12장. 침해사고 조사 절차.

Slides:



Advertisements
Similar presentations
영남본부 현안사항 노동조합. -1- 현황 및 문제점 ( 단위 : 개 ) 가. 문제점 1) 현장구역과 회수업무 병행 - 공중전화유비보수, 모뎀회수 업무 2) 토, 일, 공휴일, 야간 근무 - KT 에서는 야간 및 휴일근무 부정적.
Advertisements

스마트시대와 정보보호 침해사고 2011 클린사이버네트워크 특강 Computer Security.
Ⅰ. 인적 사항 사 진 3*4cm ※최근 1 년 內 이미지 파일로 첨부 성 명성 명 ( 한글 ) 전화 번호 자 택자 택 주민등록번호 - 직 장직 장 주소 ( 필 수 ) 휴대폰 자택주소 직장명부 서부 서직 위직 위 직장주소 Ⅱ. 학력 사항 졸 업 연 도졸 업.
교수님 영상 제 2 장 관세법 일반 제 1 절 통칙 제 2 절 법 해석의 원칙 등 제 3 절 기한과 기간 제 4 절 서류의 송달 등 제 5 절 관세의 부과 및 징수 제 6 절 납세의무의 소멸 등.
※ 시스템통합 /IT 서비스 / 컨설팅 / 컨버전스 / 솔루션 구분주요시스템 거액결제망한국은행 금융결제망 (BOK-Wire) 자체전산망 본점, 지점간 온라인망 ( 계정계, 정보계 ), 모바일 뱅킹 공동전산망 타행환공동망, CD 공동망, 신용정보공 동이용망, 외환전산망,
한 ∙ 칠 FTA 와 IT 산업 IT 통계정보센터 양창준 팀장 ( ) 한국정보통신산업협회.
음란물에 대하여. 인터넷 음란물의 의미 돈벌이를 위해 단지 성적 욕망을 불러 일으키기 위한 음란한 인터넷 상의 사 진, 동영상, 만화 등을 말한다.
명지대학교 클라우드 컴퓨팅 강의 2. 클라우드 컴퓨팅의 주요 사안 2011 년 04 월 02 일 (2 주차 )
KT Managed ICT KT Managed ICT. 우편물 반송정보제공서비스 SSL VPN 정보보호 구축 제안서 1. SSL VPN 암호화 통신 제안 ( 요약 ) 2. SSL VPN 암호화 통신 구축 비용 3. 국가정보원 IT 보안 인증서 반송정보분석센터 이포스팅㈜
아이핑 소개 (탁구대회) 아이핑 담당 신동일 네이버(다음)에서 아이핑검색 아이핑 소개 (탁구대회) 담당 신동일 아이핑.
플랜티넷[075130] 자녀가 있는 가정이라면… 높은 영업이익률… 독점의 매력...
(4) 우리 나라의 이상과 목표 2. 국가의 중요성과 국가 발전 중학교 2학년 도덕
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
일 시 : (목) 장 소 : 1층 도서관 대 상 : 3학년 4반 (36명) 지도교사 : 박 병 진
재난 종합상황보고 63초 마다 1건 접수 119신고접수 현황 총 건 수 1,371건 출동요청 604건 (44.1%) 의료상담
1. PC 에서 회원가입 1. 회원가입 버튼 클릭 클릭.
금융 보안 정보통신대학원 양승화 양승화( ).
SW사업의 특성을 반영한 용역계약일반조건 개정(9/29)
BizTeleCom 정보보안 시스템 구축 결과 보고서 MServe.
1. 근접경호의 개념 경호대상의 신변을 보호하기 위하여 지근거리에서 실시하는 호위활동을 말하며 경호행위의 마지막 보루이다.
자체 정보보안 정책 설명회 Ⅰ 인 사 말 / 현 황 Ⅱ SESSION 1(정책, 사이버보안) Ⅲ
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
Digital Forensic의 동향과 전문인력양성방안
Copyright © SG Research Institute Inc. All rights reserved.
PROPOSAL FOR COMPANY ㈜일렉트로닉테크.
I. 스팸/바이러스 메일 스팸 메일의 개요 스팸 메일과 바이러스메일은 받는 수신자 뿐만 아니라 메일을 중개하는 ISP업체와 일반회사의 메일서버에 많은 피해를 주고 있습니다. 메일서버를 관리하는 ISP업체와 일반기업은 스팸 메일의 증가에 따라 이용자들의 불만을 최소화하여.
주식회사 글로벌소프트 Active Directory 이해 및 문제해결
초등학생이 pc방을 가도 되는가? 등마 초등학교 5학년 4반 김근아.
2018년 착수 포스코 연구과제 연구비 편성 기준 ■ 2018년 국내 대학 / 연구기관 요율 기준 : 전년과 동일
sw 삼우금속 Title : 회사 소개서 sw 삼우금속 경기 안산시 상록구 팔곡2동 ( )
전산정보분사 문현철 농협 정보보호관리 체계 수립사례발표 전산정보분사 문현철
교육과정과 주요업무.
<티슈 케이스 활용하여 깔끔함 더하기_ 우드사각 티슈케이스>
1. 하나투어 프로모션 페이지 수정사항 정리 – 리오타노 이태리 세미극세사 차렵이불_그레이
정보보호 신규 업무담당자 교육. 정보보호 신규 업무담당자 교육 시 간 교육내용 비 고 ~ 13:00 ■ 교육 등록 13:00 ~ 13:10 ■ 개회 및 인사 말씀 13:10 ~ 14:40 ■ 개인정보보호 ‧ 개인정보보호 유‧노출 사례 ‧ 개인정보보호 기본 개념 및.
중앙대 원격교육원 범용공인인증서 홈페이지 등록 방법 .
한글e메일주소 서비스 소개 (주)넷피아닷컴 2003년 7월10일.
하이컴AS PC판매점 메뉴얼.
모두가 행복한 교육, 미래를 여는 창의인재 2015 개정교육과정 서울숭인초등학교 교사 이소정.
소리가 작으면 이어폰 사용 권장!.
■ 화성공장 산학인턴 버스 노선 확인 안내 문의 전화 : 안내페이지 접속 1
주요 주기성 테마 모음 주요 테마 관련 종목 겨울테마
‘사랑의 재생PC 나눔 사업’ 안내 한국노동복지센터 나눔 원정대 서울시 영등포구 여의도동 36-4
미군이 관타나모 수용소에서 ‘신경혼란’유발 약품을 사용했다는 의혹이 제기됐습니다.
2018 추석맞이 선물전 마일리지로 구매하면 더 큰 혜택! 기획전 구매금액별 최대 20,000마일리지 적립
소프트웨어 개발보안 설명 및 예시 ‘ (수) 22: 기 배주진.
인천지역 재직자 정보보호 전문교육 과정소개.
2015년도 스마트공장 지원사업에 대한 사업비 타당성 평가
<정보 보안> 담당 교수: 박용대
1. 기술 및 제품 설명 > 제품 개요 발표자료 작성 방법 <발표자료 작성 방법>
◈ 본 PPT자료는 날짜와 원장님의 원명, 성함으로 바꿔서 사용하실 수 있는 자료입니다.
과목명 : 산업보안사례 담당교수 : 김동련 교수님 발표일 : 학번 : 이름 : 권이슬
1학년 신입생 학부모교실 안내사항 2019년 3월 6일 1학년부장 김희선.
PDA 솔루션 사용전에 반드시 본 설명서를 읽어보세요.
인터넷주소 한글화의 의의 디경협 박찬호 2002년 9월 13일 이 판 정.
포이에마장애인보호작업장 시설소개서.
제 12 장 e-비즈니스 창업 1. 창업의 유형 2. 컴퓨터 통신의 개요 3. 창업관련제도.
우리나라의 최신무기 천 천 초 등 학 교 6학년 1반 16번 현 승 호.
100세 시대, 스마트 헬스케어와 미래직업 (3) 고령화 사회에 필요한 웨어러블.
2019 YTN ∙ HUFS 학생영어토론대회 - 대회규정 준수 및 심사결과 동의서
YTN 의 그래프 분석 서명훈 한재영 홍성민.
해양 오염의 원인과 대책 사회 중학교 7학년 1학기 Ⅱ. 남부지방의 생활>발달한 수산업 (5/6) [화면 소개]
중·미 관계 창원대 중국학과 교수: 정차근.
1. 하나투어 프로모션 페이지 수정사항 정리 – 인따르시아 여행용 파우치 5p (핑크)
1. 하나투어 프로모션 페이지 수정사항 정리 – [트래블이지] 비비드접이식가방 NO.1278
코딩교육, 어떻게 해야 할까 이천양정여자고등학교 김가연 안선영.
◈ 본 PPT자료는 날짜와 원장님의 원명, 성함으로 바꿔서 사용하실 수 있는 자료입니다.
◈ 본 PPT자료는 날짜와 원장님의 원명, 성함으로 바꿔서 사용하실 수 있는 자료입니다.
네트워크는 각종 공격들의 위협(Threat)을 받고 있다.
Presentation transcript:

12장. 침해사고 조사 절차

침해사고 침해사고 1.25 인터넷 대란 7.7 DDoS 사태 00:0000:0000:00 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태(정보통신망이용촉진및정보보호등에관한법률 제2조 1항 7조) 1.25 인터넷 대란 마이크로소프트사의 SQL 서버의 허점을 이용하는 슬래머 웜이 원인 감염된 PC들이 대량의 데이터를 생성해 KT 혜화전화국에 있는 DNS 서버에 인터넷 트래픽을 집중시키면서 마비 -> 트래픽이 다른 백본망으로 우회하면서 전국 인터넷이 마비됨 http://imnews.imbc.com/20dbnews/history/2003/1900066_19578.html 7.7 DDoS 사태 2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작 2009년 7월 7일부터 7월 10일까지 10만대 이상의 좀비PC가 국내·외 주요 웹사이트를 대상으로 동시다발적으로 DDoS 공격 발생 DDOS대란 1년 [YTN] ▲7.7 DDoS 침해사고 개요도 ⓒ방통위

침해사고 종류 - 바이러스, 트로이잔, 웜, 백도어, 악성코드 등의 공격, 비인가된 시스템 접근 및 파일 접근, 네트워크 정보 수집을 포함한 비인가된 네트워크 정보접근, 네트워크서비스의 취약점을 이용하여 서비스를 무단 이용하는 비인가된 서비스 이용, 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해 등 침해사고의 최근 경향 - 대규모 (동시에 다수의 서버를 공격) - 분산화 (다수의 서버에서 목표시스템을 공격) - 대중화 (해킹관련 정보의 손쉬운 획득) - 범죄적 성향 (금전적 이익, 산업정보 침탈, 정치적 목적) 침해사고가 발생한 경우 초기에 신속히 대응하여 피해확산을 방지하고, 이를 철저히 조사하여 향후 동일한 사고가 발생되지 않도록 조치해야 함

침해사고 대응 절차 사고 전 준비 과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비[사고 탐지를 위한 대응전략 및 방법 모색] 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지. 관리자에 의한 침해 사고의 식별 - 초기 대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지 - 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단 - 사고 조사 : 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정 - 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성

사전 대응 침해 사고 대응팀이 사고 현장에 도착해서 빠르고 정확하게 사고 대응을 실시할 수 있도록, 관리자와 긴밀한 협조관계와 각 직책 별 행동 방안을 구축 사고 대응을 위한 기술 개발, 도구의 준비, 네트워크와 시스템의 사전 조치 사고 예방체계 구축 - 제로데이 공격 : 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 신속하게 이루어지는 보안 공격 - 이미 알려진 공격을 통해 사전에 예방할 수 있는 방안 준비 최신 보안 패치 설치 네트워크 및 시스템 접근제어 수행 정기적인 보안교육 : Active X, 이메일 첨부파일 실행하지 않음 - 사고 대응 체제의 준비 호스트 및 네트워크 기반 보안 측정 수행 최종 사용자 교육 훈련 침입탐지 시스템 설치 강력한 접근 통제 실시 적절한 취약점 평가 실시 규칙적인 백업 수행 침해사고 대응팀과의 비상 연락망 구축

사전 대응 2. 사고 대응체계 구축 침해사고 대응팀의 준비 - 침해사고 대응팀은 전문가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계를 구성 침해사고 대응팀의 준비 단계에서 고려 사항 사고 조사를 위한 도구(H/W, S/W) 구비 사고 조사를 위한 문서양식 정형화 대응 전략 수행을 위한 적절한 정책과 운용 과정 수립 간부, 직원들에 대한 교육 훈련 실시

사고 탐지 침해사고가 확인 된 단계 침해사고 탐지 및 징후 후속 조치 침해사고 탐지 및 징후 후속 조치 - 발견 시간, 관련 시스템, 연결 네트워크 등을 기록하여 사고 대응팀에게 알림

초기대응 발견된 이상 징후에 대해 정보를 수집, 침해사고 여부를 판별하는 단계 초기 대응 목적 : 다음 단계로 진행할 수 있도록 충분한 정보를 모으고, 대응전략을 세우는 것 침해사고 대응팀을 소집하고, 네트워크와 시스템의 정보들을 수집하며, 발생한 사건의 유형 식별과 영향 평가 관련 데이터 수집을 위한 초기 대응 작업 ● 사건의 기술적인 내용을 통찰할 수 있는 시스템 관리자와 면담 ● 사건 분석을 위한 정황을 제공해 줄 수 있는 인원들과의 면담 ● 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반 로그의 분석 ● 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트의 분석

초기대응 초기 대응 점검표 : 사고가 탐지된 이후에 확인해야 할 세부항목들을 기술 초기 대응 점검표 구성에 중요한 요소(사고 조사 및 증거보존) 현재 시간과 날짜 사고보고 내용과 출처 사건 특성 사건이 일어난 일시 관련된 하드웨어, 소프트웨어의 목록 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점 사고 대응팀에게 인수인계 초기 대응 시 유의점 증거의 무결성을 훼손하지 않도록 함 -> 추후 침해경로와 피해 규모 파악에 어려움 ‘사고 대응 절차’에 따라 대응 사고 규모와 성격에 따라 네트워크 분리 유무를 판단 휘발성 정보(네트워크 접속정보, 메모리) 수집이 필요할 경우 즉시 실시함

초기대응(대응전략 수립) 1. 침해 사고의 환경고려 목적 : 주어진 사건의 환경에서 가장 적절한 대응전략을 결정 -> 정책, 기술, 법, 업무 등의 사고와 관련된 적절한 요인들을 고려 1. 침해 사고의 환경고려 사고조사를 위해 얼마나 많은 자원이 필요한지, 증거의 완벽한 확보를 위해 저장 매체를 완전히 복사하는 포렌식이미징(Forensic Duplication) 작업이 필요한지, 형사소송 또는 민사소송을 할 필요가 있는지, 대응 전략에 다른 관점이 있는지를 결정 검토 요소 ● 침해 당한 컴퓨터가 얼마나 중요하고 위험한가? ● 침해 당하거나 도난 당한 정보가 얼마나 민감한 것인가? ● 사건이 외부에 알려졌는가? ● 직/간접적인 공격자는 누구인가? ● 공격자에 의해 침해된 비인가 접근의 수준은 어느 정도인가? ● 공격자의 수준은 어느 정도인가? ● 시스템과 사용자의 업무중단 시간은 어느 정도인가? ● 어느 정도의 경제적 피해가 있었는가?

초기대응(시스템 로그파일 ) 2. 적절한 대응 고려 : 공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립 대응 전략과 가능한 결과

사고 조사(조사 범위 규정) 공격자에 의해서 일어난 사고를 수습하고 공격자를 색출하는 것에 초점 “누가, 무엇을, 언제, 어디서, 어떻게 그리고 왜”와 같은 사항들을 결정하는 것 사건 조사는 호스트 기반과 네트워크 기반 증거로 나누어 조사 사고 조사 과정은 조사 범위 규정과 데이터 수집 및 자료 분석 단계로 나뉨 조사 범위 규정 정확하고 신속한 사고 조사를 위해 가장 처음 하는 중요한 단계 초기 대응에서 수집된 정보와 네트워크 구성도, 정보시스템 관리자와 개발자 인터뷰를 참조 초기 대응에서 수집된 정보: 사고의 성격과 피해 정도, 필요한 정보와 조사 대상 파악 네트워크 구성도 : 네트워크 연결 상태와 연계되어 있는 시스템 파악 -> 피해 규모와 침입 경로 관리자와 개발자 인터뷰 : 초기 대응보고서의 의문점과 실행 프로세스 질의 정보 수집 후 서비스 성격과 피해 상황 등을 고려하여 조사 범위를 한정

사고 조사(데이터 수집) 데이터 수집 - 기술적인 데이터를 획득하고 사고 분석을 하려면 컴퓨터 포렌식 기술이 필요 - 수집한 정보는 기본적으로 호스트 기반 정보, 네트워크 기반 정보와 그밖에 일반적인 정보로 구분

사고 조사 (데이터 수집) 가. 호스트 기반 정보 증거 매체의 디스크 복제 작업 - 컴퓨터 포렌식 기술을 사용 시스템에서 얻어진 로그, 레코드, 문서 등 휘발성 정보들을 수집 - 시스템 날짜와 시간 - 시스템에서 현재 동작 중인 어플리케이션 - 현재 연결이 성립된 네트워크 상황 - 현재 열려진 소켓(포트) - 열려진 소켓 상에서 대기하고 있는 어플리케이션 - 네트워크 인터페이스의 상태 - 메모리 정보 - 현재 열려진 파일 - 시스템 패치 상황 증거 매체의 디스크 복제 작업 - 컴퓨터 포렌식 기술을 사용 - 대상 시스템을 복제한 포렌식 이미지를 수집

사고 조사 (데이터 수집) 나. 네트워크 기반 증거 - IDS 로그 - 관련자의 허락을 득한 네트워크 모니터링의 기록 - ISP 가입자 이용 기록 장치/감시 장치의 로그 - 라우터 로그 - 방화벽 로그 - 인증 서버 로그 ● 컴퓨터 보안 사고의 주변 인물들 중에 사건에 가담하여, 증거를 고의적으로 손상시킬 여지가 있는 관련자를 증거로부터 격리시킨다. ● 추가적인 증거나 정보를 축적한다. ● 정보 노출의 범위를 검증한다. ● 사고와 관련된 추가 내부 인원들을 확인한다. ● 네트워크에서 일어난 이벤트의 timeline을 결정한다. ● 대응 방침에 대한 상급자의 확실한 승인을 확보한다.

사고 조사(데이터 분석) 2. 데이터 분석(포렌식 분석) 수집된 로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 이메일 메시지와 첨부파일, 설치된 어플리케이션 그리고, 그림파일 등을 분석 소프트웨어 분석, 시간/날짜 스탬프 분석, 키워드 검색, 그외 필요한 조사과정을 수행

보고서 작성 및 시스템 복구 보고서 작성 - 누구나 알기 쉬운 형태로 작성 - 데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술 시스템 복구 - 현재 발생한 사고로 인해 제 2, 제 3의 피해를 막고 재발을 방지하기 위한 조치 - 조직의 위험 우선순위 식별 - 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원 시 필요한 조치 - 사건의 조치에 필요한 근원적이고 조직적인 원인 파악 - 침해 컴퓨터의 복구 - 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치(IDS, Access control, firewall) - 시스템을 개선할 책임자 지명 - 시스템 개선이 이루어지고 있는지 추적 - 모든 복구 과정이나 대책의 유용성 검증 - 보안 정책 개선