본문 바로가기

Work & Study/Study

사회공학 해킹 - Social engineering

호환입니다. 흔히들 해킹이라는 것을 생각하면 오직 컴퓨터에 의해서만 이루어지는 것으로만 생각하는 분들이
많습니다. 하지만 해킹의 한 기법으로 바로 사회공학이라는 기법이 엄연히 존재하고 있습니다. 사회공학이란 바로 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를
통틀어서 사회공학적 기법이라고 합니다.


그렇다면 대표적인 사회공학기법엔 무엇이 있을까 궁금하실 겁니다. 가장 쉬운예로는 요즘 많은 문제가 되고 있는 보이스피싱을 예로 들 수 있습니다. 가족또는 알고있던 사람을 가장하여 돈을 빌린다거나 허위사실을
전달하여 원하는 이익을 취하는 것이 사회공학과 그 맥을 같이 한다고 볼 수 있습니다.


컴퓨터 보안의 분야에서 사회공학적 기법으로 예를 들수 있는 것으로는 클릭을 유도하는 스팸메일이나 실제로
관리자와 친분을 쌓은뒤에 관리자 권한을 얻기위한 정보나 암호,계정등을 획득하는 것을 들 수 있습니다. 
하지만 가장 큰 예로 보자면 바로 자신도 모르는 사이에 설치되는 악성코드를 이야기 할 수 있지 않을까 싶습니다. 악성코드를 유저의 컴퓨터에 설치하는데 가장 많이 사용되고 가장 중요한 기법이 바로 사회공학적기법 인 것입니다. 예를 들면 이러한 시나리오도 가능 할 것입니다.


실제로 이번 게임보안세미나 KSS2010에서 나왔던 시나리오입니다. 게임을 즐기는 헤비유저들이 좀더 쉽고 빠르게 레벨업을 하기위해 자동사냥, 자동장사 등의 프로그램을 사용합니다. 공격자는 이 점을 악용하여 자신이 만든 악성프로그램이 몰래 설치되도록 프로그램을 덧붙여서 배포를 하게 됩니다. 물로 이러한 악성코드들이 백신에 잡힐 염려가 있기에 아주 친절하게 Readme 파일에 백신에 걸릴수도 있으니 사용중에는 백신의 실시간
감시 기능을 꺼달라고 써놓았을 겁니다. 헤비유저들은 게임을 해야하므로 아무생각없이 백신을 꺼버리고 악성코드가 포함된 프로그램을 자신의 컴퓨터에 설치하게 됩니다. 조금만 인지도가 있는 프로그램에 이러한 것을 끼어넣어서 재배포 한다면 아주 손쉽게 수많은 유저들의 컴퓨터에 악성코드를 설치할 수 있게 되는 것입니다.

다음으로 말할 수 있는 시나리오는 대한민국 웹에서 가장 많이 사용되고 있는 액티브 X를 이용한 프로그램입니다. 액티브 X 자체는 웹상에서 관리자나 기업측에서 원하는 기능이나 프로그램을 정말 손쉽게 설치할수 있게 도와주는 장치입니다. 하지만 만약 이것을 사용하는 웹이 보안상 취약점이 존재하여 공격자에 의하여 변조가 된다면 어떻게 될까요? 특히 이러한 사이트가 만약 은행이나 증권등 금융사이트이거나 쇼핑몰등이라면 사용자들은 의심없이 액티브 X를 설치하게 될것입니다. 바로 이때 변조가 됐었다면 악성프로그램이 설치되게 되는것이죠 이러한 경우 개인의 정보나 보안카드의 정보까지 같이 유출될 수 있어서 그 문제가 더 크다고 할 수 있습니다.


이러한 점을 예방하기 위해서는 결국은 기업과 개개인의 유저들이 항상 보안에 대한 의식을 가져야 할 것입니다. 예전에는 공격자가 서버를 뚫고 변조함으로써 자신의 실력을 과시하는것을 목표로 삼았지만 현재는 금전적인 이익을 취하는 것이 목적인 경우가 대부분이기 때문에 불특정 다수를 노려서 공격을 하여 자신의 악성코드를 퍼트린후 감염된 PC의 대수만큼 돈을 받고 팔아 넘긴다거나 얻어낸 개인정보들을 팔아넘기는 경우가 많기 때문에 개인의 보안의식 제고는 어느때보다고 중요한 현실입니다.


특히 이러한 사회공학적 기법은 날이갈수록 그 수법이 교묘해지고 있기 때문에 항상 어떤 프로그램을 설치하거나 사이트등을 방문할때에 프로그램이 안전한지 확인을 하고 설치하는 것이 중요합니다. 대부분의 악성코드들이 검증된 백신이나 보안패치를 하는 것만으로도 해결이 되기 때문에 이러한 점도 놓쳐서는 안되겠습니다.