[논문]사회공학 사이버작전 분석모델 정립연구

신규용; 김지원; 임현명; 김용주; 유진철

doi:10.13089/jkiisc.2018.28.6.1595

사회공학 사이버작전 분석모델 정립연구
Building an Analysis Model for Social Engineering Based Cyberspace Operations 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.6, 2018년, pp.1595 - 1606

신규용 (육군사관학교 사이버전 연구센터) , 김지원 (육군사관학교 사이버전 연구센터) , 임현명 (육군사관학교 사이버전 연구센터) , 김용주 (육군사관학교 사이버전 연구센터) , 유진철 (육군사관학교 사이버전 연구센터)

초록
AI-Helper

최근에는 목표시스템을 직접 공격하던 전통적인 기술적 사이버작전보다는 목표시스템을 관리하는 사람이나 조직의 취약점을 우회적으로 공격하는 사회공학 사이버작전이 늘어가고 있는 추세이다. 이에 따라 사회공학 사이버작전 공격기법의 종류나 사회공학 사이버작전 사례분석 연구는 활발히 진행되고 있으나 사회공학 사이버작전을 효과적으로 분석할 수 있는 사회공학 사이버작전 분석모델에 대한 연구는 거의 없다. 따라서 본 논문에서 우리는 사회공학 사이버작전 수행단계와 사회공학 사이버작전의 대상이 되는 인간의 심리기제 등을 종합적으로 분석해 모형화한 사회공학 사이버작전 분석모델을 제안한다. 제안된 사회공학 사이버작전 분석모델은 사회공학 사이버작전 공격시나리오 작성과 사회공학 사이버작전 사례분석을 위한 기준 틀로 활용할 수 있을 것이다.

Abstract ▼ AI-Helper

Recently, there has been an increase in the number of social engineering techniques that indirectly attack the target system administrators or organizational weaknesses rather than the traditional technical cyber attacks that directly attacked the target systems. Accordingly, the type analysis and case study of social engineering techniques are being actively conducted. There has been, however, little effort to derive an analysis model that systematically analyzes social engineering based cyberspace operations. Therefore, this paper aims at building a Social Engineering Based Cyberspace Operations Analysis Model, which can be used as a reference framework for a case study or attack scenario generation of social engineering based cyberspace operations.

주제어

표/그림 (8)

그림 Fig. 1. The Concept and Procedure of Social Engineering based Cyberspace Operations[2, 15].
그림 Fig. 2. Psychological Mechanisms for Social Engineering Based Cyberspace Operations
그림 Fig. 3. The Proposed Analysis Model for Social Engineering based Cyberspace Operations
그림 Fig. 4. Analysis Results (Example)
그림 Fig. 5. The frequency per year of the attacks
그림 Fig. 6. The information collected by the attacks
그림 Fig. 7. The ratio of SE strategy
그림 Fig. 8. The frequency of the psychological mechanisms used in the attacks

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 사이버전 공격 단계를 사회공학 정보수집, 사회공학 방략선택, 그리고 사회공학 방략실행 단계로 구분하고, 각 단계별로 피공격자의 반응과정에서 나타날 수 있는 심리적인 영향요소들을 전반적으로 고려하고자 한다.
사회공학 사이버작전에 주로 사용되는 사람의 심리적인 특징을 파악하여 분석하고 이를 토대로 모델링이 이루어진다면 사회공학 사이버작전의 수행 메커니즘을 쉽게 이해할 수 있을 뿐만 아니라 사회공학을 활용한 사이버 위협을 예방하는 방법을 찾는데도 도움이 될 수 있다. 이러한 측면에서 우리는 본 논문을 통해 사회공학 사이버작전 분석모델을 제안하였다.
이에 본 논문에서 우리는 사회공학 사이버작전 수행단계와 사회공학 사이버작전의 대상이 되는 인간의 심리기제 등을 종합적으로 분석해 모형화한 사회공학 사이버작전 분석모델을 제안하고자 한다.

제안 방법

결과에서 보듯이 해당 공격은 사회공학 정보수집 단계에서 “대인관계”, “업무내용”, “사회현안”, “비물리적 접촉 방법(즉, 이메일)” 등에 대한 정보를 획득 한 후 사회공학 방략으로 스피어 피싱을 선택하였다.
또한 그들을 공격하기 위해 그들이 관심을 가질 수 있는 “업무내용”(북한)과 적시성 높은 “사회현안”(북한의 4차 핵실험) 등에 대한 정보를 수집하였다.
또한 우리는 본 논문에서 제안한 사회공학 사이버 작전 분석모델의 효용성을 검증하기 위해 우리는 최근 10년 정도의 사회공학 사이버작전 공격사례들을 분석하였다. 분석결과 사회공학 정보수집 단계에서는 조직적 요소보다는 개인적인 요소에 대한 수집이 주를 이루고 있었으며 특히 개인의 대인관계(48%))와 업무내용(43%)과 연관된 정보수집이 중점적으로 이루어졌음을 알 수 있었다.
마지막으로 공격대상에 대한 접촉은 직접적인 접촉보다는 이메일을 활용한 “비물리적인 접촉”을 선택해 이메일 정보 확보에 주력하였다.
마지막으로 목표행동 단계에서는 피해자로 하여금 한 번에 원하는 행동을 하도록 유도 하는 것이 아니라 첫 메일을 통해 상대방에게 안심을 주고 두 번째 메일 및 첨부된 파일을 의심 없이 열어 보도록 유도하는 “문간에 발 들여놓기(foot in the door)” 심리기제를 활용하였다.
본 논문에서 제안한 사회공학 사이버작전 분석모델은 사이버작전 수행단계 중 공격준비 단계에서 시행되는 사회공학 사이버작전의 수행단계, 활용 가능한 사회공학 방략, 그리고 각 방략의 수행과정에 숨어 있는 사회공학 심리기제들을 총 망라해서 모형화한 것이다.
위 공격의 경우 사회공학 정보수집 단계에서 획득한 국가기관 종사자들의 이메일 주소를 활용해 “스피어 피싱” 공격을 수행하였다.
이때 단순한 스피어 피싱보다는 최초에는 악성코드가 첨부되어 있지 않은 일반 이메일을 보내 안심시킨 후 수신자가 해당 메일에 대해 답장을 하는 등 반응을 보이면 악성코드가 첨부되어 있는 메일을 보내 감염을 유도하는 “투트랙 스피어 피싱“ 방략을 선택하였다.
특히 개인요소에 대해서는 대인관계(48%), 업무내용(43%), 사회현안(38%) 순으로 정보수집의 비중이 높음을 알 수 있다. 이때 정보수집 대상에 대한 직접적인 접촉은 피한 채 간접적인 방법으로 정보를 수집하였다. 이러한 점에서 사회공학 사이버작전 정보수집은 직접 접촉은 피하면서 공격대상의 인간관계 및 사회적 관계 그리고 사회 현안 등의 관심사를 주요 목표로 정보를 수집하는 것으로 나타났다.
이번 장에서는 사회공학 사이버작전 분석모델을 제안하고, 제안된 모델을 활용해 사회공학 사이버작전 공격을 분석하는 방법론을 제시한다.
이번 장에서는 앞서 5.1장에서 언급한 40개의 사회공학 사이버작전 공격사례들을 다양한 측면에서 분석한 결과를 제시한다.
이번 장에서는 앞서 Ⅳ장에서 제안한 사회공학 사이버작전 분석모델을 활용해 최근에 발생한 사이버작전 사례들을 분석한 결과를 제시한다.
이번 절에서는 Fig.3.의 사회공학 사이버작전 분석모델을 활용해 사회공학 사이버작전 공격을 분석하는 방법을 제안한다. 이때 분석 대상은 2016년에 북한의 4차 핵실험 직후에 발생했던 “국가기관 등 사칭 이메일 발송사건”이다.
해당 공격은 먼저 피해자에게 악성코드가 첨부되어 있지 않은 일반 이메일을 보내 안심시킨 후 수신자가 해당 메일에 대해 답장을 하는 등 반응을 보이면 악성코드가 첨부되어 있는 메일을 보내 감염을 유도하였다.

대상 데이터

2016년 1월 13일과 14일, 청와대, 외교부, 통일부를 사칭해 북한 4차 핵실험에 대한 의견을 개진해 달라고 요청하는 이메일이 정부기관과 국책연구기관에 대량으로 발송되었다.
본 논문에서 우리는 2007년부터 2017년까지 발생한 북한 관련 사례, 국내 사례, 해외 사례를 포함해 총 40건의 사회공학 사이버작전 공격(해킹)사례들을 분석하였다.
이때 북한 관련 사례는 ADEX 방위산업체 해킹, 청와대 사칭 문자메시지, 인터파크 개인정보 해킹 등과 같이 북한에 의한 공격으로 확인된 또는 추정되는 사례들이고, 국내 사례는 입사지원서 위장 악성코드 공격, 파워 블로거 대상 공격 등과 같이 국내에서 공공기관, 민간기업, 개인 등을 대상으로 발생한 사례들이며, 마지막으로 해외 사례는 달라이라마 컴퓨터 해킹, 왓츠앱 사기 등과 같이 해외에서 공공기관(군 포함), 민간기업, 개인 등을 대상으로 발생한 사례들이다.
이때 분석 대상은 2016년에 북한의 4차 핵실험 직후에 발생했던 “국가기관 등 사칭 이메일 발송사건”이다.
이때 분석대상은 주로 인터넷을 통해 검색하였으며, 가능한 최신 사회공학 사이버작전 사례를 반영하기 위해 대부분 2년 이내의 사회공학 사이버 공격들을 분석 대상으로 한정하였다[2].
이를 위해 공격자들은 사회공학 정보수집 단계에서 청와대, 외교부, 통일부 등 업무 연관성이 높은 국가기관 종사자들 대상으로 그들의 “대인관계”에 대한 정보를 중점적으로 수집하였다.

성능/효과

마지막으로 사회공학 방략실행 단계에서 사용되는 심리기제와 관련해서는 관심반응 단계에서는 전문성(37%), 호기심(28%), 급박성(22%), 현저성(13%)이 대체로 골고루 활용되었고, 인지판단 단계에서는 주로 도식(38%)과 전망이론(36%)이 활용되었으며, 목표행동 단계에서는 문간에 발 들여놓기(83%)가 가장 많이 활용되고 있음을 확인할 수 있었다.
은 사회공학 사이버작전 수행간 활용된 심리기제의 빈도분석 결과를 보여준다. 결과에서 보듯이 관심반응 단계에서는 전문성(37%), 호기심(28%), 급박성(22%), 현저성(13%)이 대체로 골고루 활용되고 있음을 알 수 있다. 인지판단 단계에서는 주로 도식(38%)과 전망이론(36%)이 활용 되었으며, 목표행동 단계에서는 문간에 발 들여놓기(83%)를 통해 피해자가 목표행동을 할 때까지 행동을 강화하는 심리기제로 많이 활용되고 있다는 사실을 알 수 있다.
결과에서 보듯이 사회공학 사이버작전은 시간이 지남에 따라 발생빈도가 증가하고 있음을 알 수 있다. 특히 전체 공격 사례 중 반이 넘는 24개의 공격이 2016년과 2017년에 걸쳐 발생했다는 사실에 비추어보면 향후 사회공학 사이버작전 공격은 급격히 증가할 것으로 예상된다.
첫째, 전문성(expertise)은 제공된 정보가 대상의 전문 분야와 일치하고 양질의 정보로 인식될수록 관심을 기울일 가능성이 높아지는 것을 의미한다. 둘째, 현저성(salience)은 정보의 색, 크기, 선명도, 움직임 등이 현저한 자극일수록 관찰자의 주의를 끄는 힘이 더 강한 것을 뜻한다. 셋째, 호기심(curiosity)은 제공된 정보가 유명인, 금전적 이익, 성(性) 관련 내용과 같이 호기심을 유발하는 내용일수록 관심을 가질 가능성이 높아지는 것을 의미한다.
또한 스피어 피싱에 대한 성공 확률을 높이기 위해 관심반응 단계에서는 “전문성”과 “현저성” 심리기제를 활용하였고, 인지적 판단 단계에서는 “도식”과 “복종” 심리기제를 활용하였으며, 목표행동 단계에서는 “문간에 발들여놓기” 심리기제를 활용하였음을 확인할 수 있다.
물론 본 논문에서 다루는 사례들은 인터넷 기사를 통해 수집되었기 때문에 다른 종류의 방략들이 사용되고 있지 않다고 결론을 내릴 수는 없지만 기술적인 방략, 그중에서도 스피어 피싱과 피싱이 가장 많이 활용되고 있음을 확인할 수 있다.
분석결과 사회공학 정보수집 단계에서는 조직적 요소보다는 개인적인 요소에 대한 수집이 주를 이루고 있었으며 특히 개인의 대인관계(48%))와 업무내용(43%)과 연관된 정보수집이 중점적으로 이루어졌음을 알 수 있었다.
셋째, 복종(obedience)은 상대방의 권위나 권력 때문에 상대방의 요청에 따르는 것이다.
둘째, 현저성(salience)은 정보의 색, 크기, 선명도, 움직임 등이 현저한 자극일수록 관찰자의 주의를 끄는 힘이 더 강한 것을 뜻한다. 셋째, 호기심(curiosity)은 제공된 정보가 유명인, 금전적 이익, 성(性) 관련 내용과 같이 호기심을 유발하는 내용일수록 관심을 가질 가능성이 높아지는 것을 의미한다. 마지막으로, 급박성(urgency)은 ‘긴급’이라는 머리말이 포함되거나, 접근기한 및 처리기한이 한정된 정보와 같이 반응의 급박함을 강조하는 정보에 대해 주의를 기울일 가능성이 더 높아진다는 개념이다.

후속연구

이를 위해서는 많은 실험자들을 대상으로 다양한 심리 공격을 수행해보고 그에 대한 반응을 관찰함으로써 사회공학 사이버작전에 효과적인 추가 심리기제를 발굴해야 한다. 나아가 그런 사이버 작전 심리기제들을 지금의 사회공학 사이버작전 분석 모델에 추가해 나감으로써 보다 정확하고 효과적인 모델로 발전시킬 수 있을 것이다.
제안하는 사회공학 사이버작전 분석모델은 사회공학 사이버작전의 작용 메커니즘(mechanism)을 쉽게 이해할 수 있도록 안내해 주는 일종의 프레임 역할을 수행하며, 다양한 사례들을 분석하는 준거의 틀로서 활용될 수 있기 때문에 매우 의미가 있다. 또한 경우에 따라서는 사회공학 사이버작전 공격 시나리오를 작성하기 위한 참조모델로 활용될 수도 있을 것이다.
본 논문에서 제안한 사회공학 사이버작전 분석모델을 활용하면 공격자가 목표나 시스템에 접근하기 위해서 조직이나 관련자의 어떤 정보를 수집했는지, 수집된 정보를 바탕으로 어떻게 취약대상을 공략했는지, 그리고 이때 사용된 사회공학 심리기제들은 어떠한 것들이 있는지를 체계적으로 분석할 수 있기 때문에 향후 사회공학 사이버작전 공격에 대한 대응체계를 만들기 위한 분석적 수단으로 활용될 수 있다.
향후에는 우리는 본 논문에서 제안한 사회공학 사이버작전 분석모델을 활용해 보다 많은 사회공학 사이버작전 사례들을 분석해봄으로써 모델을 보완·발전시켜 나갈 것이다. 이를 위해서는 많은 실험자들을 대상으로 다양한 심리 공격을 수행해보고 그에 대한 반응을 관찰함으로써 사회공학 사이버작전에 효과적인 추가 심리기제를 발굴해야 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	사회공학 기법이란 무엇인가?	사회공학 기법이란 인간을 속여 공격 행위자가 원하는 목표를 달성하는 심리적 기법을 말한다. 즉, 상대방이 민감한 정보를 누설하게 하거나, 정보의 보안 경계(security perimeter)를 효과적으로 우회하기 위한 방법들의 통칭이라 할 수 있다[2].
	사회공학 기법은 어떻게 분류되는가?	사회공학 기법은 크게 물리적 방략, 사회적 방략, 기술적 방략, 그리고 혼합 방략으로 구분할 수 있다. 이때 물리적 방략에는 도청(eavesdropping), 어께너머로 훔쳐보기(shoulder surfing), 쓰레기통 뒤지기(dumpster diving) 등이 있고, 사회적 방략에는 설득(persuasion), 프리텍스팅(pretexting), 보상(quid pro quo), 역사회공학(reverse social engineering) 등이 있으며, 기술적 방략에는 피싱(phishing), 스미싱(smishing), 스피어 피싱(spear phishing), 웨일링(whaling), 파밍(pharming), 베이팅(baiting), 워터링 홀(watering hole) 등이 있다.
	인적 보안이 중요시 되는 이유는 무엇인가?	인간 내면의 심리기제(psychological mechanisms)를 이용한 사회공학 공격기법은 기술적인 침투경로의 확보가 어려워질수록 상대적으로 더욱 증가되어갈 것이다. 이러한 의미에서 우리가 아무리 기술적으로 완벽한 보안시스템을 갖추었다 하더라도 보안을 담당하는 인원들의 심리적 행동이 통제되지 않을 경우 사회공학기법을 활용한 사이버작전(이하, 사회공학 사이버작전)의 희생양이 될 가능성이 높다는 것을 시사해준다[1, 2].

참고문헌 (15)

Jungho Kang, Kyuyong Shin, Jincheol Yoo, Jeewon Kim, Sungrok Kang, Hyunmyung Lim, and Yongju Kim, "A Study on the Relationship between Social Engineering and Cyberspace Operations," Ministry of Defense, Dec. 2017.
Kyuyong Shin, Jungho Kang, Jincheol Yoo, Jeewon Kim, Sungrok Kang, Hyunmyung Lim, and Yongju Kim, "A Study on the Concept of Social Engineering based Cyber Operations," Journal of The Korea Institute of Information Security & Cryptology, 28(3), pp. 707-716, June 2018.
Vircom, "18 Cyber Security Trends We Are Watching in 2018," https://www.vircom.com/blog/18-cyber-security-trends-we-are-watching-in-2018/, 12. January, 2018.
Wenjun Fan, Kevin Lwakatare, and Rong Rong, "Social Engineering: I-E based Model of Human Weakness for Attack and Defense Investigations," Computer Network and Information Security, vol. 9, pp. 1-11, Jan. 2017.
J. Piaget, The Language and Thought of the Child. New York: Harcourt, Brace, 1926.
J.M. Darley and B. Latane, "Bystander Intervention in Emergencies: Diffusion of Responsibility," Journal of Personality and Social Psychology, 8(4), pp. 377, 1986.
P.G. Zimbardo, "The Human Choice: Individuation, Reason, and Order Versus Deindividuation, Impulse, and Chaos," In Nebraska Symposium on Motivation. University of Nebraska press, 1969
S.T. Fiske and S.E. Taylor, Social Cognition. New York: McGraw-Hill, 1991
D. Kahneman and A. Tversky, Prospect Theory. Econometrica vol. 47 pp. 263-291, 1979

상세보기
D. Kahneman, P. Slovic, and A. Tversky(eds.), Judgment under Uncertainty: Heuristics and Biases. Cambridge University Press, 1982.
V.H. Vroom, Work and Motivation. New York: Wiley, 1964
M. Sherif, O.J. Harvey, B.J. White, W.R. Hood, and C.W. Sherif, Intergroup Conflict and Cooperation: The Robbers Cave Experiment. Norman, OK: University Book Exchange, 1961.
B.F. Skinner, "Superstition' in the Pigeon," Journal of Experimental Psychology, vol. 38, pp. 168-172, 1948.

상세보기
Jin A Heo, Seong Bhin Joo, Jung Min Lee, and Chan Hyuk Park, "Countermeasures for Industrial Technology Protection in Social Engineering attack", The Journal of Social Science, vol. 23, no. 1, pp. 279-306, March 2016.
Kyuyong Shin, Kyoung Min Kim, and Jongkwan Lee, "A Study on the Concept of Social Engineering Cyber Kill Chain for Social Engineering based Cyber Operations," Journal of The Korea Institute of Information Security & Cryptology, 28(5), Oct. 2018.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증