1. 침해 대응
CERT
- 1988년 11월 22일 모리스 웜 이후에 만들어짐
- 피치버그의 카네기 멜론 대학 내의 소프트웨어공학 연구소에 CERT 팀 만듬
- 건물의 경비원의 역할과 유사
사전대응
- 기본적 사전 대응은 침해 대응 체계를 구축하는 것
- CERT에 필요한 구성원
- 시스템 운영 전문가
- 대외 언론 외부 기관 대응 전문가
- 법률 팀
- 인사 팀
- 사전 대응 → 침해 사고 발생 → 사고 탐지 → 대응 → 제거 및 복구 → 후속 조치 및 보고
- 침해 사고의 위험 등급
- 1등급 상황
- 분산 서비스 거부 공격으로 정상 동작 X
- 침입자에 의해 서버의 중요한 파일이 삭제
- 침입자가 지속적인 공격 시도
- 대응 절차
- 시스템 담당자가 CERT 팀장에게 즉시 보고
- 네트워크의 인터페이스 단절, 전원 공급 중단
- 2등급 상황
- 비인가자에 의해 관리자 명령이 실행
- 시스템 자원을 불법적으로 사용하는 프로그램이 실행
- 대응 절차
- CERT와 함꼐 단말기나 IP 조사하여 소속 네트워크 조직 파악
- 시스템 담당자에게 IP 접근 시도가 발생했음을 통보, 협조
- 3등급 상황
- 외,내부에서 취약점 수집 행위가 계속 발견
- 외,내부에서 불법적 접근 시도가 계속 발견
- 확산 속도가 빠른 바이러스가 외부에서 발생
- 1등급 상황
- 침해 대응 체계 점검 사항
- 조직의 모든 사람이 보안 사항 아는가?
- 침해 사고 발생 시 누구에게 보고하고 언론 대응은 어떻게? 충분히 인지?
- 기술적 절차에 대해 충분히 이해?
사고탐지
- 내부 보고 체계에 따라 책임자에게 보고, 언론 대응이 필요한 경우 대응책 마련
- 침해 사고 식별 과정에서 확인할 사항
- 발생 시점? 누가? 어떻게? 발생 범위? 규모,공격 능력?
대응
- 단기 대응
- 네트워크 연결 해제
- 방화벽 설정 변경 및 침해 사고 업데이트
- 백업 및 증거 확보
- 침해 사고 발생 시스템을 초기화하기 전에 백업
- 증거 획득과 처리 과정이 적법한 절차
- 시스템 복구
2. 디지털 포렌식의 개념과 절차
포렌식의 개요
- 디지털 포렌식
- 법정 제출을 전제로 디지털 환경과 장비를 이용하여 디지털 증거 자료 수집, 분석하는 기술
- IACIS가 디지털 포렌식 처음 사용
- 디지털 포렌식의 증거
- 직접 증거 : 요증 사실을 직접 증명하는 증거
- 간접 증거 : 요증 사실을 간접적으로 추측하게 해주는 증거
- 인적 증거 : 증인의 증인, 감정인의 진술, 전문가의 의견
- 물적 증거 : 범행에 사용한 흉기
- 전문 증거 : 포렌식으로 수집된 증거는 간접 증거(= 전문 증거)
- 자신이 법원에 직접 보고 X, 진술서나 진술 기재서를 통해 간접적 보고
디지털 포렌식의 기본 원칙
- 정당성의 원칙
- 모든 증거는 적법한 절차를 거쳐서 얻은 것
- 정보 제공 동의서에 서명
- 재현의 원칙
- 같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함
- 신속성의 원칙
- 컴퓨터 내부에는 휘발성이 많아 신속성이 필요
- 연계 보관성의 원칙
- 증거 획득 후 이송, 분석, 보관, 법정 제출이라는 일련의 과정이 명확, 과정 추적 가능