사회공학 사이버공격 프레임워크

Abstract

최근 사이버 공격기술의 유포방식이 대부분 사회공학을 이용한 공격인 이유는 특별한 기술을 사용하지 않고 공격대상자를 속여 보안절차를 우회하여 정보를 탈취하기 때문이다. 그럼에도 불구하고 정작 기술의 주체인 사람은 정보를 다루는 대상이 아닌 기술 의존적 존재로 인식되어 기술보안 중심으로 연구되고 있기에 이러한 문제를 해결하기 위해서는 기술의 주체인 사람을 더 이상 기술 의존적인 존재로 치부하지 않고 정보를 다루는 주체이자 핵심으로 인식해야 할 것이다. 이를 위해 정보를 다루는 주체인 사람에 관한 연구가 필요하며 공격자가 무엇을 활용하여 공격하는지 또는 어떤 공격기술과 심리기제를 활용하여 공격하는지에 대한 심층적인 연구가 필요하다. 이에 본 논문은 증가하는 사회공학 공격의 흐름과 패턴을 분석하여 ‘사회공학 사이버공격 사이클’을 제시하여 사이버영역에서의 사회공학 공격 프로세스를 정립하였다. 또한, 사회공학 사이버공격 사례와 국내외 연구들을 비교분석하여 사회공학 사이버공격(SECA) 프레임워크를 설계하였으며 활용성을 높이기 위해 가상의 공격시나리오도 제시하였다. 그러므로 본 논문에서 제시한 사람의 심리를 이용한 사회공학 공격에서 사회공학 사이버공격(SECA) 프레임워크를 적용하면 사회공학 사이버공격과 대응체계를 위한 분석의 틀로 활용될 것으로 확신하는 바이며, 사회공학 사이버 공격시나리오를 설계할 때 효과적이고 즉시적인 공격 및 방어의 틀을 제공할 수 있을 것이라 기대된다.