보안사고 침해사고 대응 절차

보안사고 침해사고 대응 절차

 

1. 침해 사고 대응 절차

① 사전 대응 : 침해 사고가 발생하기 이전에 대응을 준비하는 단계로 실질적인 침해 사고 대응 체계를 갖춘다.

② 사고 탐지 : 정상적인 운영 상태인지 침해 사고 발생 상태인지 확인한다.

③ 대응 : 침해 사고로 인한 손상을 최소화하고 추가적인 손상을 막는다.

• 단기 대응 : 손상을 최소화하기 위한 단계로 침해 사고가 발생한 시스템이나 네트워크를 탐지하고 통제할 수 있는 경우 해당 시스템이나 네트워크의 연결을 해제하거나 차단한다.

• 백업 및 증거 확보 : 후속 처리를 위해 침해 사고 발생 시스템을 초기화하기 전에 백업하고, 포렌식 절차에 따라 시스템의 이미지를 획득한다.

• 시스템 복구 : 시스템에 백도어 등의 악성코드를 제거하고, 시스템 계정 및 패스워드를 재설정하고 보안 패치 적용 뒤, 다시 서비스 서비스가 가능하도록 네트워크에 연결한다.

④ 제거 및 복구 : 최초 침해 사고 발생을 탐지한 시스템 및 네트워크 이외에 추가적으로 침해 사고가 발생한 곳이 있는지 모두 확인하고 조치한다.

⑤ 후속 조치 및 보고 : 침해 사고에 대한 보고서를 작성하고 침해 사고의 원인을 확인하며 장기적인 대응책을 마련한다.

 

 

2. 포렌식(Forensic)

컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적·논리적 절차와 방법을 연구하는 학문이다.

 

 

3. 포렌식을 통해 획득한 증거는 법적으로 전문 증거(Hearsay Evidence)에 해당하며 다음과 같은 원칙에 따라 수집되어야 한다.

• 정당성의 원칙 : 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다.

• 재현의 원칙 : 똑같은 환경에서 같은 결과가 나오도록 재현이 가능해야 한다.

• 신속성의 원칙 : 정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 한다.

• 연계 보관성의 원칙 : 증거는 획득되고, 이송/분석/보관/법정 제출 등의 과정들이 명확해야 한다.

• 무결성의 원칙 : 증거는 위조/변조되어서는 안된다.

 

 

4. 포렌식의 수행 절차

• 수사 준비 : 수사를 위해 장비와 툴을 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근한다.

• 증거물 획득(증거 수집) : 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해주는 사람의 참관하에 수행한다.

• 보관 및 이송 : 획득된 증거는 앞서 언급한 연계 보관성을 만족시키며 보관되고 이송되어야 한다.

• 분석 및 조사 : 최량 증거 원칙(The Best Evidence Rule)에 따라 법원에 제출하는 원본 또는 최초의 복제물은 기본적으로 보관하고, 이를 다시 복사한 것을 가지고 조사 및 분석한다.

• 보고서 작성 : 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 수행하면서 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서화하여 증거와 함께 제출한다.

 

 

5. 네트워크의 증거 수집

• 보안 솔루션 이용 : 침입 탐지 시스템, 침입 차단 시스템, 방화벽, MRTG 등에 남아있는 로그를 증거로 확보한다.

• 네트워크 로그 서버 이용 : 네트워크 로그 서버가 설치되어 있으면 해당 로그를 증거로 확보한다.

• 스니퍼 운용 : 백도어 또는 웜/바이러스에 대한 탐지 활동 및 증거 수집 활동으로 증거를 확보한다.

 

 

6. 시스템(PC)에서의 증거 수집

• 활성 데이터 수집(Live Data Collection) : 시간이 지나면 쉽게 사라지는 네트워크 세션 데이터와 메모리에 존재하는 정보를 얻는다.

• 시스템 로그 분석 : 시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거를 확보한다.

• 저장 장치 분석 : 시스템의 하드 디스크에 저장된 정보 외에 삭제된 정보를 획득한다.

 

 

7. 데이터 및 응용 프로그램에서의 증거 수집

• 이메일 분석 : 피의자 간 송수신 이메일을 분석해 공모 증거를 확보한다.

• 인터넷 분석 : 시스템에 저장되어 있는 인터넷 브라우저의 쿠키나 index.dat 파일을 이용한다. 방문 사이트의 정보를 획득하고 작업 내용 파악한다.

• CAATs : 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터를 분석한다.

 

[출처] 침해 대응과 포렌식 요약 (정보 보안 개론, 2013. 6. 28., 양대일)