침해사고 대응

■ 침해사고 대응과 포렌식

 

1. CERT (Computer Emergency Response Team : 침해사고대응팀)

 - 침입사고를 보고받고 상황 분석 및 상황에 대응하는 업무를 수행하는 팀을 말한다

 - 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관할 지역 내에서 침해사고의 접수 및 처리 지원을 비롯해 예방, 피해 복구 등의 임무를 수행하는 조직을 말한다

 

 ☆ CERT 조직 구성

  ⓐ 정보보호위원회

    - IT 센터의 장, 고문, 각 팀장, 운영파트장, 기업 정보보호 전담조직의 장으로 구성되며 정보보호 관련 최고 의사결정 기구 역할을 한다

  ⓑ 정보보호 전담조직

    - 정보보호 전담조직은 IT 센터장 직속기구이며, 회사 전체 내 정보보호 활동 및 보안 취약성 점검 기능을 수행한다

  ⓒ 정보보호 실무협의체

    - 정보보호 실무협의체는 기업의 각 부서 혹은 팀 내 정보보호담당자로 구성되며, 정보보호 활동에 있어서 정보보호 전담조직과의 대응창구로서 각 부서 및 팀 내 정보보호 활동을 주관한다

 

 

■ 디지털(컴퓨터) 포렌식 (Digital Forensics)

 - 디지털 포렌식은 법정 제출용 디지털 증거를 수집하여 분석하는 기술을 말하며, 인권을 강조하는 요즘 IT 관련 기관과 기업을 중심으로 많은 관심이 집중되고 있다

 - 사이버 범죄가 증가하고, 일반 범죄도 각종 디지털 기기를 이용하여 발생하기도 하며, 일상생활 깊숙히 디지털 기기가 들어와 있기 때문에 디지털 포렌식은 범죄의 분야를 막론하고 필수적인 요소로 자리잡아 가고 있다

 - 컴퓨터 포렌식(Forensics)은 정보처리기기를 통하여 이루어지는 각종 행위에 대한 사실 관계를 확정하거나 증명하기 위해 행하는 각종 절차와 방법이라고 정의할 수 있다

 

 ★ 컴퓨터 포렌식 특징

  - 컴퓨터 포렌식은 단순히 과학적인 컴퓨터 수사 방법 및 절차뿐만 아니라 법률, 제도 및 각종 기술 등을 포함하는 종합적인 분야라고 할 수 있다

  - 컴퓨터 포렌식 처리 절차는 크게 증거 수집, 증거 분석, 증거 제출과 같은 단계들로 이루어진다

 

 ★ 디지털 포렌식의 기본 원칙

  1. 정당성의 원칙

    - 모든 증거는 적법한 절차를 거쳐서 획득되어야 한다

    - 증거가 적법절차에 의해 수집되었는가?

  2. 무결성의 원칙

    - 획득된 정보는 위ㆍ변조되지 않았음을 입증할 수 있어야 한다

    - 증거가 수집, 이송, 분석, 제출 과정에서 위ㆍ변조 되지 않았는가?

  3. 연계 보관성의 원칙

    - 디지털 증거물의 획득, 이송, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?

    - 증거물이 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?

  4. 신속성의 원칙

    - 컴퓨터 내부의 정보 획득은 신속하게 이루어져야 한다

    - 디지털 포렌식의 전 과정이 신속하게 진행되었는가?

  5. 재현의 원칙

    - 증거자료는 같은 환경에서 같은 결과가 나오도록 재현이 가능해야 한다

    - 같은 조건과 상황에서 항상 같은 결과가 나오는가?

 

■ 디지털 포렌식 유형

 1) 디스크 포렌식

   - 디스크 포렌식은 정보기기의 주ㆍ보조기억장치에 저장되어 있는 데이터 중에서 어떤 행위에 대한 증거 자료를 찾아서 분석한 보고서를 제출하는 절차와 방법을 말한다

   - 비휘발성 저장매치(하드디스크, SSD, USB, CD 등)를 대상으로 증거 획득 및 분석 작업을 수행한다

 2) 라이브 포렌식

   - 휘발성 데이터를 대상으로 증거 획득 및 분석 작업을 수행한다

 3) 네트워크 포렌식

   - 네트워크로 전송되는 데이터를 대상으로 증거 호기득 및 분석 작업을 수행한다

 4) 이메일 포렌식

   - 이메일 데이터로부터 송ㆍ수신자, 보내고 받은 시각, 내용 등의 증거 획득 및 분석 작업을 수행한다

 5) 웹 포렌식

   - 웹 포렌식은 사용자가 웹상의 홈페이지를 방문하여 게시판 등에 글을 올리거나 읽는 것을 파악하고 필요한 증거물을 확보하는 것 등의 인터넷 응용프로토콜을 사용하는 분야에서 증거를 수집하는 포렌식 분야이다

   - 웹브라우저를 통한 쿠키, 히스토리, 임시파일, 설정정보 등을 통해 사용 흔적 분석 작업을 수행한다

 6) 모바일/임베디드 포렌식

   - 휴대폰, 스마트폰, PDA, 네비게이션, 라우터 등의 모바일 기기를 대상으로 증거 획득 및 분석 작업을 수행한다

 7) 멀티미디어 포렌식

   - 디지털 비디오, 오디오, 이미지 등의 멀티미디어 데이터에서 증거 획득 및 분석 작업을 수행한다

 8) 소스코드 포렌식

   - 프로그램 실행 코드와 소스 코드의 상관관계 분석, 악성코드 분석 작업을 수행한다

 9) 데이터베이스 포렌식

   - 방대한 데이터베이스로부터 유효한 증거 획득 및 분석 작업을 수행한다

 10) 항포렌식 (Anti Forensic)

   - 데이터 완전 삭제, 암호화, 스테가노그래피에 대한 작업을 수행한다

   - 자신에게 불리한 증거 자료를 사전에 차단하려는 활동이나 기술로 데이터 복귀 회피 기법, 데이터 은닉(Staganography), 데이ㅓ 암호화 등이 있다

   - 항포렌식 방법으로 디가우징(Degaussing)이 있다. 디가우징이란 하드디스크와 같은 저장장치에 저장된 정보를 강력한 자기장을 이용하여 복구할 수 없도록 완전히 지우는 기술을 말한다

 

 

■ 디지털 포렌식 절차

 - 사전 준비 → 증거 수집 → 증거의 포장 및 이동 → 조사 분석 → 정밀 검토 → 보고서 작성

사전 준비	증거 수집	증거의 포장 및 이동	조사 분석	정밀 검토	보고서 작성
- 디지털기기 및 데이터 유형 숙지 - 디지털 포렌식 교육 및 연구 개발	- 수집 대상 파악 - 압수 대상 선정 - 증거 목록 작성 - 디지털 증거 수집 - 관련자 면담 - 문서화 - 이미징 및 복제	- 증거물 포장 - 증거물 이송 - 증거물 보관	- 데이터 이미징 - 데이터 복제 - 데이터 추출 및 분류 - 데이터 조사 및 증거 검색	- 분석 결과 검증 및 분석 과정에 대한 검토	- 용어 설명 - 객관적 설명 - 결과 정리

 

■ 디지털 포렌식 적용기술

 - 디지털 포렌식 적용기술은 증거 복구, 증거 수집 및 보관, 증거 분석 단계별로 달리 적용해야 한다

	증거 복구	증거 수집 및 보관	증거 분석
저장매체	- 하드디스크 복구 - 메모리 복구 - USB 복구	- 하드디스크 복제기술 - 네트워크 정보 수집 - 저장매체 복제 장비	- 저장매체 사용 흔적 분석 - 메모리 정보 분석 - 저장매체 내용 분석
시스템	- 삭제된 파이 복구 - 파일 시스템 복구 - 시스템 로그온 우회기법	- 휘발성 데이터 수집 - 시스템 초기 대응 - 이미징(Imaging) 기술	- 레지스트리 분석 - 시스템 로그 분석 - 백업 데이터 분석
데이터 처리	- 언어통계 기반 복구 - 암호 해독/DB 구축 - 스테가노그래피 추출	- 디지털 저장 데이터 추출 - 디지털 증거 보존 - 디지털 증거 공증/인증	- 영상 정보 분석 - 데이터베이스 정보 분석 - 데이터 마이닝
응용/네트워크	- 파일 포맷기반 복구 - 프로그램 로그온 우회기법 - 암호 통신 내용 해독	- 네트워크 정보 수집 - 네트워크 역추적 - 데이터베이스 정보 수집	- 네트워크 로그 분석 - 해시 데이터베이스 - 바이러스/해킹 분석
기타 기술	- 개인정보보호 기술, 디지털포렌식 수사 절차 정립, 범죄 유형 프로파일링 연구, 통합 타임라인 분석 - 디지터로렌식 도구 비교 분석, 하드웨어/소프트웨어 역공학 기술, 회계부정탐지 기술, Encase

① 증거 수집기술

  - 증거 수집기술은 대표적으로 이미징(Imaging)기술을 사용한다

  - 이미징기술은 디지털 증거물이 보관되어 있는 하드디스크를 복제하는 기술로 증거의 원본성을 확보하는 데 매우 중요한 조치

② 증거 분석기술

  - 삭제한 파일을 복구하는 기술 : 삭제 파일 복원/복구 프로그램

  - 수집된 증거를 분석하는 기술 : 디스크 브라우징 기술, 데이터 뷰잉 기술, 검색 기술, 타임라인 분석, 통계 분석, 로그 분석

③ 디지털 포렌식 수집 및 분석 도구

  - Guidance Software사의 Encase (대표적인 분석도구)

  - AccessData사의 Forensic Toolkit

  - The Coroner's Toolkit (공개용 소프트웨어)

  - Tom's Rootboot (공개용 소프트웨어)

  - CATTs (Computer Assisted Auditing Techniques)

 

■ Encase

 - Guidance Software Inc가 사법기관 요구사항에 바탕을 두고 개발한 컴퓨터 증거분석용 소프트웨어이다

 - 컴퓨터 관련 수사에서 디지털 증거의 획득과 분석 기능을 제공하며, 미국에서 1990년 후반부터 600여 개 사법기관에서 컴퓨터 관련 범죄수사에 활용되고 있으며, 미국 법원이 증거능력을 인정하는 독립적인 솔루션이다

 - Windows 환경에서 증거원본 미디어에 어떠한 영향을 미치지 않으면서도 '미리보기', '증거사본 작성', '분석', '결과보고'에 이르는 전자증거조사의 모든 과정을 수행할 수 있다

 - 포렌식적으로 무결성을 검즈할 수 있는 방식으로 데이터를 수집하고 분석 업무를 수행해야 하는 포렌식 전문가들을 위한 툴로, 전 세계 법정에서 증거물로 인정받고 있다

 

 ★ 특징 및 기능

   ① 증거 채증 (이미징)

     - 포렌식적으로 무결성을 증명할 수 있는 방법으로 증거물을 채증할 수 있다

   ② 채증 가능 영역

     - 디스크, RAM, 문서, 이미지, 이메일, 웹메일, 인터넷 아티팩트, 웹 히스토리, 캐시, HTML, 페이지 재복원, 채팅 세션, 압축파일, 백업파일, 암호화 파일, RAID, 워크스테이션, 서버

     - EnCase V7부터 스마트폰, 태블릿 채증 가능

   ③ 다양한 종류의 인터넷 접속 증거복구 가능

     - 소셜 네트워크 결과물 : Twitter, Facebook, 마이스페이스, 구글+

     - 클라우드 사용 흔적 : Google Drive, SkyDrive, Dropbox, Flickr, Google

     - 인스턴트 메시징 : 스카이프, 구글토크, 윈도우 라이브 메신저, ICQ, 야후 메신저

     - 웹 브라우저 히스토리 : 인터넷 익스플로어, 크롬, 사파리, 파이어폭스, 오페라 등

     - 웹 메일 분석 : 지메일, 핫메일 등

     - P2P 파일 공유 응용프로그램 : Torrent, Ares, eMule, Shareaza, Limewire, Gigatribe

     - E01/.Ex01/L01/Lx01/dd 등 이미지 파일 지원, 비할당 영역 및 삭제된 데이터 복구 및 검색 가능

     - 문서 분류 및 메타데이터 분류

   ④ 포렌식적 채증

     - 원본 드라이브나 매체의 정확한 바이너리 복사본을 생성하여 관련 이미지 파일의 MD5 해시값을 생성하고, 그 데이터에 CRC 값을 할당하여 확인한다

     - 증거가 변조되었을 경우 이런 검사와 값이 다르며 모든 디지털 증거가 법정이나 내부 조사에 사용가능하도록 포렌식적으로 채증이 가능하다

   ⑤ 삭제된 데이터 복구

■ CAATs (Computer Assisted Auditing Techniques)

  - 데이터베이스에 있는 대량의 숫자 정보의 무결성 및 정확성을 확인하기 위해 수행되는 분석 방법으로, 디지털 포렌식이나 정보시스템 감사 등에 이용된다

 

■ 침해사고 대응

 - 법에 명시된 정보보호 침해사고란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다 (정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 1항 7조)

 - 하지만 실무에서는 해킹, 컴퓨터바이러스 유포에 한정하지 않고 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해로 생각하고 있다

 

 ★ 침해사고 대응 7단계 절차

  ⓐ 1단계 : 사고 전 준비 과정

     - 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비한다

  ⓑ 2단계 : 사고 탐지

     - 정보보호 및 네트워크 장비에 의한 이상 징후를 탐지하고 관리자에 의해 침해사고를 식별한다

  ⓒ 3단계 : 초기 대응

     - 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지한다

     - 침해사고가 발생하였을 경우 조직 내의 모든 사람들이 신속하게 대처하여 침해사고로 인한 손상을 최소화하고 추가적인 손상을 막기 위한 단계이다

  ⓓ 4단계 : 대응 전략 체계화

     - 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단한다

  ⓔ 5단계 : 사고 조사

     - 데이터 수집 및 분석을 통하여 수행한다. 언제, 누가, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다

  ⓕ 6단계 : 보고서 작성

     - 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성한다

  ⓖ 7단계 : 해결

     - 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안정책 수립, 기술 수정 계획수립 등을 결정한다