나무모에 미러 (일반/어두운 화면)
최근 수정 시각 : 2024-11-21 20:21:15

사회공학

소셜 엔지니어링에서 넘어옴
1. 개요2. 기법
2.1. 사회공학 사이클
3. 세부적인 공격 유형
3.1. 개인 - 개인
3.1.1. Pretexting3.1.2. Tailgating, Piggybacking3.1.3. Quid Pro Quo
3.2. 각종 매체를 이용한 전자적 수법
3.2.1. 피싱
3.2.1.1. Spear Phishing
3.2.2. Baiting
3.3. 불특정 다수에 대한 물리적 수법
4. 다른 분야와의 연계5. 사례
5.1. 실제5.2. 가상
6. 인물

1. 개요

"기업 정보 보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다.
가장 큰 위협은 바로 당신이다."
("The biggest threat to the security of a company is not a computer virus, an unpatched hole in a key program or a badly installed firewall.
In fact, the biggest threat could be you") - 케빈 미트닉[1]

사회공학(社會工學 / social engineering)이란 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단이다. 즉 첩보/해킹의 한 분야가 학술적으로 정립된 것이라고도 할 수 있다.

고도의 컴퓨터 기술을 필요로 하는 다른 해킹의 분야와 달리 사회공학은 인간의 심리를 이용하는 경우가 많다. 필연적으로 사회공학만을 사용하기보다는 다른 해킹의 분야와 같이 사용되는 경우가 많다. 사회공학이라는 단어는 컴퓨터가 존재하기 이전부터 존재했을 정도로 유서가 깊다. 그 특성 상 해킹이 아닌 다른 인간의 심리를 다루는 분야와도 관련이 많은 편이다. 고로 일상생활에서도 유용한 기술이다.

사실 아무리 기술적인 보안을 완벽히 하더라도, 물리적이거나 인간적인 부분까지 완벽히 막기는 어렵다. 제아무리 서버에 고도의 암호화를 했다고 하더라도, 직원을 속여 직원의 계정과 암호를 빼돌리면 답이 없기 때문이다. 회사 내의 아이피에서만 서버에 진입 가능하게 바꾸면 쉽게 막을 수 있지만, 보안을 필요로 하는 서버가 만약 게임 서버 등 외부에서도 접근을 할 수 있어야 하는 서버라면 곤란하다.

컴퓨터 해킹이 아닌 분야에서 사람을 속이거나 정보를 얻어내는 방법에 대해서는 사회공학 문서보다는 심리전, 독심술 문서 참조 바람. 기술정보 외에도 휴민트를 수집하는 FBICIA 같은 정보기관들은 밥 먹고 하는 게 사회"공학"이라 하기 민망할 정도로 자주 하는 첩보기술이긴 하다.

참고로 일본에서의 사회공학(社会工学)이란 경영공학, 금융공학, 정치공학 등을 두루 포함하는 완전히 다른 의미로[2] 대학뿐만 아니라 기업에서도 자주 사용하는 용어이므로 주의할 필요가 있다. 사실 이 쪽이 더 무서운거 맞다(...) 이 항목에서 언급되는 악의적인 해킹 기법을 말할 때는 ソーシャル ・ エンジニアリング(소셜 엔지니어링) 같이 가타카나로 표기하거나 영어를 그대로 사용한다.

파일:security.png
약간 비슷한 의미로 암호학에선 '고무호스 암호분석'이란 용어도 있다. 고무호스로 보안 담당자를 족쳐서(...) 암호를 알아낸다는 뜻.

2. 기법

사회공학의 기법은 인간의 심리 현상 중에서도 신뢰를 이용하는 것에 초점이 맞춰져 있다.
특정한 결론이나 행동을 이끌어내는 행위를 말한다.
목표물을 설득해 정보를 누설하거나 특정한 행위를 하게 만드는 행위를 일컫는다. 단순히 거짓말을 하는 것 이상의 의미를 지닌다. 완전히 새로운 누군가로 위장하는 것 역시 이곳에 포함된다.

2.1. 사회공학 사이클

사회공학적 공격으로 유명한 케빈 미트닉(Mitnick, Kevin D)은 사회공학적 공격을 총 4단계로 분류하였다.[5]

3. 세부적인 공격 유형

각 숫자의 경우 유형을 말한다. 예를 들어 Person-Person 항목의 경우 교차하여 6가지의 유형이 된다.

3.1. 개인 - 개인

3.1.1. Pretexting

신분을 조작하거나 적당한 시나리오를 꾸며내어 피해자가 제 발로 가해자가 원하는 행동을 하게 만들기. 이때 상대가 가상의 인물을 의심할 때 쓰이는 정보들을 최대한 많이 알아내어야 유리하다.

3.1.2. Tailgating, Piggybacking

직원이 문 열고 들어갈 때 자연스럽게 뒤따라 들어가기.

3.1.3. Quid Pro Quo

3.2. 각종 매체를 이용한 전자적 수법

3.2.1. 피싱

3.2.1.1. Spear Phishing
불특정 다수에게 무작정 메시지를 뿌리는 것이 아니라 개인, 어떤 조직의 특정인물, 특정 조직만을 찍어 사기를 친다. 과거에는 이런 사기를 당하는 사람들이 정보기관이나 군인이었지만, 오늘날에는 기업체를 크게 털어먹는 것은 물론이고 몇백만원짜리 보이스피싱도 스피어 피싱의 요소를 갖추고 있다.

LG화학의 사례가 있다. 사우디아라비아 아람코의 자회사 아람코프로덕트트레이딩의 납품대금 계좌가 변경됐다는 가짜 이메일을 받고, 허위 계좌로 240억원을 보냈다. 거래 계좌가 변경됐다는 이메일을 받은 LG화학의 담당자는 이메일에 나와 있는 전화번호로 통화를 했고, 서류까지 주고받아 확인한 뒤 별다른 의심없이 변경 계좌에 240억원을 송금했다. 이런 사기를 방지하기 위해서 은행에 명의와 계좌가 일치할 때만 송금하도록 조건부 송금요청을 하는데 은행에서 이런 부분이 지켜지지 않았다. 아마도 사우디 아람코, 계좌 송금은행, LG화학 세 군데 중 하나의 보안이 뚫렸을 것으로 생각되고 있다.

3.2.2. Baiting

공짜 영화 다운로드, 공짜 포르노 등을 걸어놓고 프로그램 설치, 금융결제 등을 유도한 뒤 개인정보를 털어먹는 것.

3.3. 불특정 다수에 대한 물리적 수법


누군가가 회사 근처에서 주인 없는 USB를 주웠다고 가정해보자. 주인을 찾아 주려고 하든 안 하든 보통 열어보려는 심리가 있다. 일반인이라면 이것이 해킹 수법이라는 생각을 안 하기 때문이다. 특히 회사 근처에서 주웠기 때문에 회사 컴퓨터에 꽂아서 열어보려는 심리가 있다. 그런데 만약 이 USB가 해킹 툴로 가득한 USB였다면 어떻게 될까? 당장 그 순간부터 그 컴퓨터는 해커의 노예가 되어서 해커는 회사 네트워크를 해당 컴퓨터를 통해 접근을 할 것이다. 이런 수법을 쓸 경우 회사 앞이나 회사 화장실 등에 해킹 툴을 설치한 USB를 뿌린다. "해커가 겨우 우리 회사 하나 노리려고 가짜 USB를 뿌려가면서 해킹하려고 노력할 일이 없으니 말이 되지 않는다"라고 할 수 있지만, 상대방이 외국 정보기관 정도 되면 10억원 정도 들여서 도청 감청용 소프트웨어를 사기도 하는 세상이다. 그 돈이면 USB를 50만개쯤 뿌리는 것도 자유롭다.

4. 다른 분야와의 연계

심리학, 사회학, 신경 언어 프로그래밍(NLP), 프레이밍 등 사회공학 기술에 접목하기 쉬운 분야들과의 연계가 활발한 편이다. 또한 이것들이 사회공학 기술에 많은 영향을 주었다고 알려져 있고, 공격자들 역시 적극적으로 수용하여 사회공학과 같이 사용하고 있다고 한다. 예를 들어 여자, 어린이, 강아지 등을 사회공학 수법에 접목하면 외모지상주의 면이나 언더독 효과를 이용해 의심을 적게 살 수 있다. 미인계연애사기도 그렇고, 위에 설명된 각종 피싱에서 미인 지원자의 입사 자기소개서 같은 수단으로 해킹툴을 설치하는 것도 그렇다.

5. 사례

5.1. 실제

5.2. 가상

6. 인물



[1] http://news.bbc.co.uk/2/hi/technology/2320121.stm[2] 한국의 산업공학과도 전혀 맞아떨어지지 않는다. 사회과학만큼 상당히 포괄적인 개념으로 쓰인다. 공학계의 무인양품[3] 블로그 에서 발췌. 다만 위 블로그 역시 '사회공학과 휴먼 해킹, 크리스토퍼 해드네기 저' 책을 참고한 것으로 보인다.[4] 이 원리는 내가 말한 의도가 상대방에게 왜곡되지 않고 전달되게 하기 위해 필요하다. 불필요한 오해를 방지하기 위한 용도다. 또한 더욱 신뢰감을 줄 수 있기도 하다.[5] http://blog.naver.com/isacastudent/150187546768 에서 발췌.[6] 집에서 따라하진 않는 것을 추천한다. 회사 직원들이 제아무리 멍청해도 확인 한 번 없이 비번을 줄 리가 없다.[7] 문형욱의 n번방의 피해자 정보를 취득히는 방법은 Pishing이며, 박사방은 Pretexting에 가깝다.[8] 가온과 수현은 엘리야가 일반적인 해킹을 통해 문을 연 것으로 착각하지만, 엘리야는 "해킹? 일반인들이란.." 이라는 반응을 보인다. 기존 드라마/영화들과는 달리, 비교적 현실적인 연출에 개발자/관련 종사자들의 반응은 꽤나 긍정적인 편.