침해사고대응(디지털 포렌식)

해커의 분류 : Elite > Semi Elite > Developed Kiddie > Script Kiddie > Lamer

white hat : 네트워크에서 보안상 취약점을 찾아 내어 취약점을 노출시켜 알리는 해커

black hat : 다른 사람의 컴퓨터 시스템이나 네트워크에 침입하는 해커나 파괴자

gray hat : white와 black 중간에 해당, 합법적 불법적 해킹을 상황에 따라 함

 

일반적인 해킹 순서

대상 선정 > 취약점 수집 > 취약점 선정 > 취약점 exploit > 특권 사용자 획득 > 백도어 설치 > 타시스템 공격 > 침입로그 삭제

 

컴퓨터 침해 대응팀 CERT

침해사고 예방/대응 기술연구 및 전파

취약점 진단 및 조치, 모니터링, 교육 등 침해사고 예방 활동

KrCERT/CC 등 외부 기관의 대응협력 활동

침해사고 접수, 분석, 피해복구 등의 침해사고 대응 활동

 

사고대응 7단계 절차

1. 사고 전 준비 과정 : 조직적인 대응을 준비
2. 사고 탐지 : 이상 징후 탐지
3. 초기 대응 : 초기 조사 수행, 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지
4. 대응 전략 체계화 : 사고 조사 과정에 수사기관 공조 여부 판단
5. 사고 조사 : 피해 확산 및 사고 재발을 어떻게 방지할 것인지 결정
6. 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 정확한 보고서 작성
7. 복구 및 해결 : 차기 유사 공격을 식별 및 예방하기 위한 보안 정책 수립

 

디지털 포렌식

포렌식 기본 원칙

• 정당성의 원칙 : 모든 증거는 적법한 절차를 거쳐 획득, 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없음
• 재현의 원칙 : 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함
• 신속성의 원칙 : 휘발성을 가진 것이 많기 때문에 신속하게 이뤄져야 함. (live response)
• 연계 보관성의 원칙 : 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 함. 연계 보관성.
• 무결성의 원칙 : 획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명

📍Live Response
디지털 포렌식 과정에서 구동되고 있는 시스템의 휘발성 정보를 수집하는 행위를 의미
수집 가능한 모든 정보의 수집/분석과 함께 이를 바탕으로 한 사고의 처리까지 포함

포렌식 기술

• 디스크 포렌식 기술 : 하드디스크, 플로피디스크, CD, DVD 등 보조기억장치에서 증거 수집 및 분석
• 시스템 포렌식 기술 : OS, 응용PG 및 프로세스 등을 분석하여 증거를 확보하는 기술
• 네트워크 포렌식 기술 : 네트워크로 전송되는 데이터나 암호 등 가로채기, 로그 파일 접근 및 분석하여 단서 찾음
• 인터넷 포렌식 기술 : 웹, FTP, USENET 등 인터넷 응용 프로토콜을 사용하는 분야에서 증거 수집
• 모바일 포렌식 기술 : 휴대폰, PDA, 전자수첩 등 휴대용 전자기기에서 필요한 정보를 입수하여 분석
• 데이터베이스 포렌식 기술 : DB로부터 데이터를 추출 분석하여 증거를 수집하는 기술
• 암호 포렌식 기술 : 문서나 시스템에서 암호를 찾아내어 암호화 문서를 부호화하는 기술

디지털 포렌식 기술

• 디지털 포렌식 도구. 디지털 증거 수집, 검증, 검색, 보고, 완전 삭제 등
• EnCase : EnCase Guidance Software Inc에 의해 개발된 다용도 포렌식 도구
• FTK : Access Data Group에 의해 개발된 다용도 포렌식 도구

역할

• 1차 대응자 역할 : 컴퓨터가 손상되지 않도록 보호, 컴퓨터를 끄거나 전원을 뽑는 등 검색을 하면 안됨
• 수사자
• 범죄 현장 기술자

 

증거

증거 규칙 : 법원이 위치한 그 지역의 법을 따라야 함(속지주의)

보호관리 사슬 = 증거 담당자 목록 : 증거의 연속성, 제출될때 까지 거쳐간 경로/사람/장소/시간 추적 가능해야 함

디지털 증거물 분석 : Timeline 분석(MAC Time 분석 / mtime, atime. ctime), 시그니처 분석, 해시 분석

 

사라지기 쉬운 데이터 보존

• 현재 네트워크 연결을 보기 위해서는 netstat 등의 명령 사용
• arp 명령은 ARP 캐시에 어떤 주소가 저장돼 있는지 알려줌

디지털 증거 보존 : 저장된 매체의 완전한 비트스트림 이미지를 즉시 만드는 것

 

디지털 증거 복구

기술이 뛰어난 일부 사이버 범죄자는 복잡한 기술을 사용해서 데이터가 있을 만한 곳이 아닌 곳에 데이터를 숨김

안티 포렌식 : 조작, 삭제 또는 난독화하여 디지털 포렌식을 방해하는 행위

삭제된 데이터 복구

감춰진 데이터 찾기 (슬랙공간)

인터넷 임시파일 : 임시 인터넷 객체, 임시 인터넷 파일, 열어본 페이지, 임시 쿠키 파일

 

데이터 복구 기법 피하기

디스크 덮어쓰기 : 랜덤한 이진 값으로 할당되지 않은 공간을 덮어쓰는데 이를 여러 번 수행할 수 있음

소자 : 자기장을 만드는 장치

물리적으로 디스크 파괴 : 분쇄, 연마, 염산처리