모든 초보 해커가 가슴 속 깊이 새겨둬야 할 금언(金言)이 있다.그것은 "공격 대상 네트워크의 가장 약한 부분은 사람이다"
사회 공학으로 가장 큰 명성을 얻은 사람은 Kevin Mitinick이다. 그는 사람들을 속여 접근코드, 비밀번호, 심지어 소스코드 까지 공개하도록 했다. 여기에 다른 방법이 하나있다. '나'를 의심하지 않는 사람들이 '나'를 위해 자질구레한 일을 하도록 만드는 '사회 역공학(Social reverse-engineering)'이 그것이다.
한가지 예를 들어보자.
이제 어떤 사람에게 1에서 20사이의 완전히 랜덤한 숫자 하나를 고르라고 말 해 보라.(물론 즉각적인 반응을 요구한다.)
대부분의 사람들은 범위의 양 끝(1또는 20)을 피할 것이다. 왜냐하면 그 숫자들은 랜덤하지 않기 때문이다. 그리고 매우 명확한 구분 숫자(0또는 5로 끝나는)도선택하지 않을 것이다. 그리고 두 숫자가 연속된 값(11 같은)도 랜덤하게 보이지 않기 때문에 피할 것이다. 대부분의 사람들은 한자리 숫자보다 두 자리 숫자를 고를 것이다.
그리고 사람들은 범위에서 되도록 큰 숫자를 고르는 경향이 있다.
그래서 많은 사람들은 16,17,18 중 하나를 선택할 것이다. 사람들의 생각은 별로 다르지 않다.
해킹에 관한 잘못된 오해중 하나는 그것이 오로지 기술적인 부분으로만 이루어질것이라는 편견이다.
실제로 해킹의 대상인 '보안'의 경우 그 '보안'을 강력하게 혹은 쓸모없게 만드는 주체는 보안관리자, 즉 사람이다.
비단 정보시스템에만 국한된 이야기가 아니다. 일반 회사나 혹은 조직에서의 경우도 마찬가지이다. '보안'에 신경을 쓰면서 '내부자'에 관한 엄격한 관리나 고려를 하고 있는지 생각해 볼 문제다.
실제로 정보시스템감사에서는 '정보시스템'의 관리자 혹은 내부자의 자질, 요건이 가장 중요한 고려대상이 된다.
-에이콘 SYNGRESS에서 나온 'Stealing the Network : How to own the box(Ryan Rusell외, 강유역)'는 해킹에 관한 기술적인 사항뿐 아니라 그 과정을 소설처럼 전개해서 보여주고있다. 실제이야기는 아니지만, 10개의 에피소드는 각각의 저자가 직접 겪었거나 지금도 사용되는 해킹과 보안관련 이야기들이다. 컴퓨터 기술만을 생각하고 이 책을 펼쳤다면, 아마도 두가지 경우중 한가지일것이다. '충격적이다!'와 '시시하네~'-
덧글
millefeuille 2004/03/07 18:30 #
옆사람한테 대뜸 물어봤더니 18이라고하네요 [...]
이올로 2004/03/07 19:13 #
전 17을 생각했었습니다...^0^;;;
MAGO 2004/03/09 13:00 #
전 20을 생각했습니다만... -_-;
이올로 2004/03/09 23:47 #
MAGO님 // 옷! 범상치 않으시군요^^;