(2) 사회공학(Social Engineering)

(2) 사회공학(Social Engineering)

1) 개요

① 사회공학 공격은 신뢰할 수 있는 개인이나 조직을 사칭하여 공격대상의 민감한 정보 (패스워드, 카드번호 등)를 빼내는 작업을 통칭한다. 사회공학 공격은 악의적인 사람에 의해 직접 수행되는 인간기반 사회공학 공격 (Human-based Social Engineering Attack)과 정보통신 기술(ICT, Information and 어 가장

세알려져 있는 evin Mrick) 공용해 자신 Communication Technology)을 이용하는 ICT 기반 사회공학 공격(ICT based Social 학교 시스 속임수의 해설도 있다.

Engineering Attack)으로 나눌 수 있다.

2) 인간기반 사회공학 공격

(가) 기본 개념

주요 WRAH D 다 이들도 공격

① 현재 우리 사회에서는 많은 유형의 인간기반 사회공학 공격이 자행되고 있다.

② 공격 대상자에게 전화를 건 다음 조직의 보안 책임자 또는 위탁 보안 업체의 담당자를 가장하여 보안 설정 변경 목적을 빙자한 사용자 ID와 패스워드 빼내기, 대출기관의 담 당자를 가장한 비밀번호와 보안카드번호 빼내기, 보안 관련 기관의 직원을 가장하여 개인 정보 빼내기 등이 대표적인 인간 기반 사회공학 공격 유형이다.

(나) 종류

① 어깨 넘어 훔쳐보기(Shoulder Surfing), 쓰레기통 뒤지기(Dumpster Diving)

② 협박 메일(Blackmeil) : 어떤 정보를 폭로하겠다고 협박하여 재물을 갈취하는 행위이다. ③ 따라 들어가기(Piggybacking. Tailgating): 출입증 소지자가 출입 시 함께 뒤따라

출입한다.

④ 내부자의 결탁'으로 인한 정보유출, 내부자의 부주의로 인한 외부에서의 정보습득 등이 있다.

전부 공격

이 경우 내부 사용자이지만

2016

하려는 경우를 의미한다. 즉

생각할 수 있다

전화 통화 시 음성이 이상하거나 내용이 이상할 경우 주의를 기울인다② 중요한 정보를 제공하기 전에 신원증명을 항상 요청한다.

3 이메일팩스로 정보를 보내달라고 하면 일단 의심하고 해당 사람이 맞는지 직접 전화

를 걸어 확인한다.

중요 기하고자 한다면 문서를 이용한 16 임직원에게 보안인식 교육을 주기적으로 실시한다.