이 연구는 특정행위를 하거나 기밀정보를 누설하도록 사람들을 조정하는 산업기술 유출방법인 ‘사회공학적 공격(social engineering attacks)’ 방법에 대하여 살펴보고자 한다. 사회공학적 공격방법은 기존의 산업기술 유출 방법과는 달리 산업기술 유출 주체가 컴퓨터 전문 지식을 갖추는 것보다는 신뢰할 수 있는 기관의 직원으로 사칭하거나 개인적인 친분이 있는 사람으로 가장하여 타인으로 하여금 자신의 목적을 달성시키기 위해 심리적인 측면을 악용하는 범죄유형이라고 볼 수 있다. 이는 보안시스템이 잘 갖춰진 기업이라 할지라도 이를 사용하는 주체도 사람이며, 사람의 취약성으로 인해 이러한 장치들이 무용지물이 될 수 있다는 점에서 심각한 기술유출 범죄 유형으로 부각되고 있는 것이다.
일반적으로 알려진 사회공학적 공격방법의 단계는 다음과 같다. 첫째는 정보수집(Information Gathering) 단계이다. 둘째는 관계형성(Development of Relationship) 단계로 1단계인 정보 수집 단계에서 공격자는 공격 대상과 관련된 다양한 정보들을 충분히 수집하였다고 판단할 경우 공격자는 이제 공격 대상과 직접적인 관계를 형성하기 위해 2단계인 관계 형성 단계로 발전하게 된다. 세 번째 단계인 공격(Exploitation)은 공격자가 수집한 다양한 정보들을 바탕으로 공격 대상과 충분한 신뢰감을 형성하였다고 판단 할 경우에 진행하게 된다. 마지막인 실행(Execution) 단계에서 공격 대상은 공격자가 요청한 사항에 대해 직접적인 실행으로 옮김으로써 이로 인해 실질적인 피해가 발생하게 된다.
이러한 사회공학적 공격방법에 의한 산업기술 유출상황에 대한 대응방안으로는 변화된 공격 패턴에 대한 인지 및 유형화, 취약성 감소 방안 마련, 수준별 대응방안의 마련을 들 수 있다.

This study demonstrated that the social engineering is a technique depends greatly on the interaction among people which often includes others cheating for breaking the standard security procedures. The process of using social engineering is a way which doesn’t require any prior or deep knowledge of all computer techniques types, it depends on some of the psychological and social facts of people as well as it is one of the risks which directly cannot be expected. There are no complete systems to prevent the trickery operation from taking place.
Today, social engineering that is considered the great security threat to people and organizations is one of the powerful attack method of the security industry. Social engineering is the art of tricking, luring or manipulating end-users to reveal his password or to divulge other valuable corporate information by appealing to their sense of social norms, with the aim of gaining access to one’s system. In other words, It is a technique in which an unauthorized person manages to pose as an insider or an authority to sucessfully get access to information or resources.
This principal strategies of the social engineering can be summarized in four basic steps. First, To gather information. This can be information from public sources(phone book, web pages or previous other social engineering attacks etc.). this information will be used to develop a relationship with the target. Second, To develop a relationship(create rapport and trust etc.). Third, To exploit the relationship(reveal secret informations, passwords etc.). Fourth, execution for achievement of target.
There are several steps a industrial circles should take to countermeasure the threat of social engineering. They are understand changes of ocial engineering attacks, reduce vulnerabilities by social engineering attacks and countermeasures per attacks level.
Generally, you will find company penetration tests help the most vulnerable access points and to develop defenses to prevent confidential information from being stolen. We concluded that there are some basic guidelines to protect against social engineering.

• 【국문초록】
• Ⅰ. 서론
• Ⅱ. 이론적 배경
• Ⅲ. 실태분석
• Ⅳ. 문제점 및 대응방안
• Ⅴ. 결론
• 참고문헌
• 【Abstract】

1 장항배, "제조산업 기술보호를 위한 산업보안학 메타적 분석 연구" 한국항행학회 17 (17): 123-131, 2013

2 채정우, "전문경영인의 기업정보 보호를 위한 산업기술 유출요인과 대응전략에 대한 탐색적 사례연구" 한국전문경영인학회 15 (15): 87-113, 2012

3 최응렬, "산업기술 유출경로 연구" 치안정책연구소 26 (26): 225-259, 2012

4 송인철, "사회공학적 공격 위험성과 우리 군의 대응 방안에 관한 연구 : 군에서 발생하는 공격 위험성과 효과적인 대응방안 중심으로" 연세대학교 정경대학원 2011

5 김종용, "사회공학기법을 이용한 금융범죄유형 및 대응방안 연구" 동국대학교 국제정보대학원 2008

6 이기혁, "내부 정보유출 징후 분석을 통한 유출방지 체계 구축" 19 (19): 70-79, 2009

7 Workman. M., "Wisecrackers: A theory‐grounded investigation of phishing and pretext social engineering threats to information security" 59 (59): 662-674, 2008

8 Pattinson, M., "Why do some people manage phishing e-mails better than others?" 20 (20): 18-28, 2012

9 Braun, V., "Using thematic analysis in psychology" 3 (3): 77-101, 2006

10 Kvedar, D., "The use of formal social engineering techniques to identify weaknesses during a computer vulnerability competition" 26 (26): 80-87, 2010

11 Dimensional-Research, "The risk of social engineering on information security: a survey of it professionals" Long Beach, CA. 2011

12 Mitnick Kevin D., "The art of deception: Controlling the human element of security" Wiley Publication 2002

13 Radha Gulati, "The Threat of Social Engineering and Your Defense Against It"

14 Peltier, T. R., "Social engineering: concepts and solutions" 33 (33): 1-13, 2006

15 Susanne Quiel, "Social engineering in the context of Cialdini's psychology of persuasion and personality traits, Technische Universität Harburg Elektrotechnik und Informationstechnik, Sicherheit in verteilten Anwendungen"

16 Algarni, A., "Social engineering in social networking sites: Affect-based model" 508-515, 2013

17 Twitchell, D. P. Year, "Social engineering in information assurance curricula" 191-193, 2006

18 Luo Xin, "Social Engineering: The Neglected Human Factor for Information Security Management" 24 (24): 1-8, 2011

19 Chan, D. Lieu, "Social Engineering-Attacking the Weakest Link" SANS Institute 2014

20 Algarni, A., "Social Engineering in Social Networking Sites: Phase-Based and Source-Based Models" 3 (3): 2013

21 Nohlberg, Marcus, "Securing information asset: Understanding, measuring and protecting against social engineering attacks"

22 Irani, D., "Reverse social engineering attacks in online social networks, in Detection of Intrusions and Malware, and Vulnerability Assessment" Springer 2011

23 Zhang, C., "Privacy and security for online social networks: challenges and opportunities"

24 Harl, "People Hacking: The psychology of social engineering"

25 Ezer Osei Yeboah-Boateng, "Of social Engineers & corporate espionage agents : How prepare are SMEs in Developing economies?" 1 (1): 14-22, 2013

26 Hiner, J., "Lock IT Down: Change your company's culture to combat social engineering attacks"

27 한국인터넷진흥원, "Internet & Security Weekly"

28 Brunner florian, "Industrial Social Engineering, Cyber Security Austria, Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur"

29 Brody, R. G., "Flying under the radar: social engineering" 20 (20): 335-347, 2012

30 Chitrey, A., "A Comprehensive Study of Social Engineering Based Attacks in India to Develop a Conceptual Model" 1 (1): 45-53, 2012

31 중소기업청ㆍ중소기업기술정보진흥원, "2013년 중소기업 기술보호 역량 및 수준조사" 2013