침입대응과 포렌직 정보 보안 개론 11장.

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

지지금 우리나라에서는 정보보안전문가가 약 500 명도 되지 않는다. 그그리고 지금 컴퓨터를 쓰지 않는 곳이 없다. 또, 농협 해킹 등 여러 가지 이유 등으로 유망하다.
프로그램이란 프로그램 생성 과정 프로젝트 생성 프로그램 실행 컴퓨터를 사용하는 이유는 무엇인가 ? – 주어진 문제를 쉽고, 빠르게 해결하기 위해서 사용한다. 컴퓨터를 사용한다는 것은 ? – 컴퓨터에 설치 혹은 저장된 프로그램을 사용하는 것이다. 문제를 해결하기 위한.
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
1)RACK 2)UPS 3)P D U 장치 4)Server Group 5)KVM Switch 7)UPS 를 위한 HUB 6) RACK Monitor.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
사이버 범죄 CYBER TERROR.
문산고등학교 학교에서의 인터넷 이용 수칙 사이버 예절, 건강한 디지털 세상의 시작입니다
사이버범죄 발생 및 검거 현황 한광고등학교 유대열.
컴퓨터와 인터넷.

뇌를 자극하는 Windows Server 2012 R2
소리가 작으면 이어폰 사용 권장!.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
<<< 시스템등록정보 “하드웨어-장치관리자” 설정 >>>
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
Windows Server 장. Windows Server 2008 개요.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
18장. 방화벽 컴퓨터를 만들자.
Windows Server 장. 사고를 대비한 데이터 백업.
4장. 웹로직 서버상에서의 JDBC와 JTA의 운용
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
8장. 원격지 시스템 관리하기.
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
정보화 사회와 컴퓨터 보안.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
1장. 데이터베이스 자료의 조직적 집합체_데이터베이스 시스템의 이해
Malware (Sample) Static/Dynamic Analysis (no reversing)
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
‘2012년 정보화 사업 교육 버그추적시스템(BTS) 사용 절차 2012, 02.
7가지 방법 PowerPoint에서 공동 작업하는 다른 사용자와 함께 편집 작업 중인 사용자 보기
Chapter 11. 침해 대응과 포렌식 : 해킹 대응 및 추적
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
뇌를 자극하는 Windows Server 2012 R2
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
USN(Ubiquitous Sensor Network)
Nessus 4 설치 정보보호응용 조용준.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Windows XP 서비스 팩2를 설치하는 10가지 이유
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
Voice and Videoconferencing
SSL, Secure Socket Layer
S-Work 2.0 DRM 신규 버전 설치 가이드 SOFTCAMP
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
Teaming pms.
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
Cold Spring Harbor Laboratory Press 저널 이용 매뉴얼
뇌를 자극하는 Solaris bible.
3장 JSP프로그래밍의 개요 이장에서 배울 내용 : JSP페이지의 기본적인 개요설명과 JSP페이지의 처리과정 그리고 웹 어플리케이션의 구조에 대해서 학습한다.
공인인증로그인 매뉴얼.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
세션에 대해 알아보고 HttpSession 에 대해 이해한다 세션 관리에 사용되는 요소들을 살펴본다
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
공인인증로그인 매뉴얼.
1장 C 언어의 개요 C 언어의 역사와 기원 C 언어의 특징 프로그램 과정 C 프로그램 구조 C 프로그램 예제.
2017년도 대동철학회 연구윤리교육 (연구윤리위원회).
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
방승욱 여은수 민세훈 해킹.
CHAP 15. 데이터 스토리지.
Windows XP 서비스 팩2를 설치하는 10가지 이유
DBMS & SQL Server Installation
펌웨어(S/W) Upgrade 방법 Samsung Kies3
6 객체.
공인인증로그인 매뉴얼.
ARP.
XSS 취약점을 이용한 웹메일 해킹
Presentation transcript:

침입대응과 포렌직 정보 보안 개론 11장

1 1 2 2 3 3 4 침입 사고 발생시 적절한 대응 절차를 알아본다. 포렌직의 절차를 알아본다. 포렌직을 통해 얻은 증거가 가지는 법적인 의미를 이해한다. 3 4 네트워크 및 시스템에서 얻을 수 있는 증거를 살펴본다.

Section 01 침입대응 CERT(Computer Emergency Resonse Team) 1988년 11월 22일 저녁 미국 전역의 컴퓨터가 모리스 웜에 의해 멎어버린 사건으로 인해 미 정부는 이런 사건이 재발할 경우 그 막대한 피해를 줄이기 위해 적절한 대응책을 마련해야겠다고 판단함. 미 국방부 고등연구 계획국(DARPA)은 컴퓨터와 관련된 침입 사고에 적절히 대응하고자 피치버그의 카네기 멜론 대학내의 소프트웨어공학 연구소에 CERT 팀을 만듦. CERT팀의 역할은 건물의 경비원의 역할과 사실상 같음. 범죄자나 의심스러운 사람이 건물에 들어오면 가서 검사하고, 범죄자임이 확인되면 체포함.

침입대응 - 침입대응 체계 구축 침입사고에 적절히 대응하기 위해 사건의 특성과 종류에 따른 위험 등급 결정. 1등급 상황 분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우 침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우 트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해 도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우 침입자의 공격에 대한 대응 수단이 없는 기타의 경우 2등급 상황 비인가자에 의해 관리자 명령이 실행되고 있는 경우 시스템 리소스를 불법적으로 사용하는 프로그램이 실행되고 있는 경우 일반 사용자의 홈 디렉토리에 시스템 파일이 존재하는 경우 일반적이지 않은 숨김 파일 또는 디렉토리가 존재하는 경우 시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 변경된 경우 3 등급 상황 외부 또는 내부로부터의 계속적인 취약점 수집(Scanning) 행위가 발견되는 경우 외부 또는 내부로부터의 계속적인 불법적 접근 시도가 발견되는 경우 외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우 확산 속도가 빠른 바이러스가 외부에서 발생한 경우

침입대응 - 침입대응 체계 구축 등급에 따른 대응 절차 마련 1등급 상황에 대한 대책 2등급과 3등급 상황에 대한 대책 침입사고 발생 상황이라고 판단되면 시스템 담당자가 CERT팀의 팀장에게 즉시 보고한다. 단, 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼저 수행할 수 있다. 2등급과 3등급 상황에 대한 대책 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 CERT팀과 함께 해당 단말기 또는 IP를 조사하여 소속 네트워크 및 조직을 파악한다. 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사한다. 그리고 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구한다. 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고 그 위협이 심각한 경우에는 대외기관(검찰, 경찰, 한국정보보호 진흥원 등)에 조사를 의뢰한다. 침입 시도에 대한 대응이 종료된 이후에는 CERT팀의 팀장이 침입 시도 방법, 침입시도 대응책 등이 포함된‘침입 시도 대응 보고서’를 작성하여 관련 담당자에게 이메일 또는 문서로 공지한다.

침입대응 – 증거 확보 침입사고에 대해 분석하지 않아도 시스템을 재설치하여 원상태로 복구할 수 있으나, 이는 지속적으로 침입을 당할 수 있는 여지를 남겨 전체 시스템의 보안 수준을 떨어뜨리는 결과를 초래함. 철저한 분석과 증거 확보는 예방 차원에서 필수적인 업무며, 침입사고에 대한 법적 대응을 위해서도 필요함.

침입대응 – 시스템 복구와 보완 침입사고 발생으로 시스템이 손상되면 이를 복구하고, 사고가 재발하지 않도록 조치를 취해야 함. 침입사고 발생으로 시스템이 손상되면 이를 복구하고, 사고가 재발하지 않도록 조치를 취해야 함. 패치 적용 보안과 관련된 패치를 설치함. 해당 패치는 시스템 공급자의 홈페이지에서 다운로드하거나 공급자에게 직접 요청. 보안 툴의 설치 방화벽 또는 백신, 보안 운영체제(SecureOS) 등을 설치. 로그 정책 설정 침입사고 발생건과 관련하여 적절한 모니터링이 가능하도록 로그 정책을 적절히 적용. 네트워크 방화벽 설치 및 운영 침입사고 발생과 관련하여 방화벽과 보안 솔루션을 보완. 사용자 패스워드 변경 침입사고가 발생한 시스템은 사용자 패스워드를 변경.

Section 02 포렌직에 대한 이해 포렌직의 개념 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 연구하는 학문 포렌직(Forensic)은 원래 1991년 미국 오레곤주 포틀랜드의 IACIS(International Association of Computer Investigative Specialists, 국제 컴퓨터 수사전문가 협회)에서 개설한 교육 과정에서‘디지털 포렌직’이라는 용어를 처음 사용하면서 많이 쓰이게 됨.

증거에 대한 이해 증거의 종류 전문 증거(Hearsay Evidence) 직접 증거: 요증 사실(증거에 의하여 증명을 요하는 사실)을 직접적으로 증명하는 증거다. 범행 목격자, 위조지폐 등이다. 간접 증거: 요증 사실을 간접적으로 추측케하는 증거다. 범죄 현장에 남아있는 지문이나 알리바이 등이다. 인적 증거: 증인의 증언, 감정인의 진술, 전문가의 의견 등이다. 물적 증거: 범행에 사용한 흉기, 사람의 신체 등이다. 전문 증거(Hearsay Evidence) 포렌직에 의해 수집된 증거는 기본적으로는 간접 증거에 속함. 포렌직에 이용되는 증거를 전문 증거(Hearsay Evidence)라고 하는데, 사실 인정의 기초가 되는 실험 사실을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우를 말함. 영미법에서는 이를 인정하지 않고 있는데, 이를 전문법칙 또는 전문증거법칙(Hearsay Evidence Rule)이라고 함. 대륙법에서는 전달 과정에서 잘못이 있을 수 있으나, 그것은 자유 심증의 문제이므로 증거 능력에는 영향이 없으며 다만 직접 심리주의의 요구로 증거 능력에는 제한이 있다. 이 경우에도 실험자의 동의가 있으면 전문법칙의 제한을 받지 않음.

포렌직의 기본 원칙 포렌직을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 갖기 위해서는 그 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservation) 하는 절차가 적절해야 함. 이를 만족하기 위해서는 다음과 같은 원칙을 지켜야 함. 정당성의 원칙 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 함. 즉, 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없음. 재현의 원칙 법정에 이 증거를 제출하기 위해서는 똑같은 환경에서는 같은 결과가 나오도록 재현이 가능해야 함. 신속성의 원칙 컴퓨터 내부의 정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 함. 연계보관성의 원칙 증거는 획득되고, 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하고, 이러한 과정에 대한 추적이 가능해야 함, 이를 연계보관성(Chain of Custody)이라함. 무결성의 원칙 수집된 정보는 연계보관성을 만족시키며 각 단계를 거치는 과정에서 위조/변조되어서는 안되며, 이러한 사항을 매번 확인해야 함. 하드 디스크 같은 경우에는 해시값을 구해 각 단계마다 그 값을 확인하여 무결성을 입증할 수 있어야 함.

포렌직의 절차 수사 준비 증거물 획득 (증거 수집) 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍는다. 수사를 위해 장비와 툴을 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근할 수 있어야 함. 증거물 획득 (증거 수집) 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 함. 이 세 사람의 참관하에 다음과 같은 절차를 수행해야 한다. 컴퓨터의 일반적인 하드 드라이브를 검사할 경우에는 컴퓨터 시스템에 관한 정보를 기록한다. 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍는다. 모든 매체에 적절한 증거 라벨을 붙인다. 증거 라벨에는 [표 11-1]과 같은 내용을 기록한다.

포렌직의 절차

포렌직의 절차 보관 및 이송 획득된 증거는 앞서 언급한 연계보관성을 만족시키며 보관되고 이송되어야 함. 증거가 연계보관성을 만족시키려면 우선 안전한 장소에 보관되어야 하는데, 안전한 장소를 Evidence safe라고 함. 이송되거나 담당자/책임자가 바뀔 때는 [표 11-2]와 같은 문서에 그 증적을 남김

포렌직의 절차 분석 및 조사 보고서 작성 최량 증거 원칙 (The Best Evidence Rule) 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙. 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야 함. 법원에 제출하는 원본 또는 최초의 복제물은 기본적으로 보관하고, 이를 다시 복사한 것을 가지고 증거 수집을 위한 분석을 해야 함. 각 분석단계에서는 무결성을 확인할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한하며, 프로그램내에서 사용된 스크립트는 그 내용과 실행 단계별 결과가 문서화되어야 함. 보고서 작성 분석을 마친 뒤에 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 수행하면서 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서화 하여 증거와 함께 제출.

사이버 수사 기구 국가 정보원 – 국가사이버 안전센터 2003년 7월 24일에 국가 사이버 테러 대응체계 구축 기본 계획에 대해 대통령 재가를 받아 2004년 1월 2일 업무를 개시.

사이버 수사 기구 국민사이버안전센터의 주요 업무 구분 내용 국가 사이버안전 정책 총괄 국가 사이버안전정책 기획·조정 국가 사이버안전 전략회의 및 대책회의 운영 민·관·군 사이버안전정보 공유체계 구축 운영 사이버안전 예방 활동 24시간 365일 주요기관 대상 보안관제 위협 수준별 경보 발령 보안분석정보 배포 사이버안전 관련 기술 개발 침해사고 긴급대응, 조사 및 복구 사이버 공격 침해 사고 접수 사고 조사 및 대책 강구 피해확산 방지 및 복구 지원 범정부 합동조사·복구지원팀 구성, 운영 국내외 사이버위협정보 공유 및 공조 대응 국내 사이버 안전 전문 기구와 협의체 운영 미, 영, 불, 독, 캐, 일 등 선진국과 협력체계 구축·운영.

사이버 수사 기구 대검찰청 첨단범죄 수사과 1995년 4월 1일 서울지검 특별수사 2부내에 정보범죄수사센터가 설치되고, 2000년 2월 21일에는 컴퓨터 수사과가 신설. 2005년 4월 18일 컴퓨터 수사과와 특별수사 지원과가 통합되어 첨단범죄수사과로 현재까지 운영되고 있음. 수행업무 기술 유출 범죄 수사지원센터: 산업기술 유출범죄와 관련하여 수사계획을 수립하고, 지원. 인터넷 관련 범죄 수사: 컴퓨터 및 인터넷 관련 장치를 압수 수색하고 분석. 회계 분석팀: 기업 비리, 회계 부정 등의 조사를 위해 회계 데이터를 압수 수색하고, 분석하며 관련자를 조사. 범죄 수익 환수: 범죄 수익을 합법적인 수입으로 가장, 은닉하는 자금세탁 범죄를 수사하며, 마약, 조직 범죄 등으로 인한 수익을 추적하고 몰수. 자금 추격팀: 부패사범, 기업비리사범 등 경제적 이익의 획득과 관련된 범죄를 수사할 때 관련 증거 확보를 위한 금융계좌를 추적하고 관련자를 조사. FIU이첩 정보 분석: 금융정보분석원(FIU)으로부터 제공받은 혐의 거래정보 및 고액 현금거래정보에 대한 수사를 수행. 첨단 범죄 수사 전문 아카데미: 각종 첨단 범죄에 효율적으로 대처하기 위한 검찰 내부에 수사 전문가를 양성.

사이버 수사 기구 경찰청 사이버테러대응센터 경찰청 사이버테러대응센터는 1995년 10월 경찰청내 해커수사대로 최초 창설되어 운영.

Section 03 증거 수집-네트워크에서의 증거 수집 보안솔루션 이용 침입탐지 시스템에는 공격자가 공격 대상을 침투하기 위한 스캐닝, 접근 제어를 우회한 반복적인 접근 시도 등에 대한 기록이 남아있을 수 있음. 침입차단시스템에서도 침입탐지 시스템과 비슷한 로그를 확인할 수 있음. MRTG(Multi Router Traffic Grapher)는 네트워크 링크상의 트래픽 부하를 감시하는 툴로서, 라우터로부터 가져온 모든 데이터의 로그를 보관하고 있기 때문에 일간, 지난 일주일간, 지난 4주간 그리고 지난 12개월간의 기록을 작성할 수 있으며, 200개 이상의 네트워크 링크를 즉시 감시할 수 있음. 따라서 DoS와 같은 공격에 대한 증빙으로 유용한 정보를 제공.

네트워크에서의 증거 수집 네트워크 로그 서버 이용 스니퍼 운용 네트워크 로그 서버를 별도로 운영하는 경우는 많지 않지만, 로그 서버를 별도로 운영하면 포렌직을 하는 데 도움이 많이 됨. 스니퍼 운용 증거를 수집하기 위해 스니퍼를 네트워크 패킷 탐지용으로 일시적으로 운용할 수도 있음. 공격자가 네트워크에 백도어 등을 설치해놓았을 때 해당 패킷을 잡아냄으로써 백도어를 탐지하고, 공격자의 위치를 탐색할 수 있으며, 웜/바이러스에 의해 피해를 입고 있을 경우에는 발원지와 감염된 PC를 구분하는 데 사용할 수 있음.

시스템(PC)에서의 증거 수집 활성 데이터 수집 휘발성 정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한 증거는 바로바로 화면캡쳐 등을 통해 남겨야 함. 증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 함. net session 을 이용한 해커의 세션 존재 여부 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 psloggedon 을 이용한 해커의 세션 존재 여부 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 nbstat 을 이용한 시스템의 캐시에 남겨진 정보 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 터미널 서비스 관리자에서 터미널 서비스 접속자 확인

시스템(PC)에서의 증거 수집 활성 데이터 수집 doskey /history 를 이용한 명령창에서 실행 명령어 목록 확인

시스템(PC)에서의 증거 수집 시스템 로그 분석 저장 장치 분석 시스템 로그는 공격자에 의해 삭제될 수 있지만 침입사고가 발생했을 때 살펴봐야 할 가장 기본 항목임. 시스템의 로그가 삭제되는 것을 막기 위해 네트워크에 로그 서버를 별도로 둘 수 있음. 저장 장치 분석 기본 증거 데이터이므로 임의의 변경을 막기 위해 다음과 같은 쓰기 금지를 보장하는 장치를 연결하며, 별도로 준비한 저장매체에 쓰기 금지시킨 원본 하드 디스크를 이미지(Image) 툴은 이용해서 복사함. [그림 11-12] 이미지 툴 [그림 11-11] Write Block

시스템(PC)에서의 증거 수집 이미지 획득 작업은 저장 매체의 모든 정보를 비트 단위로 모두 복사하는 것임. 이미지 분석 툴을 사용해 시스템에 정상적으로 저장된 파일뿐만 아니라 삭제된 파일도 일부 복구할 수 있음. 운영체제에서 파일을 삭제하는 과정은 FAT에서 해당 파일에 대한 링크값을 삭제하고, 파일이 저장된 공간에 다른 파일로 덮어쓰기가 가능한 공간임을 표시해주는 과정으로서 데이터가 실제로 삭제되는 것은 아님. 따라서 해당 파일이 다른 파일에 의해 덮어쓰기가 되어 있지 않으면 그 파일은 복구가 가능함.

시스템(PC)에서의 증거 수집 이미지 분석 툴 EnCase

시스템(PC)에서의 증거 수집 2002년도에 만들어진 검찰 디지털 증거 분석시스템(D.E.A.S)

데이터 및 응용프로그램에서의 증거수집 인터넷 분석 이메일 분석 여러 명이 조직적으로 사건을 모의했을 때 이들간에 전송된 메일을 분석하여 증거 확보 피의자의 PC를 수거해 이미지 획득 작업을 거쳐 메일과 관련된 파일을 획득함(피의자 는 PC에 전송된 메일이 저장되는 형태의 메일을 사용해야 함). 저장된 이메일은 쉽게 검색하고 분석할 수 있도록 다시 데이터베이스화되어 분석자에 게 제공됨. 인터넷 분석 시스템에 저장되어 있는 인터넷 브라우저의 쿠키나 C:\Documents and Settings\Administrator\Local Settings\History에 위치한 index.dat 파일 분석 → 방문사이트의 정보를 획득하고 작업 내용을 파악할 수 있음.

요약 포렌직 (Forensic) 전문 증거 (Hearsay Evidence) 포렌직의 기본 원칙 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 연구하는 학문이다. 전문 증거 (Hearsay Evidence) 사실 인정의 기초가 되는 실험 사실을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우다. 포렌직의 기본 원칙 정당성의 원칙: 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다. 재현의 원칙: 똑같은 환경에서 같은 결과가 나오도록 재현이 가능해야 한다. 신속성의 원칙: 정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 한다. 연계보관성의 원칙: 증거는 획득되고, 이송/분석/보관/법정 제출 등의 과정들이 명확해야 한다. 무결성의 원칙: 증거는 위조/변조되어서는 안된다.

요약 네트워크에서의 증거 수집 시스템(PC)에서의 증거 수집 데이터 및 응용 프로그램에서의 증거 수집 보안 솔루션 이용: 침입탐지 시스템, 침입차단 시스템, 방화벽, MRTG 등에 남아있는 로그를 증거로 확보한다. 네트워크 로깅 서버 이용: 네트워크 로그 서버가 설치되어 있으면 해당 로그를 증거로 확보한다. 스니퍼 운용: 백도어 또는 웜/바이러스에 대한 탐지 활동 및 증거 수집 활동으로 증거를 확보한다. 시스템(PC)에서의 증거 수집 활성 데이터 수집(Live Data Collection): 시간이 지나면 쉽게 사라지는 네트워크 세션 데이터와 메모리에 존재하는 정보를 얻는다. 시스템 로그 분석: 시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거를 확보한다. 저장 장치 분석: 시스템의 하드 디스크에 저장된 정보 외에 삭제된 정보를 획득한다. 데이터 및 응용 프로그램에서의 증거 수집 이메일 분석: 피의자간 송수신 이메일을 분석해 공모 증거를 확보한다. CAAT: 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터 분석 방법이다.

정보 보안 개론 11장 끝