사회공학(社會工學, social engineering)

보안을 접하고 처음 발표를 하게 된 주제가 바로 사회공학이었다. 캐빈미트닉의 책을 읽고 발표를 한 것이었는데.. 그게.. 스무살때였나? 대학교 2학년때. 

뭣도 모르고 무작정 책으로 접했지만 사회공학이라는거 참 무섭다. 

음, 뭐, 사기 수준으로 갈 수도 있고.

오늘 회사 정보보안연구회에서 비공식 세미나로 다시 다루게 되어 정겨워서 포스팅 해봄.

사회공학(社會工學, 영어: social engineering)은 보안학적 측면에서 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 일컫는다.

신뢰 기반의 해킹

컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단. 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일을 통해 그들의 약점과 도움을 이용하는 것이다. 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 몰라서 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 사회 공학적 기술이다. 이 수단을 이용하여 시스템 접근 코드와 비밀번호를 알아내 시스템에 침입하는 것으로 물리적, 네트워크 및 시스템 보안에 못지 않게 인간적 보안이 중요하다.

출처: 위키

오늘의 강의는 사회공학이란 것을 처음 접하는 사람들에게 개략적인 소개와 관련 툴 소개인듯 싶다. 

Social Engineer Toolkit (SET)이라는 툴의 사용법을 알려주고 어떤 기능이 있는지 소개한다. 

관련 블로그 : http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET)

사용법 : http://pds25.egloos.com/pds/201303/14/20/User_Manual.pdf

https://www.trustedsec.com/downloads/social-engineer-toolkit/

에서 다운로드 가능! 

툴의 기능 : 

1.  Spear-Phishing Attack Vectors

2.  Website Attack Vectors

3.  Infectious Media Generator

4.  Create a Payload and Listener

5.  Mass Mailer Attack

6.  Teensy USB HID Attack Vector

7   Update the Metasploit Framework

8.  Update the Social-Engineer Toolkit

9.  Help, Credits, and About

10. Exit the Social-Engineer Toolkit

소셜 엔지니어링을 이용한 피싱이나 클릭재킹 같은 걸 하는 거 가트당.... 

나는 오늘 소셜 엔지니어링과 보안전반최신트렌드에 대해 들으러 왔는데 왠 툴 사용법만 줄줄이 시연하고 있어서 열라 화난다. 선배들은 아주 잘 돌아가는 모의해킹툴을 돌려보는 강사에게 어마어마한 감탄사와 총알같은 반응을 보이시고 계시다... 

아놔 여기서 불평불만 터트릴수도 없고. 암튼 이 툴이 있단걸 알게된 건 모.. 몰랐던 거니깐... 흠.. -_-;; 그리구 소셜 엔지니어링은 내가 아는게 다지 뭐!!!!!! 뭘 더 기대 했냐 !!!!!!!!

이에 관한 기사가 있따. 

http://www.ciokorea.com/news/12432

2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다.

케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다.

현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다.

케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다.

각자 조사하고 준비한다

케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다.

그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다.

그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크드인을 조사하는 것이 회사와 회사의 구조를 이해하는데 도움이 된다. 우리는 또 웹사이트에서 PDF와 워드 문서, 엑셀 스프레드 시트, 기타 데이터를 끄집어낸다. 또 사용하고 있는 어도비와 워드 버전, 운영 시스템이 무엇인지 알려주는 메타데이터를 추출한다"고 설명했다.

소셜-엔지니어닷컴의 창립자인 크리스 하드나지도 여기에 동의했다.

하드나지는 "가장 중요한 부분은 정보 수집이다. 시간의 약 절반 이상을 정보 수집에 투자해야 한다. 품질 정보, 유효한 이름, 이메일, 전화번호를 수집하면 성공확률이 높아진다. 이런 정보 수집 과정에 테스트 없이도 보안 취약점을 발견할 수 있다. 그러면 테스트를 해 확인을 해야 한다"고 말했다.

문제점을 지적하지 말고, 가르친다

케네디는 키트를 사용하는 침투 테스터들이 침투 테스트 성공률을 높이려면 회사의 다른 직원들을 먼저 준비시킬 필요가 있다고 충고했다. 그러나 경고란 달갑지 않기 마련이다. 케네디는 이때야말로 문제를 지적하기보다는 가르칠 기회라고 강조했다.

케네디는 "보안 전문가들이 달가워하지 않는 것 중의 하나가 사용자를 평가한다는 것이다. 물론 사용자는 보안과 관련된 문제를 제대로 인식해야 한다. 하지만 보안 담당자들이 명심할 부분이 있다. 사용자의 문제점을 지적하기 보다는 가르치는 것이 보안 담당자의 역할이라는 사실이다. 침투 테스트는 누군가가 잘못했다고 지적하는 기회가 아닌 교육의 기회가 되어야 한다"고 설명했다.

케네디는 사용자가 실수를 하고, 소셜 엔지니어링 해킹이라는 함정에 빠져들 때, 이는 누구에게나 일어날 수 있는 실수라는 점을 분명히 해야 한다고 권고했다.

케네디는  "학습을 할 수 있는 기회이고, 뭐가 잘못됐는지 파악하는 기회라는 점을 알려줘야 한다. 또 향후 똑같은 실수를 반복하지 않도록 교훈을 얻을 수 있는 기회라는 점을 지적해야 한다"고 말했다.

그는 또 "사용자들에게 앞으로의 침투 테스트에서는 더 나은 결과를 얻을 수 있다고 안심을 시켜야 한다. 사용자들은 반복 경험을 통해 이런 것들을 인식하게 될 것이다"라고 덧붙였다.

하드나지도 보안에 문제가 있다고 회사를 들쑤시는 것은 끔직한 아이디어라고 강조했다.

하드나지는 "보안 감사 결과를 직원 교육의 일부로 항상 활용해야 한다. 직원들을 당황시켜서는 안 된다. 문제점을 알리고, 교육을 시키는데 중점을 둬야 한다. 예를 들어, 나는 고객을 피싱 했을 때 보고서에 이름을 적지 않는다. 단지 클릭한 직원들에게 피싱을 당했다는 사실과, 이를 방지하는 방법을 알려주는 정보를 자동으로 발송할 뿐이다"라고 설명했다.

그는 이와 함께 여러 직원들을 함께 교육시킬 때, 특정 직원의 이름을 언급하거나 농담거리로 삼아서는 안 된다고 강조했다. SET 같은 툴은 테스터가 누가 클릭을 하고 응답을 했는지 추적할 수 있도록 해준다. 이는 많은 도움이 될 수 있다. 대기업의 경우 취약한 영역을 파악할 수 있고, 따라서 더욱 효과적인 교육을 할 수 있기 때문이다.

직원뿐만 아니라 스스로의 문제점을 파악한다

케네디는 "키트를 사용하는 사람들이 직면하게 되는 가장 큰 도전은 소셜 엔지니어링 개념과 공격을 하는 방법을 이해하는 것이다. 기업이 소셜 엔지니어링 공격을 어떻게 방어하는지 정확히 이해를 할 필요가 있다"라고 설명했다.

따라서 침투 테스트를 마치고 나면, 성공과 실패 사례를 조사해야 한다. 이런 방식으로 기업이 방어 확률을 높일 수 이는 정보를 제공해야 한다. 또 이와 동시에 자신의 접근 방식에 있어 문제점이 있었는지 파악해야 한다.

케네디는 "침투 테스터가 조사를 충분히 하지 못했을 경우 실패할 확률이 높아진다. 그냥 침투를 해 확인을 하고 반응을 하는 경우가 많은데, 이는 실패만을 보장할 뿐이다"라고 설명했다. ciokr@idg.co.kr

http://www.linkedin.com/in/christianespinosa

오늘 강의한 강사다. 멀캠에서 뭔가 강의중이라 우리 연구회에 세미나 한번 해주는것 같다. 

공짜로 해 주는거라고 해서 기분 좋게 듣고 가기로 결심했다. 

냐하하 그래도 강의 잘 한다 재밌게. 사람들하고 커뮤니케이션 해 가면서. 

근데 그냥 쓰는 거 말고 원리에 대해 알고싶다. 

이제 노트북 반출 허가 따로 안받아도 되니까 좀 들고다니면서 공부 좀 해야지.. 기흥가기 전에.. ㅠ_ㅠ...