프라이버시에 해당하는글 5



최근 미 연방거래위원회(Federal Trade Commission, FTC)가 사물인터넷 실태를 분석하여 6월 초 상무부에 관련 보고서를 제출했다. (연방거래위 사물인터넷 보고서 원문) 사물인터넷이란 일상 사물을 인터넷에 연결시켜 데이터를 주고받을 수 있도록 하는 체계를 의미하며 기기의 효율성과 기능성을 향상하고 사용자 편의를 개선하는 데 그 목적이 있다. 일반적인 소비자를 대상으로 하는 사물인터넷 기기에는 스마트폰, 태블릿, 카메라, 가전기기, 웨어러블 보건기기 등이 있으며 애플의 스마트워치와 TV, 구글 크롬캐스트(Chromecast) 아마존 에코(Echo) 등을 예로 들 수 있다.

 

연방거래위는 사물인터넷의 장점과 문제점을 분석하면서 수많은 사물인터넷 기기들이 사용자에게 여러 이점을 제공하지만 개인정보 탈취 및 사기행각의 새로운 기회를 유발한다고도 지적한다. 구체적으로는 스마트 미터기, 커넥티드차량, 커넥티드 보건기기 등이 편의성을 비롯한 장점을 제공하는 기기로 언급된 한편 모든 사물인터넷 기기는 프라이버시 및 보안 측면에서 위험을 안고 있다고도 한다.

 

연방거래위 보고서는 다음과 같이 설명한다. "비록 전통적인 컴퓨터 및 네트워크에도 이와 유사한 문제가 존재하기는 하지만 사물인터넷에서는 그 문제가 더욱 부각될 수 있는데 이에 대해서는 회로부품이 상대적으로 저렴하고 소모적이며 기기를 신제품으로 교체할 수 있는 주기가 짧다는 사물인터넷의 특성이 부분적인 원인이 될 수 있다. 제품교체주기가 짧기 때문에 사물인터넷기기 제조업체 측에서는 기기의 최대수명 기간 동안 소프트웨어 업데이트를 제공할 이점이 사라지게 되며 이로 인해 사용자의 기기는 위험에 노출된 상태로 방치될 수 있다. 또한 몇몇 기기의 경우 업데이트 적용이 어렵거나 불가능하기도 하다."

 

사물인터넷기기의 보안상 허점은 데스크탑 또는 노트북과 마찬가지로 해커가 기기에서 수집하거나 보관 중인 개인정보에 접근하고 이를 악용할 수 있는 기회를 유발한다. "사물인터넷기기는 사용자가 자신의 일상적인 활동을 모니터링하고 컨텐츠에 접근하는 한편 네트워크를 통해 세상과 상호작용할 수 있는 기회를 제공하지만 한편으로는 권한 없는 사람이 취약점을 악용하여 개인정보를 탈취하고 사기행각을 저지를 수 있는 기회를 만들기도 한다."

 

연방거래위는 또한 사물인터넷이 야기하는 프라이버시 문제도 언급했다. 수많은 사물인터넷기기는 기기사용, 환경, 사용자에 대한 데이터를 수집하는데 기기 제조업체들이 이 데이터를 다양한 목적으로 활용할 수 있다. "연방거래위 분석에 따르면 사물인터넷 보건 및 피트니스 웨어러블기기에 연동된 외부 앱이 아주 많다는 사실이 밝혀지기도 했다. 이들 외부앱은 사용자 개인식별정보와 더불어 사용자의 운동패턴, 식습관, 보행시간, 의료검색기록, 우편번호, 성별, 위치정보 등의 데이터를 수집한다."

 

"이 분석에서 알 수 있듯 사물인터넷기기는 사용자의 신체나 습관에 관련된 고도의 기밀정보를 수집, 전달, 공유할 수 있다. 사용자 보건패턴, 식습관, 의료검색 정보가 오프라인 출처와 그리고 기기 간에 조합된다면 이러한 프라이버시 문제가 더욱 커질 수 있다." 이러한 방대한 데이터수집은 대부분 사용자 동의 없이 이루어지며 프라이버시와 보안 측면에서 우려를 발생시키고 있는 가장 큰 문제다. 보고서는 아울러 "사물인터넷기기가 수집한 대량의 상세정보에 접근할 수 있는 사람들은 이보다 적은 데이터로는 수행하기 어려운 분석을 행할 수 있다."라고도 언급했다.

 

이는 곧 스마트기기의 편리함을 누림에 주의가 필요하며 데이터를 보호할 보안 및 프라이버시 툴이 갖춰져야 함을 의미한다. 이를 위해 안티바이러스와 안티맬웨어 솔루션을 사용하고 온라인보안을 점검해야 하겠다.

 

 


VIPRE Security News, FTC Exposes Security and Privacy Flaws of Internet of Things, 6. 24. 2016.

https://blog.vipreantivirus.com/security-news-room/ftc-exposes-security-privacy-flaws-internet-things/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 27. 15:22

 

가트너와 루카스블레이크가 작성한 인포그래픽을 통해

사물인터넷 산업의 진화를 돌아보고 가까운 미래에 사람들에게

큰 영향을 줄 수 있는 사물인터넷의 잠재력을 살펴볼 수 있다.

 

기술조사 및 자문 회사 가트너(Gartner) 그리고 영국과 유럽에서 정보기술 및 원격통신분야 세일즈전문가 채용에 특화된 루카스블레이크(Lucas Blake)가 최근 사물인터넷의 진화 그리고 다가오는 미래에 실현될 사물인터넷의 잠재력을 살펴보는 인포그래픽을 발행했다. 물리적 사물을 센서로 "보강"하고 이를 기기, 시스템, 사람 등 다른 대상과 결합하는 데 소요되는 비용이 지속적으로 하락함에 따라 사물인터넷이 소비자 삶과 기업 경영모델에 끼치는 영향이 급속히 커지고 있다.

 

가트너 부사장이자 분석가인 W. Roy Schulte는 다음과 같이 설명한다. "과거 실용성이 없었던 사물인터넷 응용방안이 가진 실용성이 나날이 커진다. 어플리케이션 측면에서는 사물인터넷이 적용되지 않는 부분도 있으나 산업적으로는 사실상 모든 업종에서 사물인터넷이 중요한 의미를 가진다. 순수하게 사물인터넷만 응용하는 경우는 나오지 않으며 대신 다양한 분야에서 사물인터넷을 크고 작은 비중으로 활용하게 될 것이다. 따라서 정보중심 프로세스의 경영분석가와 개발자들은 그러한 프로세스에 활용될 수 있는 사물인터넷을 적용하기 위한 전문성과 툴을 가져야만 한다."

 

본 인포그래픽에 따르면 2016년에는 매일 550만 대의 신규 기기가 네트워크에 연결되며 산업 간 지출액이 2천억 달러가 넘을 전망이다. 사물인터넷은 20162350억 달러의 서비스지출비용을 지원할 예정이며 이는 2015년에 비해 22% 증가한 수치다.

 

가트너는 두 종의 커넥티드 사물을 언급한다. 범용 기기는 비용절감을 위한 건물관리시스템이나 커넥티드 조명시스템처럼 다양한 업종에 활용될 수 있는 기기다. 한편 수직적 기기는 용도가 정해진 병원장비나 컨테이너선 추적장치와 같이 특정 업종에서 활용된다.

 

향후 몇 년 동안 사물인터넷이 급속도로 발전할 예정이라는 점은 놀랍지 않은 내용이다. 2020년까지 가동되는 사물인터넷 기기는 200억 대에 달하며 보건, 업무, 여행, 오락 등에 광범위하게 응용될 전망이다. 하지만 사물인터넷 솔루션의 속성, 사물인터넷의 설치과정, 생성 및 소비되는 데이터의 유형 등으로 인해 회사들이 새로이 해결해야만 하는 보안 및 프라이버시 문제가 생겨난다. 이는 대부분의 IT 및 기업 지도자에게 익숙하지 않은 복잡성을 야기하여 기업 위험을 급격히 증대시킨다.

 

가트너 부사장이며 분석가인 Ted Friedman은 다음과 같이 설명한다. "사물인터넷은 우리 환경에 대한 지속적 데이터를 수집할 수 있는 거대한 잠재력을 가지고 있다. 의료진단, 환경보호, 기계작동변경, 물리적 접근의 식별 및 승인 등 개인적 및 업무적 의사결정을 내릴 때 데이터의 무결성이 중요해진다. 허위 혹은 조작된 센서나 영상데이터에 대한 암거래시장은 데이터가 침탈되거나 아니면 부정확한 혹은 조작된 데이터로 대체될 수 있음을 의미한다. 이러한 현상으로 프라이버시 제품 및 서비스의 성장이 촉진될 수 있으며 프라이버시의 미래, 개인 프라이버시 보호수단, 프라이버시 보호에서의 정부와 기술의 역할 등에 대한 폭넓은 공공 논의가 생겨날 수 있다."


 

 


 

Zhanna Lyasota, The Evolution of the Internet of Things [Infographic], 3. 28. 2016.

http://www.coinspeaker.com/2016/03/28/the-evolution-of-the-internet-of-things-infographic/

 

번역: madfox




참고링크 


<소프트메이트 블로그: 정보기술 소식, 팁, 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

사물인터넷

날짜

2016. 4. 6. 19:08




할리우드 영화라든지 현대 범죄물이나 스파이창작물을 보면 휴대폰과 컴퓨터 해킹은 어려운 일이 아니다. 적당한 기기를 연결하고 입력 몇 번만 거치면 침투에 성공한다. 그러면 기기에 있던 모든 비밀이 드러나고 침입자의 수중에 들어간다. 이 경우 공권력의 입장에서는 "말처럼 쉽게 되는가?"라는 반응이 나올 수 있는 한편 프라이버시와 보안을 중시하는 입장에서는 "그렇게 단순하지 않아서 다행이다"는 반응이 나올 수 있다. 애플과 FBI를 비롯한 여러 입장에서 현재 무엇이 가능하고 무엇이 불가능한지가 중요한 논제가 된다.

 

201512월 부부관계인 Syed FarookTashfeen Malik은 미국 캘리포니아 샌버나디노에서 총기를 난사하여 14명을 살해하고 22명에게 중상을 입혔다. 두 명 모두 경찰과의 총격에서 사망했지만 이 사건은 미국 내 테러행위로 규정되어 수사가 계속되고 있다.

 

미 연방수사국은 현재 Farook의 고용주가 보유하면서 Farook에게 줬던 애플 아이폰을 입수했으며 여기에 보관된 데이터에 접근하려 하고 있다. 물론 이 과정 자체가 오류의 연속이었다. 연방수사국은 우선 아이클라우드(iCloud) 백업자료에 접근하기 위해 Farook의 고용주에게 아이클라우드 계정 비밀번호를 바꾸라고 요구했으나 해당 자료는 1개월 이상 지난 내용이어서 연방수사국 측에서 원하는 정보는 없었다.

 

기기의 자체 저장공간이 암호화된 상태고 연방수사국은 이를 복호화하는 데 필요한 툴을 보유하지 못했기 때문에 기기 저장공간에 접근할 수 있도록 애플에 협조를 요청했다. 애플은 고객 프라이버시에 대한 우려를 이유로 이 요청을 거절했다. 연방수사국은 비용을 들여 가능한 경우의 수를 하나씩 입력하는 대신 해당 기기에 전자적으로 비밀번호를 입력할 수 있는 수단을 마련하여 모든 경우의 수를 빠르게 시도할 수 있도록 애플의 수사협조를 강제하기 위해 1789년 포괄명령법(All Writs Act of 1789)를 근거로 연방법원에 심판을 청구했다.

 

애플 CEO 팀 쿡은 다음과 같이 밝혔다. "미국정부는 애플에 대해 고객 보안을 위협할 수 있는 사상 초유의 조치를 요구했다. 우리는 이 요청을 거절하며 이는 법적 문제 이상의 의미를 가지고 있다. 이 문제는 공공의 논의가 요구되며 우리 고객 그리고 세계인들이 현재 이 문제에 무엇이 걸려 있는지 이해하기를 바란다." 애플은 2016226일까지 연방법원에 입장을 밝혀야 하며 외부자문을 통해 항소할 준비를 하고 있다.

 

1789년 포괄명령법은 미국 연방법원이 "관할권 내에서 법의 목적과 원칙에 부합한다고 동의할 수 있는 한 필요하거나 적절한 모든 명령을 내릴 수 있는권한을 부여하고 있으며 이 내용을 보면 성급한 적용은 금물로 보인다. 한편 법원이 정의실현을 추구하고 수사를 돕기 위해 명령을 발령할 수 있음은 일견 합리적인 듯 보이지만 "법의 목적과 원칙에 부합한다고 동의할 수 있는 한"이라는 표현 때문에 문제가 복잡해진다. 도대체 누가 동의를 한단 말인가. 만약 명령을 내리는 법원이 동의의 주체가 된다면 이는 사실상 법관이 내키는 대로 할 수 있는 백지수표 발행이나 다름없다. 만약 법원이 아니라면 어떤 주체가 그러한 명령을 관장하면서 헌법적 보호를 위배하거나 권력을 남용하지 않는다고 보장할 수 있는가.


무자비한 테러공격이 저질러진 상황에서 테러범들이 단독으로 공격을 실행했는지 혹은 배후 조력자가 있는지 밝혀내기 위해 모든 필요한 조치가 정당화될 수 있어 보이기도 한다. 애플이 조금만 양보하고 제품에 백도어를 생성하여 수사를 돕고 미국 시민들을 보호할 수는 없는가.

 

한편으로는 이는 정부가 자체적인 해킹 역량이 떨어진다는 이유로 회사에게 자사 제품의 보안을 깨도록 강제하는 월권행위가 되며 이러한 개입은 해당 제품에 대한 고객 신뢰까지 저해할 수 있다는 시각도 있다.

 

정부 측에서는 애플이 별도의 iOS 버전을 생성하여 Farook의 아이폰에 설치한 다음 데이터를 복호화하여 제공할 수 있다고 판단한다. 정부는 심지어 애플이 이 작업을 자체 시설에서 실행하고 데이터를 받는 즉시 iOS 백도어 버전을 삭제하는 방안까지 허용할 의향이 있다고 한다. 이는 합리적인 듯 보이지만 순진한 발상이기도 하다. 램프의 요정이 한번 나오면 다시 들어갈 수 없듯 이러한 선례는 돌이킬 수 없으며 또한 정부 측의 바람이 기술적으로 가능하면서 합리적인 비용과 시간을 들여 달성될 수 있다는 섣부른 가정이 깔려 있다. 별도의 iOS 버전을 생성하여 기기에 설치할 경우 정부가 원하는 데이터 그 자체가 손실되거나 덮어씌워질 수 있다. 그렇지 않다 해도 만약 암호화에 특정한 키가 사용됐다면 새로운 iOS를 설치한다고 해서 복호화가 바로 될 수도 없다. 이 경우 데이터를 암호화하는 데 쓰였던 키도 있어야 한다. 그렇다면 새로운 iOS가 어떻게 데이터를 정부 측에 넘길 수 있는가.

 

테러행각 당시 상황이 어떠했든 Farook이 공격실행 전 1개월이 넘게 아이클라우드에 접속하지 않았음은 분명하다. 이렇게 보면 그가 위치서비스 또한 정지시켰다고 봄이 타당하며 따라서 그가 이메일이나 문자로 테러계획을 전파하고 공모자들과 셀카를 찍을 정도로 멍청하지 않았던 이상 문제의 아이폰에 이통사로부터 받은 자료 외에 실제로 수사에 도움이 될 만한 정보가 있을지는 의문스럽다. 10대들도 이른바 "대포폰"이 무엇인지 아는 오늘날 테러범들이 어떤 국가에 잠입하고 1년 넘게 거주하면서 무기와 탄약을 확보하여 무자비한 공격을 실행하기까지 수사의 단서를 남길 수 있는 정보를 휴대폰에다 보관했으리라고는 상상하기 어렵다.

 

애플은 226일까지 응답기한을 통보받았으며 이는 앞으로 법원에서 수년에 걸쳐 진행될 공방 그리고 스마트폰 및 암호화 업계 전반에 걸쳐 끼칠 영향의 시작일 뿐이다. 정부가 어떤 회사의 제품 보안을 뚫기 위해 백도어를 강요할 수 있는지는 사실은 백도어 설치를 통해 암호화된 데이터를 확보할 수 있다는 점보다는 오히려 사소한 문제다. 이는 암호화된 데이터 그리고 이와 분리된 별도의 키가 존재하는 경우든 아니면 키와 데이터가 동시에 보관되며 9999가지 조합이 가능한 4자리 비밀번호에 보안이 걸려 있든 마찬가지다.

 

이 문제는 지난 20년 동안 발생했던 각종 자유, 프라이버시, 보안 등 문제와 동등한 수준의 중요성을 가진다는 면에서 주목할 필요가 있다. 누구의 생각이 옳은가. 정부가 애플에게 백도어 생성을 강제할 수 있는가. 그 아이폰에서 밝혀지지 않은 유용한 정보가 있는가. 판단은 각자의 몫이다.

 

 

 

Casper Manes, #nobackdoor or, How the US Government vs. Apple will have long-lasting ramifications, 2. 22. 2016.

http://www.gfi.com/blog/nobackdoor-or-how-the-us-government-vs-apple-will-have-long-lasting-ramifications/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016. 3. 16. 12:28

사진: Auth0



사물인터넷의 보안문제는 여전히 안심할 수 없으며

근본적인 대책의 마련은 아직 진행되고 있다.


사물인터넷은 해결책보다 의문점을 더 많이 만들어 내는 현상이다. 물론 온갖 기기를 하나로 연결하고 이들에게 지능까지 부여한다는 발상은 매력적이긴 하지만 전문가 대부분은 사물인터넷 분야에 여러 위험이 존재함을 시인하고 있다. 특히 보안위험은 가장 중요한 연구대상이다.

 

우리 사회는 실수에서 교훈을 찾고 있으며 완전히 연구되거나 규제되지 않은 무엇인가에 전적으로 빠져들지 않도록 작동한다. 단점을 제거하기 위해서는 현재 상황을 최대한 분명하게 직시할 필요가 있다. IoT 기기 제조자들이 반드시 네트워크보안 전문가라고 장담할 수는 없다. 따라서 이들이 보안상 허점을 방치한다 해도 누굴 탓할 수 없는 문제다.

 

Auth0이 최근 실시한 조사에 따르면 사물인터넷의 보안에 대한 우려가 적지 않다. 조사 결과 소비자의 52% 그리고 전문가의 85%는 사물인터넷의 안전에 대해 회의적이었다. Auth0에 따르면 대기업에서 자주 발생하는 데이터탈취로 인해 소비자들이 안정성과 보안을 우선적으로 고려하게 됐다고 한다. "조사에 참여한 개발자들은 IoT 기기가 시장에 너무 빨리 진입함에 따라 개발자들이 어느 정도 포기하는 부분이 생길 수밖에 없기 때문에 이러한 불신이 생겨난다고 한다. 보안상 우려에도 불구하고 어플리케이션을 급히 출시하려 함에 따른 압박감을 받은 경험이 있냐는 질문에 그렇다고 대답한 개발자는 85%가 넘었다."

 

보안문제는 식별에 그치지 않고 해결되어야 하며 이 또한 개발자의 몫이다. 20159월 보스턴에서 열린 IoT보안 2015(IoT Security 2015) 컨퍼런스를 통해 각종 보안상 난제가 논의됐다. 여기에서 언급할 만한 가치가 있는 논의내용은 다음과 같다.

 

● 맥락(context) 기반 보안, 새로운 게이트웨이, 미들웨어라는 세 가지 대책 통한 IoT 지원에 필요한 "신뢰의 체인(chain of trust)" 활성화


 모든 스마트기기를 공장단계초기화(factory wipe) 옵션을 보유하는 쪽으로 제작하고 자동차나 주책과 같은 스마트상품을 신규 소유자에게 이전하기 위한 "굿 프로세스(good process)" 개발


 복구간시간(mean time to recovery, MTTR) 및 고장간시간(mean time between failure, MTBF)과 같이 복구능력(resiliency)에 역점을 둔 새로운 성능기준 창설


 제조자 측에서 제공하는 정기 보안서비스.

 

전문가들은 정보 암호화가 기기 보호에 가장 좋은 방법이라고 한다. 애플과 마이크로소프트 등 수많은 회사는 자사의 신규 모바일 운영체제에 기본 디스크 암호화를 탑재함으로써 암호화 대책을 취하고 있다.

 

Secure Thoughts의 편집장 Jen Martinson은 다음과 같이 요약했다. "사물인터넷은 복잡한 발상이자 유기체로 자체적인 필요와 소비자의 필요 모두에 부응하여 끊임없이 진화한다. 강력하면서도 신속하게 적용될 수 있는 보안수칙의 제공은 생물체의 작동방식을 이해해 나가는 과정과 유사하다고 할 수 있다."

 

사물인터넷은 세계 각지의 대기업으로부터 엄청난 투자를 끌어모으고 있다. 몇 개월 전 마이크로소프트는 윈도 10 IoT Core를 발표했다. 윈도 10 IoT Core 운영체제는 기본적으로 윈도 생태계에서 사용되는 내장기기를 위한 앱과 관련된다. 마이크로소프트에 따르면 IoT Core는 진입장벽을 낮추고 전문적인 기기의 제작을 용이하게 해 주며 다양한 오픈소스 언어를 지원한다고 한다.

 



Tatsiana Yablonskaya, Internet of Things Security Problem Needs to be Solved, 11. 30. 2015.

http://www.coinspeaker.com/2015/11/30/internet-of-things-security-problems-solutions/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015. 12. 2. 11:06


 

소셜엔지니어는 인류의 기원, 적어도 인류가 서로 소통하기 시작한 이래 존재했다고 할 수 있으며 다만 이를 소셜엔지니어라는 명칭으로 표현한 게 최근일 뿐이다. 그래도 사기꾼보다는 고상한 표현이 아닌가.

 

디지털시대에 소셜엔지니어링이란 상당기간 네트워크침입과 데이터침탈의 주된 원인으로 지목됐다. 다른 기술과 마찬가지로 소셜엔지니어링 역시 급속히 진화했으며 과거 청소년들이 해킹을 시도하던 시절과 달리 오늘날의 소셜엔지니어들은 훨씬 정교하고 다양한 수법을 구사한다. 이 글에서는 소셜엔지니어링의 현주소를 돌아보고 이를 실행하는 주체가 누구인지 살펴보고자 한다. 소셜엔지니어 중에는 기업 컴퓨터사용자를 상대로 보안의식과 규제준수(컴플라이언스)를 시험하기 위해 정식 요청에 따라 거액을 받으며 소셜엔지니어링을 실행하는 전문가들도 있다.

 

해커, 크래커, 공격자의 핵심 목표는 그들의 방문이 허용되지 않는 디지털의 장소에 침입하는 데 있다. 그 목적은 바이러스나 맬웨어 주입, 비밀번호나 개인정보 또는 데이터 탈취에서부터 시스템 또는 네트워크 과부하를 통한 작동정지에 이르기까지 다양하다. 하지만 의도하는 결과가 무엇이든 그 본질은 무허가 접근을 실행하는 데 있다. 타인의 네트워크에 들어가는 방법은 두 가지가 있으며 하나는 기술적 방법(코드 해킹)이고 다른 하나가 바로 소셜엔지니어링(인간 해킹)이다.

 

위 두 방법 중 어느 하나가 쉽고 다른 하나가 어렵다고 단정짓는 건 섣부른 판단이며 이는 개별 해커의 능력에 따라 이들의 상대적 난이도가 달라질 수 있기 때문이다. 코딩에 능해 키보드만 가지고도 침투를 실행할 수 있으나 현실의 살아있는 사람과 소통하고 이들에게서 어떤 행동을 유도하는 재능은 전혀 없는 사람들도 많다. 한편 에스키모를 상대로도 에어컨이 필요하다는 사기를 치면서도 가장 기초적인 프로그래밍 작업조차 할 줄 모르는 사람들도 있다. 하지만 이 경우 전자보다는 후자가 좀더 경계의 대상이라고 하겠다.

 

소셜엔지니어링이 정점에 달하면(그게 최고인지 최악인지는 각자의 시각에 달렸다) 기예와 기술의 측면을 모두 가지고 있다. 소셜엔지니어는 역사를 통틀어 범죄자들이 사기극을 벌이게 되는 경우와 동일한 이유로 동기부여를 받는다. 이는 본래 자기 것이 아닌 돈이나 무엇인가에 대한 욕심, 피해자보다 지적으로 뛰어남을 증명, 다른 사람에 대해 통제와 권력을 행사하려는 욕구 등이 될 수도 있고 어쩌면 단순한 유흥 때문일수도 있다. 몇몇 소셜엔지니어의 경우 생계유지를 위해 능력을 발휘하지만 순전히 재미를 위해 소셜엔지니어링을 구사하는 사람도 없지 않다. 소셜엔지니어링이란 본질적으로 사람을 속여 돈, 사랑/우정, 컴퓨터 비밀번호 등 무엇인가를 넘기도록 하는 데 있다.

 

관리자를 비롯한 컴퓨터사용자는 인간에 불과하며 소셜엔지니어는 바로 이러한 인간의 약점을 이용한다. 구체적인 목표가 무엇이든 오늘날 소셜엔지니어가 사용하는 방식은 고전적으로 검증된 방식과 창의적인 신종 사기수법을 조합하여 피해자로 하여금 유익한 무엇인가를 넘기게 하며 컴퓨터사용자를 상대로 할 경우 이는 전자적 자산을 열람, 탈취, 조작하는 데 쓰일 수 있는 정보를 의미한다. 첫걸음을 우선 신뢰를 확보하는 데 있다.

 

유능한 소셜엔지니어는 여러 방법으로 이 첫걸음을 시작할 수 있다. 소셜엔지니어는 피해자와 공감대를 형성함으로써 친밀감을 쌓을 수 있으며(이 경우 대체로 사람들은 모르는 사람이라면 남성보다는 여성을 덜 의심하기 때문에 여성이 최고의 소셜엔지니어인 경우가 많다) 피해자의 온갖 문제 그리고/또는 성과를 이해하고 공감할 수 있는 소울메이트가 된다. 소셜엔지니어는 피해자에게 자신의 고민거리를 털어놓거나 혹은 혼자서만 간직하기엔 너무 큰 자부심이나 행복의 순간을 공유하면서 피해자로부터 공감이나 동정을 끌어내게 된다.

 

오늘날의 소셜엔지니어는 온갖 고전적 거래수법을 동원한다. 여기에는 인위적 시간제한 설정("이걸 2시까지 끝내야 한다."), 도움을 주고자 하는 인간의 본능에 호소("이걸 못하면 엄청 곤란해지는데."), 피해자의 자만심 자극("이건 너가 나보다 훨씬 잘하지."), 주고받기("이번에만 넘어가 주면 상사에게 너 덕분에 이번 일을 시간 내에 끝낼 수 있었다고 알릴게.") 등이 있다.

 

물론 피해자와의 친밀감 형성은 대부분에 사람들에게 은밀한 정보를 드러내도록 하는 가장 효과적인 방법이며 이는 장기적인 관점에서 특히 두드러지지만 다른 소셜엔지니터링 수법은 정반대의 접근을 취하며 이 경우 실제의 혹은 그럴듯해 보이는 허위 직위에 대한 호소("저는 공무원이며 이 부분을 즉시 조사해야 합니다."), 상사의 대리 행세, 심지어는 물리적 위협의 표현 등을 통해 피해자를 압박하여 원하는 정보를 내놓도록 한다.

 

그렇다면 오늘날의 소셜엔지니어가 과거와 차별화되는 부분은 무엇인가. 단지 예전보다 지능적으로 변화했다고만 할 수는 없고 과거에 비해 보다 다양하고 좋은 수단이 많다는 점이 큰 차이를 만든다고 할 수 있다. 다만 이러한 수단에 대한 의존이 때에 따라서는 소셜엔지니어링의 본질이라 할 수 있는 사람을 다루는 능력의 연마를 게을리하도록 하는 영향을 끼칠 수도 있음은 다행스러운 점이라 하겠다.

 

고전적인 사기꾼이라면 피해자라는 목표물을 빠르게 읽어내고 이를 통해 피해자의 성향과 여건에 맞춰갈 수 있어야 했지만 오늘날의 소셜엔지니어는 손끝만으로도 피해자의 전체 인생사를 파악할 수 있으며 이는 사람들이 전혀 만난 적도 없고 거리에서 알아보지도 못할 "친구"와 함께 개인사의 시시콜콜한 부분까지도 공유하는 인터넷과 소셜네트워킹을 통해 쉽게 확보할 수 있는 공개기록에 담긴 개인정보 덕분이다.

 

소셜엔지니어는 페이스북 게시글이나 트윗을 통해 어떤 사람을 "알게" 됨으로써 그 사람이 긴장을 늦추게 할 만한 페르소나를 구축할 수 있다. 사람이란 본질적으로 자신과 비슷한 그리고/또는 자신을 좋아하는 사람을 신뢰하게 마련이다. 소셜엔지니어는 경험, 가치관, "좋아요(like)" 등에 대한 정보를 바탕으로 공감 및 선호라는 두 가지 항목 모두에 부합하도록 스스로를 꾸밀 수 있다. 이미 관심사와 선호 그리고 가치관을 많이 공유하고 있다면 거기서 약간 더 나아가지 못할 필요도 없지 않은가. 이 경우 믿을 수 있는 친구라 생각한다면 기밀이어야 할 회사정보나 로그인 정보까지 흘리는 지경에 이를 수도 있다.

 

소셜사이트에 게재하는 내용에 신중을 기하고 상대방과 몇 시간 동안 이야기를 나눈 다음에야 그 상대방의 친구요청을 받아들일 정도로 주의한다 해도 소셜엔지니어의 조사 능력을 통해 위와 같은 방어를 뚫어버릴 수 있다. 소셜엔지니어가 활용할 수 있는 데이터는 개인정보에 국한되지 않는다. 대부분의 회사는 웹사이트를 통해 기업 차트, 고위 임원이 작성한 블로그 게시글 등 놀라울 정도로 많은 양의 "내부자" 정보를 제공하며 소셜엔지니어는 이를 통해 어떤 기관의 "고위급"으로서 피해자에게 정보를 내놓도록 압박할 만한 권위를 갖췄다고 사실적으로 가장할 수 있다.

 

웹에서 찔리거나 혹은 민감한 개인정보를 삭제함으로써 행적을 지우는 데 충분한 노력을 기울였다고 생각한다면 섣부른 판단이다. 유능한 조사자(그리고 현대의 유능한 소셜엔지니어는 의미 그대로 유능한 조사자다)라면 캐싱엔진, 사이트 아카이브, Wayback Machine과 같은 웹사이트 등을 통해 웹사이트에서 삭제된 데이터를 캐낼 수도 있다. 인터넷에서 일어난 일은 인터넷에 그대로 남아 있게 마련이며 이는 종종 영구적이기까지 하다.

 

물론 어떤 소셜엔지니어는 지능적인 동시에 기술에 능하다는 점에서 치명적인 능력을 갖추고 있으며 이러한 유형의 소셜엔지니어는 엄청난 영향을 끼칠 수 있다. 예를 들어 기술적 능력을 활용해 발신자 ID 스푸핑하여 발신자가 실제 위치가 아닌 곳에서 전화를 걸고 있는 듯 조작함으로써 수신자 측에서 해당 발신자의 본래 정체를 혼동하도록 할 수 있다. 이러한 소셜엔지니어는 소셜 측면의 활동기반을 위해 다양한 기술적 수단을 활용할 수 있다. 예를 들어 RFID 리더를 사용하여 신분증 등 각종 카드의 정보를 읽어냄으로써 IT분야나 기타 신뢰 가능한 혹은 기관이나 직위에 있다는 허위주장을 뒷받침하도록 할 수 있다.

 

흔히 소셜엔지니어를 생각할 때 다른 부류의 엔지니어나 해커와 분류되는 점이라는 면에서 "소셜"이라는 부분에 주목하게 되지만 사실 "엔지니어" "기술자"의 진정한 의미에 대해서도 잊지 말아야 한다. 메리앰웹스터 사전에 따르면 기술자(engineer)의 정의에는 "복잡한 시스템을 구축하는 사람" 그리고 "(어떤 기계의) 직접 운용자 혹은 책임자"라는 내용이 포함돼 있다. 이렇게 보면 소셜엔지니어란 그들의 목적대로 인간의 상호작용을 제어하기 위해 정교한 속임수를 구축하는 기술자라고 할 수 있다.

 

하지만 모든 소셜엔지니어링이 나쁜 건 아니다. 공인된 전문 소셜엔지니어로서 보안업계에 종사하며 기관 네트워크에 대한 인간중심 침투테스트를 실행하는 사람들도 있다. 이들의 역할은 인간 보안망에서 "가장 약한 연결고리"를 식별하여 소셜엔지니어의 사기에 취약한 사람들이 보다 제대로 대응할 수 있게 교육받도록 하는 데 있다. 게다가 개인적 차원에서 본다면 누구나 소셜엔지니어링을 수시로 구사한다. 부모는 자녀에게 소셜엔지니어링 수법을 사용하고 반대로 아이들 역시 엄마와 아빠에게 이를 사용한다. 교사는 학생에게, 의사는 환자에게, 상사는 직원에게(그리고 반대로) 소셜엔지니어링을 실행하고 때로는 배우자 간에도 소셜엔지니어링이 벌어지며 정치인이야 더 말할 필요도 없다.

 

소셜엔지니어랑이란 본질적으로 자신이 원하는 행동을 하도록 다른 사람을 유도하는 데 있을 뿐이다. 경우에 따라서는 이러한 행동이 선의에 따라 행해질 수도 있겠지만 그렇지 않은 경우도 많다. 컴퓨터사용자가 자신에 대한 소셜엔지니어링이라는 조작의 징후를 인지할 수 있고 그러한 시도에 대처하기 위한 확실한 대응책과 절차를 알고 있도록 교육할 필요가 있다. 사용자들이 이러한 교육에 별 관심을 가지지 않거나 필요성을 느끼지 못할 수도 있으며 바로 이 경우에 전문가가 보유한 "백색" 소셜엔지니어링이 활용될 수 있다.

 

 

 

Debra Littlejohn Shinder, Social Engineering 2.0: Exploiting the unpatchable vulnerability, 11. 20. 2015.

http://www.gfi.com/blog/social-engineering-2-0-exploiting-the-unpatchable-vulnerability/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015. 11. 25. 16:56

위로가기