해킹기술의 변화
1990년대 초기에는 네트워크를 이용한 공격기술의 수준이 높지 않았고, 침입에 상당히 높은 지식이 필요하였으므로 침입에 성공할 수 있는 사람이 많지 않았다.
1990년대 말~2000년대에 이르러서는 공격기술의 발달로 침입에 요구되는 지식수준이 낮아져 침입자수가 급증하고 있다.
최근 해킹의 경향은 금전적 이익추구 등 뚜렷한 목적을 가지고 특정 대상을 공격하는 양상으로 변화하고 있다.
침해사고 대응
컴퓨터 침해 대응팀
- CERT(Computer Emergency Response Team) 개요
해킹과 바이러스에 대항하는 보안기술을 개발하고 서비스하는 컴퓨터 응급 대응센터이다.
보안상의 허점과 부정이용 사고들에 대한 경보와 사고처리 및 예방을 위한 정책 수립 등을 수행한다.
- 사고대응 7단계 절차
① 사고 전 준비 과정: 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비
② 사고 탐지: 정보보호 및 네트워크 장비에 의한 이상 징후 탐지, 관리자에 의한 침해 사고의 식별
③ 초기 대응: 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지
④ 대응 전략 체계화: 최적의 전략을 결정하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정하여 사고 조사 과정에 수사기관 공조 여부를 판단
⑤ 사고 조사: 데이터 수집 및 분석을 통해 수행. 언제, 누가, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정
⑥ 보고서 작성: 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성
⑦ 복구 및 해결: 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획수립 등을 결정
디지털 포렌식(Digital Forensics)
디지털 포렌식은 다양한 디지털 장치에서 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 작업을 의미한다.
범죄의 증거를 찾기 위해 컴퓨터, 휴대폰, 이메일, SNS, 웹, CCTV, 블랙박스, 네비게이션 시스템, 네트워크 장비 등과 같은 다양한 장치의 디지털 데이터를 조사하고 분석하는 작업 등이 여기에 해당된다.
포렌식의 기본 원칙
포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 가지려면 그 증거를 발견하고, 기록하고, 획득하고, 보관하는 절차가 적절해야 한다.
① 정당성의 원칙
모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 하며 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없다.
예를 들어 불법 해킹을 통해 얻은 패스워드로 시스템 내부에서 획득한 증거는 증거 능력이 없다.
② 재현의 원칙
증거는 어떤 절차를 통해 정제되는 과정을 거칠 수 있다. 예를 들어 시스템에서 삭제된 파일이나 손상된 파일을 복구하는 과정 등이다.
법정에 증거를 제출하려면 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 하며, 수행할 때마다 다른 결과가 나온다면 증거로 제시할 수 없다.
③ 신속성의 원칙
컴퓨터 내부 정보는 휘발성을 가진 것이 많기 때문에 신속하게 이뤄져야 한다. 예를 들어 사건이 발생하면 주변을 출입 통제하고 지문이나 흔적 등이 사라지기 전에 최대한 빠른 시간 내에 관련 작업을 수행한다.
④ 연계 보관성의 원칙
증거는 획득되고 난 뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하며, 이러한 과정에 대한 추적이 가능해야 한다. 이를 연계 보관성이라 한다.
연계 보관성을 만족하려면 증거를 전달하고 전달받는 데 관여한 담당자와 책임자를 명시해야 한다.
⑤ 무결성의 원칙
수집된 정보는 연계 보관성을 만족시켜야 하고, 각 단계를 거치는 과정에서 위조 및 변조되어서는 안 되며, 이러한 사항을 매번 확인해야 한다.
하드디스크 같은 경우에는 해시값을 구해 각 단계마다 그 값을 확인하여 무결성을 입증할 수 있다.
포렌식 수행 절차
1) 수사 준비(사전 준비)
사이버 포렌식을 수행하는 전문가를 소집하고 각종 장비, 소프트웨어 또는 하드웨어를 준비하고 점검하는 단계이다.
2) 증거물 수집(증거 수집)
불법행위가 발생한 장소에서 네트워크 시스템 또는 행위자가 사용한 컴퓨터를 압수하여 각종 저장매체로부터 디지털 증거를 획득하는 단계이다.
디지털 증거를 획득하는 단계에서는 증거의 무결성이 매우 중요하다. 만약 파일을 열어 마지막 접근시간이 변경된다면 불법행위 당시에 문서가 작성되었다는 것을 증명할 수가 없다.
하드디스크와 같은 저장매체에 저장된 데이터를 추출하는 과정을 디스크 이미징이라고 한다. 디스크 복사와 달리 디스크 내에 있는 숨김·임시파일, 손상·삭제 파일 등의 잔여정보가 그대로 존재하는 동일한 사본을 만든다.
3) 보관 및 이송
획득된 증거는 연계 보관성을 만족시키며 보관 및 이송되어야 한다. 증거가 연계 보관성을 만족시키려면 우선 안전한 장소에 보관되어야 하는데, 안전한 장소를 evidence sage라고 한다.
이송되거나 담당자/책임자가 바뀔 때는 문서에 그 증적을 남긴다.
4) 조사 및 분석
포렌식과 관련해서 증거를 관리할 때는 최량 증거 원칙(The best of evidence rule)을 따른다. 최량 증거 원칙은 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙이다.
확인과정에서 불법행위의 증거가 발견되면 원본 데이터의 무결성을 유지시키면서 데이터 확인과정을 문서화해야 한다.
획득한 디지털 증거물을 조사하고 분석하는 단계로서 디스크 브라우징, 데이터 뷰, 파일 복구 등 다양한 기법들이 활용되고 있다.
· 디스크 브라우징: 저장 매체 또는 디스크 이미지에 존재하는 파일을 GUI 환경에서 쉽고 편리하게 다룰 수 있도록 기억장치에 저장된 이진 데이터를 폴더, 파일 단위로 출력하는 등 수집한 저장 매체 또는 디스크 이미지 내부에 있는 정보를 가독성 있는 형태로 변환하여 출력하는 기술이다.
· 데이터 뷰: 저장 매체나 디스크에 저장된 방대한 파일을 열어서 확인할 수 없기 때문에 브라우징 과정에서 파일을 인식하여 텍스트, 그림 등의 형식으로 볼 수 있도록 하는 자동 뷰 기능을 제공하는 기술이다.
· 파일 복구: 복구 소프트웨어를 이용하여 파일 원본을 복구시키는 기술로 파일이 손상 또는 삭제되더라도 디스크 내에는 관련 정보가 보존되어 있기 때문에 파일 복구가 가능하다.
5) 보고서 작성
포렌식의 모든 단계의 내용을 문서화하는 단계로 일련의 과정을 정확히 작성하여 증거자료로서 타당성을 제공해야 한다.
따라서 증거자료 획득, 보관 및 이송, 분석 등의 모든 과정을 명확하고 객관성있게 설명하고 불법행위를 입증할 수 있도록 논리적으로 작성해야 한다.
디지털 포렌식 도구
· EnCase: OpenText사에 의해 개발된 다용도 포렌식 도구로써 전 세계에서 가장 대표적인 도구이다. 디지털 증거 수집, 검증, 검색, 보고, 완전 삭제 등 다양한 기능을 제공한다.
· FTK(Forensic ToolKit): Access Data Group에 의해 개발된 다용도 포렌식 도구로써 EnCase와 마찬가지로 디지털 증거 수집, 검증, 검색, 보고, 완전 삭제 등 다양한 기능을 제공한다.
역할
- 1차 대응자의 역할
포렌식과 관련된 특수 교육을 받지 않았다면 범죄 현장에 맨 처음 도착한 사람은 컴퓨터가 손상을 입지 않도록 보호하는 것 외에는 다른 어떤 행동도 해서는 안 된다.
1차 대응자는 컴퓨터를 끄거나 또는 전원을 뽑거나 증거를 찾을 목적으로 컴퓨터를 검색해서는 안 된다.
- 수사자의 역할
수사자 또는 수사팀은 일반적으로 범죄현장에서 일어나는 다른 모든 일을 조정할 책임을 가진다.
- 범죄 현장 기술자의 역할
사이버 범죄 사건에 투입되는 범죄 현장 기술자는 컴퓨터 포렌식에 관한 특수한 교육을 받아야 한다.
컴퓨터 포렌식 전문가는 컴퓨터 기술에 대한 강력한 배경 지식을 갖고 있어야 하며 디스크 구조는 어떻게 되는지, 파일시스템은 어떻게 동작하는지, 데이터가 어디에 그리고 어떻게 기록되는지를 이해해야 한다.
증거(Evidence)
증거 규칙(Rules of Evidence)
증거를 수집하고, 조사하고, 보존하고, 제시하는 것은 법적 절차이기 때문에 증거를 제시할 법원이 위치한 그 지역의 법을 따라야 한다.
그렇기 때문에 범죄 수사자는 각 지역의 증거 관련법에 익숙해져야 한다. 증거와 관련된 법은 각 지역의 법령에 제정되어 있으며 증거의 규칙이라는 문서로 분류돼있다.
보호관리 사슬(Chain of Custody) = 증거 담당자 목록
증거 담당자 목록이란 증거의 연속성을 가리킨다. 즉, 수사관은 현장에서 수집된 증거가 법정에 제출될 때까지 거쳐간 경로, 그 증거를 다룬 모든 사람, 증거가 옮겨진 장소와 시간을 추측할 수 있어야 한다.
증거 담당자 목록을 문서화하는 것은 증거 기록을 남기는 가장 중요한 목적의 하나이다.
디지털 증거물 분석
· Timeline 분석(MAC time 분석) : 파일 생성, 변경, 접근, 삭제시간 등
· 시그니처 분석: 의도적으로 파일 확장자를 변경해 놓은 파일을 간단히 파악
· Hash 분석
· 로그 분석: 웹 브라우저 로그, 메일 로그, FTP 로그 등
· 프로세스 분석: 현재 수행되고 있는 프로세스의 메모리 내용을 조사, 의심되는 실행 파일 조사
사라지기 쉬운 데이터 보존
시스템의 메모리(랜덤 접근 메모리, 캐시 메모리, 비디오 카드 또는 NIC와 같은 시스템 주변기기의 온보드 메모리 포함)에 임시로 저장된 데이터를 휘발성 데이터라고 부른다.
메모리는 전력을 이용해 데이터를 저장하기 때문에 전원이 나가면 메모리에 저장된 데이터는 사라진다.
IEEE 인터넷 드래프트인 Guidelines for Evidence Collection and Archiving이라는 글에서는 휘발성이 가장 큰 증거를 먼저 수집하라고 제시한다.
· 현재 네트워크 연결을 보기 위해서 netstat 등의 명령을 사용한다.
· arp 명령은 ARP 캐시에 어떤 주소가 저장돼어 있는지를 알려준다. -> 누가 시스템에 최근 연결했는지 알려줌
디지털 증거 보존
디지털 증거는 근본적으로 손상되기 쉽다. 어떤 데이터는 사라지기 쉽다. 즉, 근본적으로 일시적인 데이터이며 디스크에 저장된 데이터와 달리 컴퓨터가 꺼지면 사라진다.
컴퓨터 디스크에 저장된 데이터는 의도적으로 또는 비의도적으로 손상, 파괴, 변경될 수 있다. 디지털 증거를 보호하는 첫 번째 단계는 어떤 형태이건 간에 조작 또는 사고가 일어나지 않도록 보호하는 것이다.
가장 좋은 방법은 증거가 저장된 매체의 완전한 비트스트림 이미지를 즉시 만드는 것이다.
디지털 증거 복구
일부 컴퓨터 범죄 사건의 경우, 필요로 하는 증거는 하드디스크(또는 쉽게 접근할 수 있는 이동매체)에 깔끔히 저장돼 있을 것이고 각 파일에는 내용이 잘 설명된 이름이 붙어 있을 것이다.
그러나 사이버 범죄자는 자신의 흔적을 지우기 위해 데이터를 삭제하거나 심지어는 디스크를 포맷하고 새로 파티션을 만들 수도 있다. 기술이 뛰어난 일부 사이버 범죄자는 복잡한 기술을 사용해서 데이터가 있을 만한 곳이 아닌 곳에 데이터를 숨긴다.
삭제된 데이터 복구
많은 컴퓨터 사용자는 물론 사이버 범죄자까지도 자신이 파일을 삭제하면 그 파일이 하드디스크에서 정말 사라진다고 생각한다.
파일을 지우는 것은 file allocation table(FAT), master file table(MFT), 기타 운영체제에서 디스크의 파일의 위치를 기록하기 위해 사용하는 데이터 구조에서 항목 하나를 없애는 것에 불과하다.
감춰진 데이터 찾기
하드디스크에 숨겨진 데이터는 사이버 범죄를 해결하는데 매우 중요한 역할을 한다. 이들 데이터 중 일부는 파일이 삭제되거나 디스크가 다시 파티션될 때 남아있던 주변 데이터이다.
그 밖에서도 기술을 잘 아는 사이버 범죄자가 디스크 편집기, 스테가노그래피, 소프트웨어, 기타 방법을 이용해 고의적으로 데이터를 숨길 수 있는 여러 장소가 존재한다.
이러한 숨겨진 데이터를 찾아 꺼낸 다음 재구성하는 작업은 매우 지루한 작업이긴 하지만 사건해결의 실마리가 될 정도로 중요한 역할을 한다.
+ 디스크 섹터
디스크 섹터는 고정된 크기의 공간 단위이다. 오래된 하드디스크는 구조상 외부 트랙 부분에 쓰지 않는 저장 공간이 있을 수 있다. 그런데 때때로 이러한 외부 공간에 데이터를 숨기는 일이 가능하다. 이러한 공간을 섹터 갭(sector gap)이라고 한다. 일부 데이터 복구 서비스는 이 섹터 갭에 감춰지 데이터를 찾아내고 복구할 수 있다.
데이터를 숨길 수 있는 또 다른 장소는 클러스터와 파일크기가 서로 다르기 때문에 발생하는 슬랙공간(slack area)이다.
인터넷 임시파일
브라우저를 통해 특정 사이트에 접속하게 되면 관련 사이트의 페이지는 임시파일에 저장되며 접속한 흔적이 히스토리에 남으며, 사용되었던 쿠키도 디스크에 저장된다. 이러한 임시파일들을 통해 공격자가 방문한 특정 사이트들을 확인할 수 있다.
| 종류 | 위치 |
| 임시 인터넷 객체 | %SystemRoot%Download ProgramFiles |
| 임시 인터넷 파일 | %USERPROFILE%Local Settings\Temporary Internet Files |
| 열어본 페이지 | %USERPROFILE%Local Settings\History |
| 임시 쿠키 파일 | %USERPROFILE%Local Settings\COOKIES |
데이터 복구 기법 피하기(Data Sanitization) / 안티 포렌식(anti-forensic)
- 디스크 덮어쓰기
잔류 자기라는 용어는 삭제된 파일의 데이터 중 물리적으로 디스크에 남아 있는 부분을 가리킨다.
디스크 청소 유틸리티는 디스크의 할당되지 않은 공간을 덮어쓰는 방식으로 동작한다. 이들 유틸리티는 랜덤한 이진 값으로 할당되지 않은 공간을 덮어쓰는데 이를 여러 번 수행할 수 있다.
- 소자(Degaussing)
디스크에 남아 있는 데이터를 완전히 제거하는 또 다른 방법은 매체의 마그네틱 상태를 중화시킬 수 있는 강력한 자기장을 만드는 것이다. 이것을 소자라고 한다.
- 물리적인 디스크 파괴
디스크에 남아 있는 데이터를 재구성하는 것이 아예 불가능한 상황이라면 물리적으로 디스크를 파괴하는 것이 좋다.
'정보보안기사' 카테고리의 다른 글
| 정보보호 거버넌스와 관리 체계 수립 (0) | 2023.05.19 |
|---|---|
| 각종 애플리케이션 보안위협 및 대응책 (0) | 2023.05.17 |
| 전자상거래 보안 (1) | 2023.05.13 |
| 데이터베이스 보안 (0) | 2023.05.11 |
| DHCP와 DNS 보안 (1) | 2023.05.09 |
