기사 자격증(알기사, 디지털 포렌식)

해킹

- 의도에 상관없이 다른 컴퓨터에 침입하는 모든 행위

- 전산망을 통해 타인의 컴퓨터 시스템에 접근권한 없이 무단으로 침입하여 부당행위 수행

 ※부당행위 : 불법 시스템 사용, 불법적 자료열람, 유출 및 변조

- 우리가 흔히 말하는 해커는 Cracker라고 한다.

- 해커의 분류

구분	설명
Elite	ㆍ최고 수준의 해커으로 시스템에 존재하는 취약점을 찾아 그것을 이용한 해킹이 가능함 ㆍ해킹 목적은 자신이 해당 시스템에 아무 흔적 없이 해킹할 수 있다는 것을 확인하기 위함이다.
Semi Elite	ㆍ컴퓨터에 대한 포괄적인 지식이 있고, OS를 이해하고 있어 OS의 취약점을 가지고 공격할수 있는 코드를 만들 수 있을정도의 지식을 가지고 있는자 ㆍ해킹흔적을 남겨서 추적을 당하기도 함
Developed Kiddie	ㆍ보통 십대 후반의 학생들로 대부분의 해킹기법에 대해 알고있음 ㆍ취약점을 발견할 때 까지 여러 번 시도해 시스템 침투에 성공
Script Kiddie	ㆍ네트워크 OS의 지식이 부족하여 GUI OS 바깥세상으로 나와 본 적 없음 ㆍ보통 잘 알려진 트로이목마를 사용해 평범한 사용자를 공격하고 괴롭힘
Lamer	ㆍ해커가 되고 싶지만 경험도 기술도 없는자 ㆍN/W와 OS에 관한 기술적인 지식이 없으며, 게임과 채팅을 주로함

- 해커 관련 용어

1. White Hat : 도움을 줄 목적으로 컴퓨터 시스템이나 N/W에서 보안상 취약점을 찾아내 취약점을 노출시켜 알리는 해커를 말한다.

2. Black Hat : 컴퓨터 시스템이나 N/W 침입하는 해커나 파괴자를 일컫는 용어

3. Gray Hat : White Hat과 Black Hat의 중간에 해당하며, 합법, 불법적 해킹을 상황에 따라서 한다.

 

- 일반적인 해킹순서

정보수집 →루트권한 획득 → 트래픽 감청 →중요정보 획득

 

 

CERT(침해사고 대응 팀)

1. 해킹과 바이러스에 해당하는 보안기술을 개발하고 서비스하는 컴퓨터 응급센터

2. 보안상의 허점과 부정이용 사고들에 대한 정보와 사고처리 및 예방을 위한 정책 수립

3. 예방, 탐지, 교정 통제를 제공

4. 정보보안에 관련된 모든 사고와 현안에 대한 single contact point로서의 역할 수행

 

- 사고대응 7단계 절차

 1. 사고 전 준비과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비

 2. 사고 탐지 : 정보보호 및 N/W 장비에 의한 이상 징후 탐지, 관리자에 의한 침해 사고 식별

 3. 초기대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대응팀 신고 및 소집, 침해사고 관련 부서에 통지

 4. 대응전략 체계화 : 최적의 전략 결정, 관리자 승인 획득, 최기 조사 결과를 참고하여 소송이 필요한 사항인지 결정하고 사고 조사과정에 수사기관 공조 여부 판단

 5. 사고 조사 : 데이터 수집 및 분석을 통하여 수행, 언제, 누가, 어떻게 사고가 일어났는지, 피해확산 및 사고 재발을 어떻게 방지할지 결정

 6. 복구 및 해결 : 차기 유사 공격 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건 기록, 장기보안 정책 수립, 기술 수정 계획수립 등 결정

 

디지털 포렌식

- 다양한 디지털 장치에서 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 방법

- 포렌식을 통해 증거획득하고 이 증거가 법적인 효력을 가지려면 그 증거를 발견, 기록, 획득, 보관하는 절차가 필요하다.

- 포렌식 기본원리

1. 정당성의 원칙

 - 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다.

 - 증거 중 불법행위를 하여 얻은 증거는 증거능력이 없다.

 

2. 재현의 원칙

 - 법정에 증거를 제출하려면 똑같은 환경에서 같은 결과가 나올 수 있게 재현할 수 있어야 한다.

 

3. 신속성의 원칙

 - 컴퓨터 내부의 정보는 휘발성을 가진 것이 많기 때문에 신속하게 이뤄져야 한다.

 - 이와같이 휘발성을 가지는 정보를 획득하는 행위를 라이브 리스폰스(live response)라고 한다.

 

4. 연계 보안성의 원칙

 - 증거는 획득된 뒤 이송 / 분석 / 보관 / 법정 제출이라는 일련의 과정이 명확해야하며 이러한 과정에 대한 추적이 가능해야하는데 이를 연계 보관성이라고 한다.

 - 연계 보관성을 만족하려면 증거를 전달하고 전달 받는데 관여한 담당자와 책임자를 명시해야 한다.

 

5. 무결성의 원칙

 - 수집된 정보는 연계 보관성 원칙을 만족시켜야 하고, 위조 변조가 되면 안된다.

 

- 포렌시 수행 절차

1. 수사 준비

 - 사이버 포렌식을 수행하는 전문가를 소집하고 각종 장비, S/W, H/W를 준비하고 점검하는 단계

 

2. 증거물 획득(증거 수집)

 - 불법행위가 발생한 장소서 행위자가 사용한 컴퓨터를 압수하여 각종 저장매체로부터 디지털 증거를 획득하는 단계이다.

 - 디지털 증거 획득은 증거의 무결성이 매우 중요하다.

 - 하드 디스크와 같은 저장매체에 저장된 데이터를 추출하는 과정을 디스크 이미징이라고 하는데 디스크 이미징은 숨김파일, 임시파일, 손상, 삭제 된 파일등의 잔여정보가 그대로 존재하는 동일한 사본을 만들어낸다.

 

3. 보관 및 이송

 - 획득된 증거는 연계 보관성을 만족시키며 보관 및 이송이 되어야 한다.

 - 증거의 연계 보관성을 만족시키기 위해 증거를 안전한 장소에 보관하는데 이 안전한 장소를 Evidence sage라고 한 다.

 - 이송되거나 담당자 / 책임자가 바뀔 때는 문서에 그 증적을 남긴다.

 

4. 조사 및 분석

 - 포렌식과 관련해서 증거를 관리할 때는 최량 증거 원칙을 따른다.

 - 최량증거원칙 : 복사본이나 2차 증거물이 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙

 - 획득한 증거물을 조사하고 분석하는 단계로서 디스크 브라우징, 데이터 뷰, 파일복구 등 다양한 기법이 활용되고 있다.

  1. 디스크 브라우징 : 수집한 저장매체 또는 디스크 이미지 내부에 있는 정보를 가독성 있는 형태로 변환하여 출력하는 기술

  2. 데이터 뷰 : 브라우징 과정에서 파일을 인식하여 텍스트, 그림 등의 형식으로 볼 수 있도록 하는 자동 뷰 기능을 제공하는 기술

  3. 파일 복구 : 복구 S/W를 이용하여 파일 원본을 복구시키는 기술, 파일이 손상되어도 디스크 내에는 관련 정보가 보존되어 있기에 파일 복구가 가능하다.

 - 확인과정서 불법행위 증거 발견되면 원본 data의 무결성을 유지하면서 데이터 확인과정을 문서화 해야한다.

 

5. 보고서 작성

 - 포렌식의 모든 단께의 내용을 문서화하는 단계로 일련의 과정을 정확히 작성하여 증거자료로서 타당성을 제공해야 한다.

 - 따라서 증거자료 획득, 보관 및 이송, 분석 등 모든 과정을 명확하고 객관성 있게 설명하고 불법행위를 입증할 수 있도록 논리적으로 작성해야 한다.

 

- 포렌식 기술

세부기술	기술 설명
디스크 포렌식 기술	물리적 저장장치인 보조 기억장치에서 증거를 수집하고 분석
시스템 포렌식 기술	OS, 응용프로그램 및 프로세스를 분석하여 증거 확보
N/W 포렌식 기술	N/W 전송되는 data, 암호를 가로채어 단서를 찾아내는 기술
인터넷 포렌식 기술	인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집하는 기술
모바일 포렌식 기술	휴대용 전자기기에서 필요한 정보를 입수하여 분석
DB 포렌식 기술	DB의 데이터를 추출 분석하여 증거를 수집하는 기술
암호 포렌식 기술	문서 or 시스템에서 암호를 찾아 암호화 문서를 복호화

 

- 디지털 포렌식 도구

1. EnCase : 전 세계에서 가장 대표적인 포렌식 도구, 디지털 증거 수집, 검증, 검색, 보고, 완전삭제 등 다양한 기술 제 공

2. FTK : 다용도 포렌식도구로 EnCase처럼 다양한 기능 제공

 

- 디지털 포렌식 관련 자의 역할

1. 1차 대응자 역할

 - 만약 포렌식 관련된 특수 교육을 받지 않았다면 범죄현장에 맨 처음에 도착한 사람은 컴퓨터가 손상되지 않도록 보호하는 것 외에 어떤 행동도 하면 안된다.

  → 1차 대응자는 증거를 찾을 목적으로 컴퓨터를 검색해서는 안된다.

 

2. 수사자 역할

 - 수사자는 일반적으로 범죄현장에서 이렁나는 다른 모든 일을 조정할 책임을 가진다.

 

3. 범죄 현장 기술자 역할

 - 범죄 현장 기술자는 포렌식에 관한 특수 교육을 이수해야 함

 

증거

- 증거 수집, 조사 보존, 제시하는 것은 법적 절차이기 때문에 법원이 위치한 지역의 법을 따라야 한다.

- 보호관리 사슬(증거 담당자 목록)

1. 증거 담당자 목록은 증거의 연속성을 가르킨다.

2. 수사관은 현장에서 수집된 증거가 법정에서 거처간 경로, 증거 다룬 사람, 증거가 옮겨진 장소 시간을 추적할 수 있어야 한다.

 

- 디지털 증거물 분석

 1. TimeLine 분석

  - 파일 생성, 변경, 접근, 삭제 시간

 2. 시그니처 분석

  - 의도적으로 파일 확장자를 변경한 파일을 간단히 파악

 3. Hash 분석

  - 시스템 내 파일이 변경되었는지 확인

  - 파일의 해시값을 구한 후 기존 파일 해시값과 비교하여 기존 파일과 같은 파일이 존재하는지 확인

 4. 로그 분석 : 웹 브라우저 로그, 메일로그, FTP 로그 등

 5. 프로세스 분석 : 현재 수행되고 있는 프로세스 메모리 내용 조시, 의심되는 실행파일 조사

 

- 사라지기 쉬운 데이터조사

 1. 시스템의 메모리는 휘발성 데이터이기 때문에 시스템 전원이 나가면 저장된 데이터가 사라지게 된다.

 2. IEEE 인터넷 드래프트는 휘발성 증거를 가장 먼저 수집하라고 제시한다.

 3. 그 이유는 휘발성 증거가 가장 먼저 사라질 가능성이 있기 때문이다.

 4. 현재 N/W 연결을 확인하기 위해 netstat을 사용한다.

 5. arp 명령어는 누가 시스템에 최근에 연결했는지 알려준다.

 6. 휘발성 data를 조사하는 행위를 live response라고 한다.

 

- 디지털 증거 보존 : 디지털 증거는 근본적으로 손상되기 쉽기에 완전한 비트스트림 이미지를 즉시 만들어야 한다.(비스트스트림 이미지 : 원본 저장 장치에 기록되었던 모든 데이터의 사본으로 모든 이진 데이터가 복사 매체에 그대로 복제되며 CRC 계산법을 이용해 원본 뎅터와 차이가 없는지 확인)

 

- 디스크 복사와 디스크 이미징

구분	디스크 복사	디스크 이미징
저장방식	Source read & Destination write	Bit Stream Clone(Sector by Sector)
저장대상	파일과 디렉터리 단위 일부	디스크의 모든 물리적 섹터
정보 손실	Source read 과정에서 읽지 못한 정보는 손실이 발생	디스크 이미지는 디스크의 모든 정보를 포함
파일 복구	삭제된 파일은 복사과정에서 제외	디스크 섹터에 삭제파일 정보가 남아있는 경우 복구 가능

 

- 증거를 보호하기 위한 요소

 1. 획득된 증거 위치

 2. 증거가 획득된 시간

 3. 증거 발견자 및 보호자 신원

 4. 증거 통제, 보관자 신원

 

- 안티- 포렌식

1. 디지털 data를 조작, 삭제, 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되게 하거나 해독이 거의 불가능하게 하여 디지털 포렌식을 방해하는 방식

2. 디지털 은폐, 데이터 파괴하는 방식으로 구분

3. 디지털 은폐 :　데이터 암호화, 스테가노그래피 기술을 사용하여 키를 알 수 없는 조사관이 데이터 분석을 할 수 없게 만듦

4. 디지털 파괴 : 하드디스크의 내용을 깨끗하게 지우는 드라이브 와이핑 기술을 사용 또는 디스크에 남아있는 자기장을 완전히 지우는 디스크 디가우징을 이용한다.

 

- 데이터 복구 기법 피하기

1. 디스크 덮어쓰기

 - 잔류 자기 : 삭제된 파일의 data 중 물리적으로 디스크에 남아있는 부분

 - 많은 상업용 또는 셰어웨어 무료 디스크 청소 유틸리티는 디스크의 할당되지 않은 공간을 덮어쓰는 방식으로 동작을 여러번 수행하여 잔류데이터를 제거한다고 주장한다.

 

2. 소자

 - 자기 상태를 중화시킬수 있는 자기장을 만들어 남아있는 데이터를 제거할 수도 있는데 이런 방식을 소자라고 한다.

 -이와같이 소자를 만드는 장치를 소자장치라고 한다.

 

3. 물리적 디스크 파괴