침입대응과 포렌직 정보 보안 개론 11장

1 1 2 2 3 3 4 침입 사고 발생시 적절한 대응 절차를 알아본다. 포렌직의 절차를 알아본다. 포렌직을 통해 얻은 증거가 가지는 법적인 의미를 이해한다. 3 4 네트워크 및 시스템에서 얻을 수 있는 증거를 살펴본다.

Section 01 침입대응 CERT(Computer Emergency Resonse Team) 1988년 11월 22일 저녁 미국 전역의 컴퓨터가 모리스 웜에 의해 멎어버린 사건으로 인해 미 정부는 이런 사건이 재발할 경우 그 막대한 피해를 줄이기 위해 적절한 대응책을 마련해야겠다고 판단함. 미 국방부 고등연구 계획국(DARPA)은 컴퓨터와 관련된 침입 사고에 적절히 대응하고자 피치버그의 카네기 멜론 대학내의 소프트웨어공학 연구소에 CERT 팀을 만듦. CERT팀의 역할은 건물의 경비원의 역할과 사실상 같음. 범죄자나 의심스러운 사람이 건물에 들어오면 가서 검사하고, 범죄자임이 확인되면 체포함.

침입대응 - 침입대응 체계 구축 침입사고에 적절히 대응하기 위해 사건의 특성과 종류에 따른 위험 등급 결정. 1등급 상황 분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우 침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우 트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해 도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우 침입자의 공격에 대한 대응 수단이 없는 기타의 경우 2등급 상황 비인가자에 의해 관리자 명령이 실행되고 있는 경우 시스템 리소스를 불법적으로 사용하는 프로그램이 실행되고 있는 경우 일반 사용자의 홈 디렉토리에 시스템 파일이 존재하는 경우 일반적이지 않은 숨김 파일 또는 디렉토리가 존재하는 경우 시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 변경된 경우 3 등급 상황 외부 또는 내부로부터의 계속적인 취약점 수집(Scanning) 행위가 발견되는 경우 외부 또는 내부로부터의 계속적인 불법적 접근 시도가 발견되는 경우 외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우 확산 속도가 빠른 바이러스가 외부에서 발생한 경우

침입대응 - 침입대응 체계 구축 등급에 따른 대응 절차 마련 1등급 상황에 대한 대책 2등급과 3등급 상황에 대한 대책 침입사고 발생 상황이라고 판단되면 시스템 담당자가 CERT팀의 팀장에게 즉시 보고한다. 단, 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼저 수행할 수 있다. 2등급과 3등급 상황에 대한 대책 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 CERT팀과 함께 해당 단말기 또는 IP를 조사하여 소속 네트워크 및 조직을 파악한다. 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사한다. 그리고 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구한다. 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고 그 위협이 심각한 경우에는 대외기관(검찰, 경찰, 한국정보보호 진흥원 등)에 조사를 의뢰한다. 침입 시도에 대한 대응이 종료된 이후에는 CERT팀의 팀장이 침입 시도 방법, 침입시도 대응책 등이 포함된‘침입 시도 대응 보고서’를 작성하여 관련 담당자에게 이메일 또는 문서로 공지한다.

침입대응 – 증거 확보 침입사고에 대해 분석하지 않아도 시스템을 재설치하여 원상태로 복구할 수 있으나, 이는 지속적으로 침입을 당할 수 있는 여지를 남겨 전체 시스템의 보안 수준을 떨어뜨리는 결과를 초래함. 철저한 분석과 증거 확보는 예방 차원에서 필수적인 업무며, 침입사고에 대한 법적 대응을 위해서도 필요함.

침입대응 – 시스템 복구와 보완 침입사고 발생으로 시스템이 손상되면 이를 복구하고, 사고가 재발하지 않도록 조치를 취해야 함. 침입사고 발생으로 시스템이 손상되면 이를 복구하고, 사고가 재발하지 않도록 조치를 취해야 함. 패치 적용 보안과 관련된 패치를 설치함. 해당 패치는 시스템 공급자의 홈페이지에서 다운로드하거나 공급자에게 직접 요청. 보안 툴의 설치 방화벽 또는 백신, 보안 운영체제(SecureOS) 등을 설치. 로그 정책 설정 침입사고 발생건과 관련하여 적절한 모니터링이 가능하도록 로그 정책을 적절히 적용. 네트워크 방화벽 설치 및 운영 침입사고 발생과 관련하여 방화벽과 보안 솔루션을 보완. 사용자 패스워드 변경 침입사고가 발생한 시스템은 사용자 패스워드를 변경.

Section 02 포렌직에 대한 이해 포렌직의 개념 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 연구하는 학문 포렌직(Forensic)은 원래 1991년 미국 오레곤주 포틀랜드의 IACIS(International Association of Computer Investigative Specialists, 국제 컴퓨터 수사전문가 협회)에서 개설한 교육 과정에서‘디지털 포렌직’이라는 용어를 처음 사용하면서 많이 쓰이게 됨.

증거에 대한 이해 증거의 종류 전문 증거(Hearsay Evidence) 직접 증거: 요증 사실(증거에 의하여 증명을 요하는 사실)을 직접적으로 증명하는 증거다. 범행 목격자, 위조지폐 등이다. 간접 증거: 요증 사실을 간접적으로 추측케하는 증거다. 범죄 현장에 남아있는 지문이나 알리바이 등이다. 인적 증거: 증인의 증언, 감정인의 진술, 전문가의 의견 등이다. 물적 증거: 범행에 사용한 흉기, 사람의 신체 등이다. 전문 증거(Hearsay Evidence) 포렌직에 의해 수집된 증거는 기본적으로는 간접 증거에 속함. 포렌직에 이용되는 증거를 전문 증거(Hearsay Evidence)라고 하는데, 사실 인정의 기초가 되는 실험 사실을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우를 말함. 영미법에서는 이를 인정하지 않고 있는데, 이를 전문법칙 또는 전문증거법칙(Hearsay Evidence Rule)이라고 함. 대륙법에서는 전달 과정에서 잘못이 있을 수 있으나, 그것은 자유 심증의 문제이므로 증거 능력에는 영향이 없으며 다만 직접 심리주의의 요구로 증거 능력에는 제한이 있다. 이 경우에도 실험자의 동의가 있으면 전문법칙의 제한을 받지 않음.

포렌직의 기본 원칙 포렌직을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 갖기 위해서는 그 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservation) 하는 절차가 적절해야 함. 이를 만족하기 위해서는 다음과 같은 원칙을 지켜야 함. 정당성의 원칙 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 함. 즉, 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없음. 재현의 원칙 법정에 이 증거를 제출하기 위해서는 똑같은 환경에서는 같은 결과가 나오도록 재현이 가능해야 함. 신속성의 원칙 컴퓨터 내부의 정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 함. 연계보관성의 원칙 증거는 획득되고, 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하고, 이러한 과정에 대한 추적이 가능해야 함, 이를 연계보관성(Chain of Custody)이라함. 무결성의 원칙 수집된 정보는 연계보관성을 만족시키며 각 단계를 거치는 과정에서 위조/변조되어서는 안되며, 이러한 사항을 매번 확인해야 함. 하드 디스크 같은 경우에는 해시값을 구해 각 단계마다 그 값을 확인하여 무결성을 입증할 수 있어야 함.

포렌직의 절차 수사 준비 증거물 획득 (증거 수집) 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍는다. 수사를 위해 장비와 툴을 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근할 수 있어야 함. 증거물 획득 (증거 수집) 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 함. 이 세 사람의 참관하에 다음과 같은 절차를 수행해야 한다. 컴퓨터의 일반적인 하드 드라이브를 검사할 경우에는 컴퓨터 시스템에 관한 정보를 기록한다. 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍는다. 모든 매체에 적절한 증거 라벨을 붙인다. 증거 라벨에는 [표 11-1]과 같은 내용을 기록한다.

포렌직의 절차

포렌직의 절차 보관 및 이송 획득된 증거는 앞서 언급한 연계보관성을 만족시키며 보관되고 이송되어야 함. 증거가 연계보관성을 만족시키려면 우선 안전한 장소에 보관되어야 하는데, 안전한 장소를 Evidence safe라고 함. 이송되거나 담당자/책임자가 바뀔 때는 [표 11-2]와 같은 문서에 그 증적을 남김

포렌직의 절차 분석 및 조사 보고서 작성 최량 증거 원칙 (The Best Evidence Rule) 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙. 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야 함. 법원에 제출하는 원본 또는 최초의 복제물은 기본적으로 보관하고, 이를 다시 복사한 것을 가지고 증거 수집을 위한 분석을 해야 함. 각 분석단계에서는 무결성을 확인할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한하며, 프로그램내에서 사용된 스크립트는 그 내용과 실행 단계별 결과가 문서화되어야 함. 보고서 작성 분석을 마친 뒤에 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 수행하면서 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서화 하여 증거와 함께 제출.

사이버 수사 기구 국가 정보원 – 국가사이버 안전센터 2003년 7월 24일에 국가 사이버 테러 대응체계 구축 기본 계획에 대해 대통령 재가를 받아 2004년 1월 2일 업무를 개시.

사이버 수사 기구 국민사이버안전센터의 주요 업무 구분 내용 국가 사이버안전 정책 총괄 국가 사이버안전정책 기획·조정 국가 사이버안전 전략회의 및 대책회의 운영 민·관·군 사이버안전정보 공유체계 구축 운영 사이버안전 예방 활동 24시간 365일 주요기관 대상 보안관제 위협 수준별 경보 발령 보안분석정보 배포 사이버안전 관련 기술 개발 침해사고 긴급대응, 조사 및 복구 사이버 공격 침해 사고 접수 사고 조사 및 대책 강구 피해확산 방지 및 복구 지원 범정부 합동조사·복구지원팀 구성, 운영 국내외 사이버위협정보 공유 및 공조 대응 국내 사이버 안전 전문 기구와 협의체 운영 미, 영, 불, 독, 캐, 일 등 선진국과 협력체계 구축·운영.

사이버 수사 기구 대검찰청 첨단범죄 수사과 1995년 4월 1일 서울지검 특별수사 2부내에 정보범죄수사센터가 설치되고, 2000년 2월 21일에는 컴퓨터 수사과가 신설. 2005년 4월 18일 컴퓨터 수사과와 특별수사 지원과가 통합되어 첨단범죄수사과로 현재까지 운영되고 있음. 수행업무 기술 유출 범죄 수사지원센터: 산업기술 유출범죄와 관련하여 수사계획을 수립하고, 지원. 인터넷 관련 범죄 수사: 컴퓨터 및 인터넷 관련 장치를 압수 수색하고 분석. 회계 분석팀: 기업 비리, 회계 부정 등의 조사를 위해 회계 데이터를 압수 수색하고, 분석하며 관련자를 조사. 범죄 수익 환수: 범죄 수익을 합법적인 수입으로 가장, 은닉하는 자금세탁 범죄를 수사하며, 마약, 조직 범죄 등으로 인한 수익을 추적하고 몰수. 자금 추격팀: 부패사범, 기업비리사범 등 경제적 이익의 획득과 관련된 범죄를 수사할 때 관련 증거 확보를 위한 금융계좌를 추적하고 관련자를 조사. FIU이첩 정보 분석: 금융정보분석원(FIU)으로부터 제공받은 혐의 거래정보 및 고액 현금거래정보에 대한 수사를 수행. 첨단 범죄 수사 전문 아카데미: 각종 첨단 범죄에 효율적으로 대처하기 위한 검찰 내부에 수사 전문가를 양성.

사이버 수사 기구 경찰청 사이버테러대응센터 경찰청 사이버테러대응센터는 1995년 10월 경찰청내 해커수사대로 최초 창설되어 운영.

Section 03 증거 수집-네트워크에서의 증거 수집 보안솔루션 이용 침입탐지 시스템에는 공격자가 공격 대상을 침투하기 위한 스캐닝, 접근 제어를 우회한 반복적인 접근 시도 등에 대한 기록이 남아있을 수 있음. 침입차단시스템에서도 침입탐지 시스템과 비슷한 로그를 확인할 수 있음. MRTG(Multi Router Traffic Grapher)는 네트워크 링크상의 트래픽 부하를 감시하는 툴로서, 라우터로부터 가져온 모든 데이터의 로그를 보관하고 있기 때문에 일간, 지난 일주일간, 지난 4주간 그리고 지난 12개월간의 기록을 작성할 수 있으며, 200개 이상의 네트워크 링크를 즉시 감시할 수 있음. 따라서 DoS와 같은 공격에 대한 증빙으로 유용한 정보를 제공.

네트워크에서의 증거 수집 네트워크 로그 서버 이용 스니퍼 운용 네트워크 로그 서버를 별도로 운영하는 경우는 많지 않지만, 로그 서버를 별도로 운영하면 포렌직을 하는 데 도움이 많이 됨. 스니퍼 운용 증거를 수집하기 위해 스니퍼를 네트워크 패킷 탐지용으로 일시적으로 운용할 수도 있음. 공격자가 네트워크에 백도어 등을 설치해놓았을 때 해당 패킷을 잡아냄으로써 백도어를 탐지하고, 공격자의 위치를 탐색할 수 있으며, 웜/바이러스에 의해 피해를 입고 있을 경우에는 발원지와 감염된 PC를 구분하는 데 사용할 수 있음.

시스템(PC)에서의 증거 수집 활성 데이터 수집 휘발성 정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한 증거는 바로바로 화면캡쳐 등을 통해 남겨야 함. 증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 함. net session 을 이용한 해커의 세션 존재 여부 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 psloggedon 을 이용한 해커의 세션 존재 여부 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 nbstat 을 이용한 시스템의 캐시에 남겨진 정보 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 터미널 서비스 관리자에서 터미널 서비스 접속자 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 doskey /history 를 이용한 명령창에서 실행 명령어 목록 확인

시스템(PC)에서의 증거 수집 시스템 로그 분석 저장 장치 분석 시스템 로그는 공격자에 의해 삭제될 수 있지만 침입사고가 발생했을 때 살펴봐야 할 가장 기본 항목임. 시스템의 로그가 삭제되는 것을 막기 위해 네트워크에 로그 서버를 별도로 둘 수 있음. 저장 장치 분석 기본 증거 데이터이므로 임의의 변경을 막기 위해 다음과 같은 쓰기 금지를 보장하는 장치를 연결하며, 별도로 준비한 저장매체에 쓰기 금지시킨 원본 하드 디스크를 이미지(Image) 툴은 이용해서 복사함. [그림 11-12] 이미지 툴 [그림 11-11] Write Block

시스템(PC)에서의 증거 수집 이미지 획득 작업은 저장 매체의 모든 정보를 비트 단위로 모두 복사하는 것임. 이미지 분석 툴을 사용해 시스템에 정상적으로 저장된 파일뿐만 아니라 삭제된 파일도 일부 복구할 수 있음. 운영체제에서 파일을 삭제하는 과정은 FAT에서 해당 파일에 대한 링크값을 삭제하고, 파일이 저장된 공간에 다른 파일로 덮어쓰기가 가능한 공간임을 표시해주는 과정으로서 데이터가 실제로 삭제되는 것은 아님. 따라서 해당 파일이 다른 파일에 의해 덮어쓰기가 되어 있지 않으면 그 파일은 복구가 가능함.

시스템(PC)에서의 증거 수집 이미지 분석 툴 EnCase

시스템(PC)에서의 증거 수집 2002년도에 만들어진 검찰 디지털 증거 분석시스템(D.E.A.S)

데이터 및 응용프로그램에서의 증거수집 인터넷 분석 이메일 분석 여러 명이 조직적으로 사건을 모의했을 때 이들간에 전송된 메일을 분석하여 증거 확보 피의자의 PC를 수거해 이미지 획득 작업을 거쳐 메일과 관련된 파일을 획득함(피의자 는 PC에 전송된 메일이 저장되는 형태의 메일을 사용해야 함). 저장된 이메일은 쉽게 검색하고 분석할 수 있도록 다시 데이터베이스화되어 분석자에 게 제공됨. 인터넷 분석 시스템에 저장되어 있는 인터넷 브라우저의 쿠키나 C:\Documents and Settings\Administrator\Local Settings\History에 위치한 index.dat 파일 분석 → 방문사이트의 정보를 획득하고 작업 내용을 파악할 수 있음.

요약 포렌직 (Forensic) 전문 증거 (Hearsay Evidence) 포렌직의 기본 원칙 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 연구하는 학문이다. 전문 증거 (Hearsay Evidence) 사실 인정의 기초가 되는 실험 사실을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우다. 포렌직의 기본 원칙 정당성의 원칙: 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다. 재현의 원칙: 똑같은 환경에서 같은 결과가 나오도록 재현이 가능해야 한다. 신속성의 원칙: 정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 한다. 연계보관성의 원칙: 증거는 획득되고, 이송/분석/보관/법정 제출 등의 과정들이 명확해야 한다. 무결성의 원칙: 증거는 위조/변조되어서는 안된다.

요약 네트워크에서의 증거 수집 시스템(PC)에서의 증거 수집 데이터 및 응용 프로그램에서의 증거 수집 보안 솔루션 이용: 침입탐지 시스템, 침입차단 시스템, 방화벽, MRTG 등에 남아있는 로그를 증거로 확보한다. 네트워크 로깅 서버 이용: 네트워크 로그 서버가 설치되어 있으면 해당 로그를 증거로 확보한다. 스니퍼 운용: 백도어 또는 웜/바이러스에 대한 탐지 활동 및 증거 수집 활동으로 증거를 확보한다. 시스템(PC)에서의 증거 수집 활성 데이터 수집(Live Data Collection): 시간이 지나면 쉽게 사라지는 네트워크 세션 데이터와 메모리에 존재하는 정보를 얻는다. 시스템 로그 분석: 시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거를 확보한다. 저장 장치 분석: 시스템의 하드 디스크에 저장된 정보 외에 삭제된 정보를 획득한다. 데이터 및 응용 프로그램에서의 증거 수집 이메일 분석: 피의자간 송수신 이메일을 분석해 공모 증거를 확보한다. CAAT: 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터 분석 방법이다.

정보 보안 개론 11장 끝