최근의 보안 관련 공격들은 시스템의 취약점을 악용하는 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 그러나 현재 사람을 주요 공격 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대응하고자 하는 연구는 매우 부족한 현실이다. 본 논문에서는 사회공학 공격의 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표 측면에서 사회공학 공격들을 분석한다. 아울러 동일한 공격에 대해 조직의 특성과 환경에 따라 위험도는 다름을 반영하여 사회공학 공격 위험도와 함께 조직의 특성과 환경을 고려한 조직의 위험도를 평가한다. 뿐만 아니라, 일반적인 공격 위험도 평가 방법인 CVSS, CWSS, OWASP Risk Rating Methodology를 분석하여 사회공학 공격에 대한 조직의 위험도 평가 방안을 제안한다. 제안한 방법론은 조직의 환경 변화에 따라 조직에 적절한 사회공학 공격에 대한 조치를 취할 수 있도록 평가 유연성이 있다.
최근의 보안 관련 공격들은 시스템의 취약점을 악용하는 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 그러나 현재 사람을 주요 공격 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대응하고자 하는 연구는 매우 부족한 현실이다. 본 논문에서는 사회공학 공격의 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표 측면에서 사회공학 공격들을 분석한다. 아울러 동일한 공격에 대해 조직의 특성과 환경에 따라 위험도는 다름을 반영하여 사회공학 공격 위험도와 함께 조직의 특성과 환경을 고려한 조직의 위험도를 평가한다. 뿐만 아니라, 일반적인 공격 위험도 평가 방법인 CVSS, CWSS, OWASP Risk Rating Methodology를 분석하여 사회공학 공격에 대한 조직의 위험도 평가 방안을 제안한다. 제안한 방법론은 조직의 환경 변화에 따라 조직에 적절한 사회공학 공격에 대한 조치를 취할 수 있도록 평가 유연성이 있다.
Recently security related attacks occur in very diverse ways, aiming at people who operate the system rather than the system itself by exploiting vulnerabilities of the system. However, to the our best knowledge, there has been very few works to analyze and strategically to deal with the risks of so...
Recently security related attacks occur in very diverse ways, aiming at people who operate the system rather than the system itself by exploiting vulnerabilities of the system. However, to the our best knowledge, there has been very few works to analyze and strategically to deal with the risks of social engineering attacks targeting people. In this paper, in order to access risks of social engineering attacks we analyze those attacks in terms of attack routes, attack means, attack steps, attack tools, attack goals. Then, with the purpose of accessing the organizational risks we consider the characteristics and environments of the organizations because the impacts of attacks on the organizations obviously depend on the characteristics and environments of the organizations. In addition, we analyze general attack risk assessment methods such as CVSS, CWSS, and OWASP Risk Rating Methodolog. Finally, we propose the risk access scheme of social engineering attacks for the organizations. The proposed scheme allows each organization to take its own proper actions to address social engineering attacks according to the changes of its environments.
Recently security related attacks occur in very diverse ways, aiming at people who operate the system rather than the system itself by exploiting vulnerabilities of the system. However, to the our best knowledge, there has been very few works to analyze and strategically to deal with the risks of social engineering attacks targeting people. In this paper, in order to access risks of social engineering attacks we analyze those attacks in terms of attack routes, attack means, attack steps, attack tools, attack goals. Then, with the purpose of accessing the organizational risks we consider the characteristics and environments of the organizations because the impacts of attacks on the organizations obviously depend on the characteristics and environments of the organizations. In addition, we analyze general attack risk assessment methods such as CVSS, CWSS, and OWASP Risk Rating Methodolog. Finally, we propose the risk access scheme of social engineering attacks for the organizations. The proposed scheme allows each organization to take its own proper actions to address social engineering attacks according to the changes of its environments.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
한편, 사회공학 공격의 특징에 따라 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있다. 따라서 본 논문에서는 조직의 환경을 함께 고려하여 사회공학 공격에 대한 조직 위험도 평가지표를 도출하고 통합된 평가방안을 제시한다.
본 논문에서는 사회공학 공격이 조직에 미치는 위험도를 정량적으로 평가할 수 있는 방안을 제시하였다. 동일한 사회공학 공격 기법이라도 공격이 적용되는 조직 환경 또는 특성에 따라 위험도가 달라질 수 있다.
제안 방법
기업 규모, 업무 연속성, 인구 유동성, 공격 내구성 요소들은 공격 대상이 가지고 있는 물리적, 업무적 환경들이 사회공학 공격에 대한 노출의 정도를 평가한다. 4가지 자산 중요도 요소는 공격 대상이 보유하고 있는 자산들에 대해 공격이 성공했을 경우 손상정도와 조직의 우선순위를 판단하여 평가한다.
따라서 먼저 순수하게 사회공학 공격의 위험도를 평가할 수 있는 방안을 제시한 후 조직의 환경 요소를 함께 고려하였다. 공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다. 아울러 조직의 사회공학 공격 위험도에 영향을 줄 수 있는 8가지 환경적 지표를 도출하여 조직의 특성과 환경을 고려하여 최종적으로 사회공학에 대한 조직 위험도 평가 방안을 제시하였다.
따라서 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있기 때문에 공격 특징, 공격 목표와 조직 환경 기준으로 분류한 일반 공격 위험도 평가 방법론의 개념을 바탕으로 [Table 2]와 같이 4가지의 조직의 환경을 평가할 수 있는 기본 속성과 4가지의 조직의 환경을 평가할 수 있는 자산 중요도를 선정할 수 있는 조직 위험도 평가 지표를 도출하였다.
동일한 사회공학 공격 기법이라도 공격이 적용되는 조직 환경 또는 특성에 따라 위험도가 달라질 수 있다. 따라서 먼저 순수하게 사회공학 공격의 위험도를 평가할 수 있는 방안을 제시한 후 조직의 환경 요소를 함께 고려하였다. 공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다.
아울러 최근 사회공학기법을 적용한 다양한 공격방법들이 등장하고 있으므로 공격 자체의 위험도 평가뿐만 아니라 조직의 환경까지 함께 고려하여 사회공학 공격이 조직에 미치는 위험도 평가방안이 필요하다[10]. 본 논문에서는 먼저 사회공학 공격이 조직에 미치는 공격 위험도 평가방안을 제시한다. 이를 위해 본 논문의 사전 연구 결과로 [15]에서 제시한 6개의 사회공학 공격 위험도 평가 지표를 활용하여 지표별로 객관적인 기준을 제시하여 균형 있게 공격 위험도 평가 방안을 제시한다.
본 논문에서는 사회공학 공격에 대한 조직 위험도는 같은 공격이라도 공격 대상이 되는 조직의 환경에 따라 다른 평가 점수를 부여 받을 수 있도록 사회공학 공격 위험도(최대 100점)와 조직의 환경에 대한 평가 점수(최대 1점)를 곱하여 공격 위험도가 조직의 위험도로 변환되도록 하였다. 공격 위험도를 조직의 환경을 고려한 위험도로 변환하기 위해 기본 지표 그룹에서 계산된 공격 위험도와 환경 지표 그룹에서 계산된 조직의 환경을 곱하여 최종적으로 사회공학 공격이 목표로 하는 조직에 대한 위험도를 평가할 수 있다.
자산 중요도는 조직의 특성에 맞게 4가지 자산에 대해 위험도 가중치를 선택하여 부여하게 된다. 부여하는 위험도 가중치는 현재 조직의 상황에서 해당 자산에 대한 보호 수준에서 결정되는 가중치로써 본 논문에서는 위험도 가중치를 선택한 요소에 대해서는 평가 점수에 2배를 곱하여 계산하고, 선택하지 않은 요소에 대해서는 1배를 곱하여 평가하여 상대적인 중요도를 반영하는 것으로 제시하였다. 환경 지표 그룹을 계산하는 방법은 다음과 같이 나타낼 수 있다.
사회공학 공격 위험도 평가지표는 일반 공격 위험도 평가 방법론에서 공격 위험도 기준으로 추출한 9가지 항목과 사회공학 공격 기법 분석을 통해 [Table 1]과 같이 6개의 사회공학 공격 위험도 평가 지표를 도출하였다. 사회 공학 공격들은 평가 지표인 공격 경로, 공격대상, 공격 복잡도, 공격 독립성, 공격파급효과(기밀성, 무결성)에 대한 위험도가 각각 다르게 된다.
공격 내구성은 조직이 사회공학 공격에 대해 얼마나 준비가 되어 있는지에 대한 정도를 평가한다. 사회공학 공격에 대한 교육과 훈련 정도, 공격 대처 방안, 내부 지침 등을 평가한다.
사회공학 공격에 대한 조직 위험도는 같은 공격이라도 공격 대상이 되는 조직의 환경에 따라 다른 평가 점수를 부여 받을 수 있게 2절에서 제시한 공격 위험도 평가 결과에 조직의 환경에 대한 평가 점수를 곱하여 조직의 위험도를 평가한다.
사회공학 공격의 위험도에 영향을 주는 조직의 환경을 평가하기 위해 도출된 지표별로 객관적인 기준을 제시하여 평가한다. 지표에 대한 점수는 공격 위험도와 마찬가지로 low=1, medium=4, high=7, critical=10 등으로 위험도를 부여할 수 있으며 조직의 특성에 따라 독자적으로 부여할 수 있다.
[15]에서는 사회공학 공격의 위험도를 평가하기 위한 지표를 개발하기 위해 일반 공격 위험도 평가 방법론인 CVSS, CWSS, OWASP Risk Rating Methodology를 구성하는 46가지의 항목을 분석한 후 공격 위험도 기준으로 9가지의 항목을 추출하였다. 아울러 10개의 사회공학 공격들의 특징을 분석하여 사회공학 공격에서 나타나는 구성 요소를 (Fig. 1)과 같이 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표의 5가지 항목을 도출하였다[1][11][12][13][14].
공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다. 아울러 조직의 사회공학 공격 위험도에 영향을 줄 수 있는 8가지 환경적 지표를 도출하여 조직의 특성과 환경을 고려하여 최종적으로 사회공학에 대한 조직 위험도 평가 방안을 제시하였다.
본 논문에서는 먼저 사회공학 공격이 조직에 미치는 공격 위험도 평가방안을 제시한다. 이를 위해 본 논문의 사전 연구 결과로 [15]에서 제시한 6개의 사회공학 공격 위험도 평가 지표를 활용하여 지표별로 객관적인 기준을 제시하여 균형 있게 공격 위험도 평가 방안을 제시한다. 한편, 사회공학 공격의 특징에 따라 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있다.
사회공학 공격의 대상에 대한 환경점수는 기업 규모, 업무 연속성, 인구 유동성, 공격 내구성과 자산 중요도에 대한 평가 점수를 더한 뒤 1점 만점으로 환산하여 환경 지표 그룹을 계산한다. 자산 중요도는 평가하고자 하는 사회공학 공격에 대해 기업이 보유하고 있는 기밀정보, 비즈니스 신뢰성, 비즈니스 가용성, 시스템 자원 손실에 대한 사항을 평가한다. 자산 중요도는 조직의 특성에 맞게 4가지 자산에 대해 위험도 가중치를 선택하여 부여하게 된다.
제시한 평가 방안은 객관적인 위험도를 평가하기 위해 사회공학 공격이 지니고 있는 근본적인 위험도를 평가하기 위한 공격 위험도와 사회공학 공격이 적용되는 조직의 환경적인 특징을 고려한 조직 환경의 위험도로 분리하여 평가한다. 따라서 공격 위험도 단계에서는 기존 사회공학 공격의 위험도를 평가함으로써 각 공격별로 상대적인 위험도를 확인할 수 있고 앞으로 나오는 새로운 사회공학 공격들에 대해서도 정량적인 평가가 가능해진다.
조직 위험도를 평가하기 위해 앞서 도출한 지표들을 환경 지표 그룹으로 분류하였다. 환경 지표그룹은 사회공학 공격이 목표로 하는 공격 대상의 환경을 고려한 위험도를 평가한다.
일반 공격 위험도 평가 방법론인 CVSS, CWSS, OWASP Risk Rating Methodology에서 취약점을 악용한 공격들을 수치화 할 때 공격 대상의 시스템이나 인프라 환경을 고려하는 것을 알 수 있다. 추출한 모든 항목을 사회공학 공격에 모두 활용할 수 없으므로 성격이 비슷한 지표를 포함하거나 개념적인 부분을 고려하여 평가 지표를 도출하였다. 기본 속성은 사회공학 공격의 목표가 되는 대상이 보유하고 있는 환경적인 측면을 평가하기 위한 속성이다.
후속연구
평가된 조직 위험도 점수를 데이터베이스화 하여 누적된 점수 데이터를 활용한다면 사회공학 공격에 어느 정도 수준으로 대비되어 있는지 변화를 확인할 수 있으며, 사회공학 공격에 취약한 조직의 특징을 더욱 명확히 파악할 수 있다. 또한 기업들의 향후 보안정책과 보안교육에 대해서도 어떤 부분에 우선순위를 두어야 하는지에 대한 방향을 제시해 줄 수 있다.
향후 취약점 제거 계획 수립에 특정 취약점을 제거한 후의 위험도를 미리 평가할 수 있어 취약점 제거의 우선순위를 정할 수 있기 때문에 효율적인 취약점 제거에 활용할 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
기업의 정보보안에서 가장 큰 위협은 무엇인가?
각종 보안위협들이 다양화, 복잡화, 그리고 지능화되어 가고 있는 오늘날 사람의 의사 결정 특성인 인지적 편견에 기초한 사회공학 공격들이 발생하고 있다. 즉, 공격자는 일차 표적인 사람의 행동, 동기, 경제적인 이득, 이기심, 복수, 외부의 위협 등을 자극하여 공격 대상의 의지나 동의와 상관없이 원하는 행동을 유도한다 [1][2] 사회공학자 케빈 미트닉은 기업의 정보보안에서 가장 큰 위협은 사람이며 보안 취약점을 이용하는 것보다 더 손쉽게 목표에 도달할 수 있는 방법이라고 설명하고 있다[3][4].
공격 위험도 점수의 산출 방법은?
* 공격 위험도 = (공격 경로 + 공격대상 + 공격 복잡도 + 공격 독립성 + 공격파급효과) x 1.6667(공격파급효과 = 기밀성 + 무결성)
사회공학 공격 사이클의 단계는?
다양한 사회 공학 공격들이 있으며 사회공학 공격 사이클은 정보 수집, 관계 및 라포(papport) 형성, 공격, 실행과 같이 4단계로 이루어져 있다[5]. 그러나 공격 목표의 특성에 따라 각 단계에서 공격자가 발견되거나, 포기하거나 만족스러운 결과를 얻을 때까지 각각의 단계 또는 전체 단계를 반복해서 수행할 수 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.