선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 한편, 사회공학 공격의 특징에 따라 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있다. 따라서 본 논문에서는 조직의 환경을 함께 고려하여 사회공학 공격에 대한 조직 위험도 평가지표를 도출하고 통합된 평가방안을 제시한다.
- 본 논문에서는 사회공학 공격이 조직에 미치는 위험도를 정량적으로 평가할 수 있는 방안을 제시하였다. 동일한 사회공학 공격 기법이라도 공격이 적용되는 조직 환경 또는 특성에 따라 위험도가 달라질 수 있다.
제안 방법
- 기업 규모, 업무 연속성, 인구 유동성, 공격 내구성 요소들은 공격 대상이 가지고 있는 물리적, 업무적 환경들이 사회공학 공격에 대한 노출의 정도를 평가한다. 4가지 자산 중요도 요소는 공격 대상이 보유하고 있는 자산들에 대해 공격이 성공했을 경우 손상정도와 조직의 우선순위를 판단하여 평가한다.
- 따라서 먼저 순수하게 사회공학 공격의 위험도를 평가할 수 있는 방안을 제시한 후 조직의 환경 요소를 함께 고려하였다. 공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다. 아울러 조직의 사회공학 공격 위험도에 영향을 줄 수 있는 8가지 환경적 지표를 도출하여 조직의 특성과 환경을 고려하여 최종적으로 사회공학에 대한 조직 위험도 평가 방안을 제시하였다.
- 따라서 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있기 때문에 공격 특징, 공격 목표와 조직 환경 기준으로 분류한 일반 공격 위험도 평가 방법론의 개념을 바탕으로 [Table 2]와 같이 4가지의 조직의 환경을 평가할 수 있는 기본 속성과 4가지의 조직의 환경을 평가할 수 있는 자산 중요도를 선정할 수 있는 조직 위험도 평가 지표를 도출하였다.
- 동일한 사회공학 공격 기법이라도 공격이 적용되는 조직 환경 또는 특성에 따라 위험도가 달라질 수 있다. 따라서 먼저 순수하게 사회공학 공격의 위험도를 평가할 수 있는 방안을 제시한 후 조직의 환경 요소를 함께 고려하였다. 공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다.
- 아울러 최근 사회공학기법을 적용한 다양한 공격방법들이 등장하고 있으므로 공격 자체의 위험도 평가뿐만 아니라 조직의 환경까지 함께 고려하여 사회공학 공격이 조직에 미치는 위험도 평가방안이 필요하다[10]. 본 논문에서는 먼저 사회공학 공격이 조직에 미치는 공격 위험도 평가방안을 제시한다. 이를 위해 본 논문의 사전 연구 결과로 [15]에서 제시한 6개의 사회공학 공격 위험도 평가 지표를 활용하여 지표별로 객관적인 기준을 제시하여 균형 있게 공격 위험도 평가 방안을 제시한다.
- 본 논문에서는 사회공학 공격에 대한 조직 위험도는 같은 공격이라도 공격 대상이 되는 조직의 환경에 따라 다른 평가 점수를 부여 받을 수 있도록 사회공학 공격 위험도(최대 100점)와 조직의 환경에 대한 평가 점수(최대 1점)를 곱하여 공격 위험도가 조직의 위험도로 변환되도록 하였다. 공격 위험도를 조직의 환경을 고려한 위험도로 변환하기 위해 기본 지표 그룹에서 계산된 공격 위험도와 환경 지표 그룹에서 계산된 조직의 환경을 곱하여 최종적으로 사회공학 공격이 목표로 하는 조직에 대한 위험도를 평가할 수 있다.
- 자산 중요도는 조직의 특성에 맞게 4가지 자산에 대해 위험도 가중치를 선택하여 부여하게 된다. 부여하는 위험도 가중치는 현재 조직의 상황에서 해당 자산에 대한 보호 수준에서 결정되는 가중치로써 본 논문에서는 위험도 가중치를 선택한 요소에 대해서는 평가 점수에 2배를 곱하여 계산하고, 선택하지 않은 요소에 대해서는 1배를 곱하여 평가하여 상대적인 중요도를 반영하는 것으로 제시하였다. 환경 지표 그룹을 계산하는 방법은 다음과 같이 나타낼 수 있다.
- 사회공학 공격 위험도 평가지표는 일반 공격 위험도 평가 방법론에서 공격 위험도 기준으로 추출한 9가지 항목과 사회공학 공격 기법 분석을 통해 [Table 1]과 같이 6개의 사회공학 공격 위험도 평가 지표를 도출하였다. 사회 공학 공격들은 평가 지표인 공격 경로, 공격대상, 공격 복잡도, 공격 독립성, 공격파급효과(기밀성, 무결성)에 대한 위험도가 각각 다르게 된다.
- 공격 내구성은 조직이 사회공학 공격에 대해 얼마나 준비가 되어 있는지에 대한 정도를 평가한다. 사회공학 공격에 대한 교육과 훈련 정도, 공격 대처 방안, 내부 지침 등을 평가한다.
- 사회공학 공격에 대한 조직 위험도는 같은 공격이라도 공격 대상이 되는 조직의 환경에 따라 다른 평가 점수를 부여 받을 수 있게 2절에서 제시한 공격 위험도 평가 결과에 조직의 환경에 대한 평가 점수를 곱하여 조직의 위험도를 평가한다.
- 사회공학 공격의 위험도에 영향을 주는 조직의 환경을 평가하기 위해 도출된 지표별로 객관적인 기준을 제시하여 평가한다. 지표에 대한 점수는 공격 위험도와 마찬가지로 low=1, medium=4, high=7, critical=10 등으로 위험도를 부여할 수 있으며 조직의 특성에 따라 독자적으로 부여할 수 있다.
- [15]에서는 사회공학 공격의 위험도를 평가하기 위한 지표를 개발하기 위해 일반 공격 위험도 평가 방법론인 CVSS, CWSS, OWASP Risk Rating Methodology를 구성하는 46가지의 항목을 분석한 후 공격 위험도 기준으로 9가지의 항목을 추출하였다. 아울러 10개의 사회공학 공격들의 특징을 분석하여 사회공학 공격에서 나타나는 구성 요소를 (Fig. 1)과 같이 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표의 5가지 항목을 도출하였다[1][11][12][13][14].
- 공격의 순수한 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표를 고려 지표로 설정하였다. 아울러 조직의 사회공학 공격 위험도에 영향을 줄 수 있는 8가지 환경적 지표를 도출하여 조직의 특성과 환경을 고려하여 최종적으로 사회공학에 대한 조직 위험도 평가 방안을 제시하였다.
- 본 논문에서는 먼저 사회공학 공격이 조직에 미치는 공격 위험도 평가방안을 제시한다. 이를 위해 본 논문의 사전 연구 결과로 [15]에서 제시한 6개의 사회공학 공격 위험도 평가 지표를 활용하여 지표별로 객관적인 기준을 제시하여 균형 있게 공격 위험도 평가 방안을 제시한다. 한편, 사회공학 공격의 특징에 따라 같은 공격이라도 목표가 되는 조직이 보유한 환경에 따라 위험도가 달라질 수 있다.
- 사회공학 공격의 대상에 대한 환경점수는 기업 규모, 업무 연속성, 인구 유동성, 공격 내구성과 자산 중요도에 대한 평가 점수를 더한 뒤 1점 만점으로 환산하여 환경 지표 그룹을 계산한다. 자산 중요도는 평가하고자 하는 사회공학 공격에 대해 기업이 보유하고 있는 기밀정보, 비즈니스 신뢰성, 비즈니스 가용성, 시스템 자원 손실에 대한 사항을 평가한다. 자산 중요도는 조직의 특성에 맞게 4가지 자산에 대해 위험도 가중치를 선택하여 부여하게 된다.
- 제시한 평가 방안은 객관적인 위험도를 평가하기 위해 사회공학 공격이 지니고 있는 근본적인 위험도를 평가하기 위한 공격 위험도와 사회공학 공격이 적용되는 조직의 환경적인 특징을 고려한 조직 환경의 위험도로 분리하여 평가한다. 따라서 공격 위험도 단계에서는 기존 사회공학 공격의 위험도를 평가함으로써 각 공격별로 상대적인 위험도를 확인할 수 있고 앞으로 나오는 새로운 사회공학 공격들에 대해서도 정량적인 평가가 가능해진다.
- 조직 위험도를 평가하기 위해 앞서 도출한 지표들을 환경 지표 그룹으로 분류하였다. 환경 지표그룹은 사회공학 공격이 목표로 하는 공격 대상의 환경을 고려한 위험도를 평가한다.
- 일반 공격 위험도 평가 방법론인 CVSS, CWSS, OWASP Risk Rating Methodology에서 취약점을 악용한 공격들을 수치화 할 때 공격 대상의 시스템이나 인프라 환경을 고려하는 것을 알 수 있다. 추출한 모든 항목을 사회공학 공격에 모두 활용할 수 없으므로 성격이 비슷한 지표를 포함하거나 개념적인 부분을 고려하여 평가 지표를 도출하였다. 기본 속성은 사회공학 공격의 목표가 되는 대상이 보유하고 있는 환경적인 측면을 평가하기 위한 속성이다.
후속연구
- 평가된 조직 위험도 점수를 데이터베이스화 하여 누적된 점수 데이터를 활용한다면 사회공학 공격에 어느 정도 수준으로 대비되어 있는지 변화를 확인할 수 있으며, 사회공학 공격에 취약한 조직의 특징을 더욱 명확히 파악할 수 있다. 또한 기업들의 향후 보안정책과 보안교육에 대해서도 어떤 부분에 우선순위를 두어야 하는지에 대한 방향을 제시해 줄 수 있다.
- 향후 취약점 제거 계획 수립에 특정 취약점을 제거한 후의 위험도를 미리 평가할 수 있어 취약점 제거의 우선순위를 정할 수 있기 때문에 효율적인 취약점 제거에 활용할 수 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.