Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
Tags
- aircrack-ng
- 보안이 미래다
- 5G
- WLAN
- NAND
- sudo
- 반사서버
- Slim3
- 디스크
- DOS
- WPA3
- wep
- DDos
- WPA1
- aireplay-ng
- cmd
- 디도스
- airmon-ng
- WPA-PSK
- 윈도우
- airodump-ng
- NOR
- 2021-3156
- 무선랜
- 초시대
- E14-20T6S04X00
- 이커시
- shellcode
- 듀얼부팅
- 쉘코드
Archives
- Today
- Total
대학생들을 위한 IT
침해사고 조사 본문
- 컴퓨터 침해사고
- 컴퓨터 침해 사고 대응 능력
- 고의적이면서 나쁜 의도의 기술적 행위들로 인해 발생하는 사건들에 대해 전문지식을 가지고 대처함으로써 피해를 복구하고 억제하며 앞으로 발생할 피해를 방지하는 능력
- 악성코드나 해커의 위협 등 보안사고는 널리 알려져 있음에도 불구하고 보안사고의 발생은 예측할 수 없다
- 처음 직면할 때는 임시방편적으로 대응할 수 있으나 비슷한 사고의 재발에는 신속한 복구와 대응을 할 수 있다
- 컴퓨터 침해 대응팀
- CERT (Computer Emergency Response TEAM)
- 해킹과 바일스에 대앙하는 보안기술을 개발하고 서비스하는 컴퓨터 응급 대응센터
- 미국 카네기 멜른 대학의 컴퓨터 침해사고 대응팀에서 발족되어 범국가/세계적인 단체의 역할 수행
- 1998년 웜에 의한 피해 후 설립
- CERT 구성요소
- 인력 : 조정자, 대응기술인력, 기술개발인력, 대응자료 개발인력, 업무지원 인력
- 공간 : 업무공간, 시험/개발 공간
- 기술 : IT 전문기술, 보안기술, 관리기술
- 경비 : 동향분석, 정책/절차 개발, 보고서 제작, 취약점 시험분석 HW 및 SW, 보안교육
- 지침 : 사고처리 지침, 현장지원지침, 대외협력, 통신지침, 언론대응지침, 보안정보 처리 지침
- 사고대응 7단계 절차
- 사고 전 준비 과정
- 사고 탐지
- 초기 대응
- 대응 전략 체계화
- 사고 조사
- 보고서 작성
- 해결
- 증거규칙
- 증거를 수집, 조사, 보존, 제시하는 것은 법적 절차이기 때문에 증거를 제시할 법원이 위치한 그 지역의 법을 따라야 한다.
- 증거와 관련 법은 각 지역의 법령에 제정되어 있으며 '증거의 규칙'이라는 문서로 분류돼 있다.
cf. 미 연방법원은 Federal Rules of Evidence를 따른다. 연방법원에 증거로서 채택되기 위해서는 관련성, 신뢰성,충분성, 법적 허용성 등을 가져야 한다. - 관련성(Relevant)
- 관련 범죄의 실제적인 사실을 입증할 수 있어야 한다.
- 증거가 범죄의 시간, 원인 등을 밝힐 수 있을 정도로 범죄와 관련이 있어야 한다.
- 신뢰성(Reliable)
- 손상이나 변형 없이 적절한 조치 하에 식별되어야 한다.
- 증거에 대한 신뢰성 및 증거를 얻기까지 과정의 신뢰성을 입증할 수 있어야 한다.
- 충분성(Sufficient)
- 다른 어느 누구도 증거를 보고 반론할 수 없도록 증거가 설득력이 있어야 한다.
예) 자산 존재여부에 대한 물리적인 조사 결과, 외부에서 발생한 문서(invoice) - 법적 허용성(Legally Permissible)
- 증거는 합법적으로 수집되어야 한다.
- 비합법적으로 입수된 증거는 법원의 증거로써 받아들여질 수 없다.
- 증거 라이프 사이클(Evidence life-Cycle)
- 증거 수집 및 식별화(Collection & Indentification)
- 증거를 수집하고 나서는 적절히 식별되고 마크되어야 하며, 향후 법원에 증거를 제출 하가ㅣ 위해서는 증거를 찾아낸 장소, 시간 , 사람등이 명확히 명기되어야 한다.
- 증거 식별화
- 플로피 디스크 같은 경우 표면에 직접적으로 명기 금지
- 출력물들은 영구 마킹펜으로 마킹해야 함. 직접 마킹이 어려운 경우, 적절한 상자에 담아 테이프로 봉한 후 별도의 마킹을 통해 증거에 대해 훼손여부를 판별할 수 있어야 함
- 저장, 보호, 운반
- 법원에 제출하기까지 증거의 운반이나 저장 중에 파손이 일어나지 않도록 보호 해햐 함
- 전자파 차폐용기에 보관, 적절한 온도, 습도 유지, 자성물체 회피 등 고려
- 법원 제출
- 희생자/소유자에게 증거 되돌려 줌
- 모든 증거품을 돌려주는 것이 아니고, 일반적으로 증거품이 금지품(contraband)일 경우, 압수 및 파기 할 수 있음
- 증거 꼬리표 달기, 표식 남기기
- 증거를 맨 처음 보관하기 시작한 사람은 증거에 꼬리표를 달거나 표식을 남겨야 한다. 자신의 이름, 날짜와 시간, 사건 번호를 증거에 적어둬야 함
- 증거 담당자 목록(Chain of Custody) 작성
- 보호관리 사슬 (Chain of Custody) = 증거 담당자 목록
- 증거의 연속성을 가리킴. 즉 수사관은 현장에서 수집된 증거가 법정에 제출될 때까지 거쳐간 경로, 그 증거를 다룬 모든 사람, 증거가 옮겨진 장소와 시간을 추적할 수 있어야 함
- 디지털 증거 수집 역할
- 1차 대응자 역할
- 포렌식과 관련된 특수 교육을 받지 않았다면, 범죄 현장에 맨 처음 도착한 사람은 컴퓨터가 손상을 입지 않도록 보호하는것 외에는 다른 어떤 행동도 해서는 안된다.
- 1차 대응자는 컴퓨터를 끄거나 또는 전원을 뽑거나 증거를 찾을 목적으로 컴퓨터를 검색해서는 안 된다.
- 수사자 역할
- 일반적으로 범죄현장에서 일어나는 다른 모든 일을 조정할 책임을 가진다.
- 범죄 현장 기술자 역할
- 사이버 범죄 사건에 투입되는 범죄 현장 기술자는 컴퓨터 포렌식에 관한 특수한 교육을 받아야 한다.
'정보보호관리 > 지적재산권과 침해사고대응' 카테고리의 다른 글
컴퓨터 범죄 수사(Computer Forensics) (0) | 2019.01.10 |
---|---|
해킹 (0) | 2019.01.08 |
Comments