37. 침해사고대응(디지털 포렌식)

해킹

    어떠한 의도이든 상관없이 다른 컴퓨터에 침입하는 모든 행위

    해커

        기술 개발에 정열을 쏟는 고급 기술자

        선진국에선 사이버 범죄자인 크래커와는 엄격하게 구분하여 사용

    해킹 기법

        해킹기술의 변화

            공격기술의 발달로 침입에 요구되는 지식수준이 낮아져 침입자수가 급격히 증가

        일반적인 해킹 순서

            해킹 대상에 대한 정보를 수집하고 불법 로그인 접근을 통해 루트 권한을 획득한 후 스니퍼 등을 이용하여 네트워크 트래픽을 감청, 중요정보를 가로채어 자신의 컴퓨터로 전송

 

침해사고 대응과 포렌식

    CERT

        컴퓨터 응급 대응센터

        사고대응 7단계 절차

            사고 전 준비 과정, 사고 탐지, 초기 대응, 대응 전략 체계화, 사고 조사, 보고서 작성, 복구 및 해결

    디지털 포렌식

        다양한 디지털 장치에서 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 작업을 의미

        기본 원칙

            정당성의 원칙, 재현의 원칙, 신속성의 원칙, 연계 보관성의 원칙, 무결성의 원칙

        수행 절차

            수사 준비, 증거 수집, 보관 및 이송, 조사 및 분석, 보고서 작성

        역할

            1차 대응자의 역할, 수사자의 역할, 범죄 현장 기술자의 역할

증거

    증거 규칙

        증거를 수집하고, 조사하고, 보존하고, 제시하는 것은 법적 절차

        증거를 제시할 법원이 위치한 그 지역의 법을 따라야 한다

    보호관리 사슬(증거 담당자 목록)

        증거의 연속성

            수사관은 현장에서 수집된 증거가 법정에 제출될 때까지 추적할 수 있어야 한다.

    디지털 증거물 분석

        Timeline 분석, 시그니처 분석, Hash 분석, 로그 분석, 프로세스 분석

    사라지기 쉬운 데이터 보존

        휘발성이 가장 큰 증거를 먼저 수집하라고 제시

    디지털 증거 보존

        저장된 매체의 완전한 비트스트림 이미지를 즉시 만드는 것

    디지털 증거 복구

        기술이 뛰어난 일부 사이버 범죄자는 복잡한 기술을 사용해서 데이터가 있을만한 곳이 아닌 곳에 데이터를 숨김(램슬랙, 드라이브 슬랙 등)

    데이터 복구 기법 피하기

        디스크 덮어쓰기, 소자, 물리적으로 디스크 파괴