11-2. 사이버 수사기구 및 증거 수집

목표

1. 침입 사고 발생 시 적절한 대응 절차를 알아봄

2. 포렌식의 절차를 알아봄

3. 포렌식을 통해 얻은 증거가 가지는 법적인 의미를 이해함

4. 네트워크 및 시스템에서 얻을 수 있는 증거를 살펴봄

 

사이버 수사기구

국가 정보원 - 국가 사이버 안보센터

: 2003년에 국가 사이버 테러 대응체계 구축 기본 계획에 대해 대통령의 재가를 받아 2004년에 업무 개시

 

- (구) 국가 사이버 안전 센터의 2021년 기관 명칭 변경

 

 

주요 업무

 

대검찰청 사이버 기술범죄 수사과

 

 

경찰청 수사국 내 사이버범죄수사과 & 사이버테러대응과

- (구) 경찰청 사이버테러 대응센터

 

증거 수집

네트워크에서의 증거 수집

보안 솔루션 이용

- 침입탐지 시스템에는 공격자가 공격 대상을 침투하기 위한 스캐닝, 접근 제어를 우회한 반복적인 접근 시도 등에 대한 기록이 남아있을 수 있음.

- 침입차단시스템에서도 침입탐지 시스템과 비슷한 로그를 확인할 수 있음

 

MRTG(Multi Router Traffic Grapher)

- 네트워크 링크상의 트래픽 부하를 감시하는 툴로서 라우터로부터 가져온 모든 데이터의 로글르 보관하고 있기 때문에 일간, 지난 일주일간, 지난 4주간 그리고 지난 12개월간의 기록을 작성할 수 있음.

- 200개 이상의 네트워크 링크를 즉시 감시할 수 있으므로 DoS와 같은 공격에 대한 증빙으로 유용한 정보를 제공함.

 

네트워크 로그 서버 이용

- 네트워크 로그 서버를 별도로 운영하는 경우는 많지 않으나, 운영한다면 포렌식을 하는데 도움이 많이 됨

 

스니퍼 운용

- 증거를 수집하기 위해 스니퍼를 네트워크 패킷 탐지용으로 일시적으로 운용할 수 있음

- 공격자가 네트워크에 백도어 등을 설치해놓았을 때 해당 패킷을 잡아냄으로써 백도어를 탐지하고 공격자의 위치를 탐색할 수 있으며, 웜/바이러스에 의해 피해를 입고 있을 경우에는 발원지와 감염된 PC를 구분하는 데 사용할 수 있음

 

시스템(PC)에서의 증거 수집

활성 데이터 수집 (Live Data Collection)

- 휘발성 정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한 증거는 바로 화면 캡쳐 등을 통해 남겨야 함

- 증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 함

 

- net session 명령어를 통한 해커의 세션 존재 여부 확인

>>> net session

 

- PsTools를 설치하여 psloggedon을 이용한 해커의 세션 존재 여부 확인

 

- nbtstat 명령어를 사용하여 시스템의 캐시에 남겨진 정보를 확인함

>>> nbtstat -c

 

- 터미널 서비스 관리자에서 터미널 서비스 접속자 확인

 

- Doskey를 설치하여 doskey /history를 이용한 명령창에서 실행한 명령어의 목록을 확인함

 

시스템 로그 분석

- 시스템 로그는 침입 사고가 발생했을 대 살펴봐야할 가장 기본적인 항목.

 

- 시스템 로그는 공격자에 의해 삭제될 수 있지만, 이런 삭제를 막기 위해서 네트워크에 로그 서버를 별도로 둘 수도 있음

 

 

저장 장치 분석

- 기본 증거 데이터로, 임의의 변경을 막기 위해 쓰기 금지를 보장하는 장치(Write Block 등)를 연결하여 별도로 준비한 저장매체에 쓰기 금지시킨 원본 하드 디스크를 이미지(Image) 툴을 이용하여 복사함.

 

이미지

: 이미지 획득 작업은 저장 매체의 모든 정보를 비트 단위로 모두 복사하는 것

 

- 이미지 분석 툴을 사용하여 시스템에 정상적으로 저장된 파일 뿐만 아니라 삭제된 파일도 일부 복구할 수 있음

 

- 운영체제에서 파일을 삭제하는 과정은 FAT에서 해당 파일에 대한 링크값을 삭제하고 파일이 저장된 공간에 다른 파일로 덮어쓰기가 가능한 공간임을 표시해주는 과정으로, 데이터가 실제로 삭제되는 것은 아님. 따라서 해당 파일이 다른 파일에 의해 아직 덮어쓰기가 되어 있는 상태가 아니라면 해당 파일은 복구가 가능함

- 따라서 완전 삭제를 목표로 한다면, 하드디스크에는 메모리가 남아있기 때문의 분쇄 등의 완전 파쇄 작업을 거쳐야 누군가의 복구로부터 안전함

 

예시)

EnCase 이미지 분석 툴

검찰 디지털 증거 분석시스템(DEAS, 2002)

 

데이터 및 응용프로그램에서의 증거 수집

이메일 분석

: 여러 명이 조직적으로 사건을 모의했을 때, 이들간의 전송된 메일을 분석하여 증거 확보

 

- 피의자의 PC를 수거해 이미지 획득 작업을 거쳐 메일과 관련된 파일을 확보함. 저장된 메일은 쉽게 검색하고 분석할 수 있도록 데이터베이스화 하여 분석자에게 제공

  (피의자가 전송된 메일이 PC에 저장되는 형태의 메일 서비스를 사용하는 경우)

 

인터넷 분석

- 시스템에 저장되어 있는 인터넷 브라우저의 쿠키 분석

- C:\Documents and Settings\Administrator\Local Settings\History 에 위치한 index.dat 파일 분석

 

- 방문 사이트의 정보를 획득하고 작업 내용을 파악할 수 있음

 

CAAT

: 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터 분석 방법