정보의 보안 : 3. 사회역공학과 제품보안이슈

정보의 보안 3번째 시간이다. 여러가지 문제를 말했지만 이제부터 좀 심화된 내용을 말해보자.

사회역공학의 뜻을 우선 보자

컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단. 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일을 통해 그들의 약점과 도움을 이용하는 것이다. 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 몰라서 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 사회 공학적 기술이다. 이 수단을 이용하여 시스템 접근 코드와 비밀번호를 알아내 시스템에 침입하는 것으로 물리적, 네트워크 및 시스템 보안에 못지 않게 인간적 보안이 중요하다.

출처 - 위키백과 사회역공학 항목

즉 비 기술적 수단으로 보안절차를 깨트리는 것을 말한다. CCTV를 설치하고 보안절차를 확실하게 만들면 보안이 철저할 것으로 믿는 사람이 많지만 실제로는 그렇지 않다. 의외의 헛점에서 보안은 깨지기 마련이니까.

몇가지 가상 사례를 들어보면

의외의 헛점 - 외부계약업체

글쎄 요즘은 이런 경우는 크게 줄어들 것 같지만 현실에서도 계속 일어나는 사례중 하나는 내부 일하는 직원을 통해서 보안헛점이 일어나는 것이다. 여기서 일하는 직원은 일반 직원이 아닌 위탁직원, 즉 외부계약 직원을 뜻한다. 외부계약직원?

하지만 외부계약직원은 의외로 많다. 가령 대학교의 경우 청소직원은 외부계약 업체의 직원이다. 혹은 많은 직장들의 경우 보안이나 용역직원을 외부 세콤과 같은 사설보안 업체에 맡기는 경우도 있다. 대기업이야 자체 부서를 만들지만 중소기업은 그렇지가 않은 경우가 많은데 이를 통해서 보안유출이 가능하다.

할머님 많이 힘드시죠? (하면서 몇만원을 쥐어줌)

이 USB를 켜져있는 컴퓨터에 꽂아주실수 있으세요 ㅎㅎㅎ?

이런식으로 청소직원을 꼬드긴다면 자동으로 USB프로그램으로 복사가 가능한 시나리오도 가능한 것이다. 특히 이런 용역직원들의 경우 나이가 많고, 컴퓨터에 대해서는 무지하며, 특히 고위 정보가 있는 방에 접근하기가 의심을 받지 않고 매우 쉽다.

카드형 USB

요 최근에야 눈치를 챈거 같은데 USB의 형태에는 카드형의 USB도 있다. 이런 모양의 USB가 등장한 것은 대략 2~3년 전쯤이었는데 본인은 이 제품을 보자마다 생각한 게 있었다.

이것때문에 골치 꽤나 썩는 문제가 나타나겠다.

실제로 이런 모양의 제품을 이용해서 카드로 속이고 내부 데이터를 긁어버린 사건이 일어난 적이 있었다. 이 문제는 보안이슈에서 이미 제기된 내용임에도 기업의 보안은 USB모양만 검사를 한 결론인듯 싶다.

만약 금속탐지기로 검사가 안되는 데이터 스토리지라면?

통상 제품에는 금속류로 IC칩을 붙히기 마련이다. 하지만 금속류가 아닌 전도성 플라스틱으로 ic칩을 붙힌 USB나 이러한 저장장치를 이용하여 검색대를 통과할려고 한다면? 이를 구두 아래쪽의 공간을 통해서 들어온다고 한다면? 이런 보안의 문제가 발생할 수 있다. 이러한 문제 때문에 USB단자를 없엔 컴퓨터 보안이 있을 수 있지만 의외의 헛점은 또 있다. 바로 SATA이다.

SATA의 경우 핫스왑이 지원되는 새로운 데이터 플러그 이다. 하드디스크에 주로 사용되지만 이 SATA형 SSD를 이용해서 데이터를 복사한다고 하면? 그야말로 순식간에 데이터가 이동된다. 약 1GB에 10초가 걸리며 128GB의 경우도 커피 한잔을 마시는 시간에 불과하다.(약 2~3분)