工學碩士學位請求論文 웹애플리케이션취약점의사회공학적위협에 따른대응방안제고 Counterplan for Social Engineering Threats Caused by Based on Web Application Vulnerabilities 2008 년 2 월 仁荷大學校工學大學院 컴퓨터 情報工學科 金智淑
工學碩士學位請求論文 웹애플리케이션취약점의사회공학적위협에 따른대응방안제고 Counterplan for Social Engineering Threats Caused by Based on Web Application Vulnerabilities 2008 년 2 월 仁荷大學校工學大學院 컴퓨터 情報工學科 金智淑 指導敎授李楨賢 이論文을工學碩士學位論文으로提出함
이論文을金智淑의工學碩士學位論文으로認定함. 2008 年 2 月日 主審 印 副審 印 委員 印
요 약 기업들은경쟁적으로최신의 IT기술이적용된블로그, 홈페이지등을통해소비자참여를유도한다. 개인은인터넷으로다양한정보를취득하고기업경영에관여하거나음악을다운받고동영상을올리고미니홈페이지나블로그를통해남모르는이웃과교류한다. 이렇듯정보시스템없이기업활동을한다거나개인적인생활을한다는것은상상할수없는시대에더다양하고정교해진하드웨어, 소프트웨어보안장비의도입으로기술적침입기회는점점줄어들고있다. 반면웹애플리케이션개발시취약점을토대로정보보안사슬에서가장취약한사람을이용한기밀정보유출, 피싱등의사회공학적위협은증가하고있다. 따라서이논문은웹애플리케이션개발상취약점을이용한사회공학적정보보호위협사례를알아보고, 보안인식조사를통하여개인정보보호인식, 기업내정보보호정책정도보안교육정도조사한다. 이를통하여취약한소프트웨어로인한위협노출정도를분석해보고, 개발상근본적취약점을극복할최소방안을제안하고자한다. - i -
Abstract Companies are competing to encourage consumer participation through blog and homepage that utilize the newest IT technology. Individuals gain a variety of information on the internet, participate in corporate management, download music, upload videos, and interact with strangers through mini-homepage and blog. In this day and age where it is impossible for companies to do business or for individuals to live their private lives without information systems, the application of newest hardware and software security devices have slimmed the opportunity for technological intrusions. On the other hand it's increasing classified information drain and phishing attack uses the weakest person which from information security chain based on web application development vulnerability. Thus, this paper will investigate cases of social engineering information security threats that use vulnerability inherent in web application development, survey the level of awareness for information security, and evaluate the policies and information security education systems within companies. Based on this research, I will analyze the level of threats exposed by vulnerable software, and propose a solution for overcoming the fundamental vulnerability that exists in the development process. - ii -
목 차 요 약 i Abstract ii 제 1 장서론 1 제 2 장관련연구의이론적고찰 2 2.1 웹애플리케이션 2 2.2 사회공학 9 제 3 장웹애플리케이션취약점에따른사회공학적위협사례 20 3.1 금융피해사례 20 3.2 개인정보유출사례 21 3.3 기밀정보유출사례 23 제 4 장정보보호인식조사 25 4.1 정보보호인식조사설문실시계획 25 4.2 정보보호인식조사현황 26 4.3 정보보호인식조사결과 42 제 5 장대응방안 44 제 6 장결론 46 참고문헌 48 별첨 : 설문지 49 - iii -
제 1 장서론 본논문에서는웹애플리케이션의근본적인설계, 잘못된응용프로그램구현취약점을조사해보고이를통해발생하고있는사회공학적위협에대한원인을파악해보고자한다. 사회공학은시스템을공격하기보다는인간심성본연의취약점을이용하여공격하는방법으로피싱, 악성코드등최근정보보호위협의화두가되고있다. 사회공학적위협에서가장중요한요소는인적요소로서지속적인보안인식교육을통하여사회공학범죄의위협으로부터보다안전할수있다. 이에개인또는신뢰성있는프로그램을제공해야하는기업또는개인의보안인식에대한전반적인수준을분석하고대응방안을제안하고자한다. 첫째, 본논문에서는웹애플리케이션보안에대해거의또는전혀고려하지않는소프트웨어개발프로세스의근본적보안취약점을조사하였다. 둘째, 웹애플리케이션개발상취약점을기반으로사회공학적정보보호위협사례를조사하였다. 셋째, 보안인식설문조사를통해개인정보보호인식, 기업내정보보호정책, 보안교육실시현황을조사ㆍ분석하였다. 넷째, 이를토대로개발상의근본적취약점을극복할대응방안을제안하였다. - 1 -
제 2 장관련연구의이론적고찰 2.1 웹애플리케이션 90년대후반인터넷이본격적으로활성화되고전세계는하나의거대한네트워크로연결되고기업들은 C/S환경에비해 S/W유지보수가용이하고개발이쉽고용이한웹페이지에서부터시작하여사내업무환경은많은조직원들이애플리케이션을작성하고사용하고있다. 현재다양한사용자인터페이스를제공하고사용자중심의능동적인참여로인터넷에서새로운트렌드로각광받고있는웹2.0 이용이크게증가하고있다. 많은기업들이웹2.0을기반으로 Social Networking Site, Wikis, 블로그, Podcasts 형태의다양한서비스를제공하고있으며웹2.0 기술이영업활동에잠재적큰영향을줄것으로기대하고있다 [5]. [ 표 1] 웹2.0 사용서비스활용계획 [4] 사회적커뮤니케이션도구의유용성 1) 온라인비디오 (63% 의기업들이사용중 ) 2) Blogs(55% 의기업들이사용중 ) 3) RSS나웹 feed(51% 의기업들이사용중 ) 4) Podcats (43% 의기업들이사용중 ) 5) 소셜네트워크 (41% 의기업들이사용중 ) 이제웹애플리케이션보안은각기업이웹을통한콘텐츠및서비스를경쟁적으로제공하기시작하면서중요한주제가되었다. 그럼에도불구하고애플리케이션의취약점은보다심각한문제로동일한취약점이지속적으로발생하고있다. 개발자들로인해발생하는전형적인취약점들을통한사회공학적위협은계속적으로증가하고있으며사회공학이향후 10년동안단일위협중가장큰보안위협이될것 [6] 으로전망되고있다. - 2 -
2.1.1 웹애플리케이션보안대두배경 현재 IT환경은소프트웨어의규모는점차커지고복잡해지고요구되는개발기간은짧아지고있는상황으로변하고있으며정보보호의현실은공격기술이정보보호기술보다앞서있는상황이다 [14]. 손쉽게구할있는해킹툴과다양한정보수집경로와법적근거미비를근간으로전문적이고상업화된사이버범죄는계속증가하고있다 [ 그림 1]. 실제웹사이트를모방한피싱웹사이트를개설할수있도록도와주는여러스크립트를제공하는피싱툴킷과 Mpack( 분산맬웨어공격키트 ) 이거래되고있다. 보안문제및위협상황은위협은조직화 (Systematization), 은닉화 (Stealth), 분산화 (Distributed), 에이젠트화 (Agent), 자동화 (Automation) 되고있어정보보호기술의진전만으로는해결하기어려운상황에이르렀다. [ 그림 1] 툴킷을이용한공격의전문화및상업화추이변화 [1] 웹클라이언트에서이용가능한 VB Script 과같은프로그래밍언 어및자바애플릿과 ActiveX 컨트롤등의개념이지속적으로생겨나고있 다. 공격자는이를통해다양한방법으로웹애플리케이션을통한악성코 - 3 -
드유포, 기밀정보취득등을시도하고있고웹애플리케이션환경은이에 좋은환경을제공하고있다. 첫째, 보안에대해거의혹은전혀고려하지않는소프트웨어개발프로세스이다. 대부분의시스템과웹애플리케이션소프트웨어는보안원칙이나소프트웨어공학, 상식따위는도외시하고개발되고있다 [2]. 둘째, 보안문제는전문가의영역으로생각한다. 개발자는일반적인취약점에주의를기울이지않고프로그램을구현한다. 소프트웨어개발사나프로그래머, 일반사용자의보안가이드라인없이구현을마친후혹은다른비즈니스요구사항을구현한후에수행하는것으로여겨지기도한다 [2]. 셋째, 웹애플리케이션의보안문제를피하는법에대한교육은대부분이간과되고있다. 웹개발자는고객데이터가인터넷의잠재적인위험으로부터어느정도보호를받아야하는지에대해적절한수준을알필요가있다 [2]. 의료분야의경우고객프라이버시를보호하기위해안전한웹애플리케이션을제공해야할매우중요한책무를지녔음에도불구하고코드상의결함으로환자에대한개인병력기록이인터넷에노출된다면그결과는어떠할지짐작할수있을것이다. 넷째, 기본컨트롤은물론, 메신저, 동영상및음악플레이어, 온라인게임설치프로그램, 공인인증서, 보안프로그램등에서사용되는 ActiveX 컨트롤등의써드파티소프트웨어에존재하는취약점이다. 2007년웹브라우저의플러그인취약점을통한악성소프트웨어감염경로로사용되었고 2007년상반기동안, 브라우저플러그인에관련된 237개의취약점이발견되었으며 2006년에비해 129개가증가하였고 2006년하반기에 58% 비해 31% 증가한 89% 의브라우저플러그인의취약점의 ActiveX에관련되었다 [1]. 다섯째, 다양한정보수집경로를통해 HTML등스크립트언어로누구나쉽게프로그래밍할수있게되었다. 그만큼웹개발자가되는것은어렵지않는상황이다. 웹애플리케이션이나오기이전, 컴퓨터프로그램을하는것은상당히많은노력과기술을필요로했다. 서버개발자는사용자가필 - 4 -
요로하는전체로직을구현한코드 (C/C++) 를작성, 컴파일하여실행파일을만들어냈다 [3]. 반면웹애플리케이션개발에사용되는스크립트언어는편집기사용할수있다면누구나간단한작성만으로웹페이지를생성할수있고그만큼해커가공격할수있는논리적인오류를포함할가능성이증가한다. 웹애플리케이션해킹은주로시스템이아닌애플리케이션의논리적오류를공격하는것이기때문에공격이어렵지않다. 더욱이웹애플리케이션해킹에필요한도구는웹브라우저와로컬프록시툴정도에불과하기때문에인터넷을사용할수있고웹브라우저를띄울수있는곳에서누구나마음만먹으면해킹이가능하다. 2.1.2 웹애플리케이션보안취약점 [3] 인터넷이실제로비즈니스를운영하는데있어서매우편리하면서도위험한매체이다. 웹애플리케이션의피싱과인증, 승인등의취약한권한확인으로인한개인정보보호위협, 신원도용, 시스템훼손, 데이터변조파괴이에따른금융손실과손실로인한법적소승에따른신뢰성, 평판하락, 기업의존립위기까지갈수있다. 실제로취약점을이용한악의적인수법은어렵지않게실행할수있다. (1) 크로스사이트스크립팅 (XSS) XSS 취약점은콘텐츠를암호화나검증하는절차없이사용자가제공하는데이터를어플리케이션에서받아들이거나, 웹브라우저로보낼때마다발생한다. XSS는게시판이나웹메일등에악의적인스크립트를삽입하여스크립트를실행할수있게허용함으로써사용자의세션을가로채거나, 웹사이트변조, 악의적인콘텐츠삽입, 피싱공격행위를할수있다. 악의적인스크립팅으로사용자의사용을방해하거나쿠키및기타개인정보를특정사이트로전송한다. 사이트주소창에정확한주소를입력하여도 - 5 -
사용자자신도모르게해커의서버로접속되는방식으로호스트파일을변조하는방법으로금융기관인것처럼위장된웹사이트를통해이용자들의개인정보를탈취하는수법으로피싱공격자들이블로그, 미니홈피의소셜네트워크사이트를통한공격대상은더욱증가하고있다. (2) 인젝션취약점 SQL, LDAP, Xpath, XSLT, HTML, XML, OS 명령어인젝션중웹애플리케이션에서는일반적으로 SQL 인젝션취약점을이용한공격이많다. 웹애플리케이션에의도적으로 SQL문을삽입하여로그인인증과정을우회하거나공격자의악의적인쿼리문을 DB에보내거나검사루틴을우회할수있다. 인젝션취약점은해커가애플리케이션에이용가능한임의의데이터를생성하고, 읽고, 갱신, 삭제를허용한다. 만약데이터베이스의구조를알고중요테이블을삭제한다면애플리케이션은사용할수없고시스템은다운되고만다. ID/PASSWORD 우회 Select userdata From User Where Userid='' or TRUE SQL 삽입공격 Select userdata From User Where Userid='' ; Insert into User (Userid, UserPWD) value ('kjs','1234') -- 'and password='' Drop Table Select userdata From User Where Userid='' ; drop table User -- 'and password='' (3) 악성파일실행 사용자가올린각종파일에대한신뢰성을검증하지않아파일이 - 6 -
름이나파일을받는모든웹애플리케이션은악의적인파일실행에취약할수밖에없다. 웹애플리케이션은미디어파일의제작, 배포가용이한환경으로 UCC를통한악성코드또는스파이웨어을배포하는또하나의채널이되고있다. 포탈사이트의유명블로그에악의적인코드를담고있는파일을서버에올리고이를클릭한이용자는해당게시물을보거나실행시키는것으로각종위협에노출되게된다. (4) 불안전한직접객체참조 웹애플리케이션이사용자의파라미터값을검증하지않을경우이를악용웹서버로전달되는매개변수 (Parameter) 값조작에의해애플리케이션이비정상적으로동작하게한다. 예를들어, 코드가특정파일이름이나경로를사용자가입력하도록되어있다면, 공격자는애플리케이션의다른디렉터리정보를이동하여다른리소스에접근할수있다. 또한매개변수를추측하거나다른유효한키를찾아서공격할수있다. 매개변수의키값이연속적인경우가많기때문에애플리케이션의권한없이도간단히매개변수를원하는값으로변경할수있다. URL 의매개변수변조전 http://www.abc.com/pharmacy/pre.asp?back=/pharmacy/scripts.asp? patientid=790865 URL의매개변수변조후 http://www.abc.com/pharmacy/pre?back=/pharmacy/scripts.asp? patientid=* patientid 의 790865의매개변수에 * 으로값을변조함으로등록된모든개인의정보가나오는결과를초래했다. (5) 크로스사이트요청변조 - 7 -
기존 HTTP 요청 GET, POST방식으로인해정보노출로공격에노출된다. 예로은행자금이체요청이페이지상에노출됨으로서이체금액, 계좌번호가위, 변조될수있다. 쿠키에포함된사용자정보를조작하여인증을위회한공격한다. 만약이공격이실제은행이체작업시변조된다면크나큰혼란을초래할것은당연할것이다. <img src="http://www.kb.com/transfer.do?frmacct=document.form. frmacct&toacct=434573&toswfiftid=433343&amt=34343.33 > (6) 정보유출및부적절한오류처리 애플리케이션은다양한문제들을통해의도하지않게구성, 내부작업에대한정보를유출하거나개인정보를침해할수있다. 데이터베이스예외처리오류로인한데이터베이스질의문을노출함으로데이터베이스관련구조가노출되는등상세한에러메시지나디버그관련에러메시지들을통해서내부상태에대한정보를유출한다. (7) 취약한인증및세션관리 취약한인증및세션관리는사용자나관리자계정을가로챌수있어개인정보침해를유발한다. 웹상에서의사용자인증은전형적으로사용자아이디와패스워드를사용한다. 상당수의계정및세션관리취약점들은사용자계정혹은시스템관리자계정의침해로이어질수있다. 모든인증자격증명 (credential) 과세션구분자가 SSL(Secure Sockets layer) 을이용하여지속적으로보호되고, 크로스사이트스크립팅등다양한취약점에노출되지않도록보호되지않으면, 공격자가손쉽게다른사용자의세션을가로챌수있으며, 다른사용자를가장하여접속할수있다. - 8 -
(8) 불안전한암호화저장 대부분의웹애플리케이션은데이터베이스나파일시스템상에패스워드, 신용카드정보, 계좌정보, 혹은자체적인정보의민감한정보를저장할필요가있다. 많은경우이런민감한정보를저장하기위해암호화가사용된다. 현재암호화를사용하고구현하기가상대적으로쉬워졌으나, 개발자들은여전히웹애플리케이션에암호화기술을통합할때많은실수를저지르고있다. 개발자들은암호화기술을사용함으로써사이트의보안수준을과대평가할수있으며, 이로인해사이트의다른측면을보안하는일에는충분한주의를기울이지않을수있다. 2.2 사회공학 일반적으로사회공학은사람들의심리적, 사회적관계를이용해사기를치는아주오래된수법으로서사회공학이란용어가새롭고어렵게느껴질뿐결코새로운것이아니며우리곁에서는빈번히일어나고있는현상이다. 컴퓨터공학에서의사회공학 (Social Engineering) 이란 기계적인조작보다사람에의한조작이기업이나소비자들의보안시스템을성공적으로파괴시키는행위 로기술을이용한인위적인사기행각을사용자가인식하지못한상태에서링크를눌러보게하거나첨부를열어보게하는방식으로범죄에말려들도록현혹시키는수법이다. 사회공학은해킹보다더욱심각한문제로원래사람이란예측불가능한데다조작이나설득에걸려들기쉬운점을악용한다. 보안침해피해를당했으며지속적으로당할가능성이있는대다수경우는기술적인해킹이나크래킹때문이아니라사회공학에기인한것하고있다 [6]. 최근에피싱 (Phishing), 파밍 (Pharming), 문자메시지를이용한스미싱 (SMiShing), 불특정다수에게전화를걸어개인 - 9 -
정보를빼내는비싱 (Vishing) 등사회공학적위협이증가하면서사회공학에대한관심도높아지고있다. 현재다양하고정교해진보안장비로기술적침입이어려워지고있어해커들이특별한기술이나지식없이도쉽게사용할수있는사회공학이보안에있어향후그어떤것보다심각한문제가될것이다. 2.3.1 사회공학기법의공격흐름 [7] [ 그림 3] 사회공학기법의공격흐름 (1) 정보수집 (Information Gathering) 공격자는제일먼저공격대상과관련된가족관계, 직장생활그리고사회모임등의개인적이거나사회활동등관련한다양한정보수집을시도한다. 직접적인관찰을통하여기업내수행업무, 전화통화내역등을어깨너머로훔쳐보면서 (Shoulder surfing) 관련정보를수집하거나공격대상이가정또는직장에서무심코버리는메모지, 영수증등을휴지통에서수거 (Dumpster Diving) 한다. 설문조사 (mail-outs) 를통해개인적인취미, 흥미, 가족사항등사회활동과관련된다양한정보를수집한다. 사용컴퓨터에직접또는간접적인접근을통해해당컴퓨터에있는다양한문서, 웹사이트방문기록등온라인상에서의활동과관련된다양한정보를수집 - 10 -
(forensic analysis) 하거나, 인터넷 (Internet) 의다양한검색엔진을통해공격 대상에관한개인정보및사회활동정보를수집한다. (2) 관계형성 (Developing Relationship) 공격자는정보수집단계에서수집된정보를바탕으로공격대상에서자신의본모습을숨기고다른누군가로위장 (Masquerade) 하여접근하여공격대상이가질수있는경계심을없애고신뢰감을형성한다. 다음직장상사나정부기관의고위공무원등중요한인물 (Important User) 로가장하여그가요청하는사항을쉽게거부또는거절하지못하게하거나도움이필요한인물 (Helpless User) 로위장한다. 공격대상의도움이절대적으로필요한인물로위장하여반드시도와줘야한다고생각하게만든다. 기업내, 외부의컴퓨터시스템또는관공서등의지원부서인물로위장하여공격자는공격대상에게현재심각한문제가있음을알리고이를해결하는데자신이도움을줄수있는인물지원인물 (Support Personal) 로가장한다. 공격자가공격대상모르게미리특정한문제를유발시킨후공격대상이자발적으로공격자에게도움을요청하도록만드는기법으로공격자는특정문제를해결함으로써공격자를신뢰할수있는좋은사람으로쉽게판단할수있게만든다. (3) 공격 (Exploitation) 수집한다양한정보들을바탕으로공격대상과충분한신뢰감을형성하였다고판단할경우진행된다. 신뢰감형성후공격자는자신의특수한목적을이룰수있는사항을공격이라는단계에서공격대상에게사소한요청에서큰요청을하게된다. 감정에호소하여요청사항을거부하지못하도록하고공격자는공격대상에게자신의특수한목적을수행할요청사항을이야기할때의견대립등다른문제가발생할경우신속하게공 - 11 -
격대상과타협하거나양보하여의견대립을회피한다. (4) 실행 (Execution) 공격자는확보한유형또는무형의자산을이용한실질적목적을 수행하여실질적인피해가발행된다. 2.3.2 사회공학해커가사용하는주요공격경로 해커가손쉽게이용하는주요공격경로는전자메일, 인스턴스메시지, 유선, 무선전화, 쓰레기통, 폐기된미디어장비, 친분, 지위를가장한개인적인접근, 공격대상모르게미리특정한문제를유발시킨후공격대상이자발적으로공격자에게도움을요청하도록만드는기법 ( 역사회공학 ) 을통한다. 2.3.3 온라인위협 연결성이점차증대되는비즈니스세계에서직원은회사내부및외부에서전자적으로들어오는요청및정보를사용하고이에대응하고해커는이러한연결성을통해인터넷의상대적익명성을사용하여직원에게접근할수있다. (1) 전자메일위협 전자메일을사회공학도구로사용하는방법은최근 10년동안특별한기술로이용되어왔다. 피싱은전자메일을사용하여사용자로부터개인 ID 또는제한된정보를얻는것을말한다. 해커는은행또는파트너회사등유효한조직으로부터전송된것처럼보이는전자메일을보낸다. - 12 -
[ 표 2] 온라인전자메일공격및손실 공격목표설명손실 회사정보도용재정관련정보도용맬웨어다운로드해커소프트웨어다운로드 해커가내부사용자로위장하여회사 정보를획득한다. 기밀정보 해커가피싱기술을사용하여계정자금 비즈니스신뢰성 세부정보와같은회사기밀정보를기밀정보 요청한다. 해커가사용자를속여첨부파일을 비즈니스신뢰성 열거나하이퍼링크를클릭하게함으비즈니스신뢰성 로써회사네트워크를감염시킨다. 해커가사용자를속여첨부파일을 열거나하이퍼링크를클릭하게함으리소스 로써회사네트워크리소스를사용하비즈니스신뢰성 는해커프로그램을다운로드하게한자금 다. (2) 팝업응용프로그램및대화상 사용자가대화상자내부에있는버튼을클릭하도록유도하는방법에는실제와같은운영체제오류메시지또는응용프로그램오류메시지를표시하는등문제를경고하는방법과사용자의컴퓨터속도를향상시키는무료다운로드프로그램등의방법을사용한다. [ 표 3] 온라인팝업및대화상자공격과손실 공격목표설명손실 개인정보도용 해커가조직구성원의개인정보를기밀정보요청한다. 자금 ( 직원구성원 ) - 13 -
자금맬웨어다운로드해커가사용자를속여하이퍼링크를비즈니스가용성클릭하거나첨부파일을열게한다. 비즈니스신뢰성리소스해커소프트웨어해커가사용자를속여하이퍼링크를비즈니스신뢰성다운로드클릭하거나첨부파일을열게한다. 자금 (3) 인스턴트메시징 (Instance Messaging) 메신저의활발한사용으로비즈니스에서꼭필요한도구로널리사용되고있다. 사용자가 IM을전화처럼생각하고컴퓨터소프트웨어위협이존재하고있다는사실을인식하지못하기때문에 IM은특유의즉시성과친숙함으로인해사회공학공격을위한최대의사냥터가되고있다. 주요공격으로는 IM 메시지내맬웨어링크전달과실제파일전달은물론, IM을단순히정보를요청하기위한수단으로사용하기도한다. 사회공학의측면에서볼때 IM의비공식적특성으로의심스러운이름이나거짓이름을지정할수있다는사실을비롯하여현재의대화상대자가자신이알고있는해당당사자임을 100% 확신할수없다. 이로인해다른누군가를가장할 (spoofing) 가능성이커지게된다. [ 표 4] 인스턴트메시징공격및손실공격목표설명손실회사기밀정보해커가 IM spoofing을통해동료로기밀정보요청위장하여비즈니스정보요청비즈니스신뢰성해커가사용자를속여첨부파일을맬웨어다운로드비즈니스가용성열거나하이퍼링크를클릭하게하여비즈니스신뢰성회사네트워크를감염 - 14 -
해커가사용자를속여첨부파일을열거나하이퍼링크를클릭하게하여리소스해커소프트웨어메일엔진과같이회사네트워크리비즈니스신뢰성다운로드소스를사용하는해커프로그램을자금다운로드하게한다. 2.3.4. 전화기반위협 전화는사회공학해커에게고유한공격경로를제공한다. 대부분의컴퓨터시스템을위한통신옵션은 PBX(Private Branch Exchange) 나공중전화박스에서신용카드나전화카드의 PIN( 개인식별번호 ) 을도용하는방법이있다. 이공격의대상은대부분개인이지만회사신용카드도유용한대상이되기도한다. 대부분의사람들은 ATM을사용하는경우엿보는사람이없는지잘살피지만, 공중전화박스에서비밀번호를사용하는경우에는이러한위험에덜조심한다. VoIP (Voice over Internet Protocol) 를도입하는회사의수가갈수록늘고있으므로지금의전자메일이나 IM spoofing처럼 VoIP spoofing도널리확산될가능성이높다. (1) PBX(Private Branch Exchange) PBX공격의주된목표는대체로합법적인사용자로위장하여전화시스템자체에액세스하거나컴퓨터시스템에대한원격액세스권한을얻기위해정보를요청하거나무료전화사용에대한액세스권한을얻는다. 마지막으로통신네트워크에대한접근권한을얻고자한다. [ 표 5] PBX 공격및손실 공격목표설명손실 - 15 -
회사정보요청전화정보요청 PBX를통해컴퓨터시스템에액세스 해커가합법적인사용자로위장하여기밀정보를취득한다. 해커가전화엔지니어로위장외부로전화를걸기위해 PBX에대한액세스권한을획득해커가 PBX를통해컴퓨터시스템을침투하여정보를도용또는조작하거나맬웨어로감염시키거나리소스를사용 기밀정보비즈니스신뢰성리소스자금 (2) 서비스데스크 서비스데스크또는지원센터는해커에대응하는주된방어선중 하나지만, 역으로사회공학해커의목표가되기도한다. [ 표 6] 서비스데스크전화통신공격및손실 공격목표설명손실 정보요청 액세스요청 해커가합법적인사용자로위장하여비즈니스정보를취득해커가합법적인사용자로위장하여비즈니스시스템에대한보안액세스권한을취득한다. 기밀정보기밀정보, 비즈니스신뢰성, 가용성, 리소스, 자금 2.3.5 폐기물관리위협 휴지통뒤지기 (Dumpster Diving) 는공격대상이가정또는직장에 서무심코버리는메모지, 영수증등을수거하여정보를수집한다. 비즈니 스관련폐기문서는삭제된계정번호및사용자 ID 와같은해커에게즉각적 - 16 -
인도움을제공하는정보가포함되어있거나전화번호목록및조직차트와같은배경정보를제공하게된다. 공격을개시할때해커를신뢰할수있는사람으로보이게해야하므로사회공학해커에게는매우중요하다. 예를들어, 대부분의직원은회사에대한많은정보를알고있는사람을합법적인직원으로생각하기때문에해커가회사부서의직원에대한충분한지식을가지고있는것처럼보인다면접근하기가보다수월할것이다. [ 표 7] 폐기물관리공격및손실 공격목표 설 명 손 실 외부쓰레기통에해커가외부쓰레기통에버려진종이기밀정보 들어있는폐지 에서필요한회사정보를취득 비즈니스신뢰성 해커가외부폐기관리에관한모든내부쓰레기통에기밀정보관리지침을통과하고내부사무실들어있는폐지비즈니스신뢰성쓰레기통에버려진종이를수집 폐기된전자 미디어 해커가버려진전자미디어에서정보기밀정보및응용프로그램을확보. 해커가미리소스디어자체도훔쳐간다. 비즈니스신뢰성 2.3.6 개인적접근방법 해커에게있어가장간단하고쉽게정보를얻을수있는방법은직접물어보는것으로가장많이사용되고있다. 권위자로가장하여대상에게요청을따르도록강요 ( 협박 ) 하거나칭찬과유명인의이름을언급 (name dropping) 하여설득한다. 하급직원또는동료직원과신뢰관계를쌓아환심을산다음해당대상으로부터정보를빼내기도하고해커가대상에게도움을제공 ( 지원 ) 함으로대상은도움을받음으로써해커가대상의 ID를도용할수있도록개인정보를누설하게한다. 이접근방법은다소 - 17 -
미숙하고노골적으로보일수도있지만지금까지발생한신용사기의기초 가되고있다. (1) 물리적접근방법 해커에게있어흔하지는않지만효과적인방법은대상과직접개인적으로접촉하는것이다. 모바일기술의사용률이높아지면서사용자는이동할때나집에있을때에도회사컴퓨터에자유롭게연결할수있게되었으며, 이는회사 IT리소스에또하나의커다란위협이되고있다. 이경우해커가열차에서모바일컴퓨터사용자의어깨너머 (Shoulder surfing) 로주시하며사용자ID 및암호를알아내는가장단순한관찰공격에서부터카드판독기또는라우터업그레이드를배달및설치하러온서비스엔지니어가사용자ID와암호를묻거나커피한잔을부탁하는방식으로비즈니스네트워크에대한액세스정보를습득하는복잡한공격에이르기까지다양하다. 이러한공격유형중에는다른사람이회사에서비용을지불하는대역폭을사용하여보호되지않은무선 LAN을통해인터넷에액세스하기도한다. [ 표 8] 물리적액세스공격및손실 공격목표설명손실 해커가합법적인사용자가컴퓨터 모바일 ID 도용 사용자 에로그온또는기타세부정보를입력하는것을관찰한다. 물리적컴퓨터장비의도난보다이러한 기밀정보 도용이먼저발생할수있다. 재택근무 자 ID 도용 사용 해커가 IT 지원작업자또는유지 관리파트너로위장한후업그레 이드가제대로이루어졌는지테스 기밀정보 - 18 -
재택근무사용자 ID도용, 재택근무자네트워크를통해네트워크에직접연결재택근무자네 트워크에지속적으로액세스회사사무실에무단출입개인회사사무실에액세스 트하기위해사용자 ID 및암호를요청하여재택근무자네트워크에대한액세스권한을얻는다. 해커가지원엔지니어로위장하여재택근무자네트워크를통해회사네트워크에액세스또는회사리소스에자유롭게액세스한다. 해커또는로컬사용자가보안되지않은홈네트워크를통해광대역인터넷에액세스한다. 해커가정식직원을뒤따라회사사무실로들어가기를시도한다. 해커가파일캐비닛과같은서류자료나컴퓨터장비를사용할수있는개인사무실에액세스한다. 비즈니스가용성리소스자금리소스기밀정보, 비즈니스신뢰성, 가용성, 자금, 리소스기밀정보리소스자금 - 19 -
제 3 장웹애플리케이션취약점에따른 사회공학위협사례 아래의사례는사회공학적위협요소로인해 H/W 또는 S/W로완벽한보안을구현했다할지라도보안침해사고는사회공학적기법을이용하여다양하게일어나고있음을나타낸다. 외부자에의한기술적인해킹, 물리적침입, 내부자에의한유출등다양한경로로발생할수있고보안상의문제는기업또는개인의기밀정보유출, 시스템파괴, 법적분쟁, 신뢰도하락등의다양하고직접적인피해가발생된다. 3.1 금융피해사례 전문적인기술력으로직업적해커등이등장하여돈을목적으로 한범죄가계속적으로증가되고있다. 3.1.1 사례 1[8] 스웨덴의은행인 Nordea는 700~800만스웨덴크로나 ( 한화약 10 억 4,4천만원 ) 를고객의인터넷뱅킹정보를빼낸범죄조직이이체해갔다. Nordea은행은지난 15개월동안 250명의고객들이맞춤형트로이목마가숨어있는이메일공격을받았다고밝혔다. 이공격은 Nordea은행이름으로일부고객들에게보내진맞춤형트로이목마로시작됐다. 발신자는고객들에게 스팸퇴치 프로그램을다운로드하도록권했다. 첨부파일을다운로드한사용자들이트로이목마에감염됐고사용자가 Nordea 온라인은행사이트로로그인하려고하면작동이된다. 은행은사용자들이가짜홈페이지로들어가중요한로그인정보를입력했다고전했다. 사용자들이정보를입력한뒤사이트에기술적인문제가발생했다는오류메시지가나타난 - 20 -
다. 그다음범죄자들은몰래알아낸고객상세정보를사용해실제 Nordea 웹사이트에서고객계좌에서돈을인출한것이다. 피해를입은대부분의사용자들은안티바이러스프로그램을사용하지않았다고한다. 이은행의피해사례는보안절차의결함이아닌은행강도가성공적으로사용한사회공학기술이다. 3.1.2 사례 2[9] 2007년초에국내유명은행의인터넷뱅킹사이트를모방한가짜홈페이지에접속한이용자 5천여명이개인정보와보안카드비밀번호를의심없이입력하였으며이들의공인인증서가고스란히해킹당했다. 이들피싱사이트는중국에주소를둔서버임이밝혀졌다. 또국내의한외국계은행사이트에서도온라인신용카드결제대행시스템해킹을막지못해이용자정보가유출되었다. 이중 20여명의계좌에서약 5천만원이무단결제되었다. 3.2 개인정보유출사례 은행의전자시스템, 공공기업의전자민원서비스등과관련된개인정보의수집ㆍ사용이증대되고있다. 다양한형태로수집된개인정보로프라이버시의침해가능성또한높아지고있는가운데기업의낮은보안의식과기술적인결함등으로인해개인프라이버시가침해당하고정신적, 물리적손해가발생하는심각한사회문제가되고있다. 안전할것같다고믿는정부기관과대기업또한치명적인보안결함에노출되어있다. 웹개발자의보안이배제된웹애플리케이션을사용함으로서비즈니스애플리케이션을사용하는고객데이터가인터넷의잠재적인위험에무방비한상태에놓이게됐다. 보안을고려치않은코드는사이버상에서직접적인피해로연결된다. - 21 -
3.2.1 사례 1[10] 2006년 8월구직자들의해외취업을돕기위해나선공공기관이홈페이지에구직회원약 2천명의신상정보가인터넷에노출됐다. 서울시산하서울산업통상진흥원은 2006년 8월해외취업정보영문홈페이지를개설하고채용을원하는외국회사들이회원 2010명이등록한이력서를쉽게검색할수있도록했다. 문제는외국회사들뿐만아니라로그인하지않은일반인들도구직자들의이력서를검색할수있게하면서구직자들의이름과전화번호, 주소, 그리고학력과자기소개서등과같은누군지충분히식별할수있는민감한부분까지노출되었다. 개발자의사소한실수는결국간단한검색만으로도개인정보의수집을가능하게했다. 특히개인이등록시자신의정보를 비공개 로설정했더라도검색결과에는똑같이노출되었다. 정보통신부로부터사실통보가있기전까지이에대해서울산업통상진흥원은구직자개인정보노출사실을전혀몰랐다고한다. 3.2.2 사례 2[11] 롯데그룹계열편의점업체인세븐일레븐이허술한보안시스템으로인턴지원자들의개인정보를약한달간세븐일레븐인턴지원자 1281명의이름과이메일, 주소, 연락처, 주민등록번호, 학력등지원서류에적힌내용들이검색사이트구글에고스란히검색됐다. 개인정보노출사고는구글의검색로봇이세븐일레븐의인덱스페이지까지접근한것을세븐일레븐이차단하지못한데서비롯됐다. 세븐일레븐은한달동안이같은사실을인지조차하지못한채정보통신부로부터사실을통보받아수습에나섰다. 세븐일레븐은사고가발생하기전부터보안문제가지적되어홈페이지개편작업을진행해오는과정에서보안설정을잠시해제함으로써보안상의허점이개인정보유출로이어졌다. 이번사고에앞서 2006년 9월에는 LG전자와포스코, KTF, 동부그룹등대기업들의입사지원자정보가무더기로빠져 - 22 -
나가는등개인정보관리허점이계속드러나고있다. LG 전자의경우 168 명의입사지원자들이자기소개서유출과관련해 LG 전자를상대로약 33 억 6 천만원의집단손해배상청구소송을내기도했다. 3.3 기밀정보유출 내부인력또는영향력있는관계자에따라내부기밀정보가빠져 나갈수있음을제시한다. 3.3.1 사례 1[12] 2006년 11월, 암호로보호된 PeopleSoft 와 J.D 에드워즈고객전용의고객지원사이트에서 SAP 지사와 SAP 산하의투머로우나우에의해고객정보가유출됐다. 오라클이문제의고객지원사이트를조사한결과, 지원및보수계약이종료되었거나곧종료될고객리스트를 1만건이상부정한방법으로다운로드한것이확인되었다고한다. SAP가 2005년에인수한투머로우나우는 PeopleSoft와 J.D 에드워즈유저들에게고객지원및보수서비스를제공하고있다. 오라클이 2005년에 PeopleSoft와 J.D 에드워즈를인수한후부터 SAP는투머로우나우와고객을끌어들이기위한거대캠페인을시작했다. 오라클에의하면 SAP의직원이가짜이메일주소, 유저이름, 전화번호를사용한다수의 PeopleSoft와 J.D 에드워즈의고객 ID를사용해고객지원시스템에부정한방법으로접속했다. 오라클은불법적으로사용된계정들이고객들에게주어진권한을넘어서소프트웨어나지원자료에접근하는데이용되었다. 1999년, SAP는라이벌 Siebel Systems를상대로소송을진행했다. 이소송은 Siebel이 SAP의주요직원 27명을스카우트해냈을때, SAP는기업비밀이 지적으로 유출되었다고주장했다. 조사그룹의사무실로부터나온쓰레기를환경미화원으로부터구입하려고했었다고한다. - 23 -
3.3.2 사례 2[13] 행자부의 ' 행정정보공동이용시스템 ' 은국정원등다른국가기관이 ID만있으면외부접근이가능하고, ' 지적정보센터시스템 ' 은주전산기가대전통합전자센터에있기때문에, 지적담당자의승인없이접근이어렵다. 그런데, 국정원의경우에는지적팀담당자가국정원시스템에서대상자료를수령하여자료추출작업후, 그결과자료를국정원시스템에수록해줌으로써국정원직원에게지적정보시스템의 ID와비밀번호를부여할필요가없게된다. 국정원직원에게 ID나비번을제공하지않아도대상인원에대해서무슨사유로자료를요구했는지확인조차하지않고서자료를 ' 통째 ' 로넘겨주기때문에, 굳이국정원에 ID나비밀번호를부여할필요가없다. 국가기밀정보를수집관리하는국정원이어떤자료, 누구를추출하려고하는지행자부지적담당공무원은전혀모르는상태에서유출되고있는것이다. 국정원이독자적으로또는부처협조를받아서 14개기관 17개항목에걸친개인정보를전산망을통해입수할수있는사실이확인되었다. 국정원은각분야에영향을미칠수있는인적 물적정보등의내용이수록된자료나통신정보전기통신수단에의하여발신되는통신을수신 분석하여산출하는정보등그야말로국가내에모든자료에대해서수집해서관리될수있도록하는초헌법적인규정이다른기관협조없이도국정원단독으로모든자료의접근이가능하다. - 24 -
제 4 장정보보호인식조사 애플리케이션의보안과관련된주제는전혀새로운것이아니다. 개발자, 보안전문가등을포함많은관련자들은수십년간에걸쳐이문제를알고있지만다양한이유로인해주요소프트웨어개발프로젝트는여전히동일한실수를반복하고있다. 이는고객의보안뿐만아니라인터넷전체를위태롭게하고있다. 이에설계상으로부터애플리케이션의해당취약점으로인한사회 공학적위협에인터넷사용자들의노출정도와위협, 정보보호인식정도를 설문조사를통해알아본다. 4.1 정보보호인식조사설문실시계획 4.1.1 설문조사대상 본논문에서기업또는개인의보안인식에대한자료를수집하기 위하여월 1 회이상인터넷사용자를대상으로하였다. 4.1.2 조사내용 정보보호인식정도 기업내정보보호정책정도 보안에대한교육정도 - 25 -
4.1.3 설문조사표본크기및기간 설문지는 2007 년 11 월 5 일 ~ 9 일까지총 5 일간 100 부를인천에거 주하는 20 세이상 50 세이하의개인용 PC 를통해인터넷을이용하는사용 자로서이메일또는면담조사를실시하였다. 4.2 정보보호인식조사현황 정보보호인식조사결과를개인정보중요성, 웹애플리케이션정 보보호의중요성, 정보보호제품이용, 개인정보요청, 정보보호정책수립 정도로분류하여분석한결과를나타낸다. 4.2.1 개인정보중요성 응답자중모두가정도의차이는조금씩있지만개인정보가민감하고중요하다는것을인지하고있었고웹사이트이용시개인정보누출이우려된다는응답자가 65% 를차지했다. 이중웹사이트의명의를도용당한적이있어불안하다고답했다. 또한웹사이트의개인정보관리정책에대한우려가응답자중 59% 나되었다. (1) 개인정보중요성인지도 거의대부분의 (98%) 의응답자가인터넷이용시개인정보보호의중요성 을인식하고있었다. 응답자별응답자의회사규모가클수록정보보호가 매 우중요하다 하다라고응답하였다. - 26 -
매우중요 54% 보통 13% 중요 33% [ 그림 4] 개인정보중요성인지도 (2) 웹사이트이용시개인정보가능유출불안 매우불안 10% 불안 13% 보통이다 42% 전혀그렇지않다 11% 그렇지않다 24% [ 그림 5] 개인정보가능유출불안 (3) 웹사이트의개인정보관리만족여부 응답자중이름있는웹사이트이용시정보보안정책에대한만족도와 개인정보관리에대한만족도가높았다. - 27 -
매우그렇다 6% 그렇다 9% 전혀그렇지않다 4% 그렇지않다 28% 보통이다 53% [ 그림 6] 웹사이트의개인정보관리만족여부 (4) 개인의정보보안인식정도 응답자스스로판단한개인의정보보안인식은정보보안의식이높다 29% 로보안교육을최소 1 회이상받은응답자가대체로정보보안에대해 알고있다고답하였다. 매우그렇다 9% 그렇지않다 19% 그렇다 20% 보통이다 52% [ 그림 7] 개인적인정보보안의인식정도 4.2.2 웹애플리케이션정보보호의중요성인식 거의대부분 (98.2%) 의응답자가인터넷이용시정보보호의중요 성에공감하고있으며, 정보보호가매우중요하다고하였고응답별특성별 - 28 -
로회사규모가작을수록정보보호를중요성을인식하는비율이낮은경향 을보였다. (1) 웹사이트사용시정보보호만족정도 설문자중과반수이상의응답자가웹사이트이용시정보보호에만족하지않고있었고그중응답자중명의도용등의개인정보피해를본적이있다고답하였다. 신용도용으로연결될수있는각종정보의유출은 46% 가도난, 손실로인한데이터유출사고가발생했으며해킹은 16% 에불과하다는통계 [1] 에서알수있듯이웹애플리케이션의정보보호는중요하다. 또한웹애플리케이션사용자들에대한정보보호정책, 방법등을알리고사용자가웹사이트이용시안전하다는확신을얻을수있어야한다. 매우그렇다 6% 그렇다 9% 전혀그렇지않다 4% 그렇지않다 28% 보통이다 53% [ 그림 8] 웹애플리케이션이용시정보보호만족정도 (2) 웹애플리케이션대한정보보호필요성 응답자중정보보호필요성이 69% 가중요하다고생각하고있었다. 신용카드, 신원정보, 온라인결제서비스, 은행계좌, 이메일암호가사이버 상에거래되고있는점을감안할때개인정보의유출은개인또는기업에 - 29 -
게막대한손실을입을수있다. 사용자역시이런내용을미리인지하고 안전한웹사이트를이용하는것이바람직하고웹애플리케이션이용시정 보보호가제대로적용되고있는지의관찰도매우중요하다. 매우중요하다 5% 전혀중요치않다 4% 중요치않다 27% 중요하다 64% [ 그림 9] 웹애플리케이션에대한정보보호의필요성 (3) 평판높은웹사이트이용시개인정보안전인식정도 유명포탈사이트이용시정보보안에인식정도는 66% 이상이안전할것이라고믿는것으로나타났다. 2007년상반기보고된사이버공격중 4% 가포춘 100대기업의 IP주소에서발생한것으로볼때아무리유명사이트라도보안을보장할수없음을의미하고사용자보안신뢰도가높다는데서나오는방심을악용하는만큼오히려더위험할수도있음을시사한다. 2007년상반기전세계보안위협동향을분석한결과, 봇ㆍ피싱ㆍ스팸좀비ㆍ웹해킹등사이버악성활동중 4% 가포춘 100대기업의 IP 주소에서발생했으며이러한웹사이트가감염되면해커들이악성프로그램을배포하는진원지로활용해 PC를감염시킬수있다고했다. 특히이방법은해커들이공격타깃을굳이찾아나서지않고도웹사이트접속을통해스스로공격에걸려들게할수있어더욱심각하다고한다 [1]. - 30 -
매우안전 13% 좀더안전할것이다. 13% 전혀그렇지않다 9% 그렇지않다 25% 안전하다 40% [ 그림 10] 평판높은웹사이트이용시개인정보안전인식정도 4.2.3 정보보호제품이용현황 (1) 정보보호제품이용현황 인터넷사용자들이주로이용하는정보보호제품은바이러스백신으로 55명의설문응답자중 52(96%) 명이사용하는것으로나타났다. 포탈사이트의메일이용시스팸메일차단기능이제공되고있어스팸메일차단이용률이 78% 로나타났다. 대체로개인방화벽사용은웹프로그램개발자등프로그램개발자의이용률이높았다. - 31 -
60 50 40 30 20 10 0 백신이용 개인방화벽사용 악성코드차단 스팸메일차단이용하지않음 이용자수 52 22 23 42 2 백분율 96% 41% 43% 78% 4% [ 그림 11] 인터넷사용자의정보보호제품이용현황 ( 복수응답 ) (2) 백신프로그램업데이트 백신프로그램이용은응답자중 94% 가백신을이용중이고이중자동설치가 31% 이고수동설치가 63% 이다. 백신업데이트를하지않는 6% 와수동설치 63% 의이용자는메신저사용, 메일, 각종사이트방문시바이러스에노출될가능성이그만큼높아질수있다. 또한수동인사용자는자동인사용자에비해백신프로그램을이용한바이러스검사를안할확률이높다. - 32 -
거의안함 6% 자동업데이트설정 31% 필요할때마다 63% [ 그림 12] 백신업데이트방법 (3) 보안패치적용여부 인터넷사용자중대부분 (87%) 이보안패치를설치하고있으며자동업데이트설정 (56%) 이절반을넘었다. 이중보안패치를하지않는경우 (13%) 와수동으로설치하는비율을 31% 로나타났다. 웹브라우저의플러그인취약점등마이크로소프트, 오라클등벤더에의해패치되지않은취약점이악성소프트웨어감염경로가되어보안패치를적용하는것은내정보를보호하는최소한의방법이다. 자동업데이트설정 56% 거의안한다 13% 필요할때마다 31% [ 그림 13] 보안패치업데이트방법 - 33 -
4.2.4 개인정보요청현황 응답자중 91% 가스팸메일을받아봤으며그중 67% 가이메일을열 어봤다. 의심되는메일을보게되는이유로호기심 (71%) 이가장많았고습 관적 (6%) 으로클릭한다는조사결과가나왔다. (1) 스팸메일수신 포탈메일시스템사용시기본스팸메일을필터링하지만필터링 시스템을교묘히빗겨가는방법으로여전히스팸메일을받을경우가높다. 응답자의 91% 가스팸메일을받아봤고그중 67% 가스팸메일을열어봄으 로써각종위협에노출될가능성이존재하였다. 없다 9% 스팸파일을받아본적이있다 91% 열어보지않음 33% 열어봄 67% [ 그림 14] 스팸메일수신여부 (2) 열어본이유 사회공학자들은고도의방법을사용하여메일을열어보게한다. 많은응답자들이호기심 (71%) 으로메일을클릭하였다. 스팸메일클릭시스팸광고 (44%) 가가장높았고임의의프로그램이설치 (25%) 되거나다른사이트로이동 (10%) 하는것으로나타났다. 호기심에무심코메일을클릭했을때첨부파일로인해악성코드에감염되거나컴퓨터의속도가현저히늦 - 34 -
어지는등의심각한문제가발생될수있다. 60 50 48 40 30 20 10 0 1 2 3 호기심업무파일착각제목이궁금중유발습관적 [ 그림 15] 스팸메일열어본이유 (3) 개인정보요청 응답자중상사또는동료로부터개인정보요청을경험하였고 기타개인과관련없는사람들로부터인터넷, 전화, 기타적인방법으로 개인정보요청을받았다고한다. 아니오 61% 예 39% [ 그림 16] 개인정보요청 - 35 -
(4) 개인정보요청경로 개인정보요청경로는모르는사람일경우가다른경우에비해높게조사되었다. 익명성을기반으로한개인정보요청은이메일, 핸드폰문자메시지를통해다양한경로로요청된다. 주변사람은사용자와의친분을이용해개인정보를요청하기도하고개인정보도용, 위장, 납치를가장한제3자에의한경로로많은개인정보가유출되고있다. 사회공학의공격흐름중정보수집단계에서개인정보요청경로를차단하게된다면차후는범죄에노출되는위협을줄일수있게된다. 또한각종개인정보유출사례, 수법등에대한지속적인보안교육이매우필요하다하겠다. 12 11 10 8 6 4 2 3 3 4 0 상사친인천동료기타 [ 그림 17] 개인정보유형 (5) 개인정보요청방법 익명성을요하는유선, 무선전화나인터넷을통한요청이많이사용되고사용자들또한메일또는전화의진짜출처를의심하지않고개인정보를제공한다. 현재메신저의사용이증가되면서 IM를통하여친구또는동료를가장한개인정보요청이늘고있다. - 36 -
9 8 7 6 5 4 3 2 1 0 8 7 4 2 방문 전화 인터넷 기타 (6) 메신저사용여부 [ 그림 18] 개인정보방법 응답자중 85% 의응답자가메신저를사용하여있다고조사되었다. 개인신상정보를빼내는스핌을이용한피싱 (Phishing) 사기에걸려들가능성이높음을의미한다. 최근공공기관이나백화점, ARS 등을사칭하는보이스피싱, 은행이나카드사에서보낸듯한메일을통한이메일피싱에이어, 인스턴트메신저의피싱을노리는스핌 (SPIM=SPAM & Instant Messenger: 인스턴트메신저를통한원하지않는광고성메시지 ) 이퍼지고있다. 메신저피싱은재미있는동영상이나뉴스를가장한 URL을통해전달된다. 메신저사용자가아무런의심없이해당 URL을클릭하게되면, 메신저의 ID와패스워드를입력하라는메시지가나타나고사용자가자신의 ID와패스워드를입력하게되면, 개인신상정보가유출되고만다 [15]. - 37 -
안한다. 15% 사용한다 85% [ 그림 19] 메신저사용여부 4.2.5 정보보호정책수립현황 설문응답자가다니고있는회사로컴퓨터가 1대이상인사업체보안정책이수립되었다는사업체는 38% 이고, 구축단계에있거나또는구축예정인사업체는 14% 이다. 그외사업체는기업규모, 비용, 인력등을이유로구축의사가없는것으로나타났다. (1) 정보보호정책수립현황 응답자가근무하는회사에보안관리자가있는경우 48% 였다. 중소기업에서보안관리자의업무는타업무와병행수행하는것이일반적이었다. 정책수립에서대부분온라인보안, 물리적보안정책을가장많이수립하였고사고대응모델, 폐기물관리, 전화보안, 서비스데스크보안정책수립은규모가작은기업일수록거의구축되지않은것으로나타났다. - 38 -
보안관리자여부 보안인식캠폐인 46% 50% 사고대응모델서비스데스크보안정책폐기물관리정책전화보안정책 30% 30% 30% 30% 물리적보안정책 온라인보안정책 46% 44% 0% 10% 20% 30% 40% 50% 60% [ 그림 20] 정보보호정책수립현황 (2) 정보보호정책구축단계또는구축예정현황 구축단계에있거나구축예정인기업체에서폐기물관리정책 (11%), 전화보안정책 (11%) 은많이고려되지않은것으로나타났다. 사회공학적위협경로중서비스데스크를통한전화또는개인유무선전화를통한피싱, 스미싱은꾸준히증가하고있다. - 39 -
보안관리자여부 보안인식캠폐인 15% 17% 사고대응모델 28% 서비스데스크보안정책 13% 폐기물관리정책 9% 전화보안정책 11% 물리적보안정책 7% 온라인보안정책 17% 0% 5% 10% 15% 20% 25% 30% [ 그림 21] 정보보호정책구축단계또는구축예정현황 (3) 정보보호정책미비원인 회사규모가작을수록보안관리인식이낮아 (31%) 정보보호의필 요성을느끼지못하고 (23%), 비용 (13%), 인력부족 (2%) 을이유로정보보호 정책을도입하지않는것으로나타났다. - 40 -
인력부족 2% 필요성느끼지못함 23% 중요문서나파일이외부에노출되지않음 2% 보안관리마인드부재 31% 비용 13% 0% 5% 10% 15% 20% 25% 30% 35% [ 그림 22] 정보보호정책미비원인 (4) 정보보호교육실시현황 정보교육을받은응답자는 38% 로자체교육또는사내교육의수시교육 (69%) 이고정기교육을하는업체는 31% 로나타났다. 정보교육실시 (38%) 의비중은대기업에종사하는응답자로기업의규모가작을수록정보보호교육의필요성을느끼지않는것으로나타났다. 아니오 62% 예 38% 수시 69% 정기 31% [ 그림 23] 정보보호교육현황 - 41 -
(5) 정보보호교육업무도움정도 정보교육을받은응답자 (38%) 중정보보호교육의업무도움정도는도움이된다는 37%, 그렇지않다 (10%), 교육받기전과별차이가없다 (53%) 로나타났다. 63% 의응답자가정보보호교육이업무에도움이되지않는다고응답한것을볼때조직원에대한정보보호대한필요성을알리고지속적인보안유지가왜중요한지에대한이해가먼저수반되어야함을알수있다. 매우그렇다 16% 전혀그렇지않다 5% 그렇지않다 5% 그렇다 21% 보통이다 53% [ 그림 24] 정보보호교육업무도움정도 4.3 정보보호인식조사결과 정보보호에대한인식은모든조직과주체가당연히기업활동의중요요소로체계적인보안통제가이뤄져야하나많은기업들이보안필요성을인식하지못하고안일하게대응하고있었다. 특히나비용, 인력부족등의이유로보안정책을구축할의지가낮았음을알수있었다. 규모가큰기업일수록정보보호정책을수립하는보안통제가이뤄지고있는반면규모가작을수록정보보호필요성을인식하지않고있었다. 사용자들의인식또한큰기업에근무할수록, 애플리케이션을사용하는업무가많을수록정보보호인식이높았고기업규모가작을수록정보보호인식은떨어졌다. 사 - 42 -
업주체인경영진의의지가보안에대한인식이강할수록기업의보안정책 또는보안인식에대한중요성이대두되었다. 이는사업체에속한근무자들 의보안인식정립의중요변수가되고있었다. 사용자관점에서위협에대응하는데필요한개인의능력에대해자체인식과실제의차이가상당부분존재하고있었다. 많은조사대상이인터넷위협에적절히대응하는것으로생각하지만, 4.2.3 정보보호제품이용현황 [ 참조 pp.31] 에서알수있었듯이사용자입장에서보안에관련한조치들이미비함을알수있다. 백신, 보안패치는사용자가취할수있는최선의자기방어임에도불구하고설치가되지않거나업데이트가자동으로이뤄지지않고있었다. 이는웹애플리케이션의취약점을공격하는공격에노출로이어지고취약점을이용한보안위협이증가하는원인이되고있다. 대다수의응답자는규모가크고유명웹사이트이용시이름만으로정보보안에대한안전을의심하지않고있었다. 또한응답자들이본인과관련된보안위협은없다고생각하는경향이강했다. 이는스스로의보안인식수준을높게평가하는원인이되었다. 많은응답자들은금융권, 인맥사이트, 블로그나미니홈피를사용하고프로그램을다운받고동영상을실행시키고노래를듣는사이정보가유출될가능성을알지못했다. - 43 -
제 5 장대응방안 일반적으로많은기업들은방화벽을설치하거나서버의보안설정을강화하고바이러스탐지툴을설치하는등기술적인해킹에대비하여다양한정책과도구를이용한보안을구축하고있다. 하지만애플리케이션구현상의취약점을이용한다양한위협은고객의보안뿐만아니라인터넷전체를위태롭게하며여전히문제는해결되지않고웹2.0의형태에서더기술적이고다양화된공격으로상업화되었다. 이에대한대응방안으로첫째, 경영진의정보보안에대한확고한의지와강한추진력이가장중요하다. 보안업무는유형의결과물을생산하는업무가아니다보니그필요성을인식하기가어렵다. 필요성을인식하는경우라도기업의정보자산을보호하기위하여계속적인보안활동을위한인력투입, 예산할당을위해서는경영자가정보보안에대한필요성을인식및추진하는의지가반드시필요하다. 둘째, 사회공학위협은기술적이기보다는사회적, 심리적이기때문에기업의특성에맞는정보인식프로세스를구축하고적절한업무에맞는, 강압적이지않고, 지속적인, 최신의정보보안이슈교육이수행되어야겠다. 그전에조직원에대한정보보안의필요성인식시키는것이중요하다. (5) 정보보호교육업무도움정도 [ 참조 pp.42] 에서알수있듯이보안교육을받았다할지라도업무에도움이되지않는것은또다른불필요한업무정도로생각될수있기때문이다. 아무리좋은보안정책과시스템이라고하더라도조직원또는개인들을인식시키지않으면전혀실효성이없기때문이다. 셋째, 취약점들이존재하지않는웹애플리케이션을개발할수있도록각기관들이취약한애플리케이션개발을유발하는개발문화를바꿔야한다. 개발프로세스를개선하기위한개발자교육, 애플리케이션보안정책수립, - 44 -
보안메커니즘의설계및구현, 모의해킹, 소스보안성분석으로이루어진애플리케이션보안활동을지원하기위해시간과예산을할당하여야한다. 또한설계, 구현, 테스트, 유지보수 SDLC(Software Development Life Cycle) 의전단계걸쳐해당취약점이발생하지않도록지속적인모니터링이필요하다. 사용자관점에서인터넷을안전하게이용하기위해첫째, 범국가적인정보보호의중요성을알리는등의분위기를조성하고사용자들의인식전환개선활동을펼쳐야한다. 전세계는하나의거대한네트워크로연결로되어있어어느한사람의위협은기업에서국가적차원을비롯한인터넷자체에대한위험이될수있다. 둘째, 사용하고있는웹애플리케이션중개인정보취급방침, 스팸정책, 이메일추출방지정책등의정보보호정책이구현된안전한사이트를이용해야한다. 셋째, 정보보호제품이용을활성화해야한다. 현재정보통신부와한국정보보보진흥원에서보호나라홈페이지 (http://www.boho.or.kr) 를통해인터넷이용자보호를위한다양한보안동향과정보보호교육, 무료백신보급, 진단등을적극활용해야한다. - 45 -
제 6 장결론 본논문에서는웹애플리케이션설계상의보안취약점노출로인해발생되는사회공학적위협으로인한개인프라이버시침해, 기업의이미지손실, 경제적손실, 법적분쟁사례를알아보았다. 이를근거로개인또는신뢰성있는프로그램을제공해야하는기업또는개인의정보보호인식정도를설문조사방식을통해조사ㆍ분석해보았다. 설문조사결과많은기업들이정보보안보안필요성을인식하지못하고그중규모가작은기업일수록비용, 인력등을이유로보안정책을구축할의지가적었다. 사업주체인경영진의의지가보안에대한인식이강할수록기업의보안정책또는보안인식에대한중요성이대두되었다. 이는사업체에속한근무자들의보안인식정립의중요변수가되고있었다. 사용자관점에서위협에대응하는데필요한개인의능력에대해자체인식과실제의차이가상당부분존재하고있었다. 많은조사대상이인터넷위협에적절히대응하는것으로생각하지만백신, 보안패치는사용자가취할수있는최선의자기방어임에도불구하고설치가되지않거나업데이트가자동으로수행되지않고있었다. 이에대한대응방안으로기업관점에서첫째, 정보보안에대한경영진의확고한의지와강한추진력이가장중요하다. 기업의정보자산을보호하기위하여지속적인보안활동을위한인력투입, 예산할당을위해서는경영자가정보보안에대한필요성을인식및추진하는의지가반드시필요하다. 둘째, 기업의특성에맞는정보인식프로세스를구축하고적절한업무에맞는, 강압적이지않고, 지속적인, 최신의정보보안이슈에대한교육이수행되어야겠다. - 46 -
셋째, 취약점들이존재하지않는웹애플리케이션을개발할수있도록취 약한애플리케이션을유발하는개발문화를바꿔야한다. 사용자관점에서인터넷을안전하게이용하기위해첫째, 범국가적인정보보호의중요성을알리는등의분위기를조성하고사용자들의인식전환개선활동이필요하다. 둘째, 사용하고있는웹애플리케이션중개인정보취급방침, 스팸정책, 이메일추출방지정책등의정보보호정책이구현된안전한사이트를이용해야한다. 셋째, 정보보호제품의이용을활성화해야한다. 본논문이보안프로세서를지키지않는주먹구구식웹애플리케이션구현은시스템의품질을저하시키고그로인해많은보안위협에직면하고보안위협에따른위험비용은직ㆍ간접적으로막대한비용을수반하게됨을알수있었다. 향후본논문이웹애플리케이션을관리또는적용하고기업과개인에게도움이되기를바란다. - 47 -
참고문헌 [1] 시멘텍, 인터넷보안위협보고서, 제12호, 2007. [2]http://www.owasp.org/index.php/Category:OWASP_Papers. [3] 마이크앤드류스, 웹애플리케이션해킹대작전, 에어콘출판, pp.50-90, 2006. [4]KISTI, 웹2.0은기업에무엇을가져다주고있는가, http://www.yeskisti. net/yeskisti/briefing/trends/view.jsp?ct=trend&clcd=&clk=&lp=si&n =GTB2007050014 [5]KISTI, 웹2.0시대의위협과대응, http://www.yeskisti.net/yeskisti/brie fing/trends/view.jsp?ct=trend&clcd=&clk=&lp=si&cn=gtb2007100188 [6]ZDNetKorea, 10년내최악의보안위협사회공학, http://www.zdnet.co.kr /news/internet/0,39031211,39131282,00.htm [7]Microsoft TechNet, 사회공학위협으로부터내부자를보호하는방법, http://w ww.microsoft.com/korea/technet/security/midsizebusiness/topics/complianc eandpolicies/socialengineeringthreats.mspx?pf=true [8]ZDNetKorea, http://www.zdnet.co.kr/news/internet/new [9]ZDNetKorea, http://www.zdnet.co.kr/news/internet/hack [10] 동아일보, 해외취업희망자신상노출, http://www.donga.com/fbin /output? n=200611210378 [11] 머니투데이, 세븐일레븐입사지원자정보유출, http://www.moneytoday. co.kr/view/mtview.php?type=1&no=2007012310325992891 [12]NetKorea뉴스,http://www.zdnet.co.kr/news/internet/hack, 2007-03-26 [13] 연합뉴스, 국가정보원의개인정보열람문제정치사찰, http://news.nav er.com/main/read.nhn?mode=lpod&mid=etc&oid=098&aid=0000242451 [14] 임채호, 효과적인정보보호인식제고방안, 정보보호학회지제 16권제 2 호, pp.31, 2006. [15]NetKorea뉴스,http://www.zdnet.co.kr/news/spotnews/internet/messe nger/ - 48 -
별첨 : 설문지웹애플리케이션 ( 웹사이트 ) 사용에관한 보안인식조사 전자상거래, 인터넷뱅킹또는웹사이트, 블로그사용시정보에대한불법적인침해, 불건전정보의유통, 개인정보또는기업의기밀유출로인한금전적, 정신적손실을입는것이사회이슈화되고있습니다. 이에개인의인터넷사용시보안에대한인식과현황을파악하고 자본설문조사를실시하게되었습니다. 바쁘신가운데응답해주시면감사하겠습니다. 이설문은연구목적이외에는쓰이지않습니다. 2007 년 11 월 연구자 : 인하대학교공학대학원컴퓨터정보공학과 석사과정 : 김지숙 - 49 -
I. 다음항목은귀하의관한일반적인질문입니다. 귀하의의견과 일치하는항목을표시하여주십시오. 1. 귀하의연령대를선택해주십시오. 1. 20대 2. 30대 3. 40대 4.50대 5. 기타 ( ) 2. 귀하의성별을선택하여주십시오. 1. 남 2. 여 3. 회사의기업형태를선택하십시오. 1. 대기업 2. 중소기업 3. 개인사업 4. 공기업 5. 기타 ( ) 4. 귀하의직종을선택하십시오. 1. 보안담당자 2. 개발자 3. 일반사무 4. 연구 5. 기타 ( ) II. 보안담당자또는기술운영및서비스관리자에대한질문 1. 온라인보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 2. 물리적보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 3. 전화보안정책. 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 4. 폐기물관리보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 5. 서비스데스크보안관리정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 6. 사고대응모델 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 7. 보안인식캠페인여부 1. 없다 2. 구축예정 3. 구축단계 4. 있다. - 50 -
8. 보안관리자존재 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 9. 만약보안정책이없는경우기업내보안정책이없는이유는? III. 정보보호인식에대한질문 11. 귀하가맞고있는업무의업무자동화정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 12. 개인정보에대한교육을받은적있다. 1. 예 (12-1번으로) 2. 아니오 (13번으로) 12-1. 교육을받은적이있다면? 교육기관 : 횟수 : 12-2. 교육이업무에도움정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 13. 지금하는업무또는웹애플리케이션사용시정보에대한보호가충분이되고있다고느끼는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 14. 메신저사용하는가? 1. 예 2. 아니오 15. 스팸메일을받아본적이있다. 1. 예 (15-1번으로) 2. 아니오 (16번으로) 15-1. 스팸메일을열어보거나첨부된파일을클릭하였는가? 1. 예 2. 아니오 15-2. 왜첨부파일을열어보게되었는지구체적인이유는? 15-3. 스팸메일클릭시나타나는현상은? 1. 프로그램설치 2. 타사이트이동 3. 스팸광고 4. 기타 16. 사내기밀정보또는개인정보는사회적으로악용될소지는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 17. 개인적으로개인정보에대한요청을받은적이있다. 1. 예 (17-1번으로) 2. 아니오 (18번으로) - 51 -
17-1. 요청한사람은? 1. 상사 2. 친인척 3. 동료 4. 기타 ( ) 17-2. 요청방법은? 1. 방문 2. 전화 3. 인터넷 4. 기타 ( ) Ⅳ. 개인정보인식측면 19. 개인정보는민감한사항인가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 20. 웹애플리케이션사용시개인정보관리에만족하십니까? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 21. 웹애플리케이션사용시개인정보유출에관련하여불안한적이있는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 22. 이름있는회사웹사이트이용시내정보가안전할것이라고생각하는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 23. 귀하의정보보안에대한숙지정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 24. 백신프로그램을사용하는가? 1. 예 (24-1번으로) 2. 아니오 (25번으로) 24-1. 백신프로그램의주기적으로업데이트하는가? 1. 전혀안한다. 2. 거의하지않는다. 3. 필요할때마다한다. 4. 자동업데이트설정 24-2. 정보보호를위해사용하는정보보안프로그램을고르시오. 1. 백신 2. 개인방화벽 3. 악성코드차단프로그램 4. 스팸메일차단설정 25. 프로그램제공자가제공하는보안패치를주기적으로적용하는가? 1. 전혀안한다. 2. 거의하지않는다. 3. 필요할때마다한다. 4. 자동업데이트설정 - 52 -