11-1. 침입 대응과 포렌식

목표

1. 침입 사고 발생 시 적절한 대응 절차를 알아봄

2. 포렌식의 절차를 알아봄

3. 포렌식을 통해 얻은 증거가 가지는 법적인 의미를 이해함

 

침입 대응

CERT (Computer Emergency Response Team)

: 컴퓨터와 관련된 침입 사고에 적절히 대응하기 위해 미 국방부 고등연구 계획국(DARPA)에서 피치버그의 카네기 멜론 대학 내의 소프트웨어공학 연구소에 만든 팀

 

- 1988년, 미국 전역의 컴퓨터가 모리스 웜에 의해 멎어버린 사건으로 미 정부는 이런 사건이 재발할 경우의 막대한 피해를 줄이기 위해 적절한 대응책을 마련해야겠다고 판단.

 

- CERT의 역할은 건물의 경비원의 역할

- 범죄자나 의심스로운 사람이 건물에 들어오면 검사하고, 범죄자임이 확인되면 체포

 

침입 대응 체계 구축 (위험 등급 결정)

1등급 상황

- 분산 서비스 거부(DDoS) 공격을 당하고 있어 정상적인 동작이 불가능한 경우

- 침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우

- 트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우

- 침입자의 공격에 대한 대응 수단이 없는 기타 경우

 

대책

- 침입사고 발생 상황이라고 판단되면 시스템 담당자가 CERT 팀장에게 즉시 보고

- 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절 및 전원 공급 중단 등의 조치를 먼저 수행함

 

2등급 상황

- 비인가자에 의해 관리자 명령이 실행되고 있는 경우

- 시스템 리소스를 불법적으로 사용하는 프로그램이 실행되고 있는 경우

- 일반 사용자의 홈 디렉토리에 시스템 파일이 존재하는 경우

- 일반적이지 않은 숨김 파일 또는 디렉토리가 존재하는 경우

- 시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 변경된 경우

 

3등급 상황

- 외부 또는 내부로부터 지속적인 취약점 수집(Scanning) 행위가 발견되는 경우

- 외부 또는 내부로부터 지속적인 불법적 접근 시도가 발견되는 경우

- 외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우

- 확산 속도가 빠른 바이러스가 외부에서 발생한 경우

 

2등급 & 3등급 대책

- 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 CERT와 함꼐 해당 단말기 또는 IP를 조사하여 소속 네트워크 및 조직을 파악

- 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사

- 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구함

- 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고 그 위협이 심각한 경우에는 대외기관(검찰, 경찰, 한국정보보호진흥원 등)에 조사를 의뢰

- 침입 시도에 대한 대응이 종료된 이후에는 CERT 팀장이 침입 시도 방법, 대응책 등이 포함된 침입 시도 대응 보고서를 작성하여 관련 담당자에게 이메일 또는 문서로 공지함

 

분석 및 증거 확보

: 철저한 분석과 증거 확보는 차후의 공격에 대한 예방 차원에서도 필수적인 업무이며, 침입 사고에 대한 법적 대응을 위해서도 필요함

 

- 침입 사고에 대해 분석하지 않아도 시스템을 재설치하여 원 상태로 복구할 수 있으나, 지속적인 침입을 당할 여지를 남겨 전체 시스템의 보안 수준을 떨어뜨리는 결과. (숨겨진 파일 혹은 악성코드, 백도어)

 

- 시스템에 있는 메모리를 덤프를 떠서 보관하는 것

- 메모리 덤프는 CD-ROM과 같이 파일에 대한 변경이 이루어질 수 없는 디스크 드라이브를 이용함.

 

시스템 복구와 보완

: 손상된 시스템을 복구하고 사고가 재발하지 않도록 조치를 취함

 

- 패치 적용

: 보안과 관련된 패치를 설치. 해당 패치는 시스템 공급자의 홈페이지에서 다운로드하거나 공급자에게 직접 요청

 

- 보안 툴의 설치

: 방화벽 또는 백신, 보안 운영체제(Secure OS) 등을 설치함

 

- 로그 정책 설정

: 침입사고 발생건과 관련하여 적절한 모니터링이 가능하도록 로그 정책을 적절히 적용함.

 

- 네트워크 방화벽 설치 및 운영

: 침입사고 발생과 관련하여 방화벽과 보안 솔루션을 보완함

 

- 사용자 패스워드 변경

: 침입 사고가 발생한 시스템은 사용자 패스워드를 변경함

 

포렌식 (Forensic)

: 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적이고 논리적인 절차와 방법을 연구하는 학문

 

- 1991년 미국 오레곤주 포틀랜드의 IACIS(International Association of Computer Investigative Specialists, 국제 컴퓨터 수사 전문가 협회)에서 개설한 교육과정에서 '디지털 포렌식'이라는 용어를 처음 사용

- 증거 자료 수집을 위한 다양한 기법을 소개

 

증거의 종류

- 직접 증거

: 요증 사실(증거에 의하여 증명을 요하는 사실)을 직접적으로 증명하는 증거.

ex) 범행 목격자, 위조 지폐 등

 

- 간접 증거

: 요증 사실을 간접적으로 추측하게 하는 증거.

ex) 지문, 알리바이 등

 

- 인적 증거

ex) 증인의 증언, 감정인의 진술, 전문가의 의견 등

 

- 물적 증거

ex) 범행에 사용한 흉기, 사람의 신체 등

 

전문 증거(Hearsay Evidence)

: 포렌식에 이용되는 증거

 

- 전문 : 전하여 들음

 

- 포렌식에 의해 수집된 증거는 기본적으로 간접 증거에 속함.

- 사실 인정의 기초가 되는 실험사실을 실험자 자신이 법원에 직접 보고하지 않고, 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우를 말함

 

- 영미법에서는 이를 인정하고 있지 않고 있으며, 전문 법칙 혹은 전문 증거 법칙(Hearsay Evidence Rule)이라고 함.

- 대륙법에서는 전달 과정에서 잘못이 있을 수는 있으나, 자유 심증의 문제이므로 증거 능력에는 영향이 없으며, 직접 심리주의의 요구로 증거 능력에는 제한이 있음

- 실험자의 동의가 있으면 전문 법칙의 제한을 받지 않음 

 

포렌식의 기본 원칙

: 포렌식을 통해 증거를 획득하고, 증거가 법적인 효력을 갖기 위해서는 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservation)하는 절차가 적절해야하는데, 이를 만족하기 위해서 다음의 원칙을 지켜야 함.

 

정당성의 원칙

- 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 함

- 위법한 절차를 거쳐서 획득한 증거는 증거 능력이 없음

 

재현의 원칙

- 똑같은 환경에서 같은 결과가 나오도록 재현이 가능해야 함

 

신속성의 원칙

- 컴퓨터 내부의 정보는 휘발성을 가진 것이 많아서 비교적 신속하게 이루어져야 함

 

연계보관성 (Chain of Custody)의 원칙

- 증거 획득 후 이송/분석/보관/법정제출이라는 일련의 과정이 명확해야 하고, 과정에 대한 추적이 가능해야 함

 

무결성의 원칙

- 수집된 정보는 연계 보관성을 만족시키며 각 단계를 거치는 과정에서 위조/변조되어서는 안되며, 이 사항을 매번 확인

- 하드 디스크 같은 경우에는 해시값을 구해 각 단계마다 그 값을 확인하여 무결성을 입증할 수 있어야 함

 

포렌식의 절차

: 수사 준비 - 증거물 획득(증거 수집) - 보관 및 이송 - 분석 및 조사 - 보고서 작성

 

수사 준비

- 수사를 위해 장비와 툴을 확보.

- 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근할 수 있어야 함.

 

증거물 획득 (증거 수집)

- 증거를 획득한 사람과 이를 감독한 사람, 이를 인증해주는 사람이 있어야 함. 세 사람의 참관 하에 다음 절차를 수행

1. 컴퓨터의 일반적인 하드 드라이브를 검사할 경우에는 컴퓨터 시스템에 관한 정보를 기록함

2. 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍음

3. 모든 매체에 적절한 증거 라벨을 붙음

 

네트워크에서의 증거 수집

- 보안 솔루션 이용

: 침임탐치 시스템, 침입차단 시스템, 방화벽, MRTG 등에 남아있는 로그를 증거로 확보

 

- 네트워크 로깅 서버 이용

: 네트워크 로그 서버가 설치되어 있으면해당 로그를 증거로 확보

 

- 스니퍼 운용

: 백도어 또는 웜/바이러스에 대한 탐지 활동 및 증거 수집 활동으로 증거 확보

 

시스템(PC)에서의 증거 수집

- 활성 데이터 수집 (Live Data Collection)

: 시간이 지나면 쉽게 사라지는 네트워크 세션 데이터와 메모리에 존재하는 정보를 얻음

 

- 시스템 로그 분석

: 시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거를 확보

 

- 저장 장치 분석

: 시스템의 하드 디스크에 저장된 정보 외에 삭제된 정보를 획득

 

데이터 및 응용 프로그램에서의 증거 수집

- 이메일 분석

: 피의자간 송수신 이메일을 분석해 공모 증거를 확보

 

- CAAT (Computer Assisted Auditing Techniques)

: 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터 분석 방법

 

보관 및 이송

- 획득한 증거는 연계 보관성을 만족시키면서 보관 및 이송되어야 함

- 연계 보관성을 만족시키기 위해서 안전한 장소에 보관(Evidence Safe)

- 이송되거나 담당자 혹은 책임자가 바뀔 때는 문서에 증적을 남김

 

분석 및 조사

최량 증거 원칙 (The Best Evidence Rule)

: 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙

 

- 원본이 존재하지 않으면 가장 유사하게 복사한 최초의 복제물이라도 증거로 제출해야 함

- 법원에 제출하는 원본 똔느 최초의 복제물은 기본적으로 보관하고, 이를 복사한 것을 가지고 증거 수집을 위한 분석을 해야 함

 

- 각 분석 단계에서는 무결성을 확인할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한함.

- 프로그램 내에서 사용된 스크립트는 그 내용과 실행 단계별 결과가 문서화되어야 함

 

보고서 작성

- 분석을 마친 뒤에 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 수행하면서 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서화하여 증거와 함께 제출함.