사회공학 사이버공격 프레임워크
Social Engineering Cyberattack Framework
초록/요약
최근 사이버 공격기술의 유포방식이 대부분 사회공학을 이용한 공격인 이유는 특별한 기술을 사용하지 않고 공격대상자를 속여 보안절차를 우회하여 정보를 탈취하기 때문이다. 그럼에도 불구하고 정작 기술의 주체인 사람은 정보를 다루는 대상이 아닌 기술 의존적 존재로 인식되어 기술보안 중심으로 연구되고 있기에 이러한 문제를 해결하기 위해서는 기술의 주체인 사람을 더 이상 기술 의존적인 존재로 치부하지 않고 정보를 다루는 주체이자 핵심으로 인식해야 할 것이다. 이를 위해 정보를 다루는 주체인 사람에 관한 연구가 필요하며 공격자가 무엇을 활용하여 공격하는지 또는 어떤 공격기술과 심리기제를 활용하여 공격하는지에 대한 심층적인 연구가 필요하다. 이에 본 논문은 증가하는 사회공학 공격의 흐름과 패턴을 분석하여 ‘사회공학 사이버공격 사이클’을 제시하여 사이버영역에서의 사회공학 공격 프로세스를 정립하였다. 또한, 사회공학 사이버공격 사례와 국내외 연구들을 비교분석하여 사회공학 사이버공격(SECA) 프레임워크를 설계하였으며 활용성을 높이기 위해 가상의 공격시나리오도 제시하였다. 그러므로 본 논문에서 제시한 사람의 심리를 이용한 사회공학 공격에서 사회공학 사이버공격(SECA) 프레임워크를 적용하면 사회공학 사이버공격과 대응체계를 위한 분석의 틀로 활용될 것으로 확신하는 바이며, 사회공학 사이버 공격시나리오를 설계할 때 효과적이고 즉시적인 공격 및 방어의 틀을 제공할 수 있을 것이라 기대된다.
more목차
제1장 서론 1
제1절 배경 및 필요성 1
제2절 범위 및 구성 4
제2장 관련 연구 5
제1절 사회공학 정의 5
1. 사전적 정의 5
2. 학술적 정의 5
3. 사회공학 공격기술 6
제2절 사회공학 적용 심리학 11
1. 인지심리학(cognitive psychology) 11
2. 사회심리학(social psychology) 14
제3절 사회공학 공격 관련 연구 24
1. 사회공학 공격이론 24
2. 사회공학 공격모델 28
제3장 사회공학 사이버공격(SECA) 프레임워크 제안 43
제1절 사회공학 사이버공격 사이클 44
제2절 사회공학 사이버공격(SECA) 프레임워크 설계 46
1. 정보수집(Gathering SECA Information) 단계 47
2. 전략선택(Selecting SECA Strategy) 단계 52
3. 전략실행(Executing SECA Strategy) 단계 56
제3절 사회공학 사이버공격(SECA) 프레임워크 61
1. 정보수집에 따른 전략선택 방법 63
2. 전략선택에 따른 전략실행 방법 68
3. SECA 요소들의 유효성 평가 84
제4장 SECA 프레임워크 평가와 활용 95
제1절 사례에 의한 유효성 평가 95
1. 사회공학 정보수집단계 95
2. 사회공학 전략선택단계 96
3. 사회공학 전략실행단계 97
제2절 문헌조사를 통한 타당성 평가 100
1. 사회공학 정보수집단계 101
2. 사회공학 전략선택단계 106
3. 사회공학 전략실행단계 111
제3절 SECA 프레임워크 활용 115
1. 불특정다수 대상 공격시나리오 115
2. 특정인 대상 공격시나리오 117
제5장 결론 119
참고문헌 121
