Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

사회공학적 공격방법을 통한 개인정보의 유출기술 및 대응방안 분석

  • 최양서 (한국전자통신연구원 네트워크보안구조연구팀) ;
  • 서동일 (한국전자통신연구원 네트워크보안구조연구팀)
  • Published : 2006.02.01
Download PDF
⟨ Previous Next ⟩

Abstract

개인정보 유출을 위한 공격이 발생하기 시작한 것은 이미 오래전이다. 이런 공격은 고도의 기술을 이용하여 사용자가 인지하지 못한 상황에서 시도되는 경우도 있었으나 대부분의 경우 정보보호에 대한 상식이 부족한 일반인들을 대상으로 자신의 중요 정보를 직접 제공하게 만드는 사회공학적인 공격 방법이 주류를 이루었다. 이러한 사회 공학적인 공격 방법은 비록 매우 허술해 보이지만. 해커들 사이에서는 아직까지도 가장 쉽게 정보를 획득할 수 있는 방법으로 인식되고 있다 최근에는 피싱(Phishing), 파밍(Pharming) 등과 같은 사회 공학적인 공격 방법과, 인터넷이라는 전자 매체, 그리고, 고도의 공격 기술 등이 복합적으로 적용된 개인정보 유출 공격이 시도되고 있다. 이에 본고에서는 개인정보 유출을 위해 시도되는 공격에는 어떠한 방법들이 있는지 알아보고, 이들이 사용하는 기술적인 공격 방법에 대해 분석하며, 이를 극복하기 위한 방안에 대해 살펴보기로 한다.

Keywords

References

  1. 한국정보호호진흥원, '인터넷 침해사고 동향 및 분석 월보 2005년 12월', 2005. 1
  2. terms, http://www.termscokr/spyware.htm
  3. NISR, 'The Phishing Guide', NGS Software Ltd., 2004
  4. NISR. 'The Pharming Guide', NGS Software Ltd., 2005
  5. Danny Allan, 'Identity Theft, Phishing and harming: Accountability & Responsibilities', OWASP AppSec, Oct. 2005
  6. 'Proposed Solutions to Address the Threat of Email Spoofing Scams', The Anti-Phishing Working Group, Dec. 2003
  7. 'Anti-Phishing Best Practices for Institutions and Consumers', McAfee, March 2004
  8. Gunter Ollmann, 'URL Encoded Attacks', 2002
  9. Gunter Ollmann, 'Security Best Practice: Host Naming and URL Conventions', 2005
  10. Joe Stewart, 'DNS Cache Poisoning - The Next Generation', 2003
  11. Steven Musil, 'ISP Panix over domain hijack', CNET News.com, Jan 17, 2005
  12. 인터넷침해사고대응지원센터, 'SPAM BOT을 이용한 Phishing SPAM 발송 시스템 보고서', KISA, 2005
  13. 인터넷침해사고대응지원센터, '피싱 사이트 악용 서버 분석 사례', KISA, 2005
  14. APWG, 'Phishing Activity Trends Report', Nov. 2005
  15. The Open Web Application Security Project(OWASP) Foundation, http://www.owasp.org/
  16. Anti-Phishing Working Group, http://www.antiphishing.org/
  17. NORAD(The North American Aerospace Defense Command), http://www.norad.mil