침해사고 포렌식 개요

 

 

법규에서 정하고 있는 침해사고의 정의

 

1) 법규

- 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태.

(정보통신망 이용촉친 및 정보보호 등에 관한 법률 제2조 1항 7호)

 

2) 실무에서의 관점

- 해킹, 컴퓨터 바이러스 유포에 한정하지 않고, 모든 전자적인 공격행위 및 그 결과에 따라 각종 영향을 받는다.

 

포렌식 준비도의 개념과 특징 및 장점

 

개념)

보안 사고조사, 징계절차, 고용 재판, 법정 등에서 디지털 증거가 효과적으로 사용될 수 있도록 증거를 보존, 수집, 보호 및 분석할 수 있는 적절한 수준의 능력을 말한다.

 

특징)

① 선제적이고 사전적 대응전략이라는 점에서 사후적 활동으로서의 전통적 디지털 포렌식 조사와 엄밀히 구별된다.

② 소송과정에서 활용하기 위해 증거능력이 보장된 상태로 증거 확보 및 보존을 목적으로 한다.

③ 사고와 관련이 있는 디지털 증거들을 완전성, 무결성, 신뢰성이 보장된 상태로 수집함으로써 법적 증거능력을 사전에 확보할 것을 요구한다.

 

장점)

- 사이버 조사 비용 최소화

사건이 발생할 때를 대비하여 증거를 수집하고, 비용 및 대응 시간을 최소화하며, 조사가 효율적이고 신속하게 완료될 수 있다.

- 공격 요인을 신속하게 결정

조직이 모든 조사를 활성화 상태로 전략적 지점에 위치시키면 사이버 사건의 움직임을 쉽게 감지하고 이해할 수 있다.

- 데이터 유출 비용절감

은행의 경우와 같이 바로 옆에 증거가 있고 적절히 보존되어야 하는 경우 필요할 때 쉽게 확인할 수 있다.

- 복구 및 시간 절약

침해사고 후 활동은 포렌식 준비도를 통해 비용, 시간, 노력 등을 절약할 수 있다.

 

[정보통신망 이용촉진 및 정보보호 등에 관한 법률]에서 정의하고 있는 침해사고의 의미

- "침해사고"란 해킹, 컴퓨터 바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.

 

침해사고의 유형

① 바이러스, 트로이목마, 웜, 백도어, 악성코드 등의 공격

② 비인가 된 시스템 접근 및 파일 접근

③ 네트워크 정보 수집을 포함한 비인가 된 네트워크 정보 접근

④ 네트워크 서비스의 취약점을 이용하여 서비스를 무단 이용하는 비인가된 서비스 이용

⑤ 네트워크 및 시스템의 정상적인 서비스를 마비 또는 파괴하는 서비스 방해

 

침해사고 대응단계

(1단계-사고 전 준비)

사고가 발생하기 전 침헤사고 대응팀과 조직적인 대응을 준비한다.

 

(2단계-사고 탐지)

정보보호 및 네트워크 장비에 의한 이상 징후 탐지, 관리자에 의해 침해사고를 식별한다.

 

(3단계-초기대응)

초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고 대응팀 신고 및 소집, 침해사고 관련 부서에 통지 한다.

 

(4단계-대응전략 체계화)

최적을 전략을 선택하고 관리자 승인을 획득, 초기 조사 결과를 참고하여 소송이 필요한 사항인지를 결정한 후 사고조사 과정에 수사기관 공조 여부를 판단한다.

 

(5단계-사고조사)

데이터 수집 및 분석을 통하여 조사를 수행한다. 누가, 언제, 어떻게 사고가 일어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정한다.

 

(6단계-보고서 작성)

의사 결정자가 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성한다.

 

(7단계-해결)

차기 유사 공격 식별 및 예방하기 위한 보안 정책의 수집, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획수립 등을 결정한다.