침해사고?
정보통신시스템에 대한 위협의 발생
보통 대규모/분산화 되어 발생하며 범죄적 성향을 띄고 있어 주의가 필요함
사례)
사용자의 계정 도용
악성코드 유입 및 실행
정보 서비스 방해
+) 물리적 사고는 침해사고에 포함되지 않음(자연재해, 정전, 절도, 물리적 파괴 등과 같은 것들)
법적인 정의
[정보통신망이용촉진 및 정보보호 등에 관한 법률 제 2조 1항 7조]
해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의해 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인해 발생한 사태
실무에서의 정의
해킹, 컴퓨터바이러스 유포에 한정하지 않고, 모든 전자적인 공격 행위
침해사고에 활용되는 공격유형
| 구분 | 예시 |
| 악성코드 공격 | 바이러스, 트로이목마, 웜, 백도어 등 |
| 비인가 접근 | 시스템 내 취약점을 이용한 접근, 정보노출 등 |
| 서비스 거부 공격 | S/N 정보 서비스 방해 등 |
침해사고의 종류
| 구분 | 내용 |
| 불법 침입 | 허가 받지 않은 시스템에 몰래 접속하는 행위 |
| 불법 탈취 | 서버의 관리자 권한을 탈취해 가는 행위 |
| 불법 경유 | 허가 없이 경유하여 타 시스템에 접속하는 행위 |
| 자료의 유출 | 허가 받지 않은 자료를 몰래 빼가는 행위 |
| 자료의 변조 | 허가 없이 자료의 내용을 몰래 수정해 놓는 행위 |
| 자료의 삭제 | 허가 없이 자료 자체를 삭제하는 행위 |
| 불법자료 저장 | 불법 자료를 승인 없이 저장시켜 놓는 행위 |
| 서비스 방해 | 서비스를 방해할 목적으로 잦은 접속시도를 하는 행위 |
침해사고 분석 절차
절차대로 수행해 피해를 최소화 시키고, 복구시간을 단축시켜 정상적 업무가 수행되도록 해야한다.
1. 사고 전 준비
사고대응 체제의 준비
- 효율적인 사고 대응을 위한 준비
- 조직적 전략과 대처 방안을 개발
- CERT팀 과의 비상연락체계, 사고대응을 위한 요소 구비
+) CERT팀은 사고 조사를 위한 도구 구비, 문서양식 정형화 등의 준비를 따로 해야 한다.
2. 사고 탐지
사고 여부를 확인 (인력의 의한 탐지, 정보보호시스템에 의한 탐지 등을 이용)
침해사고가 탐지되면 보고라인을 통해 보고가 이루어져야 함
탐지 경위와 인지 상황을 가감 없이 보고해야 함 (초기대응 점검 표를 이용하는 것이 좋음)
초기대응 점검표가 완전히 작성되면 CERT팀이 신속한 대응이 가능
3. 초기 대응
침해사고 대응 팀이 도착한 이후, 초기조치 사항들을 인수/인계
문서화 기록 유지
초기 대응 관련 데이터 수집
- 시스템 관리자와 사건 분석 정황 제공할 수 있는 인원들과 면담
- 네트워크 기반 로그의 분석
- 공격 경로와 ㅅ단을 알아내기 위한 네트워크 구조와 접근 톤제 리스트 분석
4. 대응전략수립
주어진 사건의 환경에서 가장 적절한 대응전략을 결정
전략 결정 시 사고와 관련된 적절한 요인들을 고려해야 함
-> 정책, 기술, 법, 업무, 침해사고 환경 등
예시)
사고조사를 위해 얼마나 많은 자원이 필요?
이미징 작업 필요?
형사/민사 소송 필요?
또한 자산의 중요도, 공격 수준, 피해정도도 고려해야 함
고려사항)
침해 당한 컴퓨터가 얼마나 중요하고 위험한가?
정보가 얼마나 민감한 것인가?
사건이 외부에 알려졌는가?
직/간접적인 공격자는 누구인가?
비인가 접근의 수준은 어느 정도인가?
공격자의 수준은 어느 정도인가?
시스템과 사용자의 업무중단 시간은 어느 정도인가?
어느 정도 피해가 있었는가?
.
.
.
.
정확한 대응 전략 수립을 위해 초기 대응 동안 얻은 세부사항들을 충분히 검토해야 함
또한 공격의 출처가 각기 다르면 대응 전략 또한 각기 다르게 해야 함.
5. 사고조사
데이터 수집단계에서 필요한 정보를 수집한 후 데이터 분석단계에서 정보의 전체적인 분석을 수행
5-1 데이터 수집단계
호스트 기반 정보와 네트워크 기반 정보, 증언 등의 정보를 수집
휘발성 정보를 수집하기 위해 Live Response(대상시스템이나 피해시스템의 휘발성 데이터 수집)가 수행되어야 함
5-2 데이터 분석단계
모든 수집된 정보의 전체적인 조사
이때 수집된 정보에는 로그파일, 시스템 설정 파일, 히스토리 파일 등을 포함한다.
6. 보고서 작성 (가장 어렵고 중요한 단계)
6하 원칙에 의거해 객관적으로 보고서 작성
누구나 알기 쉬운 형태로 작성되어야 함
사건의 세부사항을 정확하고 치밀하게 작성되어야 함
7. 복구 및 해결
침해사고 재발 방지를 위한 필요한 조치를 취함
- 조직의 위험 우선순위 식별
- 네트워크 호스트에 밝혀진 취약점에 대한 조치
- 시스템 개선할 책임자 지정
- 시스템 개선이 이뤄지고 있는지 추적
- 모든 복구 과정이나 대책의 유용성 검증
- 보안 정책 개선
침해사고 사례
- 3.4 DDoS
- 네이트 해킹
- 3.20 전산 대란
- 각종 회사 정보 유출
- 사회공학
- Stuxnet
'Forensics > 이론' 카테고리의 다른 글
| 디지털 포렌식 개요 (0) | 2021.01.09 |
|---|
댓글