호와 IP주소 등의 다른 민감한 데이터를 캐내는 일은 규칙상 금지했다.
 
해드내기는 "만약 당신에게 정보를 제공할 누군가를 찾아내기만 하면, 그 사람에게서 더 많은 정보를 얻어내는건 어렵지 않다"고 설명했다. 
 



2012.08.17

데이터 보호를 위한 인적 관리 가이드

Thor Olavsrud | CIO
기업의 자산을 지키기 위해 적용한 보안 전문성과 자원을 투입하더라도, 조직 내에서 가장 취약한 부분을 신경쓰지 않는다면 안전을 보장할 순 없다. 바로 직원들이다.
 
보안 인증 연구 및 교육 기관인 SANS 연구소 인간 보안 프로그램의 훈련 책임자 랜스 스피츠너는 "컴퓨터는 지난 15년간 점점 안전해졌지만, 인간은 그렇지 못했다"며, "이제 인간은 보안의 가장 취약한 고리가 됐다"고 말했다. 
 
보안에서 인간이 가장 허술하다
보안 기술 그 자체가 더 이상 허술하지 않은 지금, 악성 해커들은 조직 침투를 위한 좀더 쉬운 방법을 찾고있다. 사회 공학적(social engineering) 침투나 암호를 치밀하게 관리하지 못하는 직원이 그 예다. 
 
스피츠너는 일반적인 직원들은 강력한 암호를 만드는 방법, 데이터 보호 정책을 제대로 준수하는 방법, 데이터를 안전하게 공유하는 방법등에 무지하다고 말했다.
 
보안 교육 기관인 소셜-엔지니어링.org 공동 창립자이자 오펜시브 시큐리티 업무 팀장 크리스 해드내기는 "사회공학은 사람들이 무엇에 의해 생각하고 반응하며, 그 감정적 반응을 통해 그들이 해주길 바라는 행동으로 유도하는 작업에 대해 이해하는 일"이라 정의했다. 해드내기는 <소셜 엔지니어링: 인간 해킹 기술(Social Engineering: The Art of Human Hacking>의 저자이기도 하다.
 
2010년에 개최된 데프콘 18 해킹 컨퍼런스(DEF CON 18 Hacking Conference)에서 소셜-엔지니어링.org는 어떻게 사회공학적 침투자들이 기업의 방어책을 무너뜨리는지 보여주기 위해 첫 사회공학적 깃발잡기 경연대회를 열었다.
 
컨퍼런스 2주 전에 사회공학적 침투 경험이 거의 없는 아마추어로 구성된 경연대회 참가자에게 각각 기업의 실제 이름을 주었다. 
 
참가자들은 경연 대회 전까지 2주간 구글 검색과 같은 '비침투적' 기술을 사용해 그들에게 주어진만큼의 기업 자료 일체를 수집하도록 했다. 그들은 이메일이나 전화 사용은 물론 기업과의 직접 접촉도 금지된 채, 웹상에서 자유롭게 떠돌아다니는 것들만 이용해야 했다. 
 
수집된 자료 일체를 통해 기업의 프로필을 작성하고 '공격 진로'를 계획하고, 대상 기업의 직원이 '깃발' 혹은 자료 일부을 드러내게 하는 전략 수립에 사용됐다.
 
소셜-엔지니어링.org는 누가 기업의 테이프 백업을 관장하는지, 기업의 직원들이 사용하는 브라우저의 버전이 무엇인지, 직원이 사용하는 PDF 클라이언트, 기업 구내식당이 있는지, 누가 운영하는 지 등의 목표 깃발을 설정했다.  FBI가 그 깃발 등을 심사했고, 경연 참가자는 암호와 IP주소 등의 다른 민감한 데이터를 캐내는 일은 규칙상 금지했다.
 
해드내기는 "만약 당신에게 정보를 제공할 누군가를 찾아내기만 하면, 그 사람에게서 더 많은 정보를 얻어내는건 어렵지 않다"고 설명했다. 
 

X