침해사고포렌식

01 | 침해사고 개요

1. 침해사고란?

• 정보통신시스템에 대한 비인가된 행위, 위협의 발생
• 정보보호 침해사고
  • 법: 해킹, 컴퓨터바이러스, 논리폭탄, 서비스 거부 등 정보시스템을 공격하는 행위
  • 실무: 모든 전자적인 공격 행위
• 특징
  • 동시에 다수의 시스템 공격
  • 분산화: 분산된 원격지에서 한 목표시스템을 공격해서 다운 등
  • 성향: 금전적 이익, 산업정보 침탈, 정치적 목적
• 현재
  
  • 최근 APT 공격 침해사고 多
  • 침해사고 분석의 어려움
• 침해사고 종류
  • 악성코드 공격: 바이러스, 트로이목마, 백도어, 웜
  • 비인가 접근: 거부된 사람이 취약점을 이용해 접금
  • 서비스 거부 공격: 시스템 다운시켜서 이용 못하도록, 가용성 방해
  • 예시: 자료 유출, 자료 변조, 불법 침입, 불법 탈취, 서비스 방해 등 *자료유출-내부 직원이 퇴사할 때 자료 들고 튐

02 | 침해사고 분석 절차

1. 순서

• 사고 전 준비
• 사고 탐지
• 초기 대응
• 대응 전략 체계화
• 사고조사(데이터 수집, 데이터 분석)
• 보고서 작성

2. 단계별 요구사항

• 대응 전략 최계화: 승인권 얻어서 수사기관 공조 여부 판단
• 사고 조사: 데이터 수집, 재발 해결책 결정

1단계 ) 사고 전 준비

• 비상 연락 체계 수립 등
• 조직적인 전략, 대처 방안 개발
• Host 및 네트워크 기반 보안 측정 계속 수행
• IDS, IPS 등 네트워크 보안장비를 통해 사고 전에 대응 
• 취약점 평가, 사전 제거, 규칙적인 백업

2단계) 사고 탐지

• 사고 여부 확인 후 IDS, 방화벽 등에 의해 세부기록 확인
• 초기대응 점검 표 이용
  • 현재 시간, 날짜, 사고보고 내용과 출처, 사건 특성, 사건 발생 일시, 관련 소프트웨어, 하드웨어, 사고탐지 및 사고 발생 관련자의 네트워크 연결 지점

3단계) 초기대응

• 모든 건 문서화
• CERT팀 도착 
• 관련 데이터 수집
  • 시스템 관리자 면담
  • 사건분석 위한 정황 제공 가능한 인원들과 면담
  • 네트우ㅝ크 그조와 접근 통제에 대한 분석
• 검증을 통해 검토할 것
  • 발생 사건이 시스템과 네트워크에 직간접적으로 침해한 사건인가?
  • 업무, 서비스에 영향을 주나?

4단계) 대응전략수립

• 목표: 대응전략 결정
• 전략: 사고 관련 적절한 요인 고려(정책, 기술, 법, 업무)
• 환경 관련 고려
  • 사고조사를 위해 얼마나 많은 자원이 필요한가
  • 포렌식 이미징 작업이 필요한가
  • 형사/민사 소송이 필요한가
  • 대응전략에 다른 관점이 있는가
• 자산의 중요도, 공격 수준, 피해 정도 고려하여 대응전략 수립
• 대응 전략 수립을 위한 검토 요소
  • 침해 당한 컴퓨터가 얼마나 중요, 위험한가
  • 정모가 얼마나 민감한가
  • 사건이 외부에 알려졌나
  • 직/간접적인 공격자는 누구
  • 비인가 접근의 수준은 어느 정도인가
• 초기 대응 때 얻은 세부사항들을 검토
  • DoS 공격 출처가 다르면 대응 전략도 다르게
• 수사기관과 협조하여 대응 등 고려사항
  • 사고 비용, 피해 정도 전문가 초빙해야 하나?
  • 법적 조치가 필요할 때, 원한 만큼 결과를 얻을 수 있는지
  • 수사관들과 공조한 경험이 있고 방법을 잘 아는지
  • 사고 내용 공개 감수할 수 있나
  • 데이터 수집 절차가 합법적이었나

5단계) 사고조사

• 데이터 수집 단계
  • 하드웨어, 네트워크 기반으로 모든 정보 수집
  • 컴퓨터 포렌식 기술 필요
  • 법정 소송 염두 시 무결성, 적법성 유지하도록 데이터 수집
  • 예시
    • 네트워크 기반: 정보보안 관련 네트워크 장비 로그 수집, 백업 로그 등
    • 호스트 기반: 휘발성 증거, 피해시스템의 모든 파일 아티팩트로서 활용가능한 건 모두 수집, 증언 수집
• 데이터 분석 단계
  • 로그/설정/히스토리/이메일 등 아티팩트 분석
  • 스탬프, 키워드 분석 등
  • 예시
    • 휘발성 데이터: 프로세스, 네트워크, 메모리 분석해서 악의적인 프로그램 있는지 식별(*디지털포렌식에서 '휘발성 증거'는 그저 참고자료 증거X 재현 못해서)
    • 파일 시간 및 날짜 정보 수집
    • 로그 파일 조사, 파일 검색(숨겨진거, 삭제된거, 스케줄 서비스), 레지스트리 조사, 키워드 검사
• 호스트 기반정보
  • Live Response: 활성화된 휘발성 데이터
    • 시스템 ㅈ어보, 프로세스, 네트워크, 메모리 등
  • 디스크 복제 작업(선택)
    • 사고 조사 어려움, 지워진 데이터 있는 거 같으면 복구(복제 후)
    • 소송 등 법적 조치 예상되면 컴퓨터 포렌식 이미징 작업(단, 용량 커서 필요한 부분만)
• 네트워크 기반정보
  • IPS, IDS, 라우터, 스위치, 웹 방화면, UTM(?) 장비들에서 나오는 로그들
  • 네트워크에서 일어난 모든 활동들이 증거로서 가치가 있는지 분석
• 기타정보
  • 증언, 주변사람들로부터 얻은 다른 정보(직원 등)
  • 문서화 통해 데이터 수집
• 자료분석단계(kisa 침해사고 가이드)

6단계) 보고서 작성

• 모든 과정에 문서에
• 논쟁에 대응할 수 있도록 치밀하게 작성
• 의사 결정자가 이해하기 쉽게 설명

7단계) 복구 및 해결

• 재발 방지
• 위험 순위 식별
• 네트워크/호스트 취약점 식별(패치, 정책 개선)
• TF팀 등..

* 보안적 측면 때문에 윈도우 < 리눅스 win -> 리눅스 지원 명령어 강력 바로바로 대응 가능, 윈도우는 기타 개발된 소프트웨어 활용해야함 절차 복잡

 

03 | 침해사고 사례

1. 3.4 DDOS

2. 네이트 해킹: 개인정보 유출

3. 3.20 전산 대란: 악성코드가 하드디스크 파괴

4. KB, 롯데, NH사 정보 유출

5. 사회 공학: 이슈화되는 내용에 악성코드 심어서

6. Stuxnet: 산업제어망 해킹 제에권 뺏어옴(도로, 전기 등)

7. 소닉픽처스: 국가간 해킹(북한이 배후였음)

8. 한수원: 핵티비즘 정치적 목적, 언록 이목 위해 해킹 당함

9. 워너크라이: 핵티비즘 및 여론의 이목 무차별적 해킹

10. 유빗해킹(가상화폐 거래소): 단순히 피싱메일, 금감원 사칭, 문서 악성코드 이용해 해당 시스템으로 들어감