Lucete

디지털 포렌식의 사고대응 및 증거처리 본문

Security Study/Forensic

디지털 포렌식의 사고대응 및 증거처리

z3alous 2018.11.29 23:32

짜쟌~!!



디지털 포렌식에 있어서 침해 당했거나 사고가 일어나면 증거를 수집하고 처리하는 것에 대해 알아보자 :D 


사고가 일어나 사고 대응 절차를 보게 되면 크게 6개로 나누어진다.

1. 준비 

  - 준비가 되어있으면 어떠한 사고가 발생했을 시 신속하게 대응 할수 있다. 준비는 사고 대응 계획을 수립하는 단계를 이야기한다.

  - 프로세스, 절차, 조사에 필요한 도구 등이 모두 포함되며 물론 조사에 필요한 도구 사용법 또한 포함된다.

2. 탐지

  - 생각을 해보자 기본적으로 많은 관제회사 뿐아니라 여러곳에서 관제를 하지만 공격은 계속들어오고 사건 사고는 계속 발생한다. 여기서 탐지 능력은 이많은 것들  중 중요한 것을 골라 어떠한 공격(사건)으로 연결되는지를 판단하는 능력인 것 같다.

3. 분석

  - 이 때부터 본격적으로 시작이 된다. 

  - 메모리, 로그 파일, 네트워크 정보 밑 프로세스 등을 수집하기 시작하며 수집되는 동시에 즉각적으로 분석을 진행할수 있어야한다. -> 1번 준비 단계가 필요한 이유

    * 분석도구는 다양하고 이러한 도구를 사용함으로써 궁극적인 목표를 찾아야 한다.

4. 봉쇄

  - 분석 단계에서 분석으로 어떠한 사건을 알게 되면 즉각적으로 각 기능들을 차단하고 연결 네트워크 등을 차단하여 다른 피해가 일어나지 않도록 하며 미리 이러한 정보를 알게 된다면 소스 유실 방지가 가능하다.

5. 제거 및 복구

  - 말그대로 공격받은 것으로 부터 위험요소를 제거 하는 단계이다. 제거를 하다보면 완젼히 갈아 엎어야 할때가 있을텐데 복구단계에서 다른 것으로 대체하는 방안 선택하여 복구를 진행하여야 한다.

  - 또한 취약한 부분을 찾아 안전하게 만드는 단계이다.

6. 사후 활동

  - 지금까지 이루어진 상황을 정리하고 대응 결과를 검토한다,

  - 지속적으로 대응 절차를 최신화 하여 미리 준비하여 즉각적인 대응을 할수 있도록 준비하는 단계이다 -> 다시 1번으로 돌아가 준비해야 하는 부분!!~!~!@~!@~!@~!@~


#여기서 잘봐야하는 것은 위에는 사고대응 절차이고 이제부터는 증거처리 절차이다.


증거처리 또한 6가지로 나누어 진다.

이미지를 보자


이렇게 인데....


위에 사고 대응 절차와 의미는 비슷 하지만 다른것을 보면 증거 포장 및 이송 등이 있다는 것이며 분석이 4번째에 있다는 것이다.


하나씩 알아보면 

1. 사전 준비

  - 위와 같이 도구, 장비 등을 숙지하고 잘 관리하는 단계이다.

2. 증거 수집

  - 증거를 획득한 사람, 획득 감독, 획득 인증의 역할을 하는 사람들이 정해져 있어야한다. 이러한 사람들이 정해져 있으면 같이 참관하면서 증거물을 수집하여야 한다. 절대로 막 수집하면 안된다.

  - 준비단계에서 준비한 도구 및 장비를 이용하여 전자적 증거를 수집하고 물리적인 증거물 또한 수집 하여야 한다.

  - 증거물을 수집하기 위해서는 압수절차가 필요한데... 적법절차를 거쳐야 한다.

    * 형사소송법 제308조의2에 명문으로 인정하고 있는 위법수집증거배제법칙에 따라 위법절차를 거치게 되면 증거로써의 효력을 가지지 못하게 된다.

  - 너무 불필요한 증거물을 많이 수집해서는 안된다.

  - 증거목록 작성, 증거수집, 이미징 및 복제 등을 실시

3. 증거 포장 및 이동

  - 증거를 포장 및 이동을 하기위해선 가장중요한 무결성이 성립되어야한다.

  - 무결성을 지키기 위해 CoC(Chain Of Custody)를 수행하는데 인수인계받고 넘겨주고 하면 하나하나 다기록을 남겨야한다 


요 봉투!! 중요!!!!

  - 누락 증거물 확인과 밀봉 상태를 확인하여 증거물에서 제외할지를 판단하고 정해야 한다.


4. 조사 분석

  - 수집 단계에서 수집한 정보, 이미지 등을 분석하는 단계로 원본을 손상시키지 않도록 해야한다.

  - 증거물을 복제하여 분석을 진행한다. -> 원본과 동일한 분석이 가능하도록 복제되어야하며 원본에 손상이 안가도록 한다.

  - 증거물을 복제할때에는 무결성을 유지하기 위해 쓰기방지장치를 사용한다.

  - 증거물에 일련번호를 부여하여 복제 과정을 기록한다.

  - 원본과 복제본을 물리적으로 따로 보관하여야 한다.

  - 복제 증거물과 무결성에 대하여 책임자의 서명이 있어야한다.

  - 원본 증거물이 위치하고 있던 장치와 동일하거나 유사한 장비에서 이루어져야한다.

가지고 싶당.....


5. 정밀 검토 

  - 정확하게 분석을 수행하여 정보를 분석했는 검토하는 단계이다.

6. 보고서 작성

  - 보고서에는 

  - 사건 번호 및 보고서 번호

  - 증거 수집과 보거서 작성 날짜

  - 수사관/분석관/보고서 작성자의 신분과 서명

  - 조사 및 분석에 사용 장비 및 환경

  - 증거처리 절차의 설명

  - 첨부 자료

  - 증거물에서 나온 증거 분석 설명 및 결과

  - 결론 

이렇게 들어가야 한다.


이로써 오늘 내용은 마치도록 하겠습니당ㅇㅇㅇㅇㅇㅇ

캬르릌를크릌릌르클클클

하...쉽지않당...........

다들 감기조심하세용~~~>.<  <-----이게 제일 중요!



0 Comments
댓글쓰기 폼