본문 바로가기
보안 이야기

[보안이야기#19]정보보안 맛보기-공격1탄

by 제로썬 2023. 6. 2.

안녕하세요 보안코치 제로썬이에요 :)

이전 글은 조직도 구성 이해에 기업과 사이버위협 대응 및 보안관제센터 조직은 어떻게 구성하고 역할과 책임이 부여되는지 알아봤죠~

 

못 보신 분들은 아래 링크로 보고 와주세요^^

https://zerotrust.tistory.com/46

 

[보안이야기#18]조직도 구성 이해

안녕하세요 보안코치 제로썬이에요 :) 이전 글은 포렌식 전문가에 대해서 알아보는 시간이였죠?!! 못 보신 분들은 아래 링크로 보고 와주세요^^ https://zerotrust.tistory.com/45 [보안이야기#17]정보보안

zerotrust.tistory.com

 

오늘부터는 정보보안 맛보기(?) 시간을 가져보려고 합니다.

 

정보보안 맛보기-1탄!!(주저리 주저리 글 쓸거에요ㅋㅋㅋ)

저희는 돈을 벌기 위한 수단이 무엇이 있죠? 결국 일(노동)을 통해 돈을 벌고 있고, 생활하고, 먹고 싶은걸 사고, 맛있는 음식을 먹기도 하죠~ 즉 자본주의에서 돈을 빼놓을 수가 없고 돈을 벌기 위해서 노동을 통해 벌게 되는데요.

자본주의, 노동=돈, 일반사람
자본주의, 노동=돈, 일반사람

정보보안 맛보기라면서 왠 노동 이야기 하느냐?! 그렇다면 블랙 해커(나쁜놈)들은 돈을 벌기 위한 수단은 정보를 팔아서 돈을 번다는 겁니다. 물론 정보를 가지고 협박을 하기도 하는것이죠.

사기꾼, 범죄자 등 강도를 하던, 사기를 치던 사람들의 협박하고, 속이고, 정보를 수집해서 본인들이 얻고자 하는 것은 결국 돈이 될겁니다. 

자본주의, 정보=돈, 나쁜사람
자본주의, 정보=돈, 나쁜사람

 

그렇다면 저희가 지켜야 하는 것이 무엇일까요? 그 "정보"가 어떤 정보인지 모르지만 정보를 지켜야 하겠네요?

눈치 있으신분들은 아실거에요?!  맞습니다! 

여러분 보안을 한다는 것은 보호대상이 있어야겠죠 그것이 바로 정보이라는 겁니다!!

그래서 정보를 보안한다고 해서 정보보안인거에요! 엄청나죠?!

 

그럼 정보보안 정의를 보고 가실게요!

정보 보안(情報保安영어: information security 또는 infosec, 정보 보호)은 정보를 여러 가지 위협으로부터 보호하는 것을 뜻한다.

위에 있는 정보보안 정의 출처는 위키백과에서 가져왔어요~ 

핵심은 정보를 여러 가지 위협으로부터 보호하는 것이라고 되어 있네요!

정보보안의 특성

정보보안을 위키백과에서 찾아보면 다양한 내용이 있는데 정보보안의 특성이 있어 적어봅니다. 

1. 정보보안은 100% 완벽하게 달성할 수 없다.

2. 정보보안 대책의 설치시 필요성을 확신할 수 없다.

3. 정보보안 대책의 효과성은 실패율에 의해 측정된다.

4. 2가지 이상의 대책을 동시에 사용하면 위험을 크게 줄일 수 있다.

 

자~~ 위에 정보보안의 특성 4가지 내용을 보셨을텐데요 여기서 질문을 드리고 싶어요

여러분들이 저 위에 내용을 보셨을때 저 글 내용에 대해 동의를 하시나요??

동의하거나 동의하지 안 한다면 그 이유 또는 생각에 대해서 적어보시길 적극적으로 권해드리고 싶어요

본인의 알고 있는 지식을 동원해서 생각에 대해서 표현하는건 무척이나 중요합니다. ^^

 

블랙 해커들이 목표로 하는 것이 정보라고 했을 때 그 정보를 어떤 대상으로부터 얻으려고 할까요?

제가 생각하기에는 공격대상은 크게 봤을때 사람과 시스템이라고 생각해요.

 

그리고 공격기법은 심리와 기술을 이용하여 목표로 두고 있는 정보를 얻으려고 하는데요.

범죄도 조직화하여 공격 대상이 개인, 기업, 국가(정부) 대상이 되는 것이죠.

공격기법에 사용되는 다양한 기술이 있겠지만 저는 사회공학기법에 말씀 드릴게요

우선 정의부터 볼게요

 

사회공학(social engineering)

보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법

사회공학은 사기와 같다.
사회공학은 사기와 같다.

저는 사회공학 = 사기라는 표현을 자주 쓰곤 하는데요

결국 사기꾼을 상대방에게 사기를 쳐서 금전을 취득하는 것처럼

해커도 사회공학을 써서 정보를 취득합니다. 결국 본질은 같아요!

 

대표적인 공격으로 피싱을 말할 수 있겠네요.

보이스피싱 많이 들어보셨죠?

결국 보이스피싱도 사회공학기법을 이용한 공격이랍니다.

 

그래서 사회공학은 인간의 심리 현상 중에서도 신뢰를 이용하는 것에 초점이 맞춰져 있어요.

사람의 마음, 읽고 움직이고 훔칠 수 있다면 이미 끝난 상태일 수 있다.

그만큼 사람의 심리를 이용한 공격이 정말 강력할 수 밖에 없다고 생각해요

 

정보보안 맛보기 2탄에서는 기업의 중요정보란 무엇이고

악성코드 감염 유형과 악성코드 관련된 가장 많이 나오는 공격유형에 대해서 보도록 할게요

 

오늘도 좋은 하루 되시길 바래요!! :)

저작자표시 비영리 변경금지

'보안 이야기' 카테고리의 다른 글

[보안이야기#21]정보보안 맛보기-공격3탄  (0) 2023.06.06
[보안이야기#20]정보보안 맛보기-공격2탄  (0) 2023.06.05
[보안이야기#18]조직도 구성 이해  (0) 2023.05.31
[보안이야기#17]정보보안 직무-포렌식 전문가  (0) 2023.05.11
[보안이야기#16]정보보안 직무-악성코드 분석  (0) 2023.05.07

관련글

댓글

티스토리툴바