보안 위험 평가를 위한 사회공학 공격 그래프
Social Engineering Attack Graph framework (SEAG)
- 주제(키워드) 공격그래프 , 사회공학 , 네트워크 보안 , 인적보안 , 정보보안인증
- 발행기관 고려대학교 정보보호대학원
- 지도교수 김휘강
- 발행년도 2020
- 학위수여년월 2020. 2
- 학위구분 석사
- 학과 정보보호대학원 정보보호학과
- 원문페이지 29 p
- UCI I804:11009-000000127589
- DOI 10.23186/korea.000000127589.11009.0000954
- 본문언어 한국어
- 제출원본 000046023540
초록/요약
사회공학 공격은 뛰어난 기술적인 공격이 아닌 방법으로 상대의 정보를 얻거나 상대가 직접 정보를 제공하도록 유도하는 것을 의미한다. 특히, 사회공학은 기술적인 공격으로 정보를 얻지 않기 때문에 아무리 기술 수준이 높은 보안 장비나 기술로 모든 공격을 막아내기가 어렵다. 그런 이유로 사회공학을 APT 공격을 위한 정보 수집 용도로 이용하거나, 금전적인 목적을 위한 랜섬웨어 배포를 위한 수단으로 주로 이용한다. 그래서 각 기업에서는 사회공학을 막기 위한 대응책으로 임직원 교육 및 사회공학 공격을 대비한 훈련을 계획하여 수행한다. 그러나, 사회공학 교육 및 훈련 결과를 통해 기업 내 보안담당자가 보안 위협을 가시적으로 측정하기가 어렵다. 따라서, 이를 보안을 유지하기 위해 네트워크상의 시스템 자산을 분석하고, 자산별 위험도를 산정하여 확률 기반의 공격 경로를 탐색하는 공격 그래프를 활용하여 보안담당자가 보안 위협을 판단하고, 빠른 대응이 가능한 프레임워크를 제시한다. 본 논문에서 제시하는 프레임워크를 통해 정성적인 사회공학 위협을 측정하고, 별도 에이전트 프로그램을 통해 시스템 자산 정보를 수집하여 최종적인 자산 위험도를 산정하는 확률 기반의 공격 그래프를 생성한다. 그 결과, 보안담당자가 사회공학 훈련 결과와 함께 훈련 대상별 권한 체계와 자산 정보 및 환경설정에 따른 취약 정도를 그래프 형태로 모니터링 할 수 있다. 이를 통해 기업에서 모니터링 도구로 활용할 수 있게 하고, 기업 내 체계적인 보안 전략을 세우는 데 주요 지표로도 사용 가능한 프레임워크를 제안한다.
more목차
국문 요약 1
제 1장 서론 2
제 2장 관련 연구 4
2.1 공격 그래프 4
2.2 사회공학 공격 5
제 3장 사회공학 공격 그래프 프레임워크 7
3.1 사회공학 공격 기술 정의 7
3.2 사회공학 공격 대응 훈련 9
3.3 공격 그래프 분석 10
3.4 사회공학 공격 그래프 프레임워크 Social Engineering Attack Graph framework (SEAG) 12
제 4장 결론 22
Reference 24
