[정보보안기사 PART 06] 애플리케이션 보안 - 침해사고 대응(디지털 포렌식)

[정보보안기사 PART 06] 애플리케이션 보안 - 침해사고 대응(디지털 포렌식)

---

Section 38 침해사고 대응(디지털 포렌식)

 

1. 해킹

 

(1) 해킹의 개요

1) 해킹의 정의

 어떠한 의도이든 상관없이 다른 컴퓨터에 침입하는 모든 행위

 전산망을 통하여 타인의 컴퓨터 시스템에 액세스 권한 없이 무단 침입하여 부당행위를 하는 것

 

2) 해커의 정의

 기술 개발에 정열을 쏟는 고급 기술자를 가리키며 선진국에선 사이버 범죄자인 cracker완느 엄격하게 구분하여 사용

 

 

 

2. 침해사고 대응과 포렌식

 

(1) 컴퓨터 침해 대응팀

1) CERT(Computer Emergency Response Team) 개요

 해킹과 바이러스에 대항하는 보안기술을 개발하고 서비스하는 컴퓨터 응급 대응센터

 보안상의 허점과 부정이용 사고들에 대한 경보와 사고처리 및 예방을 위한 정책 수립 등을 수행

 

2) CERT의 역할

 침해사고 예방/대응 기술연구 및 전파

 취약점 진단 및 조치, 모니터링, 교육 등 침해사고 예방 활동

 KrCERT/CC 등 외부 기관의 대응협력 활동

 침해사고 접수, 분석, 피해복구 등의 침해사고 대응 활동

 

3) 사고대응 7단계 절차

 1단계 사고 전 준비 과저

 2단계 사고 탐지

 3단계 초기 대응

 4단계 대응 전략 체계화

 5단계 사고 조사

 6단계 보고서 작성

 7단계 복구 및 해결

 

(2) 디지털 포렌식(Digital Forensics)

1) 개요

 다양한 디지털 장치에서 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 작업

 

2) 포렌식의 기본 원칙

 포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 가지려면 그 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservvation)하는 절차가 적절해야 한다.

 

기본원칙

 정당성의 원칙

 재현의 원칙

 신속성의 원칙

 연계 보관성의 원칙

 무결성의 원칙

 

3) 포렌식 수행 절차

 1단계 수사 준비

 2단계 증거 수집

 3단계 보관 및 이송

 4단계 조사 및 분석

 5단계 보고서 작성

 

4) 포렌식 기술

 디스크, 시스템, 네트워크, 인터넷, 모바일, 데이터베이스, 암호 포렌식 기술

 

5) 디지털 포렌식 도구

 - Encase

 - FTK(Forensic ToolKit)

 

(3) 증거(Evidence)

1) 증거 규칙(Rules of Evidence)

 증걸르 수집하고, 조사하고, 보존하고, 제시하는 것은 법적 절차이기 때문에 증거를 제시할 법원이 위치한 그 지역의 법을 따라야 한다.

 

2) 보호관리 사슬(Chain of Custody) = 증거 담당자 목록

 증거의 연속성을 가리키다. 즉, 수사관은 현장에서 수집된 증거가 법정에 제출될 때까지 거쳐간 경로, 그 증거를 다룬 모든 사람, 증거가 옮겨진 장소와 시간을 추적할 수 있어야 한다.

 증거 담당자 목록을 문서화하는 것은 증거 기록을 남기는 가장 중요한 목적의 하나이다.

 

3) 디지털 증거물 분석

 Timeline 분석 : 파일 생성, 변경, 접근, 삭제시간 등

 시그니처 분석 : 의도적으로 파일 확장자를 변경해 놓은 파일을 간단히 파악

 Hash 분석 : 시스템 내의 파일이 변경되었는가를 확인, 기존에 알려진 파일과 같은 파일이 존재하는가를 확인

 로그 분석 : 웹 브라우저 로그, 메일 로그, FTP 로그 등

 프로세스 분석 : 현재 수행되고 있는 프로세스의 메모리 내용을 조사, 의심되는 실행 파일 조사

 

4) 사라지기 쉬운 데이터 보존

 

5) 디지털 증거보존

 

(4) 디지털 증거 복구

1) 삭제된 데이터 복구

2) 감춰진 데이터 찾기

 

(5) 데이터 복구 기법 피하기(Data Sanitization)

1) 디스크 덮어쓰기

2) 소자(Degaussing)

3) 물리적으로 디스크 파괴

 

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.