[FCF] Threat Landscape - Module 3 : Social Engineering (사회 공학)

A. 사회 공학

1. 사회 공학(Social Engineering)이란?

정보 보안의 맥락에서 이해하면, 이는 종종 표적을 희생시키면서 이익을 얻기 위해 사람들을 조종하는 행위를 뜻 합니다. 이는 인간의 감정을 활용하여 대상을 조작하는 광범위한 공격을 합니다. 공격은 대상이 행동하 거나 행동하지 않도록 유도할 수 있습니다. 궁극적으로 사회 공학은 오케스트레이터가 규정한 방향으로 목표를 조종하고 종종 목표에 해를 끼치는 것을 목표로 합니다. 사회 공학적 목표의 예로는 기밀 정보 공개, 자금 이체, 개인이 특정 방식으로 생각하도록 영향을 주는 것 등이 있습니다. 한 소식통에 따르면 사회 공학은 여전히 네트워크 침해의 주요 원인으로 남아 있습니다.
 
모든 사회 공학 공격은 공격자에게 이익이 되도록 설계되었습니다. 대부분의 성공적인 사회 공학 공격은 피해자에게 해를 끼칩니다. 사회 공학 공격은 기밀 데이터 손실, 협박 또는 횡령, 네트워크 중단 또는 손상, 네트워크 서비스 거부, 조작의 결과로 공격자의 의견과 대상의 의견 일치 또는 이 모든 것 이 결합된 결과를 초래할 수 있습니다.
 
사회 공학 공격에는 물리적 방법과 디지털 방법 등 다양한 방법이 있습니다. 이러한 방법의 몇 가지 예로는 악의적인 행위자가 대상을 설득하여 제한 구역에 접근할 수 있도록 하거나 이메일을 대상에게 전송하여 제공된 링크를 클릭하도록 유도하는 것 등이 있습니다.

 

2. 사회 공학의 특성

사회 공학의 특성으로는 2가지가 있는데 첫 번째는 오케스트레이터에게 바람직한 결과를 달성하는 것이며 두 번째는 공격의 방법이 감정 조작입니다. 이를 통해 사회 공학 공격의 특징은 두려움, 호기심, 흥분, 분노, 슬픔, 죄책감을 활용하는 감정적 호소, 요청에 대한 긴박감, 그리고 수신자와 신뢰를 구축하려는 시도를 들 수가 있습니다. 
 

B. 사회 공학 공격 유형

0. 개요

악의적인 행위자가 사회 공학 공격을 실행하는 데 사용할 수 있는 방법이나 공격 벡터가 많이 있습니다. 사회 공학적 공격자는 인간 대상과 직접 대화하거나 이메일 또는 기타 방법을 통해 통신할 수 있습니다. 이를 통해 감정적으로 조작을 하려고 시도합니다.

 

1. 피싱(Phishing)

피싱은 중요한 특징 2가지가 있는데 첫 번째, 이메일을 공격 벡터로 활용한다는 점이며 두 번째, 이메일 주소가 있는 모든 사람을 대상으로 한다는 것입니다. 공격은 받는 사람과 상관없이 무차별적입니다. 이메일 피싱은 최소한 한 명이라도 걸릴 것이라는 희망을 가지고 최대한 많은 사람에게 보내는 단순한 악성 스팸입니다. 그러나 피싱은 범주적인 의미도 가질 수 있습니다. 피싱의 유형에는 스피어 피싱, 웨일링, 스미싱, 바이씽 등이 있습니다.

1-1. 스피어 피싱(Spear Phishing) & 웨일링(Whaling)

스피어 피싱 (Spear Phishing)과 웨일링 (Whaling)은 모두 기밀 정보를 훔치거나 어떤 식으로든 이익을 얻을 목적으로 이메일을 사용하여 특정 개인이나 그룹을 표적으로 삼는 공통점이 있습니다. 스피어 피싱 공격에서 악의적인 행위자는 해당 보안 회사의 직원과 같이 프로필이 낮은 개인 또는 개인 범주를 표적으로 삼지만 웨일링 공격에서 악의적인 행위자는 조직 내 고위 인사를 표적으로 삼습니다. 웨일링 이메일을 작성할 때 공격자는 표적의 신뢰를 얻기 위해 이메일을 개인화할 수 있도록 표적에 대해 조사하는 경우가 많습니다.

1-2. 스미싱(Smishing)

이메일이 도입된 이후 인스턴트 메시징, 라이브 채팅, SMS 또는 문자 메시지와 같은 다른 방법이 대중화되었습니 다. 이러한 방법은 이메일이 사용되는 것과 동일한 방식으로 사회 공학 공격에 대한 위협 벡터로 작용할 수도 있습니다. 이러한 미디어를 이용한 피싱 유 형의 공격을 스미싱이라고 합니다. 그 이름은 SMS와 피싱을 결합하여 파생되었습니다.

1-3. 비싱(Vishing)

사회 공학 공격은 전화나 모바일 장치를 통해 발생할 수 있습니다. 이러한 유형의 공격을 비싱(Vishing)이라고 합니다. 보이스(Voice)와 피싱 (Phishing)을 합친 이름입니다. 이러한 유형의 공격은 공격 벡터가 다르다는 점을 제외하면 피싱, 스피어 피싱, 웨일링과 동일합니다. 그들은 또한 똑같이 수익성이 있을 수 있습니다.

 

2. 쿼드 프로 쿼(Quid Pro Quo)

사회 공학적 공격자는 특정 공격 벡터에 국한되지 않는 다른 전술을 사용합니다. 이메일, 메시징, 음성을 사용하거나 대상과 직접 대면하여 대화할 수도 있습니다. 한 가지 전술은 "다른 것을 위한 것"을 의미하는 라틴어 문구인 퀴드 프로 쿼(quid pro quo)라고 합니다. 사회 공학의 맥락에서 퀴 드 프로 쿼(quid pro quo) 공격은 악의적인 행위자가 사용자 자격 증명과 같은 정보에 액세스 하는 대가로 서비스(일반적으로 기술 지원)를 제공하는 것입니다.

 

3. 프리텍스팅(Pretexting)

이는 대상으로부터 감정적 반응을 불러일으키기 위해 고안된 상황이나 구실을 포함합니다. 우리가 흔히 받는 "엄마 나 핸드폰 잃어 버렸어" 문자가 이 유형에 해당이 됩니다. 

 

4. 미끼(Baiting)

이는 다양한 형태를 취할 수 있으며 피싱과 유사합니다. 미끼는 귀하가 상을 받았거나 리베이트를 받을 자격이 있다고 주장하는 이메일, 문자 또는 전화 통화의 형태로 발생할 수 있습니다. 미끼는 보상과 같은 긍정적인 감정에 의존하여 행동을 유도합니다. 미끼 공격도 미묘할 수 있습니다. 예를 들어, 악의적인 행위자가 대상 조직의 주차장, 로비, 화장실 등 공공장소에 USB 메모리 스틱을 남겨두는 경우입니다. "관리자의 급여 및 보 상"과 같은 흥미로운 라벨이 드라이브에 부착됩니다. 악의적인 행위자는 호기심을 극복하고 USB 드라이브를 컴퓨터에 연결하기 위해 귀하에게 의존하고 있습니 다. 그렇게 하면 USB 드라이브의 악성 코드가 컴퓨터에 백도어를 설치하고 악의적인 행위자는 이제 네트워크에 대한 게이트웨이를 갖게 됩니다.

 

5. 워터링 홀(Watering Hole) & 허니팟(Honeypot Trap)

워터링 홀 공격에서 공격자는 특정 대상 그룹이 방문할 가능성이 있는 사이트를 손상시킬 수 있습니다. 악의적인 행위자는 Facebook, LinkedIn과 같은 소셜 미디어 사이트를 악용하여 대상과의 관계를 시작하고 정리하는 것으로 알려져 있습니다. 허니팟 트랩은 공격자를 유인하기 위해 가상의 함정을 만드는 보안 메커니즘입니다. 

 

6. 테일게이팅(Tailgating)

테일게이팅은 보안 허가를 받은 사람을 안전한 건물이나 접근 통제실로 따라가는 악의적인 행위를 의미합니다. 악의적인 행위자 또는 테일게이터는 접근 권한을 얻기 위해 대상의 예의나 동정심에 의존합니다. 

 

C. 내부자 위협(Insider Threat)

1. 내부자 위협(Insider Threat) 이란? 

내부자 위협은 조직에서 근무하거나 조직의 네트워크나 시스템에 대한 접근 권한을 갖고 조직에 물리적 위협이나 사이버 위협을 가하는 개인을 의미합니다. 내부자는 일반적으로 현재 직원이지만 이전 직원, 계약자, 비즈니스 파트너, 이사회 구성원 또는 민감한 정보나 네트워크 권한에 액세스 하는 사기꾼일 수도 있습니다. 내부 공격은 외부 공격보다 탐지하기가 더 어려울 수 있습니다. 부분적으로 이는 내부자가 외부 공격자가 갖지 못한 네트워크에 대한 액세스 권한과 지식을 갖고 있기 때문입니다.

내부자 위협은 크게 두 가지 주요 그룹이 있습니다. 실수, 잘못된 판단 또는 부주의로 인해 의도치 않게 악의적인 행위자를 돕는 그룹과 내부에서 악의적으로 행동하는 그룹입니다. 첫 번째 그룹은 과실로 명명될 수 있고 두 번째 그룹은 악의적(Turncloaks)으로 명명될 수 있습니다. 이 두 가지 범주는 더 세분화될 수 있습니다.

 

D. 내부자 위협 유형 및 공격 유형

1. 악의적인 내부자 위협 유형

악의적인 내부자 위협은 두더지, 협력자, 고독한 늑대의 세 가지 유형으로 나눌 수 있습니다. 

1-1. 두더지(Moles)

악의적인 내부자는 조직의 네트워크에 액세스 할 수 있는 외부인입니다. 그들은 공급업체, 파트너, 계약자 또는 직원으로 가장하여 조직에 접근할 수 있습니다. 이러한 유형의 악의적인 내부자를 두더지라고 합니다. 

1-2. 협력자(Collaborators)

제3자와 협력하는 승인된 사용자입니다. 제3자는 경쟁업체,국가, 조직화된 범죄 네트워크 또는 개인일 수 있습니다. 

1-3. 고독한 늑대(Lone wolves)

외로운 늑대는 양처럼 무해해 보이지만 악의적인 의도를 품고 있습니다. 그리고 이름에서 알 수 있듯이 외로운 늑대는 외부 영향 없이 독립적으로 일합니다.

 

2. 악의적인 내부자 공격 유형

악의적인 에이전트는 부주의한 내부자를 상대로 다양한 방법과 공격 벡터를 사용합니다. 공격 벡터는 물리적일 수 있습니다. 물리적 공격 벡터에 대해 사용되는 방법에는 테일게이팅 또는 피기백, 숄더 서핑, 덤스터 다이빙 및 도청이 포함됩니다.

2-1. 테일게이팅(Tailgating) 또는 피기백(Piggybacking)

승인되지 않은 사람이 승인된 사람을 따라가서 제한 구역에 물리적으로 접근하는 일종의 엔지니어링 공격입니다.

2-2. 숄더 서핑(Ehoulder Surfing)

정보를 얻기 위해 누군가의 어깨너머로 보는 등 직접적인 관찰 기술을 사용하는 것입니다.

2-3. 덤스터 다이빙(Dumpster Diving)

다른 사람의 쓰레기통이나 휴지통에서 정보를 찾는 것입니다. 덤스터 다이빙은 기밀 정보가 인쇄되어 즉시 검색되지 않는 인쇄실과 같은 일반 접근 구역에서도 발생할 수 있습니다.

2-4. 도청(Eavesdropping)

실제 환경에서 도청하는 것은 기밀 정보가 논의되는 대화를 듣는 것일 수 있습니다. 디지털 방식으로 도청은 네트워크 스누핑 또는 스니핑을 의미하며, 이는 악의적인 행위자가 두 장치 간에 이동하는 정보를 읽거나 훔치기 위해 안전하지 않거나 취약한 네트워크를 악용할 때 발생합니다. 도청은 무선 네트워크에 대한 접근성이 더 높기 때문에 이더넷 네트워크보다 무선 통신에서 더 일반적으로 발생합니다.

 

3. 부주의한 내부자 위협 유형

더 온화하지만 똑같이 위험한 범주는 의도치 않게 나쁜 행위자를 돕는 부주의한 내부자입니다. 이들은 피싱 및 기타 사회 공학 공격의 희생양이 됩니다. 부주의한 내부자 범주는 폰과 바보라는 두 그룹으로 나눌 수 있습니다.

3-1. 폰(Pawns)

폰은 종종 테일게이팅이나 스피어 피싱과 같은 사회 공학 기술을 통해 악의적인 행위자를 의도치 않게 돕도록 조작된 승인된 사용자입니다.

3-2. 바보(Goofs)

바보는 의도적으로, 잠재적으로 유해한 행동을 취하지만 악의적인 의도를 품고 있지 않은 내부자입니다. 

 

4. 부주의한 내부자 공격 유형

디지털 공격 벡터 내에서는 부주의한 내부자를 속이기 위해 스피어 피싱 공격, 웨일링 공격 등 다양한 방법이 사용됩니다. 메시징이나 전화 통화와 같은 다른 공격 벡터에서는 내부자가 스미싱, 비싱 또는 프리텍스팅의 피해자가 될 수 있습니다. 소셜 미디어 공격 벡터에는 워터링 홀 공격이 사용될 수 있습니다.

 

E. 내부자 위협 탐지 및 대응

1. 행동 지표 내부자 위협 탐지

가능한 내부자 위협을 탐지하는 데 도움이 되는 행동 및 디지털 지표가 있습니다. 내부자가 조직에 불만을 갖고 있는 것처럼 보이거나, 조직에 대해 원한을 품고 있는 것처럼 보이거나, 과도한 열정으로 더 많은 작업을 수행하기 시작하는 경우 이는 잠재적인 내부자 위협의 지표일 수 있습니다. 이는 맥락이 전부입니다. 예를 들어 새로운 도전에 적극적으로 도전하는 잘 나가는 성격의 A 사원이 있습니다. 만약 논리적인 설명 없이 직원의 행동이 눈에 띄게 변한다면 이는 위협 지표일 수 있습니다. 일상적인 위반, 조직 정책에 대한 노골적인 경멸 또는 보안 우회 시도도 내부자 위협의 행동 지표일 수 있습니다.

 

2. 디지털 지표 내부자 위협 탐지

네트워크 수준의 비정상적인 활동은 디지털 지표입니다. 

다음과 같은 여러 활동을 추적할 수 있습니다.

- 오전 4시에 네트워크에 로그인하거나 항상 늦게까지 일하는 등 비정상적인 시간에 활동.

- 네트워크 내에서 비정상적인 양의 데이터 전송과 같은 트래픽 양.

- 비정형적이거나 내부자의 업무에 필요하지 않은 리소스에 액세스 하는 등의 활동.

 

이를 예방하기 위해 다음과 같은 디지털 활동에 대한 알림을 받아야 합니다.
- 직무와 관련 없는 시스템에 대한 액세스를 반복적으로 요청.

- USB 드라이브와 같은 승인되지 않은 장치를 사용.

- 민감한 정보에 대한 네트워크 크롤링 및 의도적인 검색.

- 민감한 정보를 조직 외부로 유출.

 

3. 조직의 보안 강화 방법

조직의 보안을 강화하려면 다음 권장 사항 목록을 따르십시오.

- 조직의 보안 정책을 숙지할 것.

- 보안 프로토콜을 진행시 간소화하여 진행하지 말 것

- 로그인 자격 증명을 노출된 상태로 두지 말 것. 

- 테일게이팅을 허용하지 말 것. 

- 기밀 디지털 문서를 암호화되지 않은 상태로 저장하거나 물리적 문서를 보안되지 않은 상태로 두지 말 것.
- 엔드포인트 보안 및 제어를 비활성화하지 말 것.

- 독점 또는 기밀 정보를 승인되지 않은 사람과 공유하지 말 것.

- OS 및 소프트웨어 업데이트가 제공되는 즉시 장치를 패치할 것. 

 

4. 조직의 자산 보호를 위한 방법

내부 위협으로부터 조직의 자산을 보호하기 위해 취할 수 있는 조치가 있습니다. 먼저, 조직의 논리적 자산과 물리적 자산 모두를 식별하십시오. 여기에는 네트워크, 시스템, 기밀 데이터, 시설 및 사람이 포함됩니다. 각 자산의 순위와 우선순위를 지정하고 각 자산 보호의 현재 상태를 식별합니다. 자산의 우선순위를 정함으로써 가장 중요한 자산을 먼저 확보하는 데 집중할 수 있습니다.

4-1. 기계 학습(ML) 애플리케이션

데이터 스트림을 분석하고 가장 관련성이 높은 경고의 우선순위를 지정하는 데 도움이 될 수 있습니다.

4-2. UEBA(사용자 및 이벤트 행동분석)

디지털 포렌식 및 분석 도구를 사용하면 잠재적인 내부자 위협을 감지, 분석하고 보안 팀에 경고할 수 있습니다.

4-3. 사용자 및 장치 동작 분석

일반적인 데이터 액세스 활동에 대한 기준을 설정할 수 있습니다.

4-4. 데이터베이스 활동 모니터링

정책 위반을 식별하는 데 도움이 될 수 있습니다.

사용자 활동을 모니터링하고 여러 소스의 활동 정보를 집계하고 상호 연관시키는 도구를 배포합니다. Fortinet의  FortiDeceptor와 같은 디셉션 소프트웨어는 함정을 구축하여 악의적인 내부자를 유인하고 그들의 행동을 추적하여 그들의 의도를 더 잘 이해합니다. 허니팟 솔루션으로 수집된 정보는 다른 인텔리전스와 공유되어 탐지 기능을 향상하고 공격 및 위반을 완화할 수 있습니다.

조직의 보안 정책을 정의하고, 문서화하고, 공유합니다. 그런 다음 조직에서 일하는 사람들에게 교육을 제공하고 이해도를 확인하기 위해 후속 테스트를 수행합니다. 이는 모호성을 방지하고 집행을 위한 기반을 마련합니다. 그들은 조직의 보안 정책을 준수하고 존중할 책임을 인식해야 합니다.

이는 보안 인식 문화를 장려하는 최종 권장 사항에 대한 좋은 후속 조치입니다. 내부자 위협을 완화하려면 보안 인식 문화를 장려하는 것이 중요합니다. 올바른 신념과 태도를 심어주면 과실을 퇴치하고 악의적인 행동의 가능성을 줄입니다.

 

F. 사기(Fraud)와 스캠(Scams)

1. 사이버 사기(Cyber Fraud)란? 

재정적 또는 개인적인 이익을 위해 개인이나 조직을 속이거나 활용하는 데 사용되는 사회 공학 기술, 악성코드 또는 기타 유형의 속임수입니다.
 
 

2. 사이버 스캠(Cyber Scams)란? 

사기의 한 유형이지만 일반적으로 사이버 사기만큼 심각하지 않거나 경미한 것으로 분류됩니다. 그러나 이것이 사이버 스캠이 사소하다는 것을 의미하는 것은 아닙니다.
 
 

3. 사이버 사기와 스캠의 예시 

3-1. 정부 웹사이트 모방

악의적인 행위자는 일반적으로 사용자의 자격 증명이나 신용 카드 정보를 훔치려는 의도로 피싱, 스피어 피싱 또는 기타 변종을 사용하여 가짜 정부 사이트에 대한 링크를 제공합니다.

3-2. 데이트 및 로맨스 스캠

악의적인 행위자는 합법적인 데이트 웹사이트, 소셜 네트워크, 채팅방을 활용하여 사람들로부터 개인 정보나 돈을 얻는다. 

3-3. 휴일 사기

악의적인 행위자가 고객에게 이용할 수 없거나 제공되지 않는 온라인 휴가 및 숙박 시설을 제공합니다.

3-4. 위임 사기

이러한 유형의 사기는 악의적인 행위자가 이메일 거래를 해킹할 때 발생합니다. 악의적인 행위자는 자신의 은행 계좌 정보가 포함된 중복 송장을 보내고 지불을 요청합니다.

3-5. 파밍

악의적인 행위자가 합법적인 웹사이트에서 전자상거래나 은행과 같은 가짜 웹사이트로 트래픽을 리디렉션 합니다.

3-6. 인사말 카드 스캠

이러한 유형의 사기에는 생일이나 크리스마스나 부활절과 같은 중요한 휴일에 사람에게 악의적인 인사말 카드를 보내는 것이 포함됩니다.
 

G. 인플루언스 캠페인(Influence Campaigns)

1. 인플루언스 캠페인이란? 

여론을 바꾸려는 대규모 노력입니다. 이러한 캠페인은 일반적으로 악의로 실행되며 잘못된 이야기를 조장하려고 합니다. 이러한 캠페인은 국가 행위자를 포함하여 높은 수준의 역량을 갖춘 그룹에 의해 수행되는 경우가 많습니다.
 
군대의 한 부서인 "사이옵스(psyops)"가 수행하는 하이브리드 전쟁의 일부일 수도 있습니다. 이 시나리오에서는 전통적인 전쟁 전술이 해킹, 사회 공학, 영향력 캠페인, 가짜 뉴스 홍보를 포함할 수 있는 정치 전략 및 사이버 전쟁과 결합됩니다. 하이브리드 전쟁에서 영향력 캠페인의 목적은 혼란과 분열을 심어 적의 결의를 약화시키는 것입니다.
 

2. 인플루언스 캠페인 전개방식 

첫 번째, 악의적인 행위자는 소셜 미디어 플랫폼에 가짜 사용자 계정을 만듭니다. 
두 번째, 악의적인 행위자는 특정 내러티브를 홍보하기 위해 콘텐츠를 만듭니다. 
세 번째, 수많은 소셜 미디어 사이트에 이 콘텐츠를 가짜 사용자로 등록합니다. 
네 번째, 실제 사람들이 콘텐츠를 보고 공유하기 시작합니다. 
다섯 번째, 특정 임계값에 도달하면 매스미디어가 해당 이야기를 포착하여 내러티브를 더욱 증폭시킵니다.

3. 인플루언스 캠페인 강점

적은 비용과 노력으로 나쁜 행위자는 수십만 명의 의견을 조작할 수 있습니다. 소셜 미디어의 특성상 악의적인 행위자는 공격의 근원지로 식별될 염려 없이 비밀리에 활동할 수 있습니다.