2018.08.01

알아보고 대비하자! 흔한 소셜 엔지니어링 공격

Tamlin Magee | Techworld
보안 사슬에서 가장 약한 고리는 바로 ‘사람’이다. 악의적인 공격의 위험을 상쇄하기 위해 조직이 가장 뛰어난 기술을 전부 보유할 수 있다. 하지만 직원을 교육하지 않거나 베스트 프랙티스를 제공하지 않는 조직은 더 위험하다.

실제로 네트워크를 손상시키는 가장 효과적인 방법은 속임수를 이용해 내부 시스템, 이메일 계정에 접근해 사람을 겨냥하는 것이다. 이 속임수를 최대한 이용하려는 공격자는 평범한 사람의 실수에 의존하기 때문에 시스템을 보호하기가 가장 어렵다. 이는 소셜 엔지니어링이라 불리는 가장 보편적인 기술이다.

소셜 엔지니어링은 거짓말과 조작이며, 가장 오래된 전술이 핵심이다. 실제로 위협 환경이 점점 복잡해지고 있지만 손쉬운 피싱 방식은 그리 많지 않다. 일반적인 소셜 엔지니어링 공격에 관해 알아보자.



1. 피싱
개인정보나 자격증명만 있으면 공격자가 많은 것을 얻을 수 있다. 공격자에게 정보를 제공하는 합법적인 모양의 웹사이트에 개인 자격증명을 입력하도록 사용자를 속일 수 있다. 일반적으로 희생자는 이베이나 페이팔 같은 실제 기업에서 온 것처럼 보이는 이메일을 받게 된다. 이 이메일은 사용자에게 로그인에 주의하라고 경고한다. 하지만 로그인할 때 로그인 정보가 엉망이 된다.

2. 스피어 피싱
피싱과 마찬가지로 스피어 피싱(spear phishing)은 은밀한 수단을 통해 자격증명에 접근하는 것을 목표로 한다. 그러나 피싱과는 목표가 다르다. 스피어 피싱 공격은 공격자가 공개적으로 사용할 수 있는 정보를 통해 매우 조심스럽게 공격 대상자를 파악하는 경향이 있다. CFO와 같은 가치가 높은 목표물이 이러한 공격의 희생양으로 악명이 높아졌으며, 때로는 수십만 달러에 달하는 돈이 은행 계좌로 이체되어 돈이 세탁되기도 했다.

3. 비싱(보이스 피싱)
비싱은 보이스 피싱(voice phishing)의 약자로, 기본적으로 전화를 통한 피싱 공격이다. 누군가에게 전화를 걸어 신원을 알아낸다. 그것이 개인일 수도 있고 합성된 음성 녹음을 사용하는 자동 다이얼링 시스템일 수도 있다. 수신자에게 자신이 말해서는 안 되는 정보를 제공하도록 설득하려 할 수 있다. 음성 인식의 발전으로 가까운 시일 내에 새롭고 훨씬 더 정교한 위협이 생길 수 있다.

4. 워터홀링(워터링 홀)
공격자가 피해자의 프로필을 설정하는 워터홀링(Waterholing) 공격은 해당 사람이나 조직의 자주 방문한 웹 사이트에 악용을 시도한다. 이 악용은 악성코드를 원격 접근 트로이 목마와 같은 자신의 컴퓨터로 옮겨 공격자가 데이터를 추출하는 작업을 시작할 수 있게 한다. 트렌드마이크로에 따르면, 2012년 말 미국 외교 안보위원회 웹 사이트는 인터넷 익스플로러에서 제로데이 익스플로잇을 호스팅하고 IE를 공개한 사이트를 방문한 사람들을 떠나게 했다.

5. 퀴드 프로우 쿼우
이는 공격자가 희생자에게 가치 있는 무언가를 제공하고 교환해 웜을 대상으로 하는 네트워크에 제공한다는 점에서 물물교환을 의미한다. 이 공격에는 공격자가 기술 지원 작업자로 위장해 다른 쪽 사람이 겪고 있는 문제를 해결할 수 있도록 돕는 동시에 공격자가 코드 라인을 백도어에 입력한다. 그러나 트립와이어(Tripwire)가 지적했듯이 비밀번호와 초코바를 교환하는 것만큼 간단할 수 있다.

6. 베이팅
여기서 공격자는 희생자가 코드를 실행하도록 유도하기를 원한다. 일반적으로 호기심을 자극하거나 숨겨진 악성코드가 있는 하드웨어나 소프트웨어를 실행하도록 유도한다. 예를 들어, 회의실에 전달된 ‘누구 것인지 모르는 USB 카드’에 실제로 악성코드가 들어있을 수도 있다. 일반적인 공격은 USB를 주차장에 두는 것에서 시작되기도 한다.

7. 프리텍스팅
프리텍스팅(Pretexting)은 공격자가 자신의 정보를 훔치기 위해 희생자가 속임수를 쓰도록 자극하는 그럴듯한 시나리오를 만들 때다. 보안 인식이 있는 사람조차도 프리텍스팅에 넘어가는 방법을 소개하는 게시물이 있으니 참고하기 바란다. 이 게시물에 따르면, 사기꾼이 피해자에게 전화를 걸어 피해자의 은행 계좌 정보를 확인해 텍스트를 소리 내어 읽도록 하고 궁극적으로 1,000달러를 훔친 사건이 있었다. 프리텍스팅은 피해자가 공격자를 의심하지 않도록 전적으로 믿도록 해 정보를 빼내는 수법이다. 

8. 테일게이팅
테일게이팅은 본질적으로 제한된 영역에서 높은 수준의 인증을 받은 사람을 겨냥하는 수법이다. 예를 들어 희생자를 속여 희생자가 자신은 보안 사항을 준수했다고 믿도록 한다. 언론에서 시험해 봤듯이 눈에 잘 띄는 조끼를 착용하고 클립 보드를 들고 다니는 것만으로도 사람들이 믿도록 해준다. 실제로 지멘스 엔터프라이즈 커뮤니케이션의 보안 엔지니어 한 명이 FTSE 상장 금융 회사에 쉽게 들어간 사례가 있다. ciokr@idg.co.kr



2018.08.01

알아보고 대비하자! 흔한 소셜 엔지니어링 공격

Tamlin Magee | Techworld
보안 사슬에서 가장 약한 고리는 바로 ‘사람’이다. 악의적인 공격의 위험을 상쇄하기 위해 조직이 가장 뛰어난 기술을 전부 보유할 수 있다. 하지만 직원을 교육하지 않거나 베스트 프랙티스를 제공하지 않는 조직은 더 위험하다.

실제로 네트워크를 손상시키는 가장 효과적인 방법은 속임수를 이용해 내부 시스템, 이메일 계정에 접근해 사람을 겨냥하는 것이다. 이 속임수를 최대한 이용하려는 공격자는 평범한 사람의 실수에 의존하기 때문에 시스템을 보호하기가 가장 어렵다. 이는 소셜 엔지니어링이라 불리는 가장 보편적인 기술이다.

소셜 엔지니어링은 거짓말과 조작이며, 가장 오래된 전술이 핵심이다. 실제로 위협 환경이 점점 복잡해지고 있지만 손쉬운 피싱 방식은 그리 많지 않다. 일반적인 소셜 엔지니어링 공격에 관해 알아보자.



1. 피싱
개인정보나 자격증명만 있으면 공격자가 많은 것을 얻을 수 있다. 공격자에게 정보를 제공하는 합법적인 모양의 웹사이트에 개인 자격증명을 입력하도록 사용자를 속일 수 있다. 일반적으로 희생자는 이베이나 페이팔 같은 실제 기업에서 온 것처럼 보이는 이메일을 받게 된다. 이 이메일은 사용자에게 로그인에 주의하라고 경고한다. 하지만 로그인할 때 로그인 정보가 엉망이 된다.

2. 스피어 피싱
피싱과 마찬가지로 스피어 피싱(spear phishing)은 은밀한 수단을 통해 자격증명에 접근하는 것을 목표로 한다. 그러나 피싱과는 목표가 다르다. 스피어 피싱 공격은 공격자가 공개적으로 사용할 수 있는 정보를 통해 매우 조심스럽게 공격 대상자를 파악하는 경향이 있다. CFO와 같은 가치가 높은 목표물이 이러한 공격의 희생양으로 악명이 높아졌으며, 때로는 수십만 달러에 달하는 돈이 은행 계좌로 이체되어 돈이 세탁되기도 했다.

3. 비싱(보이스 피싱)
비싱은 보이스 피싱(voice phishing)의 약자로, 기본적으로 전화를 통한 피싱 공격이다. 누군가에게 전화를 걸어 신원을 알아낸다. 그것이 개인일 수도 있고 합성된 음성 녹음을 사용하는 자동 다이얼링 시스템일 수도 있다. 수신자에게 자신이 말해서는 안 되는 정보를 제공하도록 설득하려 할 수 있다. 음성 인식의 발전으로 가까운 시일 내에 새롭고 훨씬 더 정교한 위협이 생길 수 있다.

4. 워터홀링(워터링 홀)
공격자가 피해자의 프로필을 설정하는 워터홀링(Waterholing) 공격은 해당 사람이나 조직의 자주 방문한 웹 사이트에 악용을 시도한다. 이 악용은 악성코드를 원격 접근 트로이 목마와 같은 자신의 컴퓨터로 옮겨 공격자가 데이터를 추출하는 작업을 시작할 수 있게 한다. 트렌드마이크로에 따르면, 2012년 말 미국 외교 안보위원회 웹 사이트는 인터넷 익스플로러에서 제로데이 익스플로잇을 호스팅하고 IE를 공개한 사이트를 방문한 사람들을 떠나게 했다.

5. 퀴드 프로우 쿼우
이는 공격자가 희생자에게 가치 있는 무언가를 제공하고 교환해 웜을 대상으로 하는 네트워크에 제공한다는 점에서 물물교환을 의미한다. 이 공격에는 공격자가 기술 지원 작업자로 위장해 다른 쪽 사람이 겪고 있는 문제를 해결할 수 있도록 돕는 동시에 공격자가 코드 라인을 백도어에 입력한다. 그러나 트립와이어(Tripwire)가 지적했듯이 비밀번호와 초코바를 교환하는 것만큼 간단할 수 있다.

6. 베이팅
여기서 공격자는 희생자가 코드를 실행하도록 유도하기를 원한다. 일반적으로 호기심을 자극하거나 숨겨진 악성코드가 있는 하드웨어나 소프트웨어를 실행하도록 유도한다. 예를 들어, 회의실에 전달된 ‘누구 것인지 모르는 USB 카드’에 실제로 악성코드가 들어있을 수도 있다. 일반적인 공격은 USB를 주차장에 두는 것에서 시작되기도 한다.

7. 프리텍스팅
프리텍스팅(Pretexting)은 공격자가 자신의 정보를 훔치기 위해 희생자가 속임수를 쓰도록 자극하는 그럴듯한 시나리오를 만들 때다. 보안 인식이 있는 사람조차도 프리텍스팅에 넘어가는 방법을 소개하는 게시물이 있으니 참고하기 바란다. 이 게시물에 따르면, 사기꾼이 피해자에게 전화를 걸어 피해자의 은행 계좌 정보를 확인해 텍스트를 소리 내어 읽도록 하고 궁극적으로 1,000달러를 훔친 사건이 있었다. 프리텍스팅은 피해자가 공격자를 의심하지 않도록 전적으로 믿도록 해 정보를 빼내는 수법이다. 

8. 테일게이팅
테일게이팅은 본질적으로 제한된 영역에서 높은 수준의 인증을 받은 사람을 겨냥하는 수법이다. 예를 들어 희생자를 속여 희생자가 자신은 보안 사항을 준수했다고 믿도록 한다. 언론에서 시험해 봤듯이 눈에 잘 띄는 조끼를 착용하고 클립 보드를 들고 다니는 것만으로도 사람들이 믿도록 해준다. 실제로 지멘스 엔터프라이즈 커뮤니케이션의 보안 엔지니어 한 명이 FTSE 상장 금융 회사에 쉽게 들어간 사례가 있다. ciokr@idg.co.kr

X