침해사고 분석을 위한 디지털 포렌식(Digital Forensic) - 1

침해사고 분석을 위한 디지털 포렌식(Digital Forensic) - 1

침해사고 분석을 위해서는 단계가 있다. 

KISA에서 알려주는 대응 7단계이다.

앞으로 다뤄볼 주제는 대응 7단계중에서 초기대응에 속하게 된다.

초기대응은 아주 중요하다. 사이버범죄가 아닌 실세계범죄나 사건/사고 같은 경우에도 초기대응이 중요한 만큼 사이버 사건/사고에도 초기대응은 정말 중요하다. 초기대응을 얼마나 잘하냐에 따라 공격지를 더 수월하게 찾을 수 있게되거나 못찾게 될 수 있다. 

보통 공격자들은 공격이 성공하면 자신의 정보를 지우려고하는 경우가 대부분이라고 생각되므로 빨리 사고탐지를 하고 초기대응을 하는건 여러번 강조해도 부족하지 않다고 생각된다.

침해사고를 당하게되면 피해자 컴퓨터의 정보와 데이터를 수집해야하는데 수집하는 순서가 있다. 순서는 휘발성이 강한 정보부터 먼저 수집하게 된다.

< OOV(Order of Volatility)에 따른 정보 수집 >

보통 휘발성이라고 하는데 영어로 Volatility라고 하는데 Volatility라는 툴도 있다. 그리고 취약성(Vulnerability)라는 단어도 있는데 혼동하기가 쉬우므로 알아두면 좋다. 필자는 헷갈렸다.

침해사고가 발생했을 때 증거 수집하는 방법론이 있다.
대부분 RFC 3227에 의거 하여 수집하게 된다. 우리나라에선 딱히 지정된게 없는 걸로 알고 있는데 있다면 알려주길 바란다.
간단하게 증거 수집의 원칙을 나열해보자면
1. 사이트의 보안 정책을 준수
2. 적절한 사고 처리 및 법률 집행 요원들을 고용
3. 시스템의 가능한 모든 자료를 수집(필요하면 정확한 그림 캡처)
4. 날짜나 시간도 포함시스템시간과 UTC와의 차이를 기록
5. 몇 년 후에도 어떤 행동을 취했는지 증명 할 수 있도록 자세한 기록
6. 수집되는 데이터 변경 최소화

자세한 내용은 RFC3227을 보면 될 듯 싶다.

그리고 증거 수집을 할 때 피해야 할 일들이 있다.
1. 부주의한 행동으로 인해 증거물을 파괴하는 경우가 많다.
2. 증거수집이 끝날 때까지 시스템을 끄지 말 것
3. 시스템상에 있는 프로그램을 믿지 말 것
4. 증거물 수집을 위해 보호된 장치에 따로 마련한 프로그램을 사용해야 함
5. 모든 파일의 Access Time을 변경시키는 프로그램을 사용하지 말 것
6. 프라이버시의 고려
7. 법률적인 고려

파일을 수집할땐 RO(Read Only)를 통하여 저장을 하며 이미 침해사고를 당한 컴퓨터에 있는 프로그램은 변조 되어있을 가능성이 다분하므로 신뢰해선 안된다. 또한 증거를 수집할 때 개인정보나 과도한 수집을 하면 안된다.

Chain of Custody
- 증거물 보관의 연속성
- 어떻게 발견되었고, 다루어졌는지를 비롯한 증거물에 관련된 모든 일들을 명확하게 기술하는 것
Chain of Custody도 고려해줘야 한다. 


글을 쓰다보니 증거물 제출을 위한 준비과정, 고려해야 할 사항과 침해사고시 초기대응에 정보 수집과 짬뽕이 된 듯 싶다.

여담으로 사고탐지에는 관제와 CERT팀이 있을 수 있는데 관제는 침해사고 대응까지만, CERT는 침해사고 대응과 왜 발생했는지까지 하는것에 차이가 있다. OP라는 직책도 있다는데 OP는 단순히 빨간 불 들어오면 사고가 발생했다고 알려주는 정도의 아주 간단한 업무라고한다. 간단히 차이정도만 알면 좋을 듯싶다. 각 회사마다 다를 수도 있으므로 너무 맹신하지말고 아 그렇구나정도로 알아두면 좋겠다. (필자도 들은거라..)
침해사고당한 컴퓨터를 백업할 때 백업파일에 바이러스가 있는지 확인하고 백업해야한다. 그렇지 않으면 백업했는데 다시 감염되는 사례도 종종있다고 한다.