침해 사고 조사 절차

제 12 장 침해 사고 조사 절차

 침해 사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생하는 사태 혹은 실질적으로 전자적인 공격으로 발생되는 모든 사태

공격자에 의한 침해가 이루어진 후 사고 탐지 단계부터 보고서 작성까지 디지털 포렌식 조사 절차와 유사하게 수행되며, 침해 사고의 피해를 입은 조직 및 서비스의 종류에 따라 피해 복구를 먼저 시행할 수 있다.

 사전 대응 : 사고가 발생하기 전, '사고 발생'을 탐지하기 위한 대응 전략 및 방법을 마련하는 과정

 사고 발생 : 공격자가 정보 시스템에 악의적인 의도를 가지고 접근하여 성공한 시점

 '초기 대응' 단계는 조직의 규모와 성격 등에 따라서 사고 조사자가 포함되어 있지 않을 수 있으므로, 본격적인 사고 대응 시작점은 '사고 조사' 단계라 할 수 있다.

1. 사전 대응

 침해 사고가 발생하기 전 단계로 침해 사고를 예방하고 침해 사고가 발생하였을 경우 신속히 대처할 수 있는 준비를 수행한다. 

• 사고 예방 체계 구축

   실질적으로 침해 사고를 예방하는 것은 불가능하지만 제로데이 공격을 제외한 많은 공격이 이미 알려져 예방할 수 있는 여지가 많다.

   사고 에방을 위해 시스템 및 서비스에 대한 보안 패치가 발표되면 즉시 설치하고 네트워크 및 시스템에 대한 강력한 접근 제어를 수행해야 한다. 또한 안티 바이러스나 방화벽 등을 통해 악성 코드의 접근을 차단해야 한다. 최종 사용자에게 정기적인 보안 교육을 실시하여 공격자에 의해 배포된 액티브 X, 이메일 첨부 코드 등을 실행하지 않도록 해야 한다.

• 사고 대응 체계 구축

   훈련된 사고 대응팀을 조직해야 하며, 침해시스템에 대한 사전 정보가 부족할 수 있으므로 각 시스템 및 네트워크의 운영자와 긴밀한 협조 관계를 유지해야 한다. 침입 탐지 시스템을 설치·운영을 통해 사고 발생 시 즉각 파악할 수 있어야 한다.

•  사고 후 복구 체계 구축

   문제 해결 후에는 사업의 연속성을 위해 신속히 복구 과정을 수행해야 한다.

2. 사고 탐지

 침해 사실이 발견되는 단계이다. 침입탐지시스템(IDS), 침입차단시스템(IPS) 등과 같은 공격을 탐지·차단하는 시스템이 있지만, 대부분 시그니처 기반으로 작성되어 있어 업데이트가 미흡하거나 모디터링을 소홀히 하면 공격 징후를 놓칠 가능성이 있다.

 침해 사고 발생 징후는 다양하게 나타나며, 발견되면 발견 시간, 관련 시스템, 연결된 네트워크 등을 자세히 기록하여 사고 대응팀에게 알려야 한다.

3. 초기 대응

 초기 대응은 모든 사고에 있어 매우 중요한 단계로 발견된 이상 현상에 대해 정보를 수집하고 침해 사고 여부를 파악하는 단계이다. 사고 대응 절차에 따라 관련자에게 연락 및 비상 대응팀을 소집해야 한다.사고 탐지자의 신고를 토대로 해당 이상 현상을 사고로 판단하는 근거와 현황을 수집하고, 이를 분석하여 사고 대응을 할 것인지에 대해 결정한다.

 

4. 사고 조사

 사고 조사자가 본격적으로 투입되어 사고의 범위를 구분하고 증거자료를 수집하고 분석하는 가장 핵심적인 단계이다. 

• 조사 범위 규정

 조사 범위를 한정짓는 것은 사고 조사에서 가장 먼저 이루어져야 하는 매우 중요한 단계이다.

 ⅰ. 초기 대응에서 수집된 정보

  사고의 인지 시점과 피해 현상, 관련 초기 대응을 어떤 식으로 실시하였는지 알 수 있는 자료가 된다. 이를 바탕으로 사고의 성격과 피해 정도, 필요한 정보와 조사할 대상을 파악할 수 있다.

 ⅱ. 네트워크 구성도

  침해 사고 조사를 위해서 꼭 필요한 정보이다. 시스템이 어떤 식으로 구성되어 있으며, 물리적·논리적 연결 상태, 연계되어 있는 시스템이 어떤 것인지를 파악함으로써 피해 규모와 침입 경로, 침입 시나리오 등에 대한 가설을 세울 수 있다.

 ⅲ. 정보시스템 관리자 · 개발자와의 인터뷰

  이 정보는 매우 좋은 협력자가 될 수 있다. 초기 대응 보고서의 의문사항과 실행 프로세스에 대해서 직접 질의함으로써 초기 대응 보고서에 기록되지 않은 내용이나 의문 사항에 대한 정보를 수집할 수 있다.

 정보 수집이 완료되면 사고 조사자는 자신의 경험과 서비스의 성격, 나타난 피해 등을 고려하여 사고 조사 범위를 한정지어야 한다. 사고 조사자는 위와 같이 질문을 스스로에게 던져 침해 경로에 대한 시나리오를 세울 수 있다.

• 증거 자료 수집

  사고 조사 범위에 포함되는 정보시스템에서 증거 자료를 수집하는 단계이며, 침해 사고 분석에 포함되는 정보시스템은 침해 사고를 당한 시스템을 포함하여 방화벽, IDS·IPS 등의 보안장비, 라우터·스위치 등의 네트워크 장비, 데이터 베이스·NAS(Network Attached Storage)와 같은 데이터 보관 장비 등이 있다. 각 시스템의 로그를 수집할 경우, 장비간의 시간차이를 명확히 기록하여 추후 상세 분석할 때 타임 라인 조사가 가능하도록 해야 한다.

  운영 중인 시스템에서 데이터를 수집할 경우 사고 시스템의 증거자료가 훼손되지 않도록 주의해야 한다. 특히 파일의 MAC 시간이 훼손되지 않도록 필요한 경우 화면 스크린샷을 미리 찍어 증거를 확보한다.

• 증거 자료 분석

  전문적인 조사자의 지식과 경험이 요구된다. 증거 자료를 기반으로 침해 행위를 찾아내고 분석하는 과정과 해당 행위로 인해서 초래되는 피해 규모를 파악하는 과정이 있다.

 ⅰ. 침해 행위 분석

  앞서 수집한 설정, 로그파일, 메모리 덤프 등을 대상으로 침해 행위를 찾아내는 일련의 과정이다. 

  ㄱ. 네트워크 분석

   방화벽 설정과 네트워크 구성, 조사 대상 시스템의 네트워크 설정, 설치된 서비스 및 응용프로그램과 관련된 포트 상태 등을 바탕으로 사고가 발생한 시점 또는 발견된 시점의 현황을 파악한다. 다수의 악성 코드가 시스템에서 정상적으로 동작하는 포트를 이용하여 외부와 연결을 시도하므로 이에 유의하여 분석을 진행한다.

  ㄴ. 시스템 분석

   조사 시스템이 어떤 운영체제를 기반으로 운영 중인지와 어떤 서버를 기반으로 서비스를 제공하고 있으며 관련된 서비스가 운영 중인지를 파악한다.

  ㄷ. 로그 파일 분석

   시스템에서 수집되는 운영체제 로그를 비롯하여 운영 중인 서비스에 다라 IIS(Internet Information Services), 아파치(Apatche)와 같은 웹 로그, 톰캣(Tomcat)과 같은 미들웨어 로그, 방화벽·IDS 등의 네트워크 로그, 오라클(Oracle), MS-SQL의 DBMS 로그 등 매우 다양한 로그가 수집되며 사건 발생 시점과 탐지 시점의 차이가 커지면 매우 방대한 양의 로그를 분석해야 한다.

  ㄹ. 악성 코드 분석

   악성 코드가 발견되면, 그 기능과 수행내역을 확인해야 정확한 사고 분석을 할 수 있다.

   악성코드가 가지고 있는 기능을 파악하기 위해서는 IDA pro, OllyDBG와 같은 역공학 도구가 필요하며, SysInternals에서 제공하는 각종 모니터링 도구 역시 준비하여 실제 어떠한 동작이 필요한지 알아내야 한다.

  ⅱ. 피해 규모 파악

  로그 분석과 악성 코드 분석을 통해 공격자가 어떤 행위들을 했는지 시간 순으로 정확하게 파악해 공격자가 시스템 계정 권한 또는 관리자 권한을 획득했는지 파악한다. 또한, 침해 시스템을 이용하여 내부 시스템으로 침투하였는지, 획득한 권한을 이용하여 어떤 정보에 접근하였는지, 어떤 데이터들을 열람·변조·절취했는지 파악해야 한다. 뿐만 아니라 침해 시스템과 연결되어 있는 데이터베이스·NAS와 같은 데이터 저장소 접근기록도확인해야 한다.

5. 보고서 작성

 사고 조사 단계의 마지막 단계로 모든 과정과 분석 결과를 정리하여, 정책결정권자에게 보고한다. 보고서의 내용은 육하원칙(5W1H)을 기본 틀로 하여 시간과 증거를 바탕으로 객과적으로 기술해야 한다. 추후 보고서가 법정에 제출되는 경우 정보시스템에 대한 지식이 부족한 법관·변호사도 보고서를 읽게 되므로 누구나 알기 쉽게 작성해야 한다.

6. 시스템 복구

단순히 서비스를 재가동하는 것이 아닌 추후 동일한 사건이 재발하지 않도록 조치를 취하는 것을 포함한다. 침해 사고가 발생한 원인과 피해 정도를 정확히 기술하고 조직 내 보안장비를 재평가하고, 새로운 공격에 대한 각 장비 취약점 정보를 갱신, 보안 정책 점검을 수행해야 한다. 시스템 자체의 복구는 백업 또는 대체 장비 등 조직 내 복구 프로세스에 따라 복구 작업을 수행한다.