정보보안개론 (8)

11. 침해 대응과 디지털 포렌식

1) 침해 대응

: CERT(=CIRT, CSIRT): 컴퓨터 관련 침해 사고에 대응하기 위해 만든 프로그램
사전 대응-> 침해 사고 발생-> 사고 탐지-> 대응-> 제거 및 복구-> 후속 조치 및 보고

(1) 사전 대응

• 침해 대응 체계 구축: CERT 구성
  (시스템 운영 전무가, 대외 언론 및 외부 기관 대응 전문가, 법률팀, 인사팀)

• 발생 가능한 사건의 특성과 종류에 따라 위험 등급 정하기

  • 1등급: 분산 서비스 공격으로 정상적인 동작 불가
    침입자에 의해 중요 파일이 삭제되고, 악성 프로그램 실행으로 인해 정상적인 접근을 실시해도 지속적인 공격이 실행됨
    침입자의 공격에 대한 대응 수단이 없음
    
    => 시스템 담당자의 보고 후 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼저 수행
    
    

  • 2등급: 비인가자에 의해 관리자 명령이 실행됨
    시스템 자원을 불법적으로 사용하는 프로그램이 실행중
    일반 사용자의 홈 디렉터리에 시스템 파일 존재
    일반적이지 않은 숨김파일이나 디렉터리가 존재
    시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 임의로 변경됨
    
    

  • 3등급: 외부, 내부에서 취약점 수집 행위가 계속해서 발견됨
    외부, 내부에서 불법 접근 시도가 발견되고, 비정상 패킷의 전송량이 증가함
    확산 속도가 빠른 바이러스가 외부에서 발생

    => 비인가 접근 시도, 정보 수집 행위를 발견하면 해당 단말기, IP를 조사하여 소속 네트워크와 조직을 파악함
    내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위를 조사,
    외부 네트워크에서 침입 시도가 발생한 경우에는 해당 조직의 시스템/ 보안 담당자에게 해당 IP로부터 불법적인 접근 시도가 발생했음을 통보 후 협조 구함
    외부 네트워크를 통한 침입 시도에 대해 적절한 조치가 이루어지지 않고 위협이 심각한 경우 대외기관에 조사 의뢰
    침입 시도에 대한 대응이 종료되면 침입 시도 대응 보고서 작성

(2) 사고 탐지

: 어떤 문제가 발생했을 때 운영상의 오류와 같은 일반적인 문제인지, 침해 사고가 발생한 것인지 확인
침해사고일 경우 로그 파일, 오류 메시지 등을 확보하고 방화벽, 침입 탐지 시스템을 통해 절차 수행

• 식별 과정의 조건
  • 침해 사고 발생 시점은 언제인가?
  • 누가 침해 사고를 발견하고 보고했는가?
  • 침해 사고를 어떻게 발견했는가?
  • 침해 사고의 발생 범위는 어느 정도? 다른 곳도 손상되었는가?
  • 침해 사고로 인해 기업의 서비스 능력이 손상되었는가?
  • 공격자의 규모와 공격 능력은 어느정도인가?
• IDS, IPS, MRTG 등으로 침해 사고 발생 실시간 탐지
• 침해 사고는 사후에 발견되는 경우도 많음...
• APT 공격: 지능적 지속 위협: 공격이 긴 시간, 조심스럽게 이루어져 사후에 발견되는 경우가 많음

(3) 대응

• 단기 대응: 손상을 최소화
  • 침해 사고가 발생한 시스템, 네트워크를 식별하고 통제할 수 있는 경우 연결 해제/ 차단
  • 물리적 대응 + 방화벽 설정 변경, 백신 업데이트, 시스템 종료
• 백업 및 증거 확보:
  • 침해 사고 발생 후에는 후속 처리를 위해 침해 사고 발생 시스템을 초기화 하는데, 그 전에 백업을 하고 포렌식 절차에 따라 시스템 이미지 획득
• 시스템 복구:
  • 백도어 등의 악성코드 제거, 시스템 계정 및 패스워드 재설정, 보안 패치 적용 작업 등을 거쳐 다시 서비스가 가능하도록 시스템을 네트워크에 연결

(4) 제거 및 복구

: 최초 침해 사고가 발생한 시스템, 네트워크 외에 추가로 침해 사고가 발생한 곳이 있는지 모두 확인하고 조치
모든 조치가 완료되어 서비스를 완전히 복구하는 과정에서 보안 틀을 설치하고 로그 설정을 강화하여 침해 사고가 다시 발생하는지 확인해야 함
(특히 랜섬웨어 공격의 경우 제거와 복구가 매우 중요)

(5) 후속 조치 및 보고

: 정해진 기록 문서에 따라 침해 사고 식별과 대응 과정에 대한 내용을 작성

2) 디지털 포렌식의 개념과 절차

• (디지털)포렌식: 법정 제출을 전제로 디지털 환경과 장비를 이용하여 디지털 증거 자료를 수집, 분석하는 기술
• 범인을 잡을 때 뿐만 아니라 기술 유출, 해킹, 위조, 명예훼손, 업무상 과실 등에도 사용

(1) 디지털 포렌식의 증거

• 직접 증거: 요증 사실을 직접적으로 증명하는 증거
  (범행 목격자, 위조지폐 등)

• 간접 증거: 요증 사실을 간접적으로 추측하게 해주는 증거
  (범죄 현장에 남아있는 지문, 알리바이 등)

• 인적 증거: 증인의 증언, 감정인의 진술, 전문가의 의견 등

• 물적 증거: 범행에 사용한 흉기, 사람의 신체
  -> 디지털 포렌식으로 수집된 증거= 간접 증거 (=전문 증거)

• 증거 개시 제도

(2) 디지털 포렌식의 기본 원칙

• 정당성의 원칙: 모든 증거는 적법한 절차를 거쳐 얻은 것이어야 하며 위법한 절차로 획득한 증거는 증거 능력이 없다
  -> 정보 제공 동의서에 서명 받아 정당성을 얻음
• 재현의 원칙: 증거를 법정에 제출하기 위해서는 같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함 (수행할 때마다 결과가 다르면 증거로 제시할 수 없음)
• 신속성의 원칙: 컴퓨터 내부의 정보는 휘발성을 가진 것이 많기 때문에 신속성 필요 (시스템 안의 디스크, 메모리, 응용 프로그램 등의 정보를 얻기 위해)
• 연계 보관성의 법칙: 증거를 획득한 뒤에는 이송, 분석, 보관, 법정 제출이라는 일련의 과정이 명확해야 함
  -> 증거를 전달하고 전달받는데 관여한 담당저와 책임자를 명시 (로그 등으로)
• 무결성의 원칙: 증거는 연계 보관성을 가지고 각 단계를 거치는 과정에서 위조, 변조되어서는 안되며 이러한 사항을 매번 확인해야 함
  (ex) 하드디스크는 해시 값을 구해 무결성 입증)

(3) 포렌식 수행 절차

• 수사 준비: 장비 확보, 기본 원칙 지키며 수사 대상에 접근
• 증거물 획득: 증거를 획득하는 사람, 획득을 감독하는 사람, 그를 인증하는 사람이 있어야 함, 다음과 같은 절차를 거침:
  • 컴퓨터의 일반적인 하드드라이브를 검사할 때는 컴퓨터 시스템 정보 기록
  • 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍음
  • 모든 매체에 적절한 증거 라벨을 붙임
    (증거 라벨: 증거 획득 날짜, 피의자 동의 여부, 사건/ 라벨 번호, 설명 등...)
• 보관 및 이송: 연계 보관성 가진 채 이송
• 분석 및 조사: 최량 증거 원칙을 따라 증거 관리, 지속적으로 무결성 확인 필요, 분석시 사용하는 프로그램은 공증받은 것에 한하며 프로그램 내에서 사용된 스크립트는 내용과 함께 실행 단계별 결과가 문서화 되어야 함
  ** 최량 증거 원칙: 복사본 등의 이차적인 증거가 아닌 이상 원본을 제출하도록 요구되는 원칙, 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물 제출
  -> 법원에 제출하는 원본/ 최초의 복제물은 기본적으로 보관하고 그를 복제한 것으로 분석, 조사
• 보고서 작성: 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서로 작성하여 증거와 함께 제출

(4) 사이버 수사 기구

• 국가정보원 국가 사이버 안전 센터
• 대검찰청 첨단 범죄 수사과
• 경찰청 사이버 테러 대응 센터

3) 디지털 포렌식의 증거 수집

(1) 네트워크 증거 수집

: 기본적으로 네트워크는 데이터를 저장하지 않기 때문에 증거 수집이 어려움
-> 응용 프로그램이나 네트워크 관련 보안 솔루션에서 증거 수집

• 보안 솔루션 이용: 침입 탐지 시스템, 네트워크 링크 트래픽 부하 감지 툴 (MRTG)
• 네트워크 로그 서버 이용
• 스니퍼 운용 (네트워크 패킷 탐지용으로 운용)

(2) 시스템 증거 수집

• 활성 데이터 수집: 화면 캡처, 카메라 녹화 등
• 시스템 로그 분석: 시스템에서 작동하도록 설정된 로그 분석해 증거 확보
• 저장 장치 분석: 시스템의 하드디스크에 저장된 정보+ 삭제된 정보 복구

(3) 데이터 및 응용 프로그램 증거 수집

• 이메일 분석: 피의자가 여러명일 경우 주고받은 이메일 분석
• 인터넷 분석: 시스템에 저장된 인터넷 브라우저 쿠키, index.dat 파일 등을 이용해 방문 사이트의 정보 획득하고 작업 내용 파악

12. 사회공학

1) 사회공학의 이해

(1) 사회공학의 개념

: 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 이용하여 사람을 속여 정상 보안 절차를 깨뜨리고 비기술적인 수단으로 정보를 얻는 행위
-> 온갖 보안 솔루션을 무용지물로 만들 수 있음, 막기도 어려움...

(2) 사회공학에 취약한 조직

• 직원 수가 많은 조직
• 구성체가 여러 곳에 분산된 조직
• 조직원의 개인 정보를 쉽게 얻을 수 있는 조직
• 보안교육을 하지 않는 조직
• 정보의 분류와 관리가 허술한 조직

(3) 사회공학 공격 대상

• 정보의 가치를 모르는 사람
• 특별한 권한을 가진 사람
• 제조사, 판매사
• 조직에 새로 들어온 사람

2) 사회공학 기법

• 인간 기반: 직접 접근, 전화 이용 등
• 컴퓨터 기반: 악성코드, 컴퓨터 프로그램, 웹 사이트 등
  -> 일반적으로 사회공학 기법은 인간 기반의 수단을 이용하는 공격 형태 지칭

(1) 인간 기반 사회공학 기법

• 직접적인 접근: 전화, 온라인 -> 보이스피싱
  • 권력을 이용한 접근
  • 동정심에 호소한 접근
  • 가장된 인간관계를 이용한 접근
• 도청
• 어깨 너머로 훔쳐보기 -> 염탐...
• 휴지통 뒤지기

(2) 컴퓨터 기반 사회공학 기법

• 시스템 분석
• 악성 소프트웨어 전송
• 인터넷을 이용한 공격
• 피싱: 위조된 링크가 포함된 이메일을 보내 신용정보나 금융정보 획득
• 파밍: DNS 스푸핑을 통해 공격 대상의 정보 획득
• 스미싱: 문자 등으로 링크 접속 유도 후 개인정보 탈취

3) 사회공학 사례와 대응책

13. 보안관리

1) 보안 거버넌스

(1) 보안 거버넌스의 개념

: 조직의 보안을 달성하기 위한 구성원간의 지배 구조
-> 없으면 체계적 보안이 어려움

(2) 보안 거버넌스 구현의 어려움

• 조직 구성의 어려움
• 성과 측정의 어려움
• 조직의 무관심

(3) 보안 거버넌스의 구현 요건과 점검 사항

: 효율적인 정보 보안 거버넌스의 요건

• 전략적 연계
• 위험 관리
• 자원 관리
• 성과 관리
• 가치 전달

2) 보안 프레임워크

(1) ISMS와 PDCA모델

• ISMS: 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적인 경영 시스템으로, PDCA모델을 통해 발전시켜 나갈 수 있음
  ** PDCA모델: 계획, 수행, 점검, 조치를 반복적으로 순환하여 수행하는 모델
  (Plan, Do, Check, Act)

(2) ISO 27001의 보안 관리 항목

• ISO 27001: PDCA로 ISMS의 관리 과정을 확인하기 위한 항목

(3) ISO 27001의 보안 통제 분야

(4) K-ISMS

: ISO 27001의 국제 표준을 모두 포함하고 우리나라 상황에 맞는 보안 요건을 강화한 정보 보호 관리 체계

3) 보안 조직

• 정보 보안 책임자: CSO, CIO, 보안 관련 업무를 지도 및 감독하며 침해 사고에 대비한 사고 대응 계획을 수립학 시행 지시
• 정보 보안 관리자: 보안 팀의 팀장, 정보 보안 실무를 기획/ 관리/ 감독
• 정보 보안 담당자: 보안 팀의 팀원으로 정보 보안 실무를 기획/ 수행하고 최신 기술 동향을 파악, 정보 분석을 통해 안전한 정보 시스템 관리 이행
• 각 부서 및 팀별 정보 보안 담당자: 보안 팀의 정책과 관리사항 효율적으로 처리 +a

4) 보안 정책과 절차

• 보안 정책의 특성:
  • 규칙으로서 지켜져야 할 정책
  • 하려는 일에 부합하는 정책이 없을 때 참고하거나 지키도록 권유하는 정책
  • 어떠한 정보나 사실을 알리는 데 목적이 있는 정책

5) 접근 제어 모델

: 기밀성과 무결성을 확보하기 위해서는 체계화된 접근 제어 모델 필요

(1) 임의적 접근 제어 모델

: 정보 소유자가 정보의 보안 레벨을 결정하고 이에 대한 접근 제어도 설정하는 모델
ex) 유닉스, 윈도우 파일에 대한 접근 제어 설정

• 매우 편리한 접근 제어 모델이지만 파일 소유자, 정보 소유자가 정보의 보안 레발과 접근 제어를 직접 설정하기 때문에 중앙 집중적인 정보 관리가 어려움
  => 정보에 대한 업격한 접근 제어가 사실상 불가능

(2) 강제적 접근 제어 모델

: 중앙에서 정보를 수집하고 분류하여 각각의 보안 레벨을 붙인 뒤 이에 대해 정책적으로 접근 제어를 수행

• 벨 라파둘라 모델: 군대의 보안 레벨처럼 정보의 기밀성에 따라 상하관계가 구분된 정보를 보호하기 위해 사용
• 비바 모델: 정보의 무결성을 높이는 데 목적이 있다면 사용

(3) RBAC

: 사람이 아닌 직책에 권한을 부여하는 것
(한 사람이 한 회사에 오래 근무하게 되면 직책이 바뀌며 업무 권한도 변경되는데, 이 업무 권한은 삭제, 변경 되지 않고 추가로 부여받기만 하는 경우가 많아 불필요한 권한을 많이 가지게 됨, 이를 방지하기 위한 정책)

6) 내부 통제

: 효과적이고 효율적인 업무 운영, 정확하고 신뢰성있는 재무 보고 체계 유지, 관련 법규와 내부 저액 및 절차 준수 등의 목적을 달성하여 기업이 건전하고 안정적으로 운영되도록 조직의 이사회, 경영진과 그 외 구성원들이 지속적으로 실행하는 일련의 통제 과정

(1) 최소 권한

: 한 사람이나 조직이 수행하는 업무에 필요한 권한 이상을 부여받으면 안 됨

(2) 직무 분리

: 하나의 업무 절차를 두 사람 이상이 수행하도록 업무를 분리하는 것
ex) 돈 관리: 돈 받는 사람/ 돈 관리하는 사람/ 금액 모니터링 하는 사람으로 분리

7) 보안 인증

: 소프트웨어나 시스템에 대한 품질 표시 마크

(1) TCSEC

(2) ITSEC

(3) CC

https://devsungyeon.github.io/information/Information_Governance-CC-ITSEC-TCSEC/

8) 개인 정보 보호

• 개인정보의 예시: 신분 관계, 개인 성향, 심신 상태, 사회 경력, 경제 관계 등

(1) OECD 개인 정보 보안 8원칙

• 수집 제한의 법칙: 개인 정보는 적법하고 공정한 방법을 통해 수집되어야 한다
• 정보 정확성의 원칙: 이용 목적상 필요한 범위 내에서 개인 정보의 정확성, 완전성, 최신성이 확보되어야 한다
• 목적 명시의 법칙: 개인 정보는 수집 과정에서 수집 목적을 명시하고 명시된 목적에 적합하게 이용되어야 한다
• 이용 제한의 원칙: 정보 주체의 동의가 있거나 법 규정이 있는 경우를 제외하고 목적 외에 이용하거나 공개할 수 없다
• 안전성 확보의 원칙: 개인 정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전 조치를 확보해야 한다
• 공개의 원칙: 개인 정보의 처리 및 보호를 위한 정책과 관리자의 정보가 공개되어야 한다
• 개인 참가의 원칙: 정보 주체의 개인 정보 열람, 정정, 삭제 충구권이 보장되어야 한다
• 책임의 원칙: 개인 정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 한다

(2) PIMS

: KISA에서 주관하며, 기관 및 기업이 개인 정보 보호 관리 체계를 갖추고 체계적/ 지속적으로 보안 업무를 수행하는지 심사하여 기준을 만족하면 인증을 부여하는 제도