분산 데이터 처리 -...
TRANSCRIPT
Windows Forensic
서강대학교 정보통신대학원
디지털 포렌식
디지털 포렌식이란?
Windows Forensic
서강대학교 정보통신대학원
Digital Forensics 美DFRWS(Digital Forensic Research Workshop)
범죄현장에서 확보핚 개인 컴퓨터, 서버 등의 시스템이나젂자장비에서 수집 핛 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 재현, 보고 등을 과학적으로 도출하고 증명가능핚 방법으로 수행하는 것
컴퓨터범죄 수사에 입각핚 정의 컴퓨터 관련 조사∙수사를 지원하며 디지털 자료가 법적 효
력을 갖도록 하는 과학적이고 논리적 젃차와 방법을 연구하는 학문
• 디지털자료 : 컴퓨터에만 국핚 되지 않음
• 법적효력 : 법 규범에 합치되는 논리성을 가져야 함
• 과학적/논리적 : 보편성과 객관성이 필요핚 지식체계
• 젃차와 방법 : 목표달성을 위핚 과정이 결과만큼 중요
디지털 포렌식 정의
Windows Forensic
서강대학교 정보통신대학원
얼마 전의 Digital Forensics 적용 범위 범죄수사
산업 스파이, 기술 유출, 공갈, 사기, 위조, 해킹, 사이버 테러
민사소송 분쟁
명예훼손, 업무상 과실/재해, 내부 감사
침해사고 예방 및 대응
방대한 표준 자료 구성, 대용량 자료의 빠른 처리, 알려진 사고에 대한 분석 및 조치, 사고처리(추적, 증거확보, 정보 공유)
하지만 지금은? 일반적인 정보보호 응용 전반에 대하여, 보안 사고 발생 시 이에 대
한 대응 기술이 접목될 수 있는 모든 분야
디지털 포렌식, 모바일 포렌식, 네트워크 포렌식, 임베디드 포렌식, 데이터베이스 포렌식, 회계 포렌식 등
디지털 포렌식 적용 범위
Windows Forensic
서강대학교 정보통신대학원
디지털 포렌식의 특징
디지털 포렌식 기본 원칙
정당성의
원칙
재현의
원칙
신속성의
원칙
절차
연속성의
원칙
무결성의
원칙
포렌식의 기본 원칙
증거가 적법한 절차에 의해 수집되었는가?
같은 조건과 상황에서 항상 동일한 결과가 나오는가?
디지털 포렌식의 전 과정이 싞속하게 짂행되었는가?
증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?
수집된 증거가 위∙변조되지 않았는가?
Windows Forensic
서강대학교 정보통신대학원
File Decryption, Crack
Information Hiding
File Repair
Internet
Application
Network Data Collection & Analysis
Software (Program files) Analysis
Live Data Collection & Analysis
System Monitoring
Network Trace
System & Network
File Identification (Find)
File systems Repair
Browsing
TimeLine
Search
Data
Storage Media Duplication
Storage Media Repair
Device
디지털 포렌식 기술
Windows Forensic
서강대학교 정보통신대학원
디지털 증거
•디지털 형태(Binary)로 저장되거나 젂송되는 데이터로, 증거로써 가치를 가지는 정보
•문서, 이미지 등의 파일, 네트워크 패킷, 각종 형태의 Log, 메모리상의 정보, SW 등
디지털 증거의 특징
Windows Forensic
서강대학교 정보통신대학원
디지털 증거 분석의 기본 원칙
증거처리에 대한 기본원칙(증거법)이 디지털 증거에 적용될 수 있어야 한다.
증거원본의 절대적 보존 수집 & 분석 과정에서 발생 가능한 변경 방지
원본 사용에 대한 통제, 무결성의 증명
분석도구의 신뢰성 확보 신뢰성이 검증된 분석 장비 및 프로그램 사용
공개된 알고리즘 및 프로그램 사용
모든 과정의 문서화 원본 획득 및 분석 등 전과정의 문서화
증거 분석 원칙
Windows Forensic
서강대학교 정보통신대학원
디지털 포렌식 5단계 절차 모델 수사 준비단계 (Preparation)
증거물 획득단계 (Acquisition)
증거물 보관 및 이송 단계 (Preservation)
증거물 분석단계 (Examination & Analysis)
보고서 작성단계 (Reporting)
수사준비 증거물 획득
보관 및 이송
분석 및 조사
보고서 작성
포렌식 도구 준비 및 테스트
포렌식
장비 확보
협조체계 확립
현장 분석
사짂 촬영
Disk Imaging
증거물 인증
획득한 Image 사본 생성
증거물
포장 및 운반
자료복구/검색 TimeLine 분석 Signature 분석 은닉자료 검색 Hash/log분석
증거분석 결과
증거 담당자 목록
전문가 소견
디지털 포렌식 수사 절차 모델
Windows Forensic
서강대학교 정보통신대학원
Guidelines for Evidence Collection and Archiving
증거물수집과 증거보관에 관한 지침
RFC(Request For Command) - IETF(Internet Engineering Task Force) http://www.ietf.org/rfc/rfc3227.txt?number=3227
Chain of Custody : 인수와 전달과정을 명확하게 보고서로 기록을 남긴다.
가이드 라인
Windows Forensic
서강대학교 정보통신대학원
디스크
구조는 비교적 단순하나 외부 업체에 의뢰하게 되면 정보가 같이 유출되므로 주의
수사관의 증거 저장용 디스크를 master로 설정, 분석 대상 디스크를 slave 로 지정해서 부팅을 master로 설정해야 함 => 증거용 디스크에 영향을 주지 않기 위함
디스크 & 파일 시스템
Windows Forensic
서강대학교 정보통신대학원
디스크
디스크 분석 반드시 원본을 복제한 복사분을 가지고 분석 작업을 수행
복제 디스크는 원본 디스크보다 최소한 용량이 같거나 커야 함
읽기 전용으로 설정한 뒤 수행
[IDE 복제기] 현장에서 복제할 수 있는 핸디형
디스크 & 파일 시스템
Windows Forensic
서강대학교 정보통신대학원
디스크
디스크 복제 H/W 적인 방법 : 장비를 이용, 사용이 간편하고 속도가 빠르지만 가격이 고가임, 라이브 시스템에서 수행이 불가능
S/W 적인 방법 : 라이브 한 시스템에서 그대로 디스크 복제가 가능
dd를 이용한 복제 원본 디스크보다 2배 정도의 여분의 디스크가 필요
낭비적인 요소가 있지만 속도가 빠르고 원본 디스크로 부팅하는 효과까지 구현이 가능
디스크 & 파일 시스템
Windows Forensic
서강대학교 정보통신대학원
파일 시스템
컴퓨터 시스템에서 효과적으로 데이터를 저장하고 찾는데 쓰이는 방
법 또는 시스템
Windows
FAT/ FAT32
NTFS
Linux
리눅스에서는 거의 모든 파일 시스템을 인식
EXT2
EXT3
REISER : 커널 2.4부터 지원되는 저널링 파일 시스템의 하나, 큰 파일과
디렉토리 지원 등의 장점이 있음
[참고] http://www.linuxlab.co.kr/docs/01-05-3.htm
디스크 & 파일 시스템
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
Digital forensic 활용분야
수사
• 컴퓨터 범죄에
대한 법적 증거
물 수집, 분석,
제출
내부 감사
• 내부 고발에 의
한 직원 조사
• 개인정보 보존
정책에 따른 내
부 직원 조사
• 퇴사자 PC 관
리
eDiscovery
• 기업 갂 특허
경쟁
• Compliance 대
응
• 민사 소송 등에
있어서 필요한
데이터를 수집
하고 법원에 제
출하기 위한 일
련의 절차
침해사고 대응
• 기업 내 지적
재산 보호
• 개인정보 유출
대응
• 외부 침입으로
부터 Endpoint
에 직접적인 조
사 및 대응
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
Digital forensic 필요성(1) : 침해 사고 대응 측면
DLP
Anti Virus
Firewall
IDS
Network Monitoring
IT보안팀
ESM
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
포렌식 프로세스(국내 A포털에서 활용)
이벤트 발생 메모리 수집 메모리 분석 디스크 분석
• 분석을 위한 기반 마련 및 초기 대응
• 습득한 메모리에서 주요 원인을 찾을 가능성이 매우 높음
• 보안 관제 이벤트 또는 직원싞고 등을 통해 조사해야 할 대상 확인
• 어느 PC 또는 서버에서 의심스러운 행위가 일어나는가?
• 악성 행위를 하는 프로세스 확인
• 디스크 분석의 기준이 되는 데이터 추출
• 악성 프로세스의 유입 시갂, 경로, 행위 등을 파악
침해범위 파악 및 대응
• 악성 프로세스에 대한 조치
• 동일 혹은 비슷한 유형의 공격에 대한 전사적 조치
초기 분석 상세 분석
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
Digital forensic 필요성(2) : 디지털 감사 측면 정보화 시대에 접어들면서 종이문
서가 아닌 디지털 파일 형태의 문서 증가
디지털 데이터의 특성으로 인해 종이 문서보다 쉽게 변질되고 쉽게 유포될 수 있음
디지털 문서의 무결성을 유지하면서 감사를 진행하기 위해서는 포렌식 기술이 필요
디지털 감사
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
디지털 감사에서 포렌식의 역할 디지털 감사 프로세스 (국내 B 통신사에서 활용)
기존 디지털 감사 프로세스
디지털 포렌식 감사 프로세스
1. 제보
2. 면담
1. 제보 2. 데이터 수집 및 분석
3. 면담
내부 고발자
감사실 피고발인
내부 고발자
감사실 피고발인
피고발인의 PC
명확한 근거 자료 없이 제보에만 의거한 감사
대상 PC에서 데이터 수집 및 분석을 통해 명확한 근거자료 제시
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
디지털 포렌식 감사 시 데이터 수집 방법
이미지 복제기를 이용한 디스크 복제 방식
원격 포렌식 솔루션을 이용한 방식
원본 HDD 이미지 복제기 사본 HDD
WAN / LAN
감사실 PC
감사 대상
• 감사 대상 직접 방문 • HDD to HDD 복제이므로 보다 깊이 있는 조사
가능 • 장시갂 소요
• 네트워크를 통해 감사 대상에게 접근 • 감사 대상이 감사 행위를 인지 불가 • 업무 중단 없이 감사 가능 • 사전에 인프라가 구축되어있어야 함
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
기타 활용 방안 퇴사 직원 관련 사내 기밀자료 유출 시 법적 대응(국내 B 통신사에
서 활용)
HDD 이미지 보관을 위한 스토리지 서버
퇴사 직원 PC
퇴사 직원 PC의 HDD 이미지
• 퇴사 직원 PC의 HDD 이미지를 1~2년갂 보존하는 정책 필요 • 퇴사 전, HDD 이미징 작업 시 퇴사 직원의 서명이 포함된 문서 작성
Windows Forensic
서강대학교 정보통신대학원
Digital Forensic
기타 활용 방안
E-Discovery
미국의 민사소송 규칙에서 Discovery(증거개시) 대상이 되는 증거물의 범위에 ESI(Electronically Stored Information)를 포함시킨 것
증거개시제도란 소송당사자가 공판전에 공판의 준비를 위해 법정 외에서 법정의 방법에 의하여 소송의 쟁점을 명확히 하는 정보 및 증거를 공개/수집하는 제도
Windows Forensic
서강대학교 정보통신대학원
EnCase eDiscovery
Qualcomm vs Broadcom 퀄컴과 브로드컴의 특허 침해 소송(2005년)
퀄컴이 일부 e메일을 감췄다가 Discovery 적용으로 소송에서 패소
2009년 브로드컴이 승소, 4년간 8억 9천 100만달러의 현금을 라이선스 비용으로 지불 받기로 합의
Windows Forensic
서강대학교 정보통신대학원
EnCase eDiscovery
SK 하이닉스 vs 미국 램버스 특허 침해 소송, 2000년에 시작
하이닉스가 CPU와 D램 메모리 간 데이터 교신 효율화 관련 특허를 침해했다고 주장
1심, 램버스의 주장을 받아들여 하이닉스가 3억 9700만 달러를 배상하라고 판결
램버스에 특허 출원 당시 e메일과 내부 보고서 등을 전부 제출해달라고 요구=>램버스의 자료가 통째로 누락된 사실을 발견=> 불법 자료파기 가능성을 집중 제기
2심, 환송심, 하이닉스 주장을 받아들임(증거자료 고의적 파기)
SK 하이닉스가 Discovery를 활용해 역전승, 2012년 9월
미 캘리포니아 북부지방법원에서 특허침해 소송 환송심에서 램버스의 불법 자료파기 사실을 인정 받음
Windows Forensic
서강대학교 정보통신대학원
EnCase eDiscovery
삼성 vs 애플 하이닉스와 반대의 경우가 되어서 삼성이 패소
2011년 8월 삼성전자의 회사 보안 시스템인 e메일 자동 삭제 기능이 관련 자료를 일부 삭제->자료 고의 누락 행위 인정
삼성도 애플의 자료가 일부 누락한 점을 내세워 위기를 넘김
애플은 갤럭시S 개발 당시 사내 문건 중 “아이폰 같은 걸 만들라”는 회사 고위 관계자의 내부지시 문건을 확보, 이를 공개