earticle

영어

Due to the development of system performance and security technology, the first target of recent security attacks tends to be the people who operate the system, rather than the system itself. Therefore, one of the most crucial vulnerabilities is the people, which reflects the need for the human-centric security. To the best our knowledge, however, there is no previous works for such social engineering attacks through the analysis of risk assessment. In this paper, first we analyze the technologies of social engineering attacks and methodologies for common vulnerability assessment such as CVSS, CWSS, OWSAP Risk Rating Methodology. Then, based on the analysis, we develop risk assesment indexes for social engineering attacks.

한국어

시스템 성능의 발달과 보안기술의 발전으로 인해 최근의 보안 관련 공격들은 시스템의 취약점을 이용한 공격보다는 시스템을 운영하는 사람을 목표로 하는 공격들이 다양하게 발생하고 있다. 따라서 가장 큰 취약점이 사람이며 사람 중심의 보안전략이 필요하다는 것이 이슈가 되고 있다. 하지만 사람 을 일차 목표로 하는 사회공학 공격들의 위험도를 분석하여 전략적으로 대처하고자 하는 연구는 진 행되지 않고 있다. 따라서 본 논문에서는 사회공학 공격 사이클 및 공격 기법과 일반 공격 위험도 수 치화 방법인 CVSS, CWSS, OWASP 위험등급 방법론 등을 분석하여 사회공학 공격의 위험도를 평가 할 수 있는 평가 지표를 제시한다.