네트워크교육 51일차 (2022.03.14)

침해사고 대응

• 법에 명시된 정보보호 침해사고란 :
  해킹, 바이러스, 논리폭탄,. 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위

• 실무 :
  해킹, 컴퓨터바이러스 유포에 한정하지 않고 모든 전자적인 공격 행위 및 그 결과에 따라 발생한 각종 피해로 생각하고 있음

• 종류 :
  바이러스, 트로이잔, 웜, 백도어, 악성코드 등의 공격, 비 인가된 시스템 접근 및 파일 접근, 네트워크 정보 수집을 포함한 비 인가된 네트워크 정보 접근 등 다양한 침해사고들이 존재.

사고대응 방법론

• 침해사고 특징 :
  대규모 - 동시에 다수의 서버를 공격
  분산화 - 다수의 서버에서 목표시스템을 공격
  대중화 - 해킹관련 정보의 손쉬운 획득
  범죄적 성향 - 금전적 이익, 산업정보 침탈, 정치적 목적

• 우수한 보안 기술을 채택하여 침해사고 발생을 억제할 필요가 있음

• 침해사고가 발생한 경우 이를 철저히 조사하여 향후 동일한 사고가 발생되지 않도록 조치를 취해야함

사고대응 방법론 7가지 절차

• 사고 전 준비 과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비

• 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 타밎, 관리자에 의한 침해 사고의 식별

• 초기 대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지

• 대응 전략 체계화 : 최적을 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단

• 사고 조사 : 데이터 수집 및 분석을 토해 수행. 언제,누가,어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정

• 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서 작성

• 해결 : 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획 수립등을 결정

호스트 기반 데이터 수집

• 호스트 기반 정보 : 네트워크에서 얻어진 것이 아니라 시스템에서 얻어진 로그,레코드,문서 그리고 또 다른 정보들을 포함

• 예를 들면, 호스트 기반 정보는 특정 기간 동안 증거를 보관하고 있었던 시스템 백업 일 수도 있음.

• 휘발성 데이터를 우선 수집한 후 포렌식 이미징 작업을 통해서 정보를 모으는 것.

• 수집해야 할 휘발성 데이터의 종류 :

  	시스템 날짜와 시간
  	시스템에서 현재 동작 중인 어플리케이션
  	현재 연결이 성립된 네트워크 상황
  	현재 열려진 소켓(포트)
  	열려진 소켓 상에서 대기하고 있는 어플리케이션
  	네트워크 인터페이스의 상태
  	메모리 정보
  	현재 열려진 파일
  	시스템 패치 상황

• 호스트 기반의 정보를 수집하기 위해 Live Response가 수행되어야 함.

• Live Response는 시스템이 동작할고 있을 때 수행되어야 함.

  Initial Live Response : 대상 시스템이나 피해 시스템의 휘발성 데이터만 획득
  In-depth Response : 휘발성 데이터만 수집하는 것을 넘어서, 합법적인 대응 전략을 결정하기 위해 대상 시스템이나 피해 시스템으로부터 충분한 부가 정보를 획득
  Full Live Response : Live시스템의 완전 조사
  시스템을 꺼야 하는 디스크 복제 작업 대신에 수사를 위한 모든 데이터를 Live시스템으로부터 수집

네트워크 기반 데이터 수집

• 네트워크 기반 증거는 다음의 정보를 포함 :
  IDS로그
  관련자의 허락을 득한 네트워크 모니터링의 기록
  ISP 가입자 이용 기록 장치/감시장치의 로그
  라우터로그
  방화벽로그
  인증 서버 로그

• 특정 조직은 종종 증거를 모으고, 내부 공모자의 의심스러운 점을 확인하기 위해서 네트워크 감시를 수행

• 호스트 기반 감시가 효과적이지 않다면 네트워크 감시가 증거의 유효성을 높여줄 수 있음

로그의 이해

• 로그란 운영체제나 운영 프로그램이 가동될 때 일어난 모든 기록을 담고 있는 데이터

로그의 중요성

• 시스템에서 발생하는 모든 문제에 대한 유일한 단서
• 시스템에서 발생한 오류 및 보안 결함 검색이 가능
• 잠재적인 시스템 문제를 예측하는 데 사용될 수 있음
• 장애 발생 시 복구에 필요한 정보로 활용
• 침해사고 시 근거 자료로 활용
• 각종 법규 및 지침에서 관리 의무화

다만 수많은 로그 중 실제 의미있는 로그 데이터는 매우 적기 때문에 전문적인 로그 분석이 필요함

로그의 종류