융합보안논문지 (Convergence Security Journal)

  • 제19권1호
  • /
  • Pages.103-110
  • /
  • 2019
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지

사회공학 공격에 대한 기업조직의 위험 수준 평가 방안

A Risk Assessment Scheme of Social Engineering Attacks for Enterprise Organizations

  • 박영후 (중앙대학교 대학원 융합보안학과) ;
  • 신동천 (중앙대학교 산업보안학과)
  • 투고 : 2019.02.13
  • 심사 : 2019.03.29
  • 발행 : 2019.03.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근의 보안 관련 공격들은 시스템의 취약점을 악용하는 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 그러나 현재 사람을 주요 공격 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대응하고자 하는 연구는 매우 부족한 현실이다. 본 논문에서는 사회공학 공격의 위험도를 평가하기 위해 공격 경로, 공격 수단, 공격 단계, 공격 도구, 공격 목표 측면에서 사회공학 공격들을 분석한다. 아울러 동일한 공격에 대해 조직의 특성과 환경에 따라 위험도는 다름을 반영하여 사회공학 공격 위험도와 함께 조직의 특성과 환경을 고려한 조직의 위험도를 평가한다. 뿐만 아니라, 일반적인 공격 위험도 평가 방법인 CVSS, CWSS, OWASP Risk Rating Methodology를 분석하여 사회공학 공격에 대한 조직의 위험도 평가 방안을 제안한다. 제안한 방법론은 조직의 환경 변화에 따라 조직에 적절한 사회공학 공격에 대한 조치를 취할 수 있도록 평가 유연성이 있다.

Recently security related attacks occur in very diverse ways, aiming at people who operate the system rather than the system itself by exploiting vulnerabilities of the system. However, to the our best knowledge, there has been very few works to analyze and strategically to deal with the risks of social engineering attacks targeting people. In this paper, in order to access risks of social engineering attacks we analyze those attacks in terms of attack routes, attack means, attack steps, attack tools, attack goals. Then, with the purpose of accessing the organizational risks we consider the characteristics and environments of the organizations because the impacts of attacks on the organizations obviously depend on the characteristics and environments of the organizations. In addition, we analyze general attack risk assessment methods such as CVSS, CWSS, and OWASP Risk Rating Methodolog. Finally, we propose the risk access scheme of social engineering attacks for the organizations. The proposed scheme allows each organization to take its own proper actions to address social engineering attacks according to the changes of its environments.

키워드

참고문헌

  1. UK National Computer Emergency Response Team, 'An introduction to social engineering'. (https://www.ncsc.gov.uk/guidance/introduction-social-engineering)
  2. M. N. Sadiku, A. E. Shadare and S. M. Musa, "Social Engineering: An Introduction", Journal of Scientific and Engineering Research, Vol.3, Issue.3, pp.64-66, 2016.
  3. K. Mitnick, "How to hack peoplle" (http://news.bbc.co.uk/2/hi/technology/2320121.stm)
  4. C. Hadnagy, 'Social engineering: The art of human hacking', John Wiley & Sons, 2010.
  5. A. Nyirak, "The Attack Cycle", (http://www.social-engineer.org/framework/attack-vectors/attack-cycle)
  6. CVSS-SIG, 'Common Vulnerability Scoring System', (https://www.first.org/cvss)
  7. P. Mell, K. Scarfone, and S. Romanosky, "Common Vulnerability Scoring System", IEEE Security & Privacy, Vol. 4, Issue. 6, pp. 85-89, 2006. https://doi.org/10.1109/MSP.2006.145
  8. CWE, 'Common Weakness Scoring System'. (https://cwe.mitre.org/cwss/cwss_v1.0.1.html)
  9. OWASP Foundation, 'The OWASP Risk Rating Methodology', (https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology)
  10. Microsoft, 'How to Protect Insiders from Social Engineering Threats', 2014. (https://msdn.microsoft.com/en-us/library/cc875841.aspx).
  11. J. Long, 'No tech hacking: A guide to social engineering, dumpster diving and shoulder surfing',. Syngress, 2011.
  12. K. Krombholz, H. Hobel, M. Huber, and E. Weippl, "Advanced social engineering attacks", Journal of Information Security and Applications, Vol. 22, pp. 113-122, 2015. https://doi.org/10.1016/j.jisa.2014.09.005
  13. D. Bisson, "5 Social Engineering Attacks to Watch Out For", (http://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/)
  14. P. Chen, L. Desmet, and C. Huygens, "A study on Advanced Persistent Threats", IFIP International Conference on Communications and Multimedia Security, pp. 63-72, 2014.
  15. D. C. Shin and Y. H. Park, "Development of Risk Assessment Indices for Social Engineering Attacks", Journal of Security Engineering,, Vol. 14, No. 2,pp. 143-156. 2017. https://doi.org/10.14257/jse.2017.04.01