12장. 침해사고 조사 절차
침해사고 침해사고 1.25 인터넷 대란 7.7 DDoS 사태 00:0000:0000:00 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태(정보통신망이용촉진및정보보호등에관한법률 제2조 1항 7조) 1.25 인터넷 대란 마이크로소프트사의 SQL 서버의 허점을 이용하는 슬래머 웜이 원인 감염된 PC들이 대량의 데이터를 생성해 KT 혜화전화국에 있는 DNS 서버에 인터넷 트래픽을 집중시키면서 마비 -> 트래픽이 다른 백본망으로 우회하면서 전국 인터넷이 마비됨 http://imnews.imbc.com/20dbnews/history/2003/1900066_19578.html 7.7 DDoS 사태 2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작 2009년 7월 7일부터 7월 10일까지 10만대 이상의 좀비PC가 국내·외 주요 웹사이트를 대상으로 동시다발적으로 DDoS 공격 발생 DDOS대란 1년 [YTN] ▲7.7 DDoS 침해사고 개요도 ⓒ방통위
침해사고 종류 - 바이러스, 트로이잔, 웜, 백도어, 악성코드 등의 공격, 비인가된 시스템 접근 및 파일 접근, 네트워크 정보 수집을 포함한 비인가된 네트워크 정보접근, 네트워크서비스의 취약점을 이용하여 서비스를 무단 이용하는 비인가된 서비스 이용, 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴시키는 서비스 방해 등 침해사고의 최근 경향 - 대규모 (동시에 다수의 서버를 공격) - 분산화 (다수의 서버에서 목표시스템을 공격) - 대중화 (해킹관련 정보의 손쉬운 획득) - 범죄적 성향 (금전적 이익, 산업정보 침탈, 정치적 목적) 침해사고가 발생한 경우 초기에 신속히 대응하여 피해확산을 방지하고, 이를 철저히 조사하여 향후 동일한 사고가 발생되지 않도록 조치해야 함
침해사고 대응 절차 사고 전 준비 과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비[사고 탐지를 위한 대응전략 및 방법 모색] 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지. 관리자에 의한 침해 사고의 식별 - 초기 대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지 - 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단 - 사고 조사 : 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정 - 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성
사전 대응 침해 사고 대응팀이 사고 현장에 도착해서 빠르고 정확하게 사고 대응을 실시할 수 있도록, 관리자와 긴밀한 협조관계와 각 직책 별 행동 방안을 구축 사고 대응을 위한 기술 개발, 도구의 준비, 네트워크와 시스템의 사전 조치 사고 예방체계 구축 - 제로데이 공격 : 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 신속하게 이루어지는 보안 공격 - 이미 알려진 공격을 통해 사전에 예방할 수 있는 방안 준비 최신 보안 패치 설치 네트워크 및 시스템 접근제어 수행 정기적인 보안교육 : Active X, 이메일 첨부파일 실행하지 않음 - 사고 대응 체제의 준비 호스트 및 네트워크 기반 보안 측정 수행 최종 사용자 교육 훈련 침입탐지 시스템 설치 강력한 접근 통제 실시 적절한 취약점 평가 실시 규칙적인 백업 수행 침해사고 대응팀과의 비상 연락망 구축
사전 대응 2. 사고 대응체계 구축 침해사고 대응팀의 준비 - 침해사고 대응팀은 전문가 조직을 구성하고 시스템 네트워크 관리자와 긴밀한 협조 관계를 구성 침해사고 대응팀의 준비 단계에서 고려 사항 사고 조사를 위한 도구(H/W, S/W) 구비 사고 조사를 위한 문서양식 정형화 대응 전략 수행을 위한 적절한 정책과 운용 과정 수립 간부, 직원들에 대한 교육 훈련 실시
사고 탐지 침해사고가 확인 된 단계 침해사고 탐지 및 징후 후속 조치 침해사고 탐지 및 징후 후속 조치 - 발견 시간, 관련 시스템, 연결 네트워크 등을 기록하여 사고 대응팀에게 알림
초기대응 발견된 이상 징후에 대해 정보를 수집, 침해사고 여부를 판별하는 단계 초기 대응 목적 : 다음 단계로 진행할 수 있도록 충분한 정보를 모으고, 대응전략을 세우는 것 침해사고 대응팀을 소집하고, 네트워크와 시스템의 정보들을 수집하며, 발생한 사건의 유형 식별과 영향 평가 관련 데이터 수집을 위한 초기 대응 작업 ● 사건의 기술적인 내용을 통찰할 수 있는 시스템 관리자와 면담 ● 사건 분석을 위한 정황을 제공해 줄 수 있는 인원들과의 면담 ● 침입 탐지 로그와 데이터 식별을 위한 네트워크 기반 로그의 분석 ● 공격 경로와 수단을 알아내기 위한 네트워크 구조와 접근 통제 리스트의 분석
초기대응 초기 대응 점검표 : 사고가 탐지된 이후에 확인해야 할 세부항목들을 기술 초기 대응 점검표 구성에 중요한 요소(사고 조사 및 증거보존) 현재 시간과 날짜 사고보고 내용과 출처 사건 특성 사건이 일어난 일시 관련된 하드웨어, 소프트웨어의 목록 사고 탐지 및 사고 발생 관련자의 네트워크 연결 지점 사고 대응팀에게 인수인계 초기 대응 시 유의점 증거의 무결성을 훼손하지 않도록 함 -> 추후 침해경로와 피해 규모 파악에 어려움 ‘사고 대응 절차’에 따라 대응 사고 규모와 성격에 따라 네트워크 분리 유무를 판단 휘발성 정보(네트워크 접속정보, 메모리) 수집이 필요할 경우 즉시 실시함
초기대응(대응전략 수립) 1. 침해 사고의 환경고려 목적 : 주어진 사건의 환경에서 가장 적절한 대응전략을 결정 -> 정책, 기술, 법, 업무 등의 사고와 관련된 적절한 요인들을 고려 1. 침해 사고의 환경고려 사고조사를 위해 얼마나 많은 자원이 필요한지, 증거의 완벽한 확보를 위해 저장 매체를 완전히 복사하는 포렌식이미징(Forensic Duplication) 작업이 필요한지, 형사소송 또는 민사소송을 할 필요가 있는지, 대응 전략에 다른 관점이 있는지를 결정 검토 요소 ● 침해 당한 컴퓨터가 얼마나 중요하고 위험한가? ● 침해 당하거나 도난 당한 정보가 얼마나 민감한 것인가? ● 사건이 외부에 알려졌는가? ● 직/간접적인 공격자는 누구인가? ● 공격자에 의해 침해된 비인가 접근의 수준은 어느 정도인가? ● 공격자의 수준은 어느 정도인가? ● 시스템과 사용자의 업무중단 시간은 어느 정도인가? ● 어느 정도의 경제적 피해가 있었는가?
초기대응(시스템 로그파일 ) 2. 적절한 대응 고려 : 공격 환경과 대응 능력을 고려하여, 다양한 대응 전략을 수립 대응 전략과 가능한 결과
사고 조사(조사 범위 규정) 공격자에 의해서 일어난 사고를 수습하고 공격자를 색출하는 것에 초점 “누가, 무엇을, 언제, 어디서, 어떻게 그리고 왜”와 같은 사항들을 결정하는 것 사건 조사는 호스트 기반과 네트워크 기반 증거로 나누어 조사 사고 조사 과정은 조사 범위 규정과 데이터 수집 및 자료 분석 단계로 나뉨 조사 범위 규정 정확하고 신속한 사고 조사를 위해 가장 처음 하는 중요한 단계 초기 대응에서 수집된 정보와 네트워크 구성도, 정보시스템 관리자와 개발자 인터뷰를 참조 초기 대응에서 수집된 정보: 사고의 성격과 피해 정도, 필요한 정보와 조사 대상 파악 네트워크 구성도 : 네트워크 연결 상태와 연계되어 있는 시스템 파악 -> 피해 규모와 침입 경로 관리자와 개발자 인터뷰 : 초기 대응보고서의 의문점과 실행 프로세스 질의 정보 수집 후 서비스 성격과 피해 상황 등을 고려하여 조사 범위를 한정
사고 조사(데이터 수집) 데이터 수집 - 기술적인 데이터를 획득하고 사고 분석을 하려면 컴퓨터 포렌식 기술이 필요 - 수집한 정보는 기본적으로 호스트 기반 정보, 네트워크 기반 정보와 그밖에 일반적인 정보로 구분
사고 조사 (데이터 수집) 가. 호스트 기반 정보 증거 매체의 디스크 복제 작업 - 컴퓨터 포렌식 기술을 사용 시스템에서 얻어진 로그, 레코드, 문서 등 휘발성 정보들을 수집 - 시스템 날짜와 시간 - 시스템에서 현재 동작 중인 어플리케이션 - 현재 연결이 성립된 네트워크 상황 - 현재 열려진 소켓(포트) - 열려진 소켓 상에서 대기하고 있는 어플리케이션 - 네트워크 인터페이스의 상태 - 메모리 정보 - 현재 열려진 파일 - 시스템 패치 상황 증거 매체의 디스크 복제 작업 - 컴퓨터 포렌식 기술을 사용 - 대상 시스템을 복제한 포렌식 이미지를 수집
사고 조사 (데이터 수집) 나. 네트워크 기반 증거 - IDS 로그 - 관련자의 허락을 득한 네트워크 모니터링의 기록 - ISP 가입자 이용 기록 장치/감시 장치의 로그 - 라우터 로그 - 방화벽 로그 - 인증 서버 로그 ● 컴퓨터 보안 사고의 주변 인물들 중에 사건에 가담하여, 증거를 고의적으로 손상시킬 여지가 있는 관련자를 증거로부터 격리시킨다. ● 추가적인 증거나 정보를 축적한다. ● 정보 노출의 범위를 검증한다. ● 사고와 관련된 추가 내부 인원들을 확인한다. ● 네트워크에서 일어난 이벤트의 timeline을 결정한다. ● 대응 방침에 대한 상급자의 확실한 승인을 확보한다.
사고 조사(데이터 분석) 2. 데이터 분석(포렌식 분석) 수집된 로그 파일, 시스템 설정 파일, 웹 브라우저 히스토리 파일, 이메일 메시지와 첨부파일, 설치된 어플리케이션 그리고, 그림파일 등을 분석 소프트웨어 분석, 시간/날짜 스탬프 분석, 키워드 검색, 그외 필요한 조사과정을 수행
보고서 작성 및 시스템 복구 보고서 작성 - 누구나 알기 쉬운 형태로 작성 - 데이터 획득, 보관, 분석 등의 과정을 6하원칙에 따라 명백하고 객관적으로 서술 시스템 복구 - 현재 발생한 사고로 인해 제 2, 제 3의 피해를 막고 재발을 방지하기 위한 조치 - 조직의 위험 우선순위 식별 - 사건의 본질을 기술 : 보안 사고의 원인과 호스트, 네트워크의 복원 시 필요한 조치 - 사건의 조치에 필요한 근원적이고 조직적인 원인 파악 - 침해 컴퓨터의 복구 - 네트워크, 호스트에 대해 밝혀진 취약점에 대한 조치(IDS, Access control, firewall) - 시스템을 개선할 책임자 지명 - 시스템 개선이 이루어지고 있는지 추적 - 모든 복구 과정이나 대책의 유용성 검증 - 보안 정책 개선