| [특별기고 8-1]절대적 보안이 아닌 객관상대적인 보안 이루어야 한다 | 2010.01.21 | |
심리적 보안 취약점, 완벽 보안 불가능에 일조
사이버공격에도 사람의 심리적 취약성을 노리는 공격이 있습니다. 케빈 미트닉은 “상대방을 속여 원하는 정보를 얻어내는 것”으로 정의한 바 있으며(Kevin Mitnick, “The Art of Deception”, 2007) 속임수 및 트릭을 이용하여 중요 정보를 획득하고, 타인에 대한 신뢰를 이용한 인간본성 자체의 취약성을 이용하여 특정 조직의 기술적 물리적 보안장벽을 가장 손쉽게 무력화할 수 있는 방법입니다. (Malcolm Allen, "Social Engineering", SANS, 2006) 다음과 같은 요소들이 이용됩니다(Heather Kratt, "The Inside Story: A Disgruntled Employee Gets His Revenge", SANS, 2004-12-08) - 특권(Authority) : 특정 사람의 신분 및 직권에 대한 신뢰 - 친분(Liking) : 자신이 좋아하는 사람에 대한 신뢰(평소 친분이 두터운 사람) - 보답(Reciprocation) : 자신을 도와 준 사람에 대해 도움을 주려는 경향 - 규율(Consistency) : 구두상의 정책 및 규칙들에 대해 상대방이 따르도록 한 후 비밀번호 및 기타 중요 정보 예측 - 설문(Social Validation) : 일반적으로 공인된 형태의 설문 조사를 통하여 상대방으로부터 중요 정보 획득 - 결핍(Scarcity) : 특정 대상에 대한 일정 및 수량 한정 이벤트를 통한 사용자 심리 동요 이용 현재 벌어지고 있는 인간의 심리적 취약성을 이용한 대표적인 위협은 다음과 같은 것이 있습니다. - 피싱 및 보이스피싱, 파밍 : 금융기관을 사칭한 메일이나 전화를 통한 공공기관 및 폭력배 사칭, DNS 사기 등 - 스팸 : 스팸 필터링 도구를 회피하기 위한 제목, 송신자 등의 변화 - 인터넷 사기 : 인터넷 물품 판매 사기, 사이버 앵벌이 등 - 악성코드 : 첨부파일 보기를 유도하기 위한 트로이목마, 스파이웨어 등 - 악의적 콘텐츠 게재 : 모욕을 위한 악의적 콘텐츠나 댓글 게재 - 콘텐츠 신뢰도 약화를 노린 공격 : 클릭 오남용 등
예전 일이긴 하지만 정부일각에서는 사이버공격 훈련 중에첨부파일 클릭을 유도하기 위하여 “부정축재자 명단”을 첨부한다는 표현을 쓰기도 하였습니다. 결국 많은 사람들이 “클릭”을 하게 되었습니다. 어떤 소녀집단은 “가정불화와 폭력으로 가출하였습니다” 도와달라며 몇 개월 동안 수천만 원을 뜯어간 바도 있었습니다. 심리적 보안은 DOI(Denial of Information) Attack과도 유사한 점이 있습니다. 사람의 감정을 제압하거나 판단을 흐리게 하는 공격(“Intentional Attacks that the human or otherwise alter their decision making”) 으로서 전자우편 수신함에서 정당한 메일인지 스팸 메일인지 사람이 판단할 때 적용하면 좋습니다.
정당한 내용을 Signal로, 비정상적인 내용은 Noise로 보고 “S/N” 으로 판단하는 것입니다. 위 사례에서 1번 시나리오는 Signal이 매우 높으므로 수신함에서 직접 삭제하지 않을 것입니다. 두 번째는 모두 나쁘므로 아마 삭제할 것입니다. 세 번째는 DOI이므로 삭제할 가능성이 높지만 아마 메일을 열람한 후 판단하여 삭제할 것입니다. 네 번째는 Signal과 Noise 모두 매우 크므로 의도적인 스팸일 가능성이 크고 아마 삭제할 것입니다. 이는 “부정축재자 명단” 운운에 해당합니다. 이러한 심리적 공격에 대한대비책은 다음이 중요합니다. - 사용자 인증(Authenticate Users) - 지능적인 공격과 세련된 정보공격 대비 - 악성 데이터 입력을 대비한 시스템 설계 - 항상 자신이 도구나 소스가 공격자의 수중에 있음을 가정 필요 - 사용자에 대한 인식 교육 필요 - 데이터의 검증 체제 갖추어야 함 - 당신의Infrastructure가 공격자에게 점령당하였음을 가정 - 최악의경우, 공격자는 어떤 사용자를 대신하고 있음을 가정 - 공격에대응할 수 있도록 시스템가시성(Visualizations) 주력 - 공격을막을 수 없다면 적어도 탐지 능력을 향상 - 정보전략(Intelligence)을 항상 중시할 것 - 적절한 사용자 환경을 맞출 것 - Security Profiling이 중요함 현재 보안제품들이 Syntax에 의한 공격도 보안제품이 제대로 막지 못하고 있는데, 심리적 공격까지 막아내는 것은 힘들다고 생각합니다. 또한 2가지 타입이 혼합된다면 많은 국민들의 PC가 좀비가 되리라는 것은 놀랄 일이 아닙니다. 또한 이제는 대부분의 악성코드가 시중의 백신에는 탐지되지 않은 “신종”이니, 컴퓨터 백신 제품이 필요할까요? 이러한 백신은 무료 서비스가 되어야 하지 않을까요? 저라면 무료 백신 2 종류를 함께 사용할 것입니다. 신종 악성코드는 한국인터넷진흥원, 국가정보원, 관제업체 등에서 Alert를 할 것이며, 이 Alert는 기존의 무료백신에서 Update가 가장 빨리 이루어질 것입니다. 국민들은 궁금해 합니다. 컴퓨터 백신으로 유명한 한 글로벌 기업은 2008년 160만 건의 악성코드를 분석하였다고 생각합니다. 그런데 국내 백신기업의 경우, 최대 수만 건에 불과합니다. 담당자는 자신도 수십만 건이라고 제게 이야기를 한 적은 있지만, 그 백신의 성능에 영향을 미칠 분석건수는 대외에 Open 되지 않습니다. 국내 기업은 무엇을 하고 있는지, 만약 저라면 국내에서 발견된 악성코드를 글로벌기업에도 빨리 알려 대한민국이 국제적으로도 공헌하는 나라가 될 것입니다. 왜 스마트폰이 개방적인 구조를 가지는지 알아야 합니다. 왜 구글의 “안드로이폰” 개방적 구조를 가지고, 왜 아이폰은 다양한 어플리케이션이 제공가능한지 알아야 합니다. 국수주의나 폐쇄적인 가까운 나라일수록 발전이 느립니다. 최근 읽은 기사가 있습니다. <프레시안> 모 기자의 기사입니다. “일본은 사라질 것이다”, [전문가 시각] "폐쇄적 일본경제, 추락 계속될 것" http://globalstandard.or.kr/bbs/board.php?bo_table=sub0200&wr_id=480 http://www.pressian.com/article/article.asp?article_num=40100112131241&Section=05) 이 글을 읽어본다면 “세계에서 가장 폐쇄적인 선진국”인 일본에 대한 이야기를 다루고 있습니다. 일본의 폐쇄성에 의한 추락을 다음과 같이 설명합니다. 1) 일본은 가장 잘 나갈 때 세계를 향해 문을 열지 않고 단일 민족을 고집 2) 가장 폐쇄적인 시장 3) 금융도 폐쇄적, 일본 증권 시장에 선물시장이 없음 4) 외국 박사를 우대하지 않음 5) 외국인 영주권, 시민권 인색, 세계 최하위 6) 대외 원조에 인색한 나라 기자는 다음과 같이 끝을 맺습니다. “국수주의적 편견과 아집을 버리고 진정 세계국가, 세계시민이 되고자 결단해야 한다. 이제는 단일 민족이 아니라 세계 민족이 되는 나라가 이기는 나라이다. 아니 항상 이기는 나라였다.” <연재 순서> 1. 대한민국 보안, 무엇을 바꾸어야 할까요?, 2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈 3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다. 4. 보안 전문가는 국가의 소중한 자산이 되어야 한다. 5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다. 6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다. 7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다. 8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다. 9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다. 10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다. 11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다 12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다. [글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)] *TSRC: Trusted Security Research Center
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
