게시 날짜: 2006년 8월 18일
이 페이지에서
소개
사회 공학 위협 및 방어 기능
사회 공학 위협에 대한 방어 기능 디자인
사회 공학 위협에 대한 방어 기능 구현
부록 1: 사회 공학 위협 관련 보안 정책 검사 목록
부록 2: 용어 설명
소개
이 문서에서는 중소 기업을 위한 보안 지침을 다룹니다. 다음 정보는 보다 안전하고 생산적인 컴퓨팅 환경을 구축할 수 있도록 도움을 줍니다.
이 문서를 읽어야 할 사람:
이 문서에서는 사회 공학을 통해 야기되는 위협과 사회 공학 해커의 공격에 대응할 수 있는 방어 기능에 대한 보안 관리 정보를 제공합니다. 사회 공학은 기본적으로 회사 보안에 대한 비기술적인 위협을 말합니다. 이러한 잠재 위협의 다양한 특성으로 인해 다음 직원을 비롯한 회사 내 관리 및 기술 직원에게 위협 및 사전 방어 기능에 대한 정보를 반드시 알려 주어야 합니다.
게시판 관리 직원
기술 운영 및 서비스 관리자
지원 담당자
보안 담당자
비즈니스 관리자
개요
사회 공학 해커는 조직을 공격하기 위해 직원의 나태, 태만, 선한 태도 또는 의욕을 악용합니다. 따라서 공격 대상은 자신이 속았다는 사실을 인식하지 못하거나 이러한 사실을 털어놓기를 꺼려할 수 있기 때문에 사회 공학 공격을 막아내기가 어렵습니다. 사회 공학 해커의 목표는 다른 해커들과 마찬가지로 대상 사용자의 컴퓨터 시스템에 대한 무단 액세스 권한을 얻으려고 하는 것입니다. 이들은 회사의 자금, 정보 또는 IT 리소스를 원합니다.
사회 공학 해커는 회사의 직원에게 시스템 또는 시스템 리소스를 사용하는 데 활용할 수 있는 정보를 제공하도록 설득하려고 합니다. 이러한 접근 방법을 신용 사기라고 합니다. 많은 중소 기업에서는 해커의 공격이 대기업이나 대규모 보상금을 제공하는 조직에나 발생하는 문제라고 생각합니다. 과거에는 그랬을지 몰라도, 사이버 범죄가 증가함에 따라 이제는 회사와 개인을 막론하고 사회의 모든 부문이 해커의 목표라는 것을 알 수 있습니다. 자금이나 리소스를 유용하여 회사로부터 직접 훔치는 범죄도 있겠지만, 다른 사람에 대한 범죄를 저지르기 위한 준비 지점으로 회사를 이용할 수도 있습니다. 이 접근 방법을 사용할 경우 수사 기관에서는 이러한 범죄를 추적하기가 더욱 어렵습니다.
사회 공학 공격으로부터 내부 직원을 보호하려면 예상되는 공격의 종류를 이해하고 해커가 원하는 것이 무엇인지 파악한 후 손실이 조직에 미치는 영향을 평가해야 합니다. 이러한 지식을 갖추고 있다면 보안 정책을 확대하여 사회 공격 방어 기능을 포함할 수 있습니다. 이 문서에서는 회사의 정보 자산, 리소스 및 직원을 기술적 또는 물리적 공격으로부터 보호하기 위해 필요하다고 간주되는 목표, 방법 및 절차를 규정하는 보안 정책이 회사에 마련되어 있다고 가정합니다. 보안 정책을 변경하면 비즈니스 리소스를 드러내거나 보안 정보를 공개하도록 강요 또는 설득하려고 하는 사람이나 컴퓨터 응용 프로그램과 직면했을 때 대응하는 방법에 대한 지침을 직원에게 제공하는 데 도움이 됩니다.
사회 공학 위협 및 방어 기능
사회 공학 해커가 사용하는 주요 공격 경로에는 5가지가 있습니다.
온라인
전화
폐기물 관리
개인적 접근 방법
역 사회 공학
중소 기업에서는 이와 같은 출발점은 물론, 해커가 무엇을 원하는지에 대해서도 알고 있어야 합니다. 해커의 목표는 모든 사람의 공통된 욕망(부, 사회적 성공 및 자존감)에 기반을 둡니다. 해커는 타인의 자금이나 리소스를 소유하려 하며, 사회 또는 자신의 동료 그룹에서 인정받기를 바라고 자신에 대한 만족감을 얻고자 합니다. 안타깝게도, 해커는 컴퓨터 시스템을 도용하거나 손실을 초래하여 이러한 것들을 불법적으로 성취합니다. 모든 공격은 비용, 수익 손실, 리소스, 정보, 비즈니스 가용성 또는 비즈니스 신뢰성에 손실을 가져옵니다. 이러한 위협에 대한 방어 기능을 디자인할 때는 공격으로 인한 손실을 평가해야 합니다.
온라인 위협
연결성이 점차 증대되는 비즈니스 세계에서 직원은 회사 내부 및 외부에서 전자적으로 들어오는 요청 및 정보를 사용하고 이에 대응하게 됩니다. 해커는 이러한 연결성을 통해 인터넷의 상대적 익명성을 사용하여 직원에게 접근할 수 없습니다. 트로이 목마, 웜 또는 바이러스(맬웨어라고 함)를 사용하는 전자 메일, 팝업 응용 프로그램 및 인스턴트 메시지 공격 같은 온라인 공격에 대한 얘기를 언론을 통해 흔히 접하게 되는데 이러한 공격은 컴퓨터 리소스를 손상시키거나 파괴합니다. 강력한 바이러스 백신 방어 기능의 구현을 통해 이러한 여러 맬웨어 공격을 해결할 수 있습니다.
참고 바이러스 백신 방어에 대한 자세한 내용은 심층적인 바이러스 백신 방어 가이드(https://www.microsoft.com/korea/technet/security/guidance/avdind\_0.asp)를 참조하십시오.
사회 공학 해커는 직접 공격을 통해 맬웨어로 컴퓨터를 감염시키는 것이 아니라 신뢰할 수 있는 계략을 통해 정보를 제공하도록 직원을 설득합니다. 해커는 공격을 통해 이후의 맬웨어 공격을 개시하는 데 필요한 정보를 얻을 수 있지만, 이러한 결과는 사회 공학과 관련이 없습니다. 따라서 온라인 사회 공학 공격을 식별 및 방지하기 위한 최선책을 직원에게 일러주어야 합니다.
전자 메일 위협
많은 직원들이 회사 및 개인 전자 메일 시스템을 통해 매일 수십에서 수백 통의 전자 메일을 받습니다. 이처럼 전자 메일의 양이 엄청나기 때문에 메시지마다 일일이 세심한 주의를 기울이기 어렵습니다. 이러한 사실은 사회 공학 해커에게는 매우 반가운 소식입니다. 대부분의 전자 메일 사용자는 메일을 주고받을 때(전자적으로는 미결 서류함에서 기결 서류함으로의 문서 이동에 해당) 기분이 좋습니다. 해커가 처리하기 쉬운 간단한 작업을 요청하는 경우 대상은 흔히 자신이 무엇을 하고 있는지 생각하지 않고 그 요청을 승낙하게 됩니다.
이와 같은 쉬운 공격의 예로, 상사가 모임을 가지기 위해 전 직원의 휴무 일정을 확인하려 하므로 모든 사람의 목록을 전자 메일로 복사하여 전송하라는 지시 메일을 직원 구성원에게 보낼 수 있습니다. 이 경우 메일에 내부 출처에서 받은 것처럼 보이도록 외부 이름을 복사 목록에 넣고 보낸 사람의 이름을 스푸핑하면 됩니다. 스푸핑은 경계 방화벽을 통과할 필요가 없으므로 해커가 회사 컴퓨터 시스템에 대한 액세스 권한을 얻게 되면 간단히 수행될 수 있습니다. 부서의 휴무 일정에 대한 정보는 보안 위협이 아닌 것처럼 보이지만 이를 통해 해커가 부서의 직원이 근무하지 않는 시기를 알 수 있게 됩니다. 따라서 해커가 근무하지 않는 해당 직원으로 위장할 경우 위험이 발견될 가능성이 낮아집니다.
전자 메일을 사회 공학 도구로 사용하는 방법은 최근 10년 동안 특별한 기술로 이용되어 왔습니다. 피싱은 전자 메일을 사용하여 사용자로부터 개인 ID 또는 제한된 정보를 얻는 것을 말합니다. 해커는 은행 또는 파트너 회사 등 유효한 조직으로부터 전송된 것처럼 보이는 전자 메일을 보낼 수 있습니다.
다음 그림에서는 외견상 유효하게 보이는 Contoso 계정 관리 사이트 링크를 보여 줍니다.
.gif)
그림 1. 전자 메일 피싱 하이퍼링크
하지만 자세히 들여다 보면 두 가지 차이점을 발견할 수 있습니다.
메일의 텍스트에는 사이트가 https를 사용하는 보안 사이트라고 되어 있지만, 화면 팁에는 해당 사이트에서 사실상 http를 사용하고 있음을 알 수 있습니다.
메일에 표시된 회사 이름은 “Contoso”이지만 링크를 따라가 보면 “Comtoso”라는 회사로 연결됩니다.
피싱이라는 용어에서 알 수 있듯이, 대개 이러한 접근 방법은 일반적으로 고객에게 정보를 요청하기 때문에 위험합니다. 회사 로고, 글꼴 및 외견상 유효하게 보이는 무료 지원 센터 전화 번호 등 전자 메일 메시지에 사용되는 실제 같은 위장은 보다 더 신뢰할 수 있는 전자 메일처럼 보이게 합니다. 각 피싱에서 전자 메일은 흔히 업그레이드 또는 추가 서비스를 지원할 목적으로 사용자 정보를 요청합니다. 피싱의 확장 개념인 스피어 피싱(spear-phishing)을 사용하면 확실한 대상 또는 부서 그룹에 접근할 수 있습니다. 이 접근 방법에서는 사기 행위를 믿게 하기 위해 개인 및 관련 회사 정보가 필요하므로 좀 더 복잡합니다. 이 방법은 대상에 대한 더 많은 지식이 필요하지만 보다 구체적이고 자세한 정보를 얻어 낼 수 있습니다.
전자 메일을 통해 회사의 보안을 위반하도록 직원 구성원을 유인할 수 있는 하이퍼링크를 전달할 수도 있습니다. 그림 1에서처럼 링크가 항상 사용자를 예상 위치 또는 약속한 위치로 이끄는 것은 아닙니다. 해커는 이미지 안에 제공된 텍스트 또는 바이러스나 스파이웨어 같은 맬웨어를 다운로드하는 하이퍼링크가 포함된 이미지 등 피싱 전자 메일에서 다양한 옵션을 사용하여 하이퍼링크 보안 필터를 통과합니다.
대부분의 보안 방법은 무단 사용자를 차단하는 데 도움이 됩니다. 해커가 사용자를 속여 링크를 통해 트로이 목마, 웜 또는 바이러스를 회사 안에 유입시킬 수 있다면 많은 방어 수단을 통과할 수 있습니다. 하이퍼링크는 팝업 응용 프로그램을 통해 정보를 요청하거나 지원을 제공하는 사이트로 사용자를 안내할 수도 있습니다.
다음 표에 나와 있는 것 같은 다양한 공격 경로, 공격 목표, 설명 및 회사가 겪을 손실을 고려하면 공격을 분류하고 회사에 대한 위험을 분석할 수 있습니다. 경우에 따라 위협은 두 가지 이상의 위험을 나타내기도 합니다. 이에 해당하는 경우 다음 예에서는 주요 위험이 굵게 표시되어 있습니다.
표 1. 온라인 전자 메일 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 회사 정보 도용 | 해커가 내부 사용자로 위장(스푸핑)하여 회사 정보를 획득합니다. | 기밀 정보 비즈니스 신뢰성 |
| 재정 관련 정보 도용 | 해커가 피싱(또는 스피어 피싱) 기술을 사용하여 계정 세부 정보와 같은 회사 기밀 정보를 요청합니다. | 자금 기밀 정보 비즈니스 신뢰성 |
| 맬웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 회사 네트워크를 감염시킵니다. | 비즈니스 가용성 비즈니스 신뢰성 |
| 해커 소프트웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 회사 네트워크 리소스를 사용하는 해커 프로그램을 다운로드하게 합니다. | 리소스 비즈니스 신뢰성 자금 |
대부분의 신용 사기와 마찬가지로, 사회 공학 해커의 공격을 가장 효과적으로 방어하는 방법은 받은 편지함에서 예기치 않은 모든 항목을 건드리지 않는 것입니다. 조직에서 이 접근 방법을 지원하려면 보안 정책 내에 다음과 관련된 특정 전자 메일 사용 지침을 포함해야 합니다.
문서 첨부 파일
문서 하이퍼링크
회사 내부에서 개인 또는 회사 정보 요청
회사 외부에서 개인 또는 회사 정보 요청
이러한 지침 외에도 피싱 공격의 예를 포함해야 합니다. 사용자가 한 건이라도 피싱 사기를 접하고 나면 이에 대한 정보를 다른 사람에게 보다 쉽게 알려 줄 수 있습니다.
팝업 응용 프로그램 및 대화 상자
직원 구성원이 업무 이외의 활동을 위해 회사의 인터넷을 사용하지 않기를 바라는 것은 비현실적입니다. 대부분의 직원은 이따금 온라인 쇼핑 또는 조사 등의 개인적인 용무를 위해 웹을 검색하기도 합니다. 이러한 개인적인 검색을 통해 직원 및 회사 컴퓨터 시스템이 일반 사회 엔지니어와 접촉하게 될 수 있습니다. 이 경우 특별히 회사를 겨냥하지 않더라도 직원을 통해 회사 리소스에 대한 액세스 권한을 얻을 것입니다. 가장 일반적인 목표 중 하나는 해커가 다른 회사나 개인에 대한 피싱 또는 기타 전자 메일 공격을 개시할 수 있도록 컴퓨터 환경 내에 메일 엔진을 포함하는 것입니다.
다음 그림에 나타난 하이퍼링크는 보안 계정 관리 사이트(secure.contosa.com account_id?Amendments)로 연결되는 것처럼 보이지만 실제로 상태 표시줄을 보면 사용자를 해커 사이트로 안내한다는 것을 알 수 있습니다. 사용하는 브라우저에 따라 해커는 상태 표시줄 정보가 표시되지 않게 하거나 서식을 다시 지정할 수도 있습니다.
.gif)
그림 2. 웹 페이지 피싱 하이퍼링크
사용자가 대화 상자 내부에 있는 버튼을 클릭하도록 유도하는 방법에는 실제와 같은 운영 체제 오류 메시지 또는 응용 프로그램 오류 메시지를 표시하는 등 문제를 경고하는 방법과 추가 서비스(예: 사용자의 컴퓨터 속도를 향상시키는 무료 다운로드 프로그램)를 제공하는 방법의 두 가지가 있습니다. 숙련된 IT 및 웹 사용자들은 이러한 방법을 명백한 사기로 인식할 수 있습니다. 하지만 경험이 부족한 사용자들에게는 이와 같은 팝업 응용 프로그램이나 대화 상자가 협박적으로 보이거나 매력적으로 보일 수 있습니다.
표 2. 온라인 팝업 및 대화 상자 공격과 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 개인 정보 도용 | 해커가 직원 구성원의 개인 정보를 요청합니다. | 기밀 정보 자금(직원 구성원) |
| 맬웨어 다운로드 | 해커가 사용자를 속여 하이퍼링크를 클릭하거나 첨부 파일을 열게 합니다. | 비즈니스 가용성 비즈니스 신뢰성 |
| 해커 소프트웨어 다운로드 | 해커가 사용자를 속여 하이퍼링크를 클릭하거나 첨부 파일을 열게 합니다. | 리소스 비즈니스 신뢰성 자금 |
사용자를 사회 공학 팝업 응용 프로그램으로부터 보호하는 일은 상당히 높은 수준의 인식이 필요한 기능입니다. 문제를 방지하기 위해 팝업 및 자동화된 다운로드를 차단하는 기본 브라우저 구성을 설정할 수 있지만 일부 팝업은 브라우저 설정을 통과할 수 있습니다. 지원 담당자와 상의하지 않은 상태에서는 팝업을 클릭하지 않도록 사용자에게 알려 주는 것이 더 효과적입니다. 따라서 직원은 사용자가 웹을 검색 중인지 여부를 지원 담당자가 판단하지 않는다고 신뢰할 수 있어야 합니다. 이러한 신뢰 관계는 개인 인터넷 검색에 대한 회사 정책에 영향을 받을 수 있습니다.
인스턴트 메시징
IM(인스턴트 메시징)은 새로운 개념의 통신 미디어지만 비즈니스 도구로 널리 사용되고 있으며, 일부 분석가들은 2006년 IM 제품의 사용자 수가 2억만 명에 이를 것이라고 예상하기도 했습니다. IM은 특유의 즉시성과 친숙함으로 인해 사회 공학 공격을 위한 최대의 사냥터가 되고 있습니다. 이는 사용자가 IM을 전화처럼 생각하고 컴퓨터 소프트웨어 위협이 존재하고 있다는 사실을 인식하지 못하기 때문입니다. IM을 사용하는 두 가지 주요 공격으로는 IM 메시지 내 맬웨어 링크 전달과 실제 파일 전달입니다. 물론, IM을 단순히 정보를 요청하기 위한 수단으로 사용하기도 합니다.
사회 공학의 측면에서 볼 때 IM에는 몇 가지 고유한 잠재적 위험이 내재되어 있습니다. 첫 번째는 IM의 비공식적 특성입니다. 의심스러운 이름이나 거짓 이름을 지정할 수 있다는 사실을 비롯한 IM의 특성으로 인해 현재의 대화 상대자가 자신이 알고 있는 해당 당사자임을 100% 확신할 수 없으며 이로 인해 스푸핑을 수행할 수 있는 가능성이 커지게 됩니다.
다음 그림에서는 전자 메일과 IM에 대한 스푸핑 작동 원리를 보여 줍니다.
.gif)
그림 3. 인스턴트 메시징 및 전자 메일 스푸핑
해커(빨강)가 또 다른 알려진 사용자로 위장하여 대상 사용자가 자신이 알고 있는 누군가로부터 전송되었다고 생각하게 하는 IM 메시지나 전자 메일을 보냅니다. 친숙함은 사용자의 방어 태세를 완화시키므로 이로 인해 자신이 알고 있거나 자신이 알고 있다고 생각하는 누군가가 보낸 첨부 파일을 열거나 링크를 클릭할 가능성이 훨씬 높아집니다. 대부분의 IM 공급자는 전자 메일 주소를 기반으로 사용자를 식별할 수 있도록 하므로, 회사 내 주소 지정 표준을 알아낸 해커는 조직 내 다른 직원에게 IM 대화 초대장을 보낼 수 있습니다. 이러한 특성 자체는 위협이라고 할 수 없지만 이를 통해 회사 내 공격 대상 수가 크게 증가하게 됩니다.
표 3. 인스턴트 메시징 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 회사 기밀 정보 요청 | 해커가 IM 스푸핑을 통해 동료로 위장하여 비즈니스 정보를 요청합니다. | 기밀 정보 비즈니스 신뢰성 |
| 맬웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 회사 네트워크를 감염시킵니다. | 비즈니스 가용성 비즈니스 신뢰성 |
| 해커 소프트웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 메일 엔진과 같이 회사 네트워크 리소스를 사용하는 해커 프로그램을 다운로드하게 합니다. | 리소스 비즈니스 신뢰성 자금 |
IM에서 제공하는 즉시성과 비용 절감의 이점을 무시할 수 없다면 보안 정책에 IM 관련 방어 기능을 포함시켜야 합니다. 회사 내에서 IM을 제어하려면 다음 5가지 사용 규칙을 설정해야 합니다.
단일 IM 플랫폼에서 표준화. 이 규칙은 지원 노력을 최소화하고 사용자가 자신의 개인 IM 공급자를 통해 채팅하지 못하도록 합니다. 제어 수준이 보다 높은 접근 방법으로 사용자의 선택을 제한하려면 일반적인 IM 서비스에서 사용하는 포트를 차단할 수 있습니다.
배포 보안 설정 정의. IM 클라이언트에서는 바이러스 검색 등 다양한 보안 및 개인 정보 보호 옵션을 제공합니다.
대화 지침 설정. 새로운 대화 초대를 기본적으로 수락하지 않도록 사용자에게 권고합니다.
암호 표준 설정. IM 암호는 호스트 암호를 위해 설정한 강력한 암호 표준을 따라야 합니다.
사용 지침 제공. 이러한 권장의 사유를 설명하는 최적의 방법 지침을 개발하고 이와 같이 권장하는 사유를 설명합니다.
전화 기반 위협
전화는 사회 공학 해커에게 고유한 공격 경로를 제공합니다. 전화는 친숙한 미디어이기도 하지만 대상이 해커를 볼 수 없기 때문에 비인간적인 미디어라고도 할 수 있습니다. 대부분의 컴퓨터 시스템을 위한 통신 옵션은 PBX(Private Branch Exchange)를 매력적인 공격 대상으로 바꿔 놓을 수도 있습니다. 매우 세련되지 못한 또 다른 공격 방식으로는 공중 전화 박스에서 신용 카드나 전화 카드의 PIN(개인 식별 번호)을 도용하는 방법이 있습니다. 이 공격의 대상은 대부분 개인이지만 회사 신용 카드도 유용한 대상이 되기도 합니다. 대부분의 사람들은 ATM을 사용하는 경우 엿보는 사람이 없는지 잘 살피지만, 공중 전화 박스에서 비밀 번호를 사용하는 경우에는 이러한 위험에 대해 덜 조심하는 편입니다.
VOIP(Voice over Internet Protocol)는 최근 급부상하는 시장으로, 회사에서는 이를 통해 비용상의 이점을 얻을 수 있습니다. 아직까지는 VoIP를 설치한 업체가 많지 않아 VoIP 해킹이 주요 위협으로 간주되고 있지는 않습니다. 하지만 이 기술을 도입하는 회사의 수가 갈수록 늘고 있으므로 지금의 전자 메일이나 IM 스푸핑처럼 VoIP 스푸핑도 널리 확산될 것입니다.
PBX(Private Branch Exchange) PBX를 공격하는 해커의 주된 목표는 세 가지입니다.
대체로 합법적인 사용자로 위장하여 전화 시스템 자체에 액세스하거나 컴퓨터 시스템에 대한 원격 액세스 권한을 얻기 위해 정보를 요청합니다.
“무료” 전화 사용에 대한 액세스 권한을 얻습니다.
통신 네트워크에 대한 액세스 권한을 얻습니다.
이러한 각각의 목표는 주제마다 조금씩 다르지만, 기본적으로 해커는 회사에 전화를 걸어 PBX에 직접 액세스하거나 PBX를 통해 공용 전화 네트워크에 액세스하는 전화 번호를 얻으려 합니다. 이를 해커 용어로 프리킹(phreaking)이라고 합니다. 가장 일반적인 방법은 다음 그림에서처럼 해커가 전화 엔지니어로 위장한 후 내부 전화 시스템에 보고된 문제를 분석 및 해결하기 위해 외부 회선이나 암호를 요청하는 것입니다.
.gif)
그림 4. 전화 통신 PBX 공격
전화 통신에 대한 액세스 또는 정보 요청은 상대적으로 위험이 적은 공격 형태입니다. 대상이 의심이 많은 사람이거나 요청을 거부할 경우에는 해커가 전화를 끊고 공격을 중단할 수 있습니다. 하지만 이러한 공격은 해커가 단순히 회사에 전화를 걸어 사용자 ID와 암호를 물어보는 것보다 더 복잡합니다. 일반적으로 해커는 개인 또는 회사 정보를 요청하기 전에 도움을 요청하는 상황을 연출합니다.
표 4. PBX(Private Branch Exchange) 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 회사 정보 요청 | 해커가 합법적인 사용자로 위장하여 기밀 정보를 얻습니다. | 기밀 정보 비즈니스 신뢰성 |
| 전화 정보 요청 | 해커가 전화 엔지니어로 위장하여 외부로 전화를 걸기 위해 PBX에 대한 액세스 권한을 얻습니다. | 리소스 자금 |
| PBX를 통해 컴퓨터 시스템에 액세스 | 해커가 PBX를 통해 컴퓨터 시스템을 침투하여 정보를 도용 또는 조작하거나 맬웨어로 감염시키거나 리소스를 사용합니다. |
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 정보 요청 | 해커가 합법적인 사용자로 위장하여 비즈니스 정보를 얻습니다. | 기밀 정보 |
| 액세스 요청 | 해커가 합법적인 사용자로 위장하여 비즈니스 시스템에 대한 보안 액세스 권한을 얻습니다. | 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 리소스 자금 |
서비스 데스크는 비즈니스 효율성과 보안의 균형을 유지해야 하기 때문에 보안 정책과 절차를 통해 지원 받을 수 있어야 합니다. 서비스 데스크 분석가가 신원 증명을 위해 직원 ID 번호, 부서 및 관리자 이름을 요청하는 것은 모두가 알고 있듯이 그리 어려운 일이 아닙니다. 하지만 해커가 이 정보를 도용할 수도 있으므로 이러한 정보에 대한 보안이 완벽하게 유지되지 않을 수도 있지만, 이러한 신원 증명 요청은 현실적으로 가장 기본적인 절차라고 할 수 있습니다. 99.99%의 정확도로 신원을 증명하는 것은 사실상 DNS 테스트를 통해서만 가능하지만 이러한 테스트는 거의 현실성이 없다고 봐야 합니다.
서비스 데스크 분석가를 내부 또는 계약 근무자 해커로부터 보호하는 일은 더욱 어렵습니다. 이러한 해커는 내부 절차에 대한 충분한 지식을 갖추고 있으며 서비스 데스크에 지원을 요청하기 전에 필요한 모든 정보를 수집할 충분한 시간이 있습니다. 이러한 상황에서 보안 절차는 다음과 같은 두 가지 역할을 제공해야 합니다.
서비스 데스크 분석가는 모든 작업에 대한 감사 추적 기능이 있는지 확인해야 합니다. 해커가 서비스 데스크 호출을 통해 정보 또는 리소스에 무단으로 액세스하더라도 서비스 데스크에서는 손상 또는 손실을 신속하게 복구하거나 제한할 수 있도록 모든 작업을 기록해야 합니다. 각 호출마다 문제나 요청을 설명하는 자동 또는 수동 전자 메일 메시지가 생성되는 경우 ID를 도용 당한 직원은 발생한 상황을 보다 쉽게 자각하고 서비스 데스크를 호출할 수 있습니다.
서비스 데스크 분석가는 호출 유형을 처리하는 방법에 대한 매우 체계적인 절차를 갖추고 있어야 합니다. 예를 들어, 직원의 관리자가 전자 메일을 통해 액세스 변경을 요청하는 경우 보안 수준을 무단으로 변경하거나 비공식적으로 변경할 수 없어야 합니다.
사용자가 이러한 규칙을 알고 있으며 관리 부서에서 이러한 규칙의 구현을 지원한다면 해커는 발각되지 않고 공격을 성공적으로 완수하기가 훨씬 어려울 것입니다. 전방위 감사 추적 기능은 범죄 방지 및 발견에 매우 중요한 도구입니다.
폐기물 관리 위협
폐기물 불법 분석은 덤스터 다이빙(dumpster diving)이라고도 하며 해커에게 있어 매우 중요한 활동이라 할 수 있습니다. 비즈니스 관련 폐기 문서는 삭제된 계정 번호 및 사용자 ID와 같은 해커에게 즉각적인 도움을 제공하는 정보가 포함되어 있거나 전화 번호 목록 및 조직 차트와 같은 배경 정보를 제공하기도 합니다. 후자의 정보 유형은 공격을 개시할 때 해커를 신뢰할 수 있는 사람으로 보이게 해야 하므로 사회 공학 해커에게는 매우 중요합니다. 예를 들어, 대부분의 직원은 회사에 대한 많은 정보를 알고 있는 사람을 합법적인 직원으로 생각하기 때문에 해커가 회사 부서의 직원에 대한 충분한 지식을 가지고 있는 것처럼 보인다면 접근하기가 보다 수월할 것입니다.
전자 미디어는 해커에겐 더욱 유용한 수단일 수 있습니다. 회사에 미디어의 폐기와 관련 내용이 포함된 폐기물 관리 규칙이 마련되지 않은 경우에는 폐기되는 하드 디스크 드라이브, CD 및 DVD에서 모든 정보를 검색할 수 있습니다. 고정식 및 이동식 미디어의 견고성 때문에 IT 보안을 맡은 책임자는 폐기나 파기 지침을 포함하는 미디어 관리 규칙을 규정해야 합니다.
표 6: 폐기물 관리 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 외부 쓰레기통에 들어 있는 폐지 | 해커가 외부 쓰레기통에 버려진 종이에서 필요한 회사 정보를 얻습니다. | 기밀 정보 비즈니스 신뢰성 |
| 내부 쓰레기통에 들어 있는 폐지 | 해커가 외부 폐기 관리에 관한 모든 관리 지침을 통과하고 내부 사무실 쓰레기통에 버려진 종이를 얻습니다. | 기밀 정보 비즈니스 신뢰성 |
| 폐기된 전자 미디어 | 해커가 버려진 전자 미디어에서 정보 및 응용 프로그램을 얻습니다. 해커가 미디어 자체도 훔쳐갑니다. | 기밀 정보 리소스 비즈니스 신뢰성 |
직원은 폐지나 전자 미디어를 쓰레기통에 버리는 행동이 내포하는 의미를 잘 알고 있어야 합니다. 이러한 폐기물이 건물 외부로 옮겨진 후에는 법적으로 소유권이 모호해질 수 있습니다. 덤스터 드라이빙은 상황에 따라 불법적인 행위로 간주되지 않을 수도 있으므로 폐기물을 처리할 때는 항상 주의하도록 직원들에게 권고해야 합니다. 항상 폐지를 잘게 잘라서 파기하거나 자기 미디어를 분해 또는 파괴하여 폐기합니다. 전화 번호부처럼 폐기물이 너무 크거나 단단하여 파쇄기에 넣을 수 없거나 기술적으로 사용자가 직접 파기할 수 없는 경우에는 특정 폐기 규정을 개발해야 합니다. 또한 일반인이 접근할 수 없는 보안 영역에 쓰레기 수납기를 배치해야 합니다.
폐기물 관리 정책을 디자인할 때는 보건 및 안전에 관한 현지 규정 규칙에 따라야 합니다. 또한 이는 사회적으로 생태 보호를 고려한 폐기물 관리 전략을 채택하는 데에도 중요한 역할을 합니다.
회사 외부에서 사용할 수 있는 종이나 전자 미디어 같은 외부 폐기물은 물론 내부 폐기물도 관리해야 합니다. 회사에 대한 액세스 권한이 부여된 사람은 신뢰할 수 있는 사람이라고 가정하기 때문에 흔히 보안 정책에서 이 문제를 간과하게 되지만, 그런 사람을 항상 신뢰할 수 있는 것은 아닙니다. 가장 효과적인 폐지 관리 방법 중 하나는 데이터 분류에 관한 세부 사항을 지정하는 것입니다. 문서 기반 정보의 다양한 범주를 정의하고 직원이 폐기 절차를 어떻게 관리해야 하는지 지정할 수 있습니다. 예를 들어, 다음과 같은 범주가 있을 수 있습니다.
회사 기밀 정보. 회사의 모든 기밀 폐기 문서는 휴지통에 버리기 전에 잘게 절단하여 파기합니다.
개인 정보. 개인 폐기 문서는 휴지통에 버리기 전에 잘게 절단하여 파기합니다.
부서 정보. 모든 부서별 폐기 문서는 공용 쓰레기 수납기에 버리기 전에 잘게 절단하여 파기합니다.
공공 정보. 공공 문서를 휴지통에 버리거나 폐지로 재활용합니다.
데이터 분류 개발에 대한 자세한 내용은 Microsoft® TechNet의 Security Management SMF (영문)(https://go.microsoft.com/fwlink/?linkid=37696)를 참조하십시오.
개인적 접근 방법
해커에게 있어 가장 간단하고 쉽게 정보를 얻을 수 있는 방법은 직접 물어보는 것입니다. 이 접근 방법은 다소 미숙하고 노골적으로 보일 수도 있지만 지금까지 발생한 신용 사기의 기초가 되고 있습니다. 다음 네 가지 주요 접근 방법은 사회 공학자들에게 성공적인 방법으로 알려져 있습니다.
협박. 이 접근 방법을 사용하는 경우 권위자로 가장하여 대상에게 요청을 따르도록 강요합니다.
설득. 설득의 가장 일반적인 형태에는 칭찬과 유명인의 이름 언급(name dropping)이 포함됩니다.
환심. 이 접근 방법은 일반적으로 장기적인 방법으로서, 하급 직원 또는 동료 직원과 신뢰 관계를 쌓은 다음 해당 대상으로부터 정보를 빼내는 방법입니다.
지원. 이 접근 방법에서는 해커가 대상에게 도움을 제공합니다. 대상은 도움을 받음으로써 해커가 대상의 ID를 도용할 수 있도록 개인 정보를 누설하게 됩니다.
대부분의 사람들은 남들이 자신을 속일 것이라는 사실을 알면서도 흥미롭게도 자신과 대화하는 사람은 모두 믿을 만한 사람이라고 생각합니다. (Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). 무조건적인 신뢰는 사회 공학 해커의 목표 중 하나입니다.
이러한 개인적 접근 방법 유형으로부터 사용자를 방어하기란 매우 어렵습니다. 일부 사용자는 이러한 네 가지 공격 중 하나를 사용하는 사회 공학 공격을 자연스럽게 받아들입니다. 협박 공격이 발생하지 않도록 하려면 회사 내에 “두려움 없는” 문화를 개발해야 합니다. 일반적인 태도가 공손한 경우 개별 직원 구성원은 모순되는 상황을 단계적으로 확대할 가능성이 높기 때문에 협박이 성공할 가능성이 적습니다. 문제 및 의사 결정을 단계적으로 확대해 나가는 관리 및 감독 역할 내의 협력적인 태도는 사회 공학 해커에게 발생할 수 있는 최악의 상황입니다. 해커의 목표는 대상자가 신속하게 결정하도록 만드는 것입니다. 문제가 보다 높은 권한으로 확대되는 경우에는 이 목표를 성취하기가 더욱 어렵습니다.
설득은 항상 개인의 목표를 달성하는 데 있어서 중요한 인간적 방법으로 활용되어 왔습니다. 직원들을 이 공격으로부터 보호할 수는 없지만, 개인이 해야 할 일과 해서는 안 될 일에 대한 엄격한 지침은 제공할 수 있습니다. 해커는 항상 사용자가 제한된 정보를 자발적으로 제공하는 시나리오를 생각하고 만듭니다. 암호와 같은 보안 장치에 대한 기본 지침을 마련하고 지속적인 인식 캠페인을 진행하는 것만이 최선의 방어책입니다.
해커가 사용자의 환심을 사는 데는 다소 시간이 걸립니다. 따라서 해커는 아마도 동료처럼 행동하며 정기적으로 연락하게 될 것입니다. 대부분의 중소 기업에서 동료로부터 발생하는 주된 위협은 정기 서비스 또는 계약 근무 직원에 의해 발생합니다. HR 그룹에서는 정식 직원만큼 계약 근무 직원의 보안 견제에도 각별히 주의를 기울여야 합니다. 이 작업의 대부분을 계약 공급업체에게 의뢰할 수 있습니다. 공급업체가 업무를 효과적으로 수행할 수 있도록 공급업체에 정식 직원에 대한 회사 고유의 견제 정책을 준수하도록 요구할 수 있습니다. 사회 공학 해커가 회사에서 정식 직원이 된다면 직원의 인식을 높이고 정보 보안에 대한 보안 정책 규칙을 준수하는 것만이 최선의 방어 수단입니다.
마지막으로 효율적인 서비스 데스크를 갖추고 있으면 지원 공격을 최소화할 수 있습니다. 대체로 사내 지원은 기존 회사 지원 서비스에 대한 불만에서 비롯됩니다. 직원이 서비스 데스크가 아니라 권한이 없는 사내 전문가 또는 회사 외부의 전문가에게 문의하는지 여부를 확인하려면 다음 두 가지 요소를 시행해야 합니다.
사용자가 문제 발생 시 서비스 데스크에만 보고하도록 보안 정책에 명시합니다.
서비스 데스크에 부서별 서비스 수준 계약을 통해 합의된 대응 프로세스가 마련되어 있는지 확인합니다. 사용자에게 적당한 수준의 대응 및 해결책을 제공하는지 여부를 확인하기 위해 서비스 데스크의 업무 수행을 정기적으로 감사합니다.
사회 공학 공격에 대한 1단계 방어선을 제공하는 데 있어서 서비스 데스크의 중요성을 과소 평가해서는 안 됩니다.
가상 접근 방법 사회 공학 해커가 공격을 수행하려면 공격 대상에 연결해야 합니다. 일반적으로 이러한 연결은 전자 메일 메시지 또는 팝업 창 등 전자 미디어를 통해 이루어집니다. 대부분의 개인 사서함에는 많은 양의 정크 및 스팸 메일이 도착하기 때문에 이러한 공격 방법의 성공률이 낮습니다. 최근에는 체인 메일과 "합법적"으로 돈을 벌 수 있는 금융 거래 참여 요청에 대한 사용자의 의심이 점점 증가하고 있기 때문입니다. 그럼에도 불구하고, 이처럼 많은 양의 메일과 트로이 목마 메일 엔진이 사용되는 현상을 고려할 때 이 방법은 성공률은 낮아도 여전히 일부 해커에게는 매력적인 방법임을 알 수 있습니다. 이러한 공격 중 대부분은 개인적이며 대상 ID 정보의 검색을 목적으로 합니다. 하지만 회사의 경우 컴퓨터 및 인터넷 등의 비즈니스 시스템이 개인적인 용도로 광범위하게 악용되면 해커가 회사 네트워크로 침투할 수 있게 됩니다.
전화는 보다 개인적이며 적은 볼륨의 접근 방법을 제공합니다. 일부 해커는 검거될 가능성이 적다는 이유로 전화를 접근 수단으로 사용하지만 이 접근 방법은 기본적으로 PBX 및 서비스 데스크 공격을 위한 것입니다. 대부분의 사용자는 개인적으로 알지 못하는 누군가가 전화를 통해 정보를 요청하는 경우 의심스럽게 생각할 것입니다.
물리적 접근 방법 해커에게 있어 흔하지는 않지만 효과적인 방법은 대상과 직접 개인적으로 접촉하는 것입니다. 자신을 소개하며 컴퓨터 시스템과 관련된 도움을 요청하는 사람이 있는 경우 의심이 많은 직원만이 그 사람의 신원을 의심할 것입니다. 범죄자 입장에서 볼 때 이러한 접근 방법은 훨씬 더 위험하지만 그만큼 이점도 큽니다. 해커는 존재하는 모든 기술적 경계 방어 체제 내에서 회사 내의 컴퓨터 시스템에 자유롭게 액세스할 수 있습니다.
모바일 기술의 사용률이 높아지면서 사용자는 이동할 때나 집에 있을 때에도 회사 컴퓨터에 자유롭게 연결할 수 있게 되었으며, 이는 회사 IT 리소스에 또 하나의 커다란 위협이 되고 있습니다. 이 경우 발생할 수 있는 공격에는 해커가 열차에서 모바일 컴퓨터 사용자의 어깨 너머로 주시하며 사용자 ID 및 암호를 알아내는 가장 단순한 관찰 공격에서부터 카드 판독기 또는 라우터 업그레이드를 배달 및 설치하러 온 서비스 엔지니어가 사용자 ID와 암호를 묻거나 커피 한 잔을 부탁하는 방식으로 비즈니스 네트워크에 대한 액세스 정보를 습득하는 복잡한 공격에 이르기까지 다양합니다. 철두철미한 해커라면 사용자에게 인증된 서명까지도 요청할 수 있습니다. 이렇게 되면 사용자의 서명마저 확보하게 되는 셈입니다. 이러한 공격 유형 중에는 다른 사람이 회사에서 비용을 지불하는 대역폭을 사용하여 보호되지 않은 무선 LAN을 통해 인터넷에 액세스하는 위협도 있습니다.
대부분의 대기업에서는 높은 수준의 사이트 보안 인프라를 개발했지만 중소 규모의 사무실에서는 건물 내 액세스에 대해 보다 관대할 수 있습니다. 뒤따라 들어가기(tailgating)는 무단 사용자가 통행증을 가진 누군가를 따라서 사무실로 들어오는 경우를 말하며, 이는 매우 단순한 사회 공학 공격 중 하나입니다. 권한이 있는 사용자를 따라 들어온 침입자는 문을 열고 해당 사용자와 함께 안내 데스크를 통과하면서 날씨나 주말 스포츠에 대한 대화를 통해 데스크 직원을 격려합니다. 이 접근 방법은 각 개인이 카드를 제시한 후 회전문을 통과해야 하는 대규모 회사나 모든 사람이 서로를 잘 알고 있는 소규모 회사에는 적합하지 않습니다. 하지만 직원 개개인이 서로를 잘 알지 못하며 직원 수가 1천 명 정도인 회사에는 매우 적합합니다. 침입을 시도하려는 사람이 부서 이름, 직원 이름 또는 내부 메모 정보 등의 회사 정보에 대해 이전에 액세스 권한을 가졌던 경우 주의를 다른 곳으로 돌리는 대화를 진행하면 그 효과가 보다 확실합니다.
재택 근무자의 보안은 일반적으로 기술로 제한됩니다. 보안 정책에서는 외부 해커가 네트워크에 대한 액세스 권한을 얻을 수 없게 하기 위해 방화벽을 사용하도록 명시해야 합니다. 하지만 대부분의 중소 기업에서는 이러한 요구 사항을 무시하고 재택 근무 직원들이 회사 고유의 보안 및 백업을 관리할 수 있도록 허용하고 있습니다.
표 7. 물리적 액세스 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| 모바일 사용자 ID 도용 | 해커가 합법적인 사용자가 컴퓨터에 로그온 또는 기타 세부 정보를 입력하는 것을 관찰합니다. 물리적 컴퓨터 장비의 도난보다 이러한 도용이 먼저 발생할 수 있습니다. | 기밀 정보 |
| 재택 근무 사용자 ID 도용 | 해커가 IT 지원 작업자 또는 유지 관리 파트너로 위장한 후 업그레이드가 제대로 이루어졌는지 테스트하기 위해 사용자 ID 및 암호를 요청하여 재택 근무자 네트워크에 대한 액세스 권한을 얻습니다. | 기밀 정보 |
| 재택 근무자 네트워크를 통해 네트워크에 직접 연결 | 해커가 지원 엔지니어로 위장하여 재택 근무자 네트워크를 통해 회사 네트워크에 액세스합니다. 해커가 네트워크 및 회사 리소스에 자유롭게 액세스합니다. | 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 리소스 자금 |
| 재택 근무자 네트워크에 지속적으로 액세스 | 해커 또는 로컬 사용자가 보안되지 않은 홈 네트워크를 통해 광대역 인터넷에 액세스합니다. | 리소스 |
| 회사 사무실에 무단 출입 | 해커가 정식 직원을 뒤따라 회사 사무실로 들어갑니다. | 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 자금 리소스 |
| 개인 회사 사무실에 액세스 | 해커가 파일 캐비닛과 같은 서류 자료나 컴퓨터 장비를 사용할 수 있는 개인 사무실에 액세스합니다. | 기밀 정보 리소스 자금 |
이러한 위협에 대한 방어는 기본적으로 다음 세 가지 영역을 포함해야 하는 효과적인 회사 보안 정책을 기반으로 사용자가 구현한 최적의 방법에 따라 달라집니다.
회사 사이트
홈
모바일 작업
적절한 권한 없이는 회사 건물이나 사이트에 출입할 수 없어야 합니다. 안내 데스크 직원은 공손해야 하지만 직원, 계약자 및 방문자를 대할 때는 단호해야 합니다. 회사 보안 정책 안에 몇 가지 간단한 조건을 포함하면 건물 내에 물리적 사회 공학 공격이 발생하지 않도록 할 수 있습니다. 이러한 조건에는 다음과 같은 확인 방법을 사용하는 부분이 포함됩니다.
직원 구성원이 건물을 출입할 때마다 제시해야 하는 사진 ID 통행증
방문자 도착 및 출발 시 해당 방문자와 방문 대상이 되는 직원 구성원이 서명한 방문자 기록부
항상 볼 수 있고 출발 시 안내 데스크에 반환해야 하는, 날짜가 지정된 방문자 통행증
계약자가 서명하고 출발 및 도착 시 해당 계약자의 작업을 승인했던 직원 구성원이 확인한 계약자 기록부
항상 볼 수 있고 출발 시 안내 데스크에 반환해야 하는 날짜가 지정된 계약자 통행증
모든 사람이 안내 데스크 직원에게 자신의 신원을 증명하도록 하려면 방문자가 안내 데스크 직원 앞을 지나 걸어 들어갈 때 자격 증명 또는 서명을 제시할 수 있도록 하기 위한 관문을 회사에 설치해야 합니다. 이러한 관문은 반드시 회전문이나 개찰구 형태일 필요는 없습니다.
예를 들어, 다음 두 그림에서처럼 안내 데스크 영역에 소파와 같은 편안한 가구를 두고 안내 데스크 쪽을 바라 보도록 배치할 수도 있습니다.
.gif)
그림 5. 안내 데스크 계획
왼쪽의 안내 데스크 영역에서는 권한이 없는 방문자가 합법적인 직원을 앞세워 뒤따라 들어가기를 시도할 수 있습니다. 오른쪽의 예에서는 모든 방문자가 안내 데스크 앞을 걸어서 통과해야 합니다. 안내 데스크 쪽에서는 컴퓨터 단말기의 위치가 잘 보이지 않습니다. 간격이 충분히 여유롭기 때문에 휠체어 사용자를 비롯하여 모든 사람이 편안하게 통과할 수 있습니다. 안내 데스크 직원 구성원은 각 방문자를 맞이하고 확인할 때 엄격하고 일관적인 태도를 유지해야 합니다. 건물의 모든 입구가 이러한 표준을 따라야 하며 모든 직원이 허가된 건물 출입구만을 사용하고 뒷문은 없어야 합니다.
관문이나 출입문 관리 시스템의 형태를 설치할 때는 보건, 안전 및 접근성에 대한 규정 요구 사항을 준수해야 합니다.
가정에서 모든 방문자나 상인을 확인하여 권한을 부여하기란 불가능합니다. 사실상 대부분의 사람들은 사무실보다 가정의 방문자에 대해 훨씬 더 조심스러워 하는 편입니다. 더욱 중요한 것은 공격자가 비즈니스 리소스에 액세스할 수 없도록 해야 합니다. 오프 사이트 IT 서비스 규정에는 다음 조건을 명시한 규정이 포함되어야 합니다.
온사이트 수리 작업이든 업그레이드 작업이든 각 기술 지원 작업은 지원 담당 직원만이 계획하고 허가해야 합니다.
온사이트 유지 관리 또는 설치를 수행하는 계약자 및 내부 직원은 사진이 부착된 신분증을 보유해야 합니다.
사용자는 IT 지원 부서에 연락하여 엔지니어의 도착 시간과 작업 완료 시간을 보고해야 합니다.
각 작업마다 사용자가 서명하는 작업 시트가 있어야 합니다.
사용자는 개인 액세스 정보를 제공하거나 컴퓨터에 로그온하여 엔지니어에게 액세스 권한을 제공하지 않아야 합니다.
이 마지막 조항이 가장 중요합니다. 오프사이트 엔지니어에게 작업을 수행할 수 있을 만큼의 개인적 액세스 권한을 부여하는 업무는 IT 서비스 그룹에서 할 일입니다. 엔지니어가 충분한 사용자 액세스 권한을 가지고 있지 않아 작업을 완료할 수 없는 경우 해당 엔지니어는 서비스 데스크에 연락해야 합니다. 잠재적인 해커가 찾을 수 있는 가장 유리한 직업 중 하나는 컴퓨터 서비스 회사의 하급 엔지니어 근무직이기 때문에 이 요구 사항은 반드시 준수해야 합니다. 특히 이 직업은 해커에게 기술적 권위자와 조력자로서의 이미지를 모두 제공합니다.
대체로 이동이 잦은 작업자는 기차나 역, 공항 또는 레스토랑 등 사람이 많은 환경에서 자신의 컴퓨터를 사용합니다. 물론, 이러한 환경에서 이동이 잦은 작업자가 입력하는 내용을 아무도 보지 못하도록 한다는 것은 거의 불가능하겠지만, 사전에 회사 보안 정책을 통해 개인 및 비즈니스 정보에 대한 위험을 최소화하는 방법을 제공해야 합니다. 직원 구성원이 PDA(개인용 디지털 보조 장치)를 사용하는 경우에는 보안 및 동기화 관리에 대한 정보를 포함해야 합니다.
역 사회 공학
역 사회 공학은 초기 접근이 공격 대상을 통해 이루어지고 대상이 해커가 원하는 정보를 해커에게 제공하는 상황을 말합니다. 이러한 시나리오는 잘 발생하지 않지만, 흔히 권위의 형태(특히 기술적 또는 사회적 권위)를 가장하여 사용자 ID 및 암호와 같은 중요한 개인 정보를 얻게 됩니다. 이러한 권위자는 사용자의 의심을 덜 받기 때문입니다. 예를 들어, 지원 센터의 지원 담당자는 전화를 건 사람에게 사용자 ID 또는 암호를 묻지 않습니다. 이들은 이러한 정보를 사용하지 않고도 문제를 해결합니다. 많은 사용자의 경우 IT 관련 문제가 발생하면 문제를 신속하게 해결하기 위해 이러한 중요 보안 요소를 자발적으로 제공합니다. 이 경우 해커는 질문을 꺼내지조차 않습니다. 사회 공학 공격은 이 시나리오가 제안하는 것처럼 반응이 빠르지 않습니다.
사회 공학 공격에서는 아마도 다음 시나리오처럼 간단하게 상황을 만들고 솔루션을 통지한 후 요청에 따라 지원을 제공할 것입니다.
대상 사용자가 파일이 없다고 생각하도록 하기 위해 동료 해커는 대상 사용자의 파일 이름을 바꾸거나 파일을 옮깁니다. 그런 다음 해커는 파일을 다시 복구할 수 있다고 말합니다. 정보의 손실이 자신의 실수 때문이라고 걱정하거나 이 문제를 처리하는 데 혈안이 되어 있는 대상 사용자는 동료 해커의 제안에 매우 기뻐합니다. 해커는 대상 사용자로 로그온해야만 이 문제를 해결할 수 있다고 말합니다. 해커는 심지어 회사 정책에 따라 이러한 행위가 금지되어 있다고 말할 수도 있습니다. 대상 사용자는 해커에게 자신으로 로그온하여 파일을 복구해 줄 것을 부탁합니다. 해커는 마지못해 하는 듯이 부탁을 받아들인 후 원본 파일을 복구하고 대상 사용자의 사용자 ID와 암호를 빼냅니다. 한편 대상 사용자는 해커가 자신을 도와주었다고 말하며 해커의 행동을 칭찬합니다. 이러한 접근 방법은 일반 IT 지원 채널을 통과하여 해커의 존재를 보다 쉽게 은폐시킬 수 있습니다.
역 사회 공학을 사용하기 위해 반드시 대상 사용자와 만나거나 이들과 친해져야 하는 것은 아닙니다. 대화 상자를 사용하여 문제가 발생한 것처럼 위장하는 방법도 불특정 역 사회 공학 공격에 효과적일 수 있습니다. 이러한 대화 상자는 문제가 있거나 계속하려면 업데이트해야 한다는 메시지를 표시합니다. 또한 문제를 해결하기 위한 다운로드를 제공합니다. 다운로드가 완료되면 계획된 문제는 사라지고 사용자는 작업을 계속할 수 있게 됩니다. 이때 분명한 것은 사용자가 보안을 위반하고 맬웨어 프로그램을 다운로드했다는 사실입니다.
표 8. 역 사회 공학 공격 및 손실
| 공격 목표 | 설명 | 손실 |
|---|---|---|
| ID 도용 | 해커가 권한이 있는 사용자로부터 사용자 ID 및 암호를 얻습니다. | 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 자금 리소스 |
| 정보 도용 | 해커가 권한이 있는 사용자 ID 및 암호를 사용하여 회사 파일에 액세스합니다. | 기밀 정보 자금 리소스 비즈니스 신뢰성 비즈니스 가용성 |
| 맬웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 회사 네트워크를 감염시킵니다. | 비즈니스 가용성 비즈니스 신뢰성 |
| 해커 소프트웨어 다운로드 | 해커가 사용자를 속여 첨부 파일을 열거나 하이퍼링크를 클릭하게 함으로써 메일 엔진과 같이 회사 네트워크 리소스를 사용하는 해커 프로그램을 다운로드하게 합니다. | 리소스 비즈니스 신뢰성 자금 |
역 사회 공학에 대한 방어는 아마 가장 어려운 문제일 것입니다. 대상 사용자는 자신이 상황을 통제하고 있다고 생각하기 때문에 해커를 의심할 이유가 없습니다. 이를 방어하려면 모든 문제가 서비스 데스크를 통해 해결되어야 한다는 규정을 보안 정책 안에 포함시켜야 합니다. 서비스 데스크 직원이 유능하고 예의 바르고 조심성 있는 사람이라면 다른 직원들은 권한이 없는 직원이나 아는 사람에게 도움을 청하기 보다는 그러한 서비스 데스크 직원에게 다가갈 것입니다.
사회 공학 위협에 대한 방어 기능 디자인
다양한 위협을 이해한 후에는 세 단계를 통해 회사 내 직원들을 사회 공학 위협으로부터 방어하기 위한 수단을 마련해야 합니다. 효과적인 방어는 계획과 관련되어 있습니다. 방어는 대체로 공격을 당한 후 문제가 재발하지 않도록 방어벽을 구축하기 위해 이루어지는 사후 대책입니다. 이 접근 방법은 문제에 대한 인식을 나타내지만 심각하거나 비용이 많이 드는 문제인 경우에는 소 잃고 외양간 고치는 격이 될 수 있습니다. 이 시나리오를 사전에 방지하려면 다음 세 단계를 수행해야 합니다.
보안 관리 프레임워크 개발. 사회 공학 보안 목표와 이러한 목표 달성을 책임질 직원 구성원을 정의해야 합니다.
위험 관리 평가 수행. 위협이 유사하다고 해서 회사마다 위험 수준이 같은 것은 아닙니다. 각 사회 공학 위협을 검토하고 각각의 위협이 조직에 미치는 위험을 생각해 보아야 합니다.
보안 정책 내 사회 공학 방어 구현. 직원이 사회 공학 공격이 수행될 수 있는 상황을 어떻게 관리해야 하는지를 규정한 문서화된 정책 및 절차를 개발합니다. 이 단계에서는 보안 정책이 사회 공학에 의해 제기되는 위협을 포괄하지 못하고 있는 것으로 가정합니다. 현재 보안 정책이 없다면 개발해야 합니다. 또한 사회 공학 위험 평가를 통해 식별된 요소를 출발점으로 하여 그 밖의 잠재적인 위협도 살펴보아야 합니다.
보안 정책에 대한 자세한 내용은 Microsoft 보안 웹 사이트(https://www.microsoft.com/korea/security/default.mspx)를 참조하십시오.
보안 관리 프레임워크 개발
보안 관리 프레임워크는 조직에 발생할 수 있는 사회 공학적인 위협을 전체적으로 정의하고 이러한 위협을 완화하는 정책 및 절차를 개발하기 위한 명명된 작업 역할을 할당합니다. 이 접근 방법을 채택한다고 해서 반드시 비즈니스 자산 보안 유지를 담당하는 직원을 고용해야 하는 것은 아닙니다. 대기업에서는 이러한 접근 방법을 하나의 옵션으로 활용할 수 있지만, 중소 기업의 경우에는 조직 내에 그러한 역할을 마련하는 것이 그다지 실용적이거나 바람직하지 않습니다. 이 접근 방식에서는 그룹 내 구성원이 다음과 같은 보안 역할의 주요 책임을 맡아야 합니다.
보안 스폰서. 이사 수준의 선임 관리자로, 모든 직원이 보안 비즈니스를 신중하게 처리하도록 하는 데 필요한 권한을 제공할 수 있습니다.
보안 관리자. 보안 정책 개발 및 유지 업무를 조정하는 관리 수준의 직원입니다.
IT 보안 직원. IT 인프라 및 운영 보안 정책과 절차를 개발하는 기술 직원 구성원입니다.
시설 보안 직원. 사이트 및 운영 보안 정책과 절차를 개발하는 시설 팀의 구성원입니다.
보안 인식 직원. 보안 인식 캠페인을 개발 및 실행하는 관리자 수준의 직원 구성원(대개 인력 및 개인 개발 부서 소속)입니다.
이 그룹(보안 지도 위원회)은 회사 내 중간 관리자 역할을 수행합니다. 선정된 보안 전문가로 구성된 보안 지도 위원회는 보안 관리 프레임워크의 핵심 목표를 설정해야 합니다. 정의 가능한 목표가 없으면 프로젝트의 성공을 측정하거나 다른 직원의 참여를 권장하기가 어렵습니다. 보안 지도 위원회의 초기 작업은 회사 안에 존재하는 사회 공학 취약점을 식별하는 것입니다. 다음과 같은 간단한 표를 사용하면 이러한 공격 경로의 형태를 한눈에 파악할 수 있습니다.
표 9. 회사 사회 공학 공격 경로 취약점
| 공격 경로 | 회사 사용 설명 | 추가 설명 |
|---|---|---|
| 온라인 | ||
| 전자 메일 | 모든 사용자의 데스크톱 컴퓨터에는 Microsoft Outlook®이 설치되어 있습니다. | |
| 인터넷 | 모바일 사용자는 Outlook 클라이언트 액세스 외에도 OWA(Outlook Web Access)를 사용할 수 있습니다. | |
| 팝업 응용 프로그램 | 현재 팝업에 대해 구현된 기술적 방어책이 없습니다. | |
| 인스턴트 메시징 | 회사에서 관리되지 않는 다양한 IM 제품을 사용할 수 있습니다. | |
| 전화 | ||
| PBX | ||
| 서비스 데스크 | 현재 “서비스 데스크”는 IT 부서에서 제공하는 임시 지원 직무입니다. | IT 영역 이외의 부분까지 포함하도록 지원 규정을 확대해야 합니다. |
| 폐기물 관리 | ||
| 내부 | 모든 부서에서 폐기물을 자체적으로 관리합니다. | |
| 외부 | 회사 외부에 쓰레기 수납기를 배치합니다. 쓰레기 수거일은 매주 목요일입니다. | 현재 회사 부지 내 쓰레기 수납기를 위한 공간이 없습니다. |
| 개인적 접근 방법 | ||
| 물리적 보안 | ||
| 사무실 보안 | 모든 사무실이 하루 종일 개방되어 있습니다. | 직원의 25%가 재택 근무자입니다. 재택 근무자 보안에 대한 서면화된 표준이 없습니다. |
| 재택 근무자 | 재택 근무자 온사이트 유지 관리에 대한 규정이 없습니다. | |
| 기타/회사 관련 | ||
| 사내 프랜차이즈 | 모든 식사는 프랜차이즈를 통해 관리됩니다. | 프랜차이즈 직원에 대한 정보가 없는 상황이며 이들에 대한 보안 정책도 마련되어 있지 않습니다. |
| 공격 경로 | 예상 정책 요구 사항 | 위험 유형 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 리소스 손실 | 위험 수준 높음 = 5 낮음 = 1 | 조치 |
|---|---|---|---|---|
| 사회 공학 보안 정책 서면화 | ||||
| 표준 직원 계약에 정책 준수 부분을 만들기 위해 변경 | ||||
| 표준 계약자 계약에 정책 준수 부분을 만들기 위해 변경 | ||||
| 온라인 | ||||
| 전자 메일 | 첨부 파일 유형 및 첨부 파일 관리 방법에 대한 정책 | |||
| 인터넷 | 인터넷 사용 정책 | |||
| 팝업 응용 프로그램 | 인터넷 사용 관련 정책(특히 예기치 않은 대화 상자가 표시될 때의 대처 방법) | |||
| 인스턴트 메시징 | 지원되는 IM 클라이언트 및 허용 가능한 IM 클라이언트에 대한 정책 | |||
| 전화 | ||||
| PBX | PBX 지원 관리 정책 | |||
| 서비스 데스크 | 데이터 액세스 규정 정책 | |||
| 폐기물 관리 | ||||
| 종이 | 폐지 관리 정책 | |||
| 쓰레기 수납기 관리 지침 | ||||
| 전자 | 전자 미디어 폐기물 관리 정책 | |||
| 개인적 접근 방법 | ||||
| 물리적 보안 | 방문자 관리 정책 | |||
| 사무실 보안 | 사용자 ID 및 암호 관리 정책(예: 메모지에 암호를 기록하여 화면 위에 붙이는 행위 금지) | |||
| 재택 근무자 | 회사 외부에서의 모바일 컴퓨터 사용 관련 정책 | |||
| 기타/ 회사 관련 |
||||
| 사내 프랜차이즈 | 사내 프랜차이즈 직원 견제 정책 |
| 정책 요구 사항 | 절차/문서 요구 사항 | 적용/날짜 |
|---|---|---|
| 사회 공학 보안 정책 서면화 | 없음 | |
| 표준 직원 계약에 정책 준수 부분을 만들기 위해 변경 |
|
|
| 표준 계약자 계약에 정책 준수 부분을 만들기 위해 변경 |
|
|
| 방문자 관리 정책 |
|
|
| 쓰레기 수납기 관리 지침 |
|
|
| 데이터 액세스 규정 정책 | ||
| 폐지 관리 정책 | ||
| 전자 미디어 폐기물 관리 정책 | ||
| 인터넷 사용 관련 정책(특히 예기치 않은 대화 상자가 표시될 때의 대처 방법) | ||
| 사용자 ID 및 암호 관리 정책(메모지에 암호를 기록하여 화면 위에 붙이는 행위 금지 등) | ||
| 회사 외부에서의 모바일 컴퓨터 사용 관련 정책 | ||
| 파트너 응용 프로그램(은행, 금융, 구매, 재고 관리)에 연결할 때의 문제 관리 정책 |
| 공격 경로 | 회사 사용 설명 | 추가 설명 |
|---|---|---|
| 온라인 | ||
| 전자 메일 | ||
| 인터넷 | ||
| 팝업 응용 프로그램 | ||
| 인스턴트 메시징 | ||
| 전화 | ||
| PBX | ||
| 서비스 데스크 | ||
| 폐기물 관리 | ||
| 내부 | ||
| 외부 | ||
| 개인적 접근 방법 | ||
| 물리적 보안 | ||
| 사무실 보안 | ||
| 기타/회사 관련 | ||
| 공격 경로 | 예상 정책 요구 사항 | 위험 유형 기밀 정보 비즈니스 신뢰성 비즈니스 가용성 리소스 손실 | 위험 수준 높음 = 5 낮음 = 1 | 조치 |
|---|---|---|---|---|
| 온라인 | ||||
| 전화 | ||||
| 폐기물 관리 | ||||
| 개인적 접근 방법 | ||||
| 기타/ 회사 관련 |
||||
| 정책 요구 사항 | 절차/문서 요구 사항 | 적용/날짜 |
|---|---|---|
| 조치 | 설명 | 적용/날짜 |
|---|---|---|
| 온라인 보안 정책 개발 | ||
| 물리적 보안 정책 개발 | ||
| 전화 보안 정책 개발 | ||
| 폐기물 관리 보안 정책 개발 | ||
| 서비스 데스크 보안 관리 정책 개발 | ||
| 사고 대응 모델 개발 | ||
| 인식 캠페인 개발 | ||
| ... |
| 서비스 데스크 담당자 | |
| 대상 사용자 이름 | |
| 대상 부서 | |
| 날짜 | |
| 공격 경로 | |
| 공격 설명 | |
| 공격 결과 | |
| 공격 영향 | |
| 권장 사항 |
| 용어 | 정의 |
|---|---|
| 액세스 | 개인 정보 보호와 관련하여 자신에 대해 수집된 개인적으로 식별 가능한 정보의 정확성과 완벽성을 표시하고 수정하고 이의를 제기할 수 있는 능력을 말합니다. 액세스는 공정한 정보 사용 규칙의 요소입니다. |
| 바이러스 백신(AV) 소프트웨어 | 바이러스나 웜 같은 악의적인 소프트웨어를 감지하고 대응하기 위한 컴퓨터 프로그램입니다. 대응 방식에는 감염된 파일에 대한 사용자 액세스를 차단하거나, 감염된 파일 또는 컴퓨터를 지우거나, 사용자에게 감염된 파일이 발견되었음을 알리는 작업이 포함됩니다. |
| 공격 | 컴퓨터 시스템의 보안을 손상시키거나 다른 사용자의 시스템 사용 권한을 빼앗아 가려는 고의적인 시도를 말합니다. |
| 인증 | 사람, 컴퓨터 세션 또는 장치의 자격 증명을 확인하는 프로세스입니다. 인증을 위해서는 요청하는 사람, 프로세스 또는 장치가 신원이나 알려진 정보를 입증하는 자격 증명을 제공해야 합니다. 자격 증명의 일반적인 형태로는 디지털 서명, 스마트 카드, 생물학적 데이터 또는 사용자 이름 및 암호의 조합이 있습니다. |
| 허가 | 특정 정보, 서비스 또는 기능에 대한 액세스 권한을 개인, 컴퓨터 프로세스 또는 장치에 부여하는 프로세스입니다. 허가는 인증을 통해 확인되는 액세스를 요청하는 사람, 개인 프로세스 또는 장치의 ID를 기준으로 부여됩니다. |
| 변경 관리 | 새로운 오류를 방지하고 변경의 영향을 최소화하기 위해 테스트된 방법 및 기술을 사용한 변경 관리 방법입니다. |
| 컴퓨터 보안 | 기술, 프로세스 및 교육을 사용하여 정보 자산을 보호하는 것을 말합니다. |
| 크래커 | 사회 공학 전략보다는 기술을 사용하여 컴퓨터 시스템으로 침입하는 범죄자를 말합니다. |
| 다운로드 | 모뎀이나 네트워크를 통해 원격 컴퓨터에서 요청하는 컴퓨터로 파일의 복사본을 전송하는 것을 말합니다. |
| 익스트라넷 | 조직의 인트라넷을 확장하여 조직에서 신뢰하는 파트너와의 통신을 지원하는 데 사용되는 네트워크입니다. 익스트라넷을 사용하면 신뢰할 수 있는 파트너에게 조직의 내부 비즈니스 데이터에 대한 제한된 액세스를 제공할 수 있습니다. |
| 방화벽 | 네트워크의 한 부분과 다른 부분을 분리하는 보안 솔루션으로, 방화벽을 사용하면 허용된 네트워크 트래픽만 트래픽 필터링 규칙에 따라 통과할 수 있습니다. |
| 맬웨어 | 실행 시 공격자의 고의적인 유해한 의도를 충족시키는 소프트웨어입니다. 예를 들어, 바이러스, 웜 및 트로이 목마는 악의적인 코드입니다. |
| 네트워크 로그온 | 네트워크를 통해 컴퓨터에 로그온하는 프로세스입니다. 일반적으로 사용자는 먼저 로컬 컴퓨터에 대화형으로 로그온한 다음, 사용 권한이 있는 네트워크의 다른 컴퓨터(예: 서버)에 로그온 자격 증명을 제공합니다. |
| 암호 | 사용자가 네트워크나 로컬 컴퓨터에 대해 자신의 신원을 입증하기 위해 입력하는 문자열을 말합니다. 강력한 암호를 참조하십시오. |
| 권한 | 파일, 디렉터리 또는 프린터와 같은 특정 공유 리소스와 관련된 운영 작업을 수행하기 위한 권한을 말합니다. 권한은 시스템 관리자가 개인 사용자 계정이나 관리 그룹에 부여해야 합니다. |
| PIN(개인 식별 번호) | 권한이 있는 사용자에게 할당된 암호와 비슷한 비밀 식별 코드입니다. PIN은 가령 은행 계좌 액세스 등 권한이 있는 기능을 허용하기 위한 목적으로 ATM 카드 또는 스마트 카드와 함께 사용됩니다. |
| PII(개인 식별 가능 정보) | 식별되었거나 식별 가능한 개인과 관련된 모든 정보를 말합니다. 이러한 정보에는 이름, 국가, 주소, 전자 메일 주소, 신용 카드 번호, 주민 등록 번호, 정부 ID 번호, IP 주소 또는 다른 시스템의 PII와 관련된 고유 식별자 등이 있습니다. 개인 정보 또는 개인 데이터라고도 합니다. |
| 개인 정보 | PII(개인 식별 가능 정보) |
| 프리커(phreaker) | PBX 기능을 무단으로 사용하여 전화를 걸려는 악의적인 사용자를 말합니다. |
| 피셔(phisher) | 사람들이 계정 암호 및 신용 카드 번호 등 개인 정보를 누출하도록 속이는 악의적인 사용자 또는 웹 사이트를 말합니다. 피셔는 일반적으로 사람들을 현혹시키는 전자 메일 메시지나 온라인 광고를 미끼로 사용하여 의심하지 않는 사용자를 사기성 있는 웹 사이트로 유도합니다. 사용자는 이러한 웹 사이트에서 거짓 정보에 속아 개인 정보를 제공하게 됩니다. |
| 물리적 취약점 | 작업 영역에 잠기지 않은 워크스테이션이 그대로 실행되고 있어 무단 사용자가 액세스할 수 있는 위험이 있는 경우와 같이 컴퓨터에 대해 물리적 보안을 제공하지 못하는 것을 의미합니다. |
| 개인 정보 보호 | 개인 정보에 대한 수집, 사용 및 배포와 관련하여 고객이 가진 제어 권한을 말합니다. |
| 보안 취약점 | Microsoft 보안 업데이트 및 보안 게시판 또는 서비스 팩을 통해 보완되는 소프트웨어의 취약점을 말합니다. |
| 스팸 | 원치 않는 상업용 전자 메일입니다. 정크 메일이라고도 합니다. |
| 스푸핑 | 작업을 수행한 사용자가 아닌 다른 사용자로부터 전송이 이루어진 것처럼 보이게 하는 행위를 말합니다. |
| 스파이웨어 | 사용자의 동의 없이 광고를 표시(예: 팝업 광고)하거나 사용자에 대한 정보를 수집하거나 사용자 컴퓨터의 설정을 변경할 수 있는 소프트웨어입니다. |
| 강력한 암호 | 리소스 무단 액세스를 효과적으로 방어하는 암호입니다. 강력한 암호는 6자 이상이어야 하며 사용자의 계정 이름 전체 또는 일부를 포함하지 않아야 합니다. 또한 대문자, 소문자, 기본 숫자 10개, !, @ 및 # 같은 키보드에 나와 있는 기호, 이렇게 네 가지 범주 중 세 가지 이상의 문자를 포함해야 합니다. |
| 트로이 목마 | 유용하거나 유해한 것처럼 보일 수 있지만 실행하는 컴퓨터를 악용하거나 손상시키기 위한 숨겨진 코드가 포함되어 있는 프로그램입니다. 트로이 목마 프로그램은 일반적으로 프로그램의 용도 및 기능을 거짓으로 알려 주는 전자 메일 메시지를 통해 사용자에게 전달됩니다. 트로이 목마 코드라고도 합니다. |
| 업그레이드 | 설치된 소프트웨어의 버전을 동일한 소프트웨어의 새 버전으로 바꾸는 소프트웨어 패키지입니다. 기본적으로 업그레이드 프로세스에서는 기존 고객 데이터 및 기본 설정을 그대로 두고 기존 소프트웨어만 새 버전으로 바꿉니다. |
| 사용자 ID | 사용자가 컴퓨터 시스템에 로그온하는 데 사용할 수 있는 고유한 이름입니다. |
| 바이러스 | 명백한 자가 복제 의도로 작성된 코드입니다. 바이러스는 호스트 프로그램에 연결되어 여러 컴퓨터에 유포됩니다. 또한 하드웨어, 소프트웨어 또는 데이터를 손상시킬 수 있습니다. 웜과 비교해 보십시오. Virus Info Alliance(f-secure.com)에서 제공한 정의를 참조하십시오. |
| 취약점 | 컴퓨터가 위협에 악용되기 쉽게 만드는 약점, 관리 프로세스/동작 또는 물리적 노출을 말합니다. |
| 웜 | 네트워크 연결을 통해 컴퓨터 간에 자동으로 배포될 수 있는 자가 전파적 성격의 악성 코드를 말합니다. 웜은 서비스 거부(DoS) 공격을 일으켜 네트워크 또는 로컬 시스템 리소스를 소비하는 등 유해한 동작을 수행할 수 있습니다. 바이러스와 비교해 보십시오. |