[CISA 이론 정리 - 5장] 03 사회 공학과 컴퓨터 범죄

1. 사회 공학

(1) 기본 개념

① 사회 공학(Social engineering): 원래 대중의 태도나 행동에 영향력을 행사하는 효과적 방법을 연구하는 사회 과학의 한 분야를 가리킨다.

② 정보 보안에서 사회 공학은 사람의 심리나 성향 또는 실수를 악용하여 민감한 정보를 알아 내는 비기술적 기법들을 통칭한다.

③ 초기에는 전화를 걸어 위급한 상황을 가정하거나 자신의 신분을 속이거나 고위층을 사칭하여 민감한 정보를 얻어내는 수법들이 주로 사용되었다.

(2) 관련 기법

① 다음은 기술을 거의 사용하지 않는 단순한 기법이다.

협박(Blackmail)

• 개인 약점, 안전 등을 볼모로 특정 행위나 이익을 요구한다.

• 협박을 통해 돈, 정보, 자원, 개인 자산 등을 요구하거나 착취한다.

설문 메일(Mail Out)

• 공격 대상자가 관심 있을 만한 내용으로 설문을 보낸다.

• 설문 조사를 가장하여 개인 신상나 가족 관계 등의 정보를 얻는다.

훔쳐보기(Shoulder Surfing)

• 패스워드나 PIN(개인식별번호)를 입력할 때 몰래 엿보는 행위

• 주위가 산만하거나 공격자를 의심하지 않는 상황에서 취약하다.

• 대책) 입력 장치의 가리개(visor, shield), ATM 주위의 칸막이

(물리적) 피기백킹 (Piggybacking)

• 인증을 거치고 출입하는 사용자의 동의를 구하고 뒤따라 간다.

※ 꼬리물기(Tailgating): 정당한 사용자를 동의 없이 뒤따라 간다.

• 대책) 맨트랩, 턴스틸 + 경비원, 인증 장치가 결합된 회전문

덤스터 다이빙(Dumpster Diving)

• 버려진 문서에서 가치 있는 정보를 획득하는 행위로서 가비지 피킹(garbage picking), 또는 스키핑(skipping)이라고도 한다.

• 대책) 파쇄기(Shredder), 쓰레기 통을 밝은 곳에 위치

② 다음의 기법들은 어느 정도의 기술을 사용한다.

피싱(Phishing)

• 공신력 있는 기관을 사칭하는 이메일을 보내어 개인 정보를 얻는다.

• 이메일에는 포함된 링크를 클릭하면 개인 정보를 입력하도록 유도하는 위조 사이트로의 링크가 포함된다.

※ 보이스 피싱(Voice Phishing): 이메일 대신 전화를 사용함

※ 스미싱(Smishing): 스마트 폰에 악성 코드 설치를 유도하는 문자 메시지를 보내어 스마트 폰을 해킹한다.

• 자기 조직이 피싱에 오용될 수 있으므로 고객들을 교육해야 한다.

파밍(Pharming)

• 적법한 소유자의 도메인을 탈취하거나 도메인 네임 서버나 프락시 서버에서 IP 주소를 변조해 가짜 사이트를 진짜로 보이게 만든다.

• 사용자는 가짜 사이트에 접속해 개인 정보를 입력하게 될 수 있다.

③ 다음은 사회 공학을 병행하거나 지능적으로 심화한 기법이다.

APT(Advanced Persistent Threat)

• 평균 1년 길게는 3~5년간 꾸준히 공격을 준비하고 실행한다.

• 사회 공학 등 다양한 기법으로 정보를 수집하고 자원을 파괴한다.

• 고도의 기법들을 장기간 결합하므로 지능적 지속적 위협이라 부른다.

역 사회 공학(Reverse social engineering)

• 먼저 공격 대상의 장비에 손상을 가한 후 이를 해결하도록 도와준다.

• 이러한 과정을 통해 공격 대상으로부터 두터운 신뢰를 얻는다.

• 이를 바탕으로 민감한 정보에 접근할 수 있는 기회를 얻는다.

(3) 대응 방안

① 지속적인 사용자 인식(awareness) 교육을 통해 직원들은 물론 협력사 및 고객들에게 사회 공학의 존재와 대응 방법을 알려 준다.

② 수상한 이메일은 열기 전에 바이러스 검사를 하고 링크를 함부로 클릭하지 않는다.

③ 아부하면서 정보를 요청하거나 예외적 상황을 전제로 도움을 구하거나 권위를 사용하여 위협하는 경우 요구를 들어 주지 않고 적절한 책임자에게 보고한다.

④ 사회 공학 기법으로 침투 테스트를 수행하고 주기적으로 감사한다.

2. 컴퓨터 범죄

(1) 기본 개념 및 대책

① 컴퓨터 범죄(Computer Crime): 컴퓨팅 자원을 범죄 도구 또는 매개체로 사용하거나 타인의 컴퓨팅 지원을 대상 또는 목적으로 삼는 모든 형태의 범죄를 통칭한다.

② 사례로는 각종 승인 받지 않은 논리적 접근, 횡령, 분식 회계, 저작권 위반 등이 있다.

컴퓨터 범죄의 위협

• 우발적인 침입자 및 내부 직원

• 최종 사용자 및 IT 직원

• 전현직 직원, 계약직 직원, 컨설턴트

• 해커/크래커/프리커(phreaker)

컴퓨터 범죄의 영향

• 기밀의 누설, 파괴, 무결성 손상

• 업무 방해, 생산성 저하, 협박

• 재정적 손실과 법적 처벌 및 소송

• 신용도/명성의 하락, 경쟁력 저하

(2) 주요 법규 준수 방안

지적 재산권

• 타인의 특허권, 상표권, 영업 비밀, 지적 재산권을 보호해야 한다.

• 지적 재산권 침애는 컴퓨터 관련 범죄인 경우가 많다.

• 가장 근본적인 대책은 지적 재산권 보호 정책의 수립/실행이다.

• 주기적인 감사와 적발 노력은 가장 높은 수준의 보증을 제공한다.

• 이에 더해 적절한 사용자 교육과 징계 등을 병행해야 한다.

프라이버시

• 시스템을 개발하기 전에 PIA(Privacy Impact Analysis)를 수행하여  관련 법규를 확인하고 불필요한 개인 정보를 수집하지 않도록 한다.

• 꼭 필요한 개인 식별 정보(PII: Personal Identifiable Information)는 본인의 동의를 받고 수집하고 제시한 목적에 맞게 사용한다.

• PII에 대한 적절한 보호 대책을 세우고 시행해야 한다.

기타

• 재무제표 공시 또는 세무 관련 법규를 위반할 경우 관련 자료들이 컴퓨터에 저장되어 있기 때문에 흔히 컴퓨터 범죄 수사 기법이 적용된다.

• 의도하지 않게 적성 국가 또는 테러 지원 국가와 수출입이 금지된 IT 제품 및 원천 기술을 거래하게 되는 일이 없도록 주의해야 한다.

• 운영, 개인 정보, 자금 이체, 기술 정보의 해외 전송 시 국경을 넘는 정보 흐름(transboarder information flow) 관련 법규를 확인한다.

(3) 컴퓨터 범죄 대책

① 경영진은 직원들이 인식이 부족하여 부지 중에 법규를 위반하는 일이 없도록 법률 자문 부서로 하여금 관련 법규 조사, 준수 방안 제시, 준수 여부 감시를 하게 해야 한다.

② 컴퓨터 범죄는 예방이 중요하며 이를 위해 취약점(vulnerability)를 없앰으로써 범죄자/공격자에게 기회(opportunity)를 제공하지 말아야 한다.

③ 예방 대책으로는 윤리적 문화 형성, 보안 정책의 수립/실행, 보안 인식 교육, 철저한 직무 분리,  직무 순환, 접근 통제, DLP(Data Leakage Prevention) 솔루션 등이 있다.

④ 이에 더해 주기적인 감시와 검토, 강제 휴가, 로그 검토 등 적발 통제를 병행해야 한다.

⑤ 백업 및 복구 계획, 적절한 PR(Public Relations) 계획, 보험 가입 등이 교정 통제이다.

(4) 컴퓨터 범죄 수사

① 문서화 및 사진 촬영: 컴퓨터 범죄 수사관은 수사 일지를 작성(즉 문서화)하는 일부터 시작해야 하며 현장을 보존하면서 동시에 현장의 모습을 사진을 촬영해 두어야 한다.

② 메모리 덤프: 증거를 수집할 때 전원을 끄면 사라지는 증거, 즉 휘발성(volatility)이 높은 정보를 가장 먼저 수집해야 하는데 이를 메모리 덤프(memory dump)라고 한다.

③ 이미징: 그런 다음 하드 디스크에 담긴 물리적 비트 스트림 정보를 그대로 복제한 이미지를 생성하는데 이를 이미징(imaging), 고스팅(ghosting), 클로닝(cloning)이라 한다.

④ 해시 값 비교: 이미징 과정에서 원본과 사본의 내용이 일치함을 검증/증명하기 위하여 각각의 해시 값(hash value)을 계산하여 비교한다.

⑤ 식별 및 목록 작성: 증거를 수집할 때는 각각 증거에 식별 라벨(identification label)을 붙여야 하며 증거 수집 목록에 등재해야 한다.

⑥ 증거의 보관 사슬: 증거의 수명 주기(수집/보관/분석/제출/폐기)에 관여한 사람들에 대해서는 이름, 접근 시각, 인수인계자, 수행 활동 등을 추적할 수 있도록 빠짐 없이 기록해야 하는데 이를 증거의 보관 사슬(chain of custody)이라고 한다.

⑦ 증거의 처분: 증거가 재판에 사용되고 더 이상 보관할 필요가 없으면 원래의 소유자에게 반환하거나 국가가 몰수하거나 폐기하게 되며 이로써 증거의 수명 주기가 끝난다.

⑧ 증거의 폐기: 증거를 폐기할 때는 (1) 폐기 장소까지 안전하게 운반하고 (2) 두 명 이상이 폐기 과정을 참여/관찰하고 (3) 폐기 과정을 비디오 카메라로 녹화해야 한다.