피싱 메일이나 채팅에 숨어있는 URL이나 악성 요소 탐지가 아니라
메시지 그 자체에 숨어있는 의도 파악하기...18만번 이상 데이터 주입
[보안뉴스 문가용 기자] 소셜 엔지니어링 공격은 세계 공통의 문제이며, 뾰족한 대처법도 없는 실정이다. 그런 와중에 두 명의 전문가들이 소셜 엔지니어링 공격자들의 뒤통수를 칠 만한 툴을 고안했다. 자연어 처리 기술을 활용해, 은밀히 접근하는 이들의 악의를 분간해내는 것이 골자라고 한다.
[이미지 = iclickart]
한 명은 캘리포니아대학의 이안 해리스(Ian Harris) 교수고 다른 한 명은 보안 업체 루트코어(Lootcore)의 수석 컨설턴트인 마르셀 칼슨(Marcel Carlsson)이다. 이 둘은 소셜 엔지니어링 공격에 대항하기 위해 수년 전부터 여러 시행착오를 겪어왔다고 한다.
“저희가 계속해서 소셜 엔지니어링 공격에 대한 관심을 가져왔던 것은, 이게 항시 존재하는 정보보안의 취약점이며 기술적으로 패치가 안 된다는 것 때문이었습니다. 또한 누군가를 돕고자 하고, 아껴주려고 하는 사람 본성의 착한 부분을 악용하는 공격이기도 합니다. 그러니 사람을 패치할 수도 없고, 기술로는 해결이 어렵게 되는 것이죠.”
현재 정보보안 업계는 피싱 이메일을 이전보다 조금 더 잘 막게 된 것 외에는 소셜 엔지니어링 방어에 큰 성과를 보이지 못했다. 그리고 공격은 날로 발전해, 방어는 갈수록 까다로워지고 있다. “공격자들은 자신들이 노리는 게 무엇이고, 또 어떤 사람인지 정확히 알고 있습니다. 그렇기에 신기술이 나와도 이들이 더 교묘하게 활용하게 되는 겁니다.”
칼슨은 “많은 회사나 조직들이 기술에만 의존하려고 한다”고 설명한다. “아직도 공격을 사전에 예방하려는 노력에 지나치게 투자합니다. 공격을 탐지하고, 그에 대응하려는 시도는 아직도 보편적이지 않습니다.” 소셜 엔지니어링 공격은 ‘방지’보다는 ‘탐지’를 잘 해야 막을 확률이 올라간다고 칼슨은 설명한다. “헤더 정보나 엠베드된 링크 등 메타 데이터 분석을 통해 빠르게 탐지하는 게 관건인데, ‘방지’에만 초점을 맞추면 방어가 힘들게 됩니다.”
그래서 칼슨과 해리스는 좀 다른 각도에서 이 문제에 접근하기로 했다. 그것이 바로 자연어 처리 기술이다. “제목이나 메일의 링크를 보고 소셜 엔지니어링 공격을 탐지하는 대신, 의미 분석(semantic analysis)을 통해 악성 여부를 판단하는 기술을 적용해볼 수 있을까, 연구하기 시작했습니다.”
해리스는 본래 하드웨어 설계와 실험을 전문으로 한다. 그는 자연처 처리 기술을 사용해 하드웨어 요소들을 설계해가며 소셜 엔지니어링 방어에 대한 힌트를 얻었다고 한다. “평소처럼 저의 전문 분야에서 작업을 하다가 문득 소셜 엔지니어링 방어에도 이 기술을 적용할 수 있겠다 싶은 생각이 들었고, 그래서 곧바로 실험에 돌입했습니다.”
공격자들이 교묘하게 숨겨둔 링크나 악성 장치들에 집중하는 게 아니라, 그들의 유혹하려는 말 자체에 집중한다는 것인데, 그렇기 때문에(자연어 처리 기술에 의존하기 때문에) 이메일이 아니더라도 적용하는 게 가능하다고 한다. 텍스트 문자 애플리케이션이나 채팅 플랫폼을 통한 소셜 엔지니어링 공격이 여기에 포함된다. 음성을 텍스트로 변환시켜주는 툴을 결합하면 전화를 통한 공격도 탐지할 수 있다.
어떤 원리?
소셜 엔지니어링 공격이 성공하려면, 공격자는 무엇보다 피해자에게 질문을 하고 답을 들어야 한다. 혹은 불법적이거나 비정상적인 행위를 하도록 유도해야 한다. 이러한 과정 없이 곧바로 성공하는 소셜 엔지니어링 공격은 존재하지 않는다. 그래서 칼슨과 해리스는 “이 과정에서 나올 수밖에 없는 메시지를 분석하는 방법론”을 파고들기 시작했다. “비밀스런 데이터에 대한 질문이 빈번하게 발생하거나, 비정상적인 행위를 요구하는 명령을 타지하도록 한 것이죠.”
그러므로 이들이 개발한 툴은 응답자가 무슨 답을 하든 영향을 받지 않는다. 공격자들의 질문과 명령(부탁)만으로 분석을 할 수 있다는 것이다. “가장 주요한 동사와, 그 동사의 목적어를 정리, 취합해 의미를 이끌어 냅니다. 예를 들어 ‘돈을 보내시오’라는 문구가 있다면, 이를 ‘보내다’라는 동사와 ‘돈’이라는 목적어로 묶어낸다는 것이죠.”
그 다음 이 동사-목적어 조합과 블랙리스트에 오른 동사-목적어 조합을 비교한다. 해리스와 칼슨은 피싱 이메일 샘플을 무작위로 선택하여 질문과 명령들을 분석하고, 이를 블랙리스트 데이터로 변환시켰다. “하지만 아직 이 블랙리스트를 다 공개할지는 생각 중에 있습니다. 이것 또한 공격자들의 참고자료가 될 수 있으니까요.”
두 사람은 자신들이 개발한 툴에 약 18만 7천 건의 샘플 데이터를 주입했다고 한다. 피싱 메일과 평범한 메일을 18만 7천번 거르게 한 것이다. “이를 바탕으로 이메일과 채팅용 툴을 개발했습니다. 두 가지 플랫폼에서 소셜 엔지니어링 공격을 막을 수 있게 한 것입니다. 또한 앞으로 고도화된 표적형 공격에도 대처할 수 있도록 툴을 향상시킬 계획입니다.”
“소셜 엔지니어링 공격이 진짜 무서워질 땐 표적화 되었을 때”라는 칼슨은 “그 부분에 대한 방어를 성공할 수 있어야 진짜 소셜 엔지니어링에 대처할 수 있다고 말할 수준이 된다”고 말한다. 다만 이런 경우는 둘 만의 비밀스러운 대화 샘플이 많이 필요한데, 이걸 확보하는 게 쉽지 않다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
메시지 그 자체에 숨어있는 의도 파악하기...18만번 이상 데이터 주입
[보안뉴스 문가용 기자] 소셜 엔지니어링 공격은 세계 공통의 문제이며, 뾰족한 대처법도 없는 실정이다. 그런 와중에 두 명의 전문가들이 소셜 엔지니어링 공격자들의 뒤통수를 칠 만한 툴을 고안했다. 자연어 처리 기술을 활용해, 은밀히 접근하는 이들의 악의를 분간해내는 것이 골자라고 한다.
[이미지 = iclickart]
한 명은 캘리포니아대학의 이안 해리스(Ian Harris) 교수고 다른 한 명은 보안 업체 루트코어(Lootcore)의 수석 컨설턴트인 마르셀 칼슨(Marcel Carlsson)이다. 이 둘은 소셜 엔지니어링 공격에 대항하기 위해 수년 전부터 여러 시행착오를 겪어왔다고 한다.
“저희가 계속해서 소셜 엔지니어링 공격에 대한 관심을 가져왔던 것은, 이게 항시 존재하는 정보보안의 취약점이며 기술적으로 패치가 안 된다는 것 때문이었습니다. 또한 누군가를 돕고자 하고, 아껴주려고 하는 사람 본성의 착한 부분을 악용하는 공격이기도 합니다. 그러니 사람을 패치할 수도 없고, 기술로는 해결이 어렵게 되는 것이죠.”
현재 정보보안 업계는 피싱 이메일을 이전보다 조금 더 잘 막게 된 것 외에는 소셜 엔지니어링 방어에 큰 성과를 보이지 못했다. 그리고 공격은 날로 발전해, 방어는 갈수록 까다로워지고 있다. “공격자들은 자신들이 노리는 게 무엇이고, 또 어떤 사람인지 정확히 알고 있습니다. 그렇기에 신기술이 나와도 이들이 더 교묘하게 활용하게 되는 겁니다.”
칼슨은 “많은 회사나 조직들이 기술에만 의존하려고 한다”고 설명한다. “아직도 공격을 사전에 예방하려는 노력에 지나치게 투자합니다. 공격을 탐지하고, 그에 대응하려는 시도는 아직도 보편적이지 않습니다.” 소셜 엔지니어링 공격은 ‘방지’보다는 ‘탐지’를 잘 해야 막을 확률이 올라간다고 칼슨은 설명한다. “헤더 정보나 엠베드된 링크 등 메타 데이터 분석을 통해 빠르게 탐지하는 게 관건인데, ‘방지’에만 초점을 맞추면 방어가 힘들게 됩니다.”
그래서 칼슨과 해리스는 좀 다른 각도에서 이 문제에 접근하기로 했다. 그것이 바로 자연어 처리 기술이다. “제목이나 메일의 링크를 보고 소셜 엔지니어링 공격을 탐지하는 대신, 의미 분석(semantic analysis)을 통해 악성 여부를 판단하는 기술을 적용해볼 수 있을까, 연구하기 시작했습니다.”
해리스는 본래 하드웨어 설계와 실험을 전문으로 한다. 그는 자연처 처리 기술을 사용해 하드웨어 요소들을 설계해가며 소셜 엔지니어링 방어에 대한 힌트를 얻었다고 한다. “평소처럼 저의 전문 분야에서 작업을 하다가 문득 소셜 엔지니어링 방어에도 이 기술을 적용할 수 있겠다 싶은 생각이 들었고, 그래서 곧바로 실험에 돌입했습니다.”
공격자들이 교묘하게 숨겨둔 링크나 악성 장치들에 집중하는 게 아니라, 그들의 유혹하려는 말 자체에 집중한다는 것인데, 그렇기 때문에(자연어 처리 기술에 의존하기 때문에) 이메일이 아니더라도 적용하는 게 가능하다고 한다. 텍스트 문자 애플리케이션이나 채팅 플랫폼을 통한 소셜 엔지니어링 공격이 여기에 포함된다. 음성을 텍스트로 변환시켜주는 툴을 결합하면 전화를 통한 공격도 탐지할 수 있다.
어떤 원리?
소셜 엔지니어링 공격이 성공하려면, 공격자는 무엇보다 피해자에게 질문을 하고 답을 들어야 한다. 혹은 불법적이거나 비정상적인 행위를 하도록 유도해야 한다. 이러한 과정 없이 곧바로 성공하는 소셜 엔지니어링 공격은 존재하지 않는다. 그래서 칼슨과 해리스는 “이 과정에서 나올 수밖에 없는 메시지를 분석하는 방법론”을 파고들기 시작했다. “비밀스런 데이터에 대한 질문이 빈번하게 발생하거나, 비정상적인 행위를 요구하는 명령을 타지하도록 한 것이죠.”
그러므로 이들이 개발한 툴은 응답자가 무슨 답을 하든 영향을 받지 않는다. 공격자들의 질문과 명령(부탁)만으로 분석을 할 수 있다는 것이다. “가장 주요한 동사와, 그 동사의 목적어를 정리, 취합해 의미를 이끌어 냅니다. 예를 들어 ‘돈을 보내시오’라는 문구가 있다면, 이를 ‘보내다’라는 동사와 ‘돈’이라는 목적어로 묶어낸다는 것이죠.”
그 다음 이 동사-목적어 조합과 블랙리스트에 오른 동사-목적어 조합을 비교한다. 해리스와 칼슨은 피싱 이메일 샘플을 무작위로 선택하여 질문과 명령들을 분석하고, 이를 블랙리스트 데이터로 변환시켰다. “하지만 아직 이 블랙리스트를 다 공개할지는 생각 중에 있습니다. 이것 또한 공격자들의 참고자료가 될 수 있으니까요.”
두 사람은 자신들이 개발한 툴에 약 18만 7천 건의 샘플 데이터를 주입했다고 한다. 피싱 메일과 평범한 메일을 18만 7천번 거르게 한 것이다. “이를 바탕으로 이메일과 채팅용 툴을 개발했습니다. 두 가지 플랫폼에서 소셜 엔지니어링 공격을 막을 수 있게 한 것입니다. 또한 앞으로 고도화된 표적형 공격에도 대처할 수 있도록 툴을 향상시킬 계획입니다.”
“소셜 엔지니어링 공격이 진짜 무서워질 땐 표적화 되었을 때”라는 칼슨은 “그 부분에 대한 방어를 성공할 수 있어야 진짜 소셜 엔지니어링에 대처할 수 있다고 말할 수준이 된다”고 말한다. 다만 이런 경우는 둘 만의 비밀스러운 대화 샘플이 많이 필요한데, 이걸 확보하는 게 쉽지 않다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
