Fortinet 자격증 FCF - 사회 공학 모듈 파트 Part 1

A. 사회 공학

1. 사회 공학(Social Engineering)이란?

정보 보안의 맥락에서 이해하면, 이는 종종 표적을 희생시키면서 이익을 얻기 위해 사람들을 조종하는 행위를 뜻 합니다. 이는 인간의 감정을 활용하여 대상을 조작하는 광범위한 공격을 합니다. 공격은 대상이 행동하 거나 행동하지 않도록 유도할 수 있습니다. 궁극적으로 사회 공학은 오케스트레이터가 규정한 방향으로 목표를 조종하고 종종 목표에 해를 끼치는 것을 목표로 합니다. 사회 공학적 목표의 예로는 기밀 정보 공개, 자금 이체, 개인이 특정 방식으로 생각하도록 영향을 주는 것 등이 있습니다. 한 소식통에 따르면 사회 공학은 여전히 네트워크 침해의 주요 원인으로 남아 있습니다.
 
모든 사회 공학 공격은 공격자에게 이익이 되도록 설계되었습니다. 대부분의 성공적인 사회 공학 공격은 피해자에게 해를 끼칩니다. 사회 공학 공격은 기밀 데이터 손실, 협박 또는 횡령, 네트워크 중단 또는 손상, 네트워크 서비스 거부, 조작의 결과로 공격자의 의견과 대상의 의견 일치 또는 이 모든 것 이 결합된 결과를 초래할 수 있습니다.
 
사회 공학 공격에는 물리적 방법과 디지털 방법 등 다양한 방법이 있습니다. 이러한 방법의 몇 가지 예로는 악의적인 행위자가 대상을 설득하여 제한 구역에 접근할 수 있도록 하거나 이메일을 대상에게 전송하여 제공된 링크를 클릭하도록 유도하는 것 등이 있습니다.

 

2. 사회 공학의 특성

사회 공학의 특성으로는 2가지가 있는데 첫 번째는 오케스트레이터에게 바람직한 결과를 달성하는 것이며 두 번째는 공격의 방법이 감정 조작입니다. 이를 통해 사회 공학 공격의 특징은 두려움, 호기심, 흥분, 분노, 슬픔, 죄책감을 활용하는 감정적 호소, 요청에 대한 긴박감, 그리고 수신자와 신뢰를 구축하려는 시도를 들 수가 있습니다. 
 

B. 사회 공학 공격 유형

0. 개요

악의적인 행위자가 사회 공학 공격을 실행하는 데 사용할 수 있는 방법이나 공격 벡터가 많이 있습니다. 사회 공학적 공격자는 인간 대상과 직접 대화하거나 이메일 또는 기타 방법을 통해 통신할 수 있습니다. 이를 통해 감정적으로 조작을 하려고 시도합니다.

 

1. 피싱(Phishing)

피싱은 중요한 특징 2가지가 있는데 첫 번째, 이메일을 공격 벡터로 활용한다는 점이며 두 번째, 이메일 주소가 있는 모든 사람을 대상으로 한다는 것입니다. 공격은 받는 사람과 상관없이 무차별적입니다. 이메일 피싱은 최소한 한 명이라도 걸릴 것이라는 희망을 가지고 최대한 많은 사람에게 보내는 단순한 악성 스팸입니다. 그러나 피싱은 범주적인 의미도 가질 수 있습니다. 피싱의 유형에는 스피어 피싱, 웨일링, 스미싱, 바이씽 등이 있습니다.

1-1. 스피어 피싱(Spear Phishing) & 웨일링(Whaling)

스피어 피싱 (Spear Phishing)과 웨일링 (Whaling)은 모두 기밀 정보를 훔치거나 어떤 식으로든 이익을 얻을 목적으로 이메일을 사용하여 특정 개인이나 그룹을 표적으로 삼는 공통점이 있습니다. 스피어 피싱 공격에서 악의적인 행위자는 해당 보안 회사의 직원과 같이 프로필이 낮은 개인 또는 개인 범주를 표적으로 삼지만 웨일링 공격에서 악의적인 행위자는 조직 내 고위 인사를 표적으로 삼습니다. 웨일링 이메일을 작성할 때 공격자는 표적의 신뢰를 얻기 위해 이메일을 개인화할 수 있도록 표적에 대해 조사하는 경우가 많습니다.

1-2. 스미싱(Smishing)

이메일이 도입된 이후 인스턴트 메시징, 라이브 채팅, SMS 또는 문자 메시지와 같은 다른 방법이 대중화되었습니 다. 이러한 방법은 이메일이 사용되는 것과 동일한 방식으로 사회 공학 공격에 대한 위협 벡터로 작용할 수도 있습니다. 이러한 미디어를 이용한 피싱 유 형의 공격을 스미싱이라고 합니다. 그 이름은 SMS와 피싱을 결합하여 파생되었습니다.

1-3. 비싱(Vishing)

사회 공학 공격은 전화나 모바일 장치를 통해 발생할 수 있습니다. 이러한 유형의 공격을 비싱(Vishing)이라고 합니다. 보이스(Voice)와 피싱 (Phishing)을 합친 이름입니다. 이러한 유형의 공격은 공격 벡터가 다르다는 점을 제외하면 피싱, 스피어 피싱, 웨일링과 동일합니다. 그들은 또한 똑같이 수익성이 있을 수 있습니다.

 

2. 쿼드 프로 쿼(Quid Pro Quo)

사회 공학적 공격자는 특정 공격 벡터에 국한되지 않는 다른 전술을 사용합니다. 이메일, 메시징, 음성을 사용하거나 대상과 직접 대면하여 대화할 수도 있습니다. 한 가지 전술은 "다른 것을 위한 것"을 의미하는 라틴어 문구인 퀴드 프로 쿼(quid pro quo)라고 합니다. 사회 공학의 맥락에서 퀴 드 프로 쿼(quid pro quo) 공격은 악의적인 행위자가 사용자 자격 증명과 같은 정보에 액세스 하는 대가로 서비스(일반적으로 기술 지원)를 제공하는 것입니다.

 

3. 프리텍스팅(Pretexting)

이는 대상으로부터 감정적 반응을 불러일으키기 위해 고안된 상황이나 구실을 포함합니다. 우리가 흔히 받는 "엄마 나 핸드폰 잃어 버렸어" 문자가 이 유형에 해당이 됩니다. 

 

4. 미끼(Baiting)

이는 다양한 형태를 취할 수 있으며 피싱과 유사합니다. 미끼는 귀하가 상을 받았거나 리베이트를 받을 자격이 있다고 주장하는 이메일, 문자 또는 전화 통화의 형태로 발생할 수 있습니다. 미끼는 보상과 같은 긍정적인 감정에 의존하여 행동을 유도합니다. 미끼 공격도 미묘할 수 있습니다. 예를 들어, 악의적인 행위자가 대상 조직의 주차장, 로비, 화장실 등 공공장소에 USB 메모리 스틱을 남겨두는 경우입니다. "관리자의 급여 및 보 상"과 같은 흥미로운 라벨이 드라이브에 부착됩니다. 악의적인 행위자는 호기심을 극복하고 USB 드라이브를 컴퓨터에 연결하기 위해 귀하에게 의존하고 있습니 다. 그렇게 하면 USB 드라이브의 악성 코드가 컴퓨터에 백도어를 설치하고 악의적인 행위자는 이제 네트워크에 대한 게이트웨이를 갖게 됩니다.

 

5. 워터링 홀(Watering Hole) & 허니팟(Honeypot Trap)

워터링 홀 공격에서 공격자는 특정 대상 그룹이 방문할 가능성이 있는 사이트를 손상시킬 수 있습니다. 악의적인 행위자는 Facebook, LinkedIn과 같은 소셜 미디어 사이트를 악용하여 대상과의 관계를 시작하고 정리하는 것으로 알려져 있습니다. 허니팟 트랩은 공격자를 유인하기 위해 가상의 함정을 만드는 보안 메커니즘입니다. 

 

6. 테일게이팅(Tailgating)

테일게이팅은 보안 허가를 받은 사람을 안전한 건물이나 접근 통제실로 따라가는 악의적인 행위를 의미합니다. 악의적인 행위자 또는 테일게이터는 접근 권한을 얻기 위해 대상의 예의나 동정심에 의존합니다.