Microsoft PowerPoint - 강연회자료_CERT_0612

Size: px

Start display at page:

Download "Microsoft PowerPoint - 강연회자료_CERT_0612"

현진 어금
4 years ago
Views:

1 중소기업침해사고대응팀 SMB-CERT 구축 한국정보보호진흥원정보보호관리체계 (ISMS) 전문심사원 서울디지털대학교 (SDU) 인터넷정보보호교수 문승주,

2 목 차 I II III IV V 정보보호피해현황정보보호인식 (Awareness) 상담및신고기관침해사고대응및절차 CERT 구축 1

3 정보보호피해통계현황 정보보호피해현황 해킹수법별 구성설정요류 (76%) 사람에의한실수 및악성프로그램에의한해킹 23% 버퍼오버플로우취약점정보수집 0% 28% S/W 보안오류 0% 악성프로그램 21% 기타 0% 구성설정오류 27% 구성설정오류 관련악성프로그램취약점정보수집 S/W 보안오류버퍼오버플로우기타 관련 21% 악성프로그램기타2% 0% 취약점정보수집 2% 구성설정오류 관련악성프로그램취약점정보수집기타 구성설정오류 75% 2003 년 (~8 월 ) 관련 24% 2003 년 (~8 월 ) 2004 년 2005 년 2

4 정보보호피해통계현황 정보보호피해현황 해킹대상별 기업 (49%), 개인 (32%) 개인을통한기업해킹 기업 4% 대학 2% 비영리 1% 네트워크 0% 연구소 0% 기업대학비영리연구소네트워크기타 ( 개인 ) 연구소 0% 네트워크 8% 기타 ( 개인 ) 32% 기업 49% 기업대학비영리연구소네트워크기타 ( 개인 ) 기타 ( 개인 ) 93% 비영리 8% 대학 3% 2004 년 2005 년 3

5 정보보호사건 / 사고, 누가일으키는가? 내부 외부 75% 25% 위험도파급도발생비율 인가자비인가자인가자비인가자 58% 17% 15% 10% 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 정보보호정책보완필요 내부의정보보호시스템정기점검필요 내부의사용자이상패턴진단필요 물리적정보보호체계필요 출입통제, 카드키, 경비체계도입 인증절차및접근제어강화 방화벽, 침입탐지시스템도입을통한정보보호강화 라우터등에서접근통제 4

6 전담상담, 신고및수사기관 상담, 신고및수사는정보통신부산하기관또는수사기관에요청 한국정보보호진흥원 상담 / 신고지원 사이버테러대응센터 02) 사이버범죄신고 5

7 침해사고대응 침해사고대응절차 사고탐지 초기분석 사고대응전략수립 상세분석 모니터링 사고대응및복구 보고및피드백 6

8 침해사고대응절차 사고탐지 내부직원으로부터의보고 외부기관으로부터의항의메일 다른사고대응팀으로부터의통보 보안시스템으로부터의로그또는경보 7

9 침해사고대응절차 사고탐지 - 사건 관리적측면의사건 항의메일, 전화, 팩스등 기술적측면의사건 침입탐지시스템의경고또는로그 백신에의한악성프로그램탐지 침입탐지시스템에서의비정상적인로그패턴 알지못하는새로운계정생성 반복적인로그인실패로그 etc 8

10 침해사고대응절차 초기분석및사고대응전략수립 라이브시스템분석 현재 N/W 에연결되어있는피해시스템을분석 장점 : 현재시스템상태및로그를분석가능 단점 : 공격자가알아차릴수있다 When? 피해시스템을대체할백업시스템이없는경우 빠른사고분석및대응을해야하는경우 공격자또는공격시스템에대한지속적인모니터링이필요한경우 피해여부가확실치않은경우의분석 특별히격리분석을필요로하지않는경우 9

11 침해사고대응절차 초기분석및사고대응전략수립 격리분석 피해시스템을 N/W 와완전히분류 공격흔적을보존하기위해디스크이미지생성, 복사 부팅가능용 CD 의활용 When? 공격의피해가계속확산될경우 여분의시스템이있어계속분석을원할때 라이브시스템분석이후해당파일시스템을상세분석하고싶을때 공격흔적보존을위한피해시스템을훼손치말아야할때 10

12 침해사고대응절차 상세분석 사고발생원인및공격방법 사고발생시간 사고발생범위 피해범위 공격자출처 공격목적 사고복구를위한긴급조치와장기조치방법 11

13 CERT 의일반적인실수들 조급해하지않는다. 가능한많은침입흔적을있는그대로보존한다. 많은관리자들은다음과같은실수를자주한다. 분석전미리보안패치를한다. 분석과정에서수집된데이터를피해시스템에저장한다. 해킹과관련된파일을삭제한다. 해킹과관련된프로세스를종료시킨다. 분석하는모든과정을기록한다. 분석방법, 분석시간그리고해당분석을한이유등가능한모든내용을적는것이좋다. 각침입흔적에대한설명과발견된위치, 시간등을기록하고보존한다. 시스템로그, 침입차단시스템및침입탐지시스템의로그 분석과정에서생성된기록들 피해시스템에서발견된파일 해당사고와관련되어다른사이트에서발견된흔적들 사고와직접적으로관련되지않은사람에게관련정보를공개하지않는다. 12

14 침해사고대응절차 모니터링, 사고대응및복구 모니터링 공격자또는공격프로그램에대한지속적인모니터링 공격자가눈치채지못하도록하는것이중요 네트워크, 시스템모니터링 사고대응및복구 취약성제거 피해시스템복구 관련자통보 13

15 침해사고대응절차 보고및피드백 취약점은제거되었고정상적인서비스운영에필요한데이너타파일이 복구되었는가? 사고와관련된모든담당자에게사고분석결과가통지되었는가? 사고분석결과가문서화되었는가? 사고와관련된모든로그파일과분석기록, 침입흔적을안전하게저 장하였는가? 향후유사한사고를예방하고탐지하기위한조치가취해졌는가? 사고분석결과가현재의보안정책또는보안대책에피드백되었는 가? 14

16 분석실무 피해시스템분석절차 분석준비 초기분석 사고대응전략수립 상세분석 알려진공격방법분석, 변조된파일분석 타임라인분석, 삭제된파일분석, LKM Rootkit 분석 로그파일분석 해킹프로그램분석 15

17 분석실무 초기분석및분석방법 초기분석 시스템환경정보, 프로세스정보, 네트워크상태정보, 열려진모든파일, 로그인사용자정보, 주요설정파일 /proc 파일시스템, 로그파일, 파일시간속성정보, md5sum, 피해시스템스캐닝 분석방법 라이브파일시스템분석 복사본분석 분석전용부팅매체를이용한분석 알려진공격방법분석 변조된파일분석, MAC time 분석, LKM 분석 16

18 분석실무 초기분석및분석방법 로그흔적의종류 로그파일전체가삭제된경우 공격자는로그파일의전체또는눈에보일정도로삭제한다. 단지호기심으로공격했으며지속적으로사용하지않을가능성이크다. 혹은로그파일을다룰줄모르는초보공격자일수있다. 공격흔적인너무많은경우 무수히많은스캔공격이나침입흔적을발견하게된다. 추적하고있는공격대상이없어지는것과같은상황이다. 이런시스템은다른공격자들에게이미알려져있을가능성이크다. 공격흔적이없는경우 침해사고를당한것은확실한데어디에도흔적은없다. 피해시스템이지속적으로공격에사용되었을가능성이크다. 17

19 분석실무 피해시스템분석도구 The Coroner s Toolkit (TCT) Sleuthkit / Autospy Chkrootkit 분석전용부팅매체 F.I.R.E (Forensic and Incident Response Environment) Penguin Sleuth Kit Snarl 18

20 분석실무 사고대응및복구 초기대응조치 초기분석결과에따라긴급대응을하거나대응방향을설정 피해범위파악 피해시스템이외의추가적인피해확인 피해시스템복구 피해시스템의복구와사이트전반에걸친보안대책마련 공격사이트대응 공격사이트및다른피해사이트에해당사실통보 분석보고서 사고노트작성및배포를통해차후비슷한유형의사고방지 19

21 분석보고서 문서화 예시 (1) 사고노트의내용예시 개요 공격대상및영향 사고설명 피해시스템확인방법 대책 참고자료 20

22 분석보고서 문서화 예시 (2) 상세사고분석보고서내용예시 개요 초기분석결과 상세분석결과 피해시스템복구및대응방법 의견 참고자료 21

23 CERT 구성 구성개요 목적및업무범위정의 : 서비스대상및범위선정 공지및연락처확립 홈페이지, , 도메인이름 /IP 주소등록 인력구성및체계수립 조직내에서의사고대응팀체계 대외관계에서의사고대응팀체계 제공서비스정의 해킹사고 / 취약성공지및경고 사고처리서비스 취약성관리서비스 장비및소프트웨어확립 22

24 CERT 구성 SMB-CERT 제언 경영진의정보보호전담인력및팀구성에대한인식 정보보호전담인력및팀구성 Small 기업 : 전담인력 1 명이상 (IT 조직및관련조직의실무자급 ) Medium 기업 : 2 명이상으로구성된전담팀 ( 실무자및책임급 ) 구성 침해사고대응을위한체계구축 침해사고인지 : 정보보호실무자 책임자 경영진 침해사고자체분석및외부상담 / 신고여부파악 자체분석결과문서화및외부기관에관련사고조치에대한협조요청 민간대응을원하는경우는한국정보보호진흥원 (KISA) 협조요청 법적대응을원하는경우는사이버테러대응센터또는 NCSC 협조요청 사고결과및향후대응을위한 CERT 보고서 작성및종결 23

25 사이버세상, 안전하고깨끗하게... 24

CSO/CPO

CSO/CPO 산업기밀유출과정보보안전문가활용방안 서울디지털대학교컴퓨터공학부류동주 mipv6sec@paran.com 목 차 I 침해사고및기업정보유출사례 II 기업의정보보안전문가의필요성 서울디지털대학교컴퓨터공학부정보보안특강 1 I 침해사고및기업정보유출사례 - 침해사고사례 -기업정보유출사례 - 정보보호피해현황 - 정보보호사건 / 사고, 누가일으키는가? - 국내대기업의유출사례 -