접근통제 보안위협 및 대응책

(1) 패스워드 크래커

 1) 유형

  가) 사전 공격(Dictionary Attack)

   - 패스워드 사전 파일을 이용하여 접속 계정을 알아내는 해킹 방법

   - 만약, 공격 대상의 개인 정보 등을 충분히 알고 있다면 매우 효율적인 방법.

 

  나) 무차별 공격(Brute-force Attack, exhaustive)  

   - 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 공격하는 해킹 방법.

   - 정확한 패스워드가 드러날 때까지 가능한 모든 문자의 나열을 시도하는 툴이 사용된다.

   - 무차별 공격방법들은 워다이얼링에도 사용된다.

 

  다) 레인보우 테이블을 이용한 공격(Rainbow Table)

   - 하나의 패스워드에서 시작해 특정한 변이 함수로 변이된 형태의 여러 패스워드를 생성한다.

   - 변이된 각 패스워드의 해시를 고리처럼 연결하여 일정 수의 패스워드와 해시로 이루어진 체인(chain)을 무수히 만들어 놓은 테이블이다.

   - 레인보우 테이블은 사전 공격 or 무차별 대입 공격을 수행하는 것보다 훨씬 적은 시간이 소요 된다.

   - 레인보우 테이블은 쉽게 설명해 패스워드 후보 단어와 솔트를 함께 해싱해 거대한 사전을 만든 다음 공격에 활용하는 것이다.

 - 크리덴셜 스터핑(Credential Stuffing)
공격자가 확보한 아이디와 비밀번호를 임의의 다른 서버의 로그인 정보로 대입해 보는 공격

 

(2) 사회공학

 1) 인간기반 사회공학 공격

  (가) 개념

   공격 대상에게 조직의 보안 책임자 또는 위탁 보안 업체의 담당자를 가장하여 보안 설정 변경 목적을 빙자한 사용자의 ID와 패스워드 빼내기, 대출기관의 담당자를 가장한 비밀번호와 보안카드 번호 빼내기,  보안 관련 기관의 직원을 가장하여 개인 정보 빼내기 등이 대표적인 인간기반 사회공각 공격이다.

 

  (나) 종류

   [1] 어깨 넘어 훔쳐보기, 쓰레기통 뒤지기

   [2] 협박메일 : 어떤 정보를 폭로하겠다고 협박하여 재물을 갈취하는 행위

   [3] 따라 들어가기 : 출입증 소지자가 출입 시 함께 뒤따라 출입한다.

   [4] 내부자의 결탁으로 인한 정보유출, 내부자의 부주의로 인한 외부에서의 정보습득 등

 

  (다) 대응책

   [1] 전화 통화 시 음성이 이상하거나 내용이 이상할 경우 주의

   [2] 중요한 정보를 제공하기 전 신원증명을 항상 요청

   [3] 이메일, 팩스로 정보를 보내라고 하면 일단 의심, 해당 사람이 맞는지 직접 전화걸어 확인

   [4] 중요 서류 폐기 시 문서세절기 이용

   [5] 임직원에게 보안인시 교육을 주기적으로 실시

 

 

 2) ICT기반 사회공학 공격

  (가) 피싱 - 개인정보 탈취

   - 피싱(Phishing)은 개인정보(Private data)와 낚시(fishing)의 합성어로, 개인정보를 낚는다는 의미.

 

  (나) 파밍 - DNS를 변조

   - 해당 사이트가 공식적으로 운영하고 있는 도메인 자체를 중간에서 탈취하는 수법

   - 피싱의 경우 사용자가 주의 깊게 살펴보면 알아차릴 수 있지만, 파밍의 경우 사용자가 아무리 도메인 주소나 URL 주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수밖에 없다.

 

  (다) 스미싱

   - SMS와 Phising 공격이 결합된 용어, SMS를 통해 사용자를 속여 트로이목마 등 악성 소프트웨어 설치를 유도하고, 설치된 악성 소프트웨어를 통해 개인정보를 빼내거나 소액결제 등을 실행해 금전적 손해를 입히는 신종 휴대폰 사기 수법.

 

  (라) 대응책

   - ICT기반 사회공학 공격으로 부터 사용자를 보호하기 위해서는 유인 메시지의 URL을 확인 없이 접속하지 않도록 보안의식을 고취하는 훈련을 실시해야한다.

   - 침투하는 악성 소프트웨어의 탐지와 제거, 접속한 사이트와 DNS 서버에 대한 진위 인증(Authenticatoin) 등의 기술적 대응이 요구.