»çÀ̹ö°ø°Ý¿¡µµ »ç¶÷ÀÇ ½É¸®Àû Ãë¾à¼ºÀ» ³ë¸®´Â °ø°ÝÀÌ ÀÖ½À´Ï´Ù. Äɺó ¹ÌÆ®´ÐÀº ¡°»ó´ë¹æÀ» ¼Ó¿© ¿øÇÏ´Â Á¤º¸¸¦ ¾ò¾î³»´Â °Í¡±À¸·Î Á¤ÀÇÇÑ ¹Ù ÀÖÀ¸¸ç(Kevin Mitnick, ¡°The Art of Deception¡±, 2007) ¼ÓÀÓ¼ö ¹× Æ®¸¯À» ÀÌ¿ëÇÏ¿© Áß¿ä Á¤º¸¸¦ ȹµæÇÏ°í, ŸÀο¡ ´ëÇÑ ½Å·Ú¸¦ ÀÌ¿ëÇÑ Àΰ£º»¼º ÀÚüÀÇ Ãë¾à¼ºÀ» ÀÌ¿ëÇÏ¿© ƯÁ¤ Á¶Á÷ÀÇ ±â¼úÀû ¹°¸®Àû º¸¾ÈÀ庮À» °¡Àå ¼Õ½±°Ô ¹«·ÂÈÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÔ´Ï´Ù. (Malcolm Allen, "Social Engineering", SANS, 2006) ´ÙÀ½°ú °°Àº ¿ä¼ÒµéÀÌ ÀÌ¿ëµË´Ï´Ù(Heather Kratt, "The Inside Story: A Disgruntled Employee Gets His Revenge", SANS, 2004-12-08)
- Ư±Ç(Authority) : ƯÁ¤ »ç¶÷ÀÇ ½ÅºÐ ¹× Á÷±Ç¿¡ ´ëÇÑ ½Å·Ú
- Ä£ºÐ(Liking) : ÀÚ½ÅÀÌ ÁÁ¾ÆÇÏ´Â »ç¶÷¿¡ ´ëÇÑ ½Å·Ú(Æò¼Ò Ä£ºÐÀÌ µÎÅÍ¿î »ç¶÷)
- º¸´ä(Reciprocation) : ÀÚ½ÅÀ» µµ¿Í ÁØ »ç¶÷¿¡ ´ëÇØ µµ¿òÀ» ÁÖ·Á´Â °æÇâ
- ±ÔÀ²(Consistency) : ±¸µÎ»óÀÇ Á¤Ã¥ ¹× ±ÔÄ¢µé¿¡ ´ëÇØ »ó´ë¹æÀÌ µû¸£µµ·Ï ÇÑ ÈÄ
ºñ¹Ð¹øÈ£ ¹× ±âŸ Áß¿ä Á¤º¸ ¿¹Ãø
- ¼³¹®(Social Validation) : ÀϹÝÀûÀ¸·Î °øÀÎµÈ ÇüÅÂÀÇ ¼³¹® Á¶»ç¸¦ ÅëÇÏ¿©
»ó´ë¹æÀ¸·ÎºÎÅÍ Áß¿ä Á¤º¸ ȹµæ
- °áÇÌ(Scarcity) : ƯÁ¤ ´ë»ó¿¡ ´ëÇÑ ÀÏÁ¤ ¹× ¼ö·® ÇÑÁ¤ À̺¥Æ®¸¦ ÅëÇÑ »ç¿ëÀÚ
½É¸® µ¿¿ä ÀÌ¿ë
ÇöÀç ¹ú¾îÁö°í ÀÖ´Â Àΰ£ÀÇ ½É¸®Àû Ãë¾à¼ºÀ» ÀÌ¿ëÇÑ ´ëÇ¥ÀûÀÎ À§ÇùÀº ´ÙÀ½°ú °°Àº °ÍÀÌ ÀÖ½À´Ï´Ù.
- ÇÇ½Ì ¹× º¸À̽ºÇǽÌ, ÆÄ¹Ö : ±ÝÀ¶±â°üÀ» »çĪÇÑ ¸ÞÀÏÀ̳ª Àüȸ¦ ÅëÇÑ °ø°ø±â°ü
¹× Æø·Â¹è »çĪ, DNS »ç±â µî
- ½ºÆÔ : ½ºÆÔ ÇÊÅ͸µ µµ±¸¸¦ ȸÇÇÇϱâ À§ÇÑ Á¦¸ñ, ¼Û½ÅÀÚ µîÀÇ º¯È
- ÀÎÅÍ³Ý »ç±â : ÀÎÅÍ³Ý ¹°Ç° ÆǸŠ»ç±â, »çÀ̹ö ¾Þ¹úÀÌ µî
- ¾Ç¼ºÄÚµå : ÷ºÎÆÄÀÏ º¸±â¸¦ À¯µµÇϱâ À§ÇÑ Æ®·ÎÀ̸ñ¸¶, ½ºÆÄÀÌ¿þ¾î µî
- ¾ÇÀÇÀû ÄÜÅÙÃ÷ °ÔÀç : ¸ð¿åÀ» À§ÇÑ ¾ÇÀÇÀû ÄÜÅÙÃ÷³ª ´ñ±Û °ÔÀç
- ÄÜÅÙÃ÷ ½Å·Úµµ ¾àȸ¦ ³ë¸° °ø°Ý : Ŭ¸¯ ¿À³²¿ë µî
¿¹Àü ÀÏÀ̱ä ÇÏÁö¸¸ Á¤ºÎÀÏ°¢¿¡¼´Â »çÀ̹ö°ø°Ý ÈÆ·Ã Áß¿¡Ã·ºÎÆÄÀÏ Å¬¸¯À» À¯µµÇϱâ À§ÇÏ¿© ¡°ºÎÁ¤ÃàÀçÀÚ ¸í´Ü¡±À» ÷ºÎÇѴٴ ǥÇöÀ» ¾²±âµµ ÇÏ¿´½À´Ï´Ù. °á±¹ ¸¹Àº »ç¶÷µéÀÌ ¡°Å¬¸¯¡±À» ÇÏ°Ô µÇ¾ú½À´Ï´Ù. ¾î¶² ¼Ò³àÁý´ÜÀº ¡°°¡Á¤ºÒÈ¿Í Æø·ÂÀ¸·Î °¡ÃâÇÏ¿´½À´Ï´Ù¡± µµ¿Í´Þ¶ó¸ç ¸î °³¿ù µ¿¾È ¼öõ¸¸ ¿øÀ» ¶â¾î°£ ¹Ùµµ ÀÖ¾ú½À´Ï´Ù. ½É¸®Àû º¸¾ÈÀº DOI(Denial of Information) Attack°úµµ À¯»çÇÑ Á¡ÀÌ ÀÖ½À´Ï´Ù. »ç¶÷ÀÇ °¨Á¤À» Á¦¾ÐÇϰųª ÆÇ´ÜÀ» È帮°Ô ÇÏ´Â °ø°Ý(¡°Intentional Attacks that the human or otherwise alter their decision making¡±) À¸·Î¼ ÀüÀÚ¿ìÆí ¼ö½ÅÇÔ¿¡¼ Á¤´çÇÑ ¸ÞÀÏÀÎÁö ½ºÆÔ ¸ÞÀÏÀÎÁö »ç¶÷ÀÌ ÆÇ´ÜÇÒ ¶§ Àû¿ëÇϸé ÁÁ½À´Ï´Ù.
Á¤´çÇÑ ³»¿ëÀ» Signal·Î, ºñÁ¤»óÀûÀÎ ³»¿ëÀº Noise·Î º¸°í ¡°S/N¡± À¸·Î ÆÇ´ÜÇÏ´Â °ÍÀÔ´Ï´Ù. À§ »ç·Ê¿¡¼ 1¹ø ½Ã³ª¸®¿À´Â SignalÀÌ ¸Å¿ì ³ôÀ¸¹Ç·Î ¼ö½ÅÇÔ¿¡¼ Á÷Á¢ »èÁ¦ÇÏÁö ¾ÊÀ» °ÍÀÔ´Ï´Ù. µÎ ¹ø°´Â ¸ðµÎ ³ª»Ú¹Ç·Î ¾Æ¸¶ »èÁ¦ÇÒ °ÍÀÔ´Ï´Ù. ¼¼ ¹ø°´Â DOIÀ̹ǷΠ»èÁ¦ÇÒ °¡´É¼ºÀÌ ³ôÁö¸¸ ¾Æ¸¶ ¸ÞÀÏÀ» ¿¶÷ÇÑ ÈÄ ÆÇ´ÜÇÏ¿© »èÁ¦ÇÒ °ÍÀÔ´Ï´Ù. ³× ¹ø°´Â Signal°ú Noise ¸ðµÎ ¸Å¿ì Å©¹Ç·Î ÀǵµÀûÀÎ ½ºÆÔÀÏ °¡´É¼ºÀÌ Å©°í ¾Æ¸¶ »èÁ¦ÇÒ °ÍÀÔ´Ï´Ù. ÀÌ´Â ¡°ºÎÁ¤ÃàÀçÀÚ ¸í´Ü¡± ¿î¿î¿¡ ÇØ´çÇÕ´Ï´Ù.
ÀÌ·¯ÇÑ ½É¸®Àû °ø°Ý¿¡ ´ëÇÑ´ëºñÃ¥Àº ´ÙÀ½ÀÌ Áß¿äÇÕ´Ï´Ù.
- »ç¿ëÀÚ ÀÎÁõ(Authenticate Users)
- Áö´ÉÀûÀÎ °ø°Ý°ú ¼¼·ÃµÈ Á¤º¸°ø°Ý ´ëºñ
- ¾Ç¼º µ¥ÀÌÅÍ ÀÔ·ÂÀ» ´ëºñÇÑ ½Ã½ºÅÛ ¼³°è
- Ç×»ó ÀÚ½ÅÀÌ µµ±¸³ª ¼Ò½º°¡ °ø°ÝÀÚÀÇ ¼öÁß¿¡ ÀÖÀ½À» °¡Á¤ ÇÊ¿ä
- »ç¿ëÀÚ¿¡ ´ëÇÑ ÀÎ½Ä ±³À° ÇÊ¿ä
- µ¥ÀÌÅÍÀÇ °ËÁõ üÁ¦ °®Ãß¾î¾ß ÇÔ
- ´ç½ÅÀÇInfrastructure°¡ °ø°ÝÀÚ¿¡°Ô Á¡·É´çÇÏ¿´À½À» °¡Á¤
- ÃÖ¾ÇÀÇ°æ¿ì, °ø°ÝÀÚ´Â ¾î¶² »ç¿ëÀÚ¸¦ ´ë½ÅÇÏ°í ÀÖÀ½À» °¡Á¤
- °ø°Ý¿¡´ëÀÀÇÒ ¼ö ÀÖµµ·Ï ½Ã½ºÅÛ°¡½Ã¼º(Visualizations) ÁÖ·Â
- °ø°ÝÀ»¸·À» ¼ö ¾ø´Ù¸é Àû¾îµµ ŽÁö ´É·ÂÀ» Çâ»ó
- Á¤º¸Àü·«(Intelligence)À» Ç×»ó Áß½ÃÇÒ °Í
- ÀûÀýÇÑ »ç¿ëÀÚ È¯°æÀ» ¸ÂÃâ °Í
- Security ProfilingÀÌ Áß¿äÇÔ
ÇöÀç º¸¾ÈÁ¦Ç°µéÀÌ Syntax¿¡ ÀÇÇÑ °ø°Ýµµ º¸¾ÈÁ¦Ç°ÀÌ Á¦´ë·Î ¸·Áö ¸øÇÏ°í Àִµ¥, ½É¸®Àû °ø°Ý±îÁö ¸·¾Æ³»´Â °ÍÀº Èûµé´Ù°í »ý°¢ÇÕ´Ï´Ù. ¶ÇÇÑ 2°¡Áö ŸÀÔÀÌ È¥ÇÕµÈ´Ù¸é ¸¹Àº ±¹¹ÎµéÀÇ PC°¡ Á»ºñ°¡ µÇ¸®¶ó´Â °ÍÀº ³î¶ö ÀÏÀÌ ¾Æ´Õ´Ï´Ù. ¶ÇÇÑ ÀÌÁ¦´Â ´ëºÎºÐÀÇ ¾Ç¼ºÄڵ尡 ½ÃÁßÀÇ ¹é½Å¿¡´Â ŽÁöµÇÁö ¾ÊÀº ¡°½ÅÁ¾¡±ÀÌ´Ï, ÄÄÇ»ÅÍ ¹é½Å Á¦Ç°ÀÌ ÇÊ¿äÇÒ±î¿ä? ÀÌ·¯ÇÑ ¹é½ÅÀº ¹«·á ¼ºñ½º°¡ µÇ¾î¾ß ÇÏÁö ¾ÊÀ»±î¿ä? Àú¶ó¸é ¹«·á ¹é½Å 2 Á¾·ù¸¦ ÇÔ²² »ç¿ëÇÒ °ÍÀÔ´Ï´Ù. ½ÅÁ¾ ¾Ç¼ºÄÚµå´Â Çѱ¹ÀÎÅͳÝÁøÈï¿ø, ±¹°¡Á¤º¸¿ø, °üÁ¦¾÷ü µî¿¡¼ Alert¸¦ ÇÒ °ÍÀ̸ç, ÀÌ Alert´Â ±âÁ¸ÀÇ ¹«·á¹é½Å¿¡¼ Update°¡ °¡Àå »¡¸® ÀÌ·ç¾îÁú °ÍÀÔ´Ï´Ù. ±¹¹ÎµéÀº ±Ã±ÝÇØ ÇÕ´Ï´Ù.
ÄÄÇ»ÅÍ ¹é½ÅÀ¸·Î À¯¸íÇÑ ÇÑ ±Û·Î¹ú ±â¾÷Àº 2008³â 160¸¸ °ÇÀÇ ¾Ç¼ºÄڵ带 ºÐ¼®ÇÏ¿´´Ù°í »ý°¢ÇÕ´Ï´Ù. ±×·±µ¥ ±¹³» ¹é½Å±â¾÷ÀÇ °æ¿ì, ÃÖ´ë ¼ö¸¸ °Ç¿¡ ºÒ°úÇÕ´Ï´Ù. ´ã´çÀÚ´Â Àڽŵµ ¼ö½Ê¸¸ °ÇÀ̶ó°í Á¦°Ô À̾߱⸦ ÇÑ ÀûÀº ÀÖÁö¸¸, ±× ¹é½ÅÀÇ ¼º´É¿¡ ¿µÇâÀ» ¹ÌÄ¥ ºÐ¼®°Ç¼ö´Â ´ë¿Ü¿¡ Open µÇÁö ¾Ê½À´Ï´Ù. ±¹³» ±â¾÷Àº ¹«¾ùÀ» ÇÏ°í ÀÖ´ÂÁö, ¸¸¾à Àú¶ó¸é ±¹³»¿¡¼ ¹ß°ßµÈ ¾Ç¼ºÄڵ带 ±Û·Î¹ú±â¾÷¿¡µµ »¡¸® ¾Ë·Á ´ëÇѹα¹ÀÌ ±¹Á¦ÀûÀ¸·Îµµ °øÇåÇÏ´Â ³ª¶ó°¡ µÉ °ÍÀÔ´Ï´Ù. ¿Ö ½º¸¶Æ®ÆùÀÌ °³¹æÀûÀÎ ±¸Á¶¸¦ °¡Áö´ÂÁö ¾Ë¾Æ¾ß ÇÕ´Ï´Ù. ¿Ö ±¸±ÛÀÇ ¡°¾Èµå·ÎÀÌÆù¡± °³¹æÀû ±¸Á¶¸¦ °¡Áö°í, ¿Ö ¾ÆÀÌÆùÀº ´Ù¾çÇÑ ¾îÇø®ÄÉÀ̼ÇÀÌ Á¦°ø°¡´ÉÇÑÁö ¾Ë¾Æ¾ß ÇÕ´Ï´Ù. ±¹¼öÁÖÀdzª Æó¼âÀûÀÎ °¡±î¿î ³ª¶óÀϼö·Ï ¹ßÀüÀÌ ´À¸³´Ï´Ù.
ÃÖ±Ù ÀÐÀº ±â»ç°¡ ÀÖ½À´Ï´Ù. <ÇÁ·¹½Ã¾È> ¸ð ±âÀÚÀÇ ±â»çÀÔ´Ï´Ù.
¡°ÀϺ»Àº »ç¶óÁú °ÍÀÌ´Ù¡±, [Àü¹®°¡ ½Ã°¢] "Æó¼âÀû ÀϺ»°æÁ¦, Ã߶ô °è¼ÓµÉ °Í"
http://globalstandard.or.kr/bbs/board.php?bo_table=sub0200&wr_id=480
http://www.pressian.com/article/article.asp?article_num=40100112131241&Section=05)
ÀÌ ±ÛÀ» Àо´Ù¸é ¡°¼¼°è¿¡¼ °¡Àå Æó¼âÀûÀÎ ¼±Áø±¹¡±ÀÎ ÀϺ»¿¡ ´ëÇÑ À̾߱⸦ ´Ù·ç°í ÀÖ½À´Ï´Ù. ÀϺ»ÀÇ Æó¼â¼º¿¡ ÀÇÇÑ Ã߶ôÀ» ´ÙÀ½°ú °°ÀÌ ¼³¸íÇÕ´Ï´Ù.
1) ÀϺ»Àº °¡Àå Àß ³ª°¥ ¶§ ¼¼°è¸¦ ÇâÇØ ¹®À» ¿Áö ¾Ê°í ´ÜÀÏ ¹ÎÁ·À» °íÁý
2) °¡Àå Æó¼âÀûÀÎ ½ÃÀå
3) ±ÝÀ¶µµ Æó¼âÀû, ÀϺ» Áõ±Ç ½ÃÀå¿¡ ¼±¹°½ÃÀåÀÌ ¾øÀ½
4) ¿Ü±¹ ¹Ú»ç¸¦ ¿ì´ëÇÏÁö ¾ÊÀ½
5) ¿Ü±¹ÀÎ ¿µÁÖ±Ç, ½Ã¹Î±Ç Àλö, ¼¼°è ÃÖÇÏÀ§
6) ´ë¿Ü ¿øÁ¶¿¡ ÀλöÇÑ ³ª¶ó
±âÀÚ´Â ´ÙÀ½°ú °°ÀÌ ³¡À» ¸Î½À´Ï´Ù. ¡°±¹¼öÁÖÀÇÀû Æí°ß°ú ¾ÆÁýÀ» ¹ö¸®°í ÁøÁ¤ ¼¼°è±¹°¡, ¼¼°è½Ã¹ÎÀÌ µÇ°íÀÚ °á´ÜÇØ¾ß ÇÑ´Ù. ÀÌÁ¦´Â ´ÜÀÏ ¹ÎÁ·ÀÌ ¾Æ´Ï¶ó ¼¼°è ¹ÎÁ·ÀÌ µÇ´Â ³ª¶ó°¡ À̱â´Â ³ª¶óÀÌ´Ù. ¾Æ´Ï Ç×»ó À̱â´Â ³ª¶ó¿´´Ù.¡±
<¿¬Àç ¼ø¼>
1. ´ëÇѹα¹ º¸¾È, ¹«¾ùÀ» ¹Ù²Ù¾î¾ß ÇÒ±î¿ä?,
2. º¸¾È´º½º TSRCÀÇ º¸¾È °³³ä°ú 10°³ÀÇ À̽´
3. º¸¾ÈÀº ÇÑ »ç¶÷ÀÌ ¾Æ´Ñ ´ëÁßÀÌ ¸¸µé¾î °¡¾ß ÇÑ´Ù.
4. º¸¾È Àü¹®°¡´Â ±¹°¡ÀÇ ¼ÒÁßÇÑ ÀÚ»êÀÌ µÇ¾î¾ß ÇÑ´Ù.
5. ±â¼úº¸´Ù ½Çõ °æÇèÀÌ ´õ Áß¿äÇÏ°Ô ¿©°ÜÁ®¾ß ÇÑ´Ù.
6. ÇÑ »ç¶÷ÀÇ Áö½ÄÀÌ ¾Æ´Ñ Áý´ÜÀûÀÎ Áö½ÄÀÌ ÇÊ¿äÇÏ´Ù.
7. Áö½ÄÀÇ ¹®¼È, Àü·«Á¤º¸È°¡ Áß¿äÇÔÀ» ¾Ë¾Æ¾ß ÇÑ´Ù.
8. »ç¿ëÀڵ鿡°Ô ´Ü¼ø ¸í·áÇϸ鼵µ dzºÎÇÑ º¸¾ÈÀ» Á¦°øÇÏ¿©¾ß ÇÑ´Ù.
9. Àý´ëÀû º¸¾È ¾Æ´Ñ °´°ü»ó´ëÀû º¸¾ÈÀ» ÀÌ·ç¾î¾ß ÇÑ´Ù.
10. º¸¾È ±â¼ú¸¸ÀÌ º¸¾ÈÀÇ Çʼö ¿ä¼Ò¶ó°í ¹ÏÁö ¸»¾Æ¾ß ÇÑ´Ù.
11. °³¹æÀûÀÌ¸ç ºñ¿ë È¿À²Àû º¸¾ÈÀÌ Áß¿äÇÔÀ» ¾Ë¾Æ¾ß ÇÑ´Ù
12. ¼±Áø±¹ º¸¾ÈÀ» À§ÇÏ¿© °úÇÐÀû, ¹ÎÁÖÀûÀÎ º¸¾ÈÁ¢±ÙÀÌ ÇÊ¿äÇÏ´Ù.
[±Û ¡¤ ÀÓäȣ º¸¾È´º½º TSRC ¼¾ÅÍÀå(chlim@boannews.com)]
*TSRC: Trusted Security Research Center
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>