정보보안기사 필기 - 37(침해사고 대응 및 디지털 포렌식)

- 침해사고 대응과 포렌식

cert(computer emergency response team)이란 해킹과 바이러스에 대항하는 보안 기술을 개발하고 서비스하는 컴퓨터 응급 대응센터입니다.

 

<사고대응 7단계 절차>

• 사고전 준비 과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비합니다.
• 초기 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지, 관리자에의한 침해사고를 식별합니다.
• 초기 대응 : 초기 조사를 수행하고 기본적인 사고정황에대한 세부사항을 기록하며 사고대응팀 신고 및 소집과 침해사고 관련 부서에 통지합니다.
• 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획드합니다. 초기 조사 결과를 참고하여 소송이 ㅍ칠요한 사항인지 수사기관 공조가 필요한 사항인지를 판단합니다.
• 사고 조사 : 데이터 수집 및 분석을 통하여 수행하며 언제 누가 어떻게 사고가 일어니는지 피해 확산 및 사고 재발을 어떻게 방지할 것인가를 결정합니다.
• 보고서 작성 : 의사 결정권자가 쉽게 이해할 수 있는 형태로 사고에대한 정확한 보고서를 작성합니다.
• 복구 및 해결 : 차기 유사 공격을 예방하기위한 보안 정책의 수립, 절차 변경, 사건의 기록 ,장기 보안 정책 수립, 기술 수정 계획수립등을 결정합니다.

<디지털 포렌식>

디지털 포렌식이란 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 작업을 의미합니다. 범죄의 증거를 찾기위해 컴퓨터, 핸드폰, 이메일, 시스템, 네트워크 장비등과 같은 다양한 장치의 디지털 데이터를 조사하고 분석해야합니다.

 

<포렌식의 기본 원칙>

• 포렌식을 통해서 증거를 획득하고 이 증거가 법적인 효력을 가지려면 그 증거를 발견하고 기록하고 획득하고 보관하는 절차가 적절해야합니다. 아래는 기본원칙입니다.
• 정당성의 원칙 : 모든 증거는 적법한 절차를 거쳐서 획득한 것이여야합니다.
• 재현의 원칙 : 증거는 어떤 절차를 통해 정제되는 과정을 거칠 수 있습니다. 단, 법정에 증거를 제출하려면 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야합니다.
• 신속성의 원칙 : 컴퓨터내부의 정보는 휘발성을 가진 것이 많기때문에 신속하게 이뤄져야합니다.
• 연계 보관성의 원칙 : 증거는 획득되고 난뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야하며 이러한 과정에대한 추적이 가능해야합니다. 이를 연계 보관성이라고 합니다.
• 무결성의 원칙 : 수집된 정보는 위조 및 변조가 되어서는 안되며 이러한 사항을 매번확인하고 하드디스크 같은 경우에는 해시값을 구해 각 단계마다 무결성을 입증합니다.

<포렌식 수행 절차>

• 수사 준비 : 전문가를 소집하고 각종 장비, 소프트웨어 또는 하드웨어를 준비하고 점검합니다.
• 증거 수집 : 행위자가 사용한 컴퓨터를 압수하여 각종 저장매체로부터 디지털 증거를 획득합니다. 획득 단계에서는 무결성이 매우중요합니다. 저장매체에 저장된 데이터를 추출하는 과정을 디스크 이미징이라고하며 디스크 복사와 달리 디스크 내에 있는 숨김 임시파일 손상 삭제 파일 등의 잔여정보가 그대로 존재하는 동일한 사본을 만듭니다.
• 보관 및 이송 : 연계 보관성을 만족시키며 보관 및 이송되어야합니다. 안전한 장소를 evidence sage라고하며 담당자가 바뀔때는 문서에 그 증적을 남깁니다.
• 조사 및 분석 : 영미 증거법상 최량 증거 원칙이라는 최종증거물을 원본이여야한다는 증거법이 있습니다. 따라서 우리는 원본데이터를 변형없이 중거로 수집하고 보관된 증거가 원본데이터와 다르지 않다는 사실을 입증하고 데이터 분석시 변조되지 않았다는 것을 입증해야합니다.
• 보고서 작성 : 타당성을 제공하고 증거자료 획득, 보관 및 이송, 분석 등의 모든 과정을 명확하고 객관성 있게 입증해야합니다.

<디지털 포렌식 도구>

EnCase : 디지털 증거 수집, 검증, 검색, 보고 ,완전삭제등 다양한 기능을 제공합니다.

FTK(forensic ToolKit) : 디지털 증거 수집, 검증, 검색, 보고 ,완전삭제등 다양한 기능을 제공합니다.

 

<역할>

• 1차 대응자 : 범죄 현장에 맨 처음 도착한 사람은 컴퓨터가 손상 입지않도록 보호하는 것외에는 어떤 다른 행동도하면 안됩니다. 컴퓨터를 끄거나 검색해서는 안됩니다.
• 수사자 : 수사자는 범죄현장에서 일어나는 모든일을 조정해야합니다.
• 범죄현장 기술자 : 포렌식에 관한 특수한 교육을 받아야하며, 컴퓨터 기술에대한 배경지식을 가지고 있어야합니다.

 

<증거>

시스템의 메모리에 임시로 저장된 데이터를 휘발성 데이터라고 부릅니다. 따라서 증거를 수집할땐 휘발성이 가장큰 증거를 먼저 수집하라고 제시합니다. 이를 실현하는 가장 좋은 방법은 디스크 이미징을해서 완전한 비트스트림 이미지를 즉시 만드는 것입니다.

 

<디지털 증거 복구>

기술이 뛰어난 일부 사이버 범죄자는 복잡한 기술을 사용해서 데이터가 있을만한 곳이 아닌 곳에 데이터를 숨깁니다.

 

<잊혀진 데이터>

컴퓨터에는 자동으로 저장한 많은 데이터가 있습니다. 일부 사용자는 이러한 데이터를 잘 알지못하고, 다른 일부 사용자들은 이 데이터를 알고 있지만 데이터를 지우지 못한 경우가 있습니다. 이를 잊혀진 데이터라합니다. 예시로는 웹 캐시와 URL 목록등이 있습니다.

 

<감춰진 데이터>

데이터들 중 일부는 파일이 삭제되거나 디스크가 다시 파티션 될때 남아있던 주변 데이터들입니다. 또한 해커가 고의적으로 데이터를 숨길 수 도 있습니다. 이러한 데이터를 찾아 꺼낸 다음 재구성하는 작업은 매우 지루하지만 사건 해결의 실마리가 될 정도로 중요한 역할을 합니다. 데이터는 보통 외부 색터라고 불리는 잘 쓰지않는 공간인 섹터 갭에 숨겨놓기도하고, 클러스터와 파일크기가 서로 다르기때문에 발생하는 슬랙 공간에 숨겨놓기도 합니다.

 

<임시 데이터>

ms word의 경우 시스템에 임시 파일을 생성합니다. 임시 파일은 .tmp 확장자를 갖는 경우가 많아 이 확장자를 갖는 파일 중에서도 증거로 유용하게 쓸 수 있는 파일이 많습니다.

 

<삭제된 데이터>

파일을 지우는 것은 file allocation table, master file table, 기타 운영체제에서 디스크의 파일 위치를 기록하기위해 사용하는 데이터 구조에서 항목 하나를 없애는 것에 불과합니다.

 

<데이터 복구 기법 피하기>

• 디스크 덮어쓰기 : 할당 되지 않은 공간을 랜덤한 이진값으로 여러번 덮어쓸 수 있습니다.
• 소자 : 매체의 자기 상태를 중화시킬 수 있는 강력한 자기장을 만듭니다. 이것을 소자라고하며 자기장을 만드는 장치를 소자 장치라고 합니다.
• 물리적인 디스크 파괴 : 분쇄, 연마, 염산 처리로 디스크를 파괴할 수 있습니다.