산업기술유출방지및정보감사를위한 디지털포렌식의이해와적용 더존포렌식센터 1
디지털포렌식정의와시장동향 2
디지털포렌식의정의 01011 01000 11001 11110 3
디지털포렌식기술? 데스크탑검색 윈도우 OS기본제공검색주기적인색인으로인한시스템부하 ( 색인을미리안한경우검색속도매우느림 ) 삭제된파일에대한검색기능없음 ( 키워드 ) 색인을했을경우라도색인된데이터가삭제된경우도있어검색신뢰도가정확하지않음파일명중심검색으로파일의위치를주로찾기위해사용함. 사용자의파일삭제은닉이매우용이함. 디지털포렌식분석 디지털포렌식전문솔루션을이용검색삭제및유실파일에대한데이터복구가능 ( 카빙 ) 파일본문내지정된키워드검색가능 ( 비할당영역 ( 삭제 ) 의키워드검색가능 ) 검색파일에대한해시값 (MD5, SHA1) 추출로파일에대한무결성보장파일의삭제, 접근, 생성, 수정이력을타임라인기준으로검색검색결과에대한자동분류및복원 USB, 외장하드등특정외부장치가연결된시점에대한분석 (LNK파일분석) 문서및압축파일, 디스크패스워드해독가능다양한파일시스템지원사용자행위분석을위한다양한정보제공 4
디지털포렌식도입 수사기관측면 피의자사건개요 ( 디지털포렌식활용개요 ) 처분 A 외 1 명 ( 인천지검 ) B ( 인천지검 ) C ( 부천지청 ) D ( 인천지검 ) E ( 인천지검 ) 국내원자력발전소용주요부품인댐퍼제조기술해외유출사건에서컴퓨터파일복구, 디지털증거이미지획득작업및분석등을통해유출된설계도면의원본과의동일성입증사행행위등규제및처벌특례법위반사건에서피의자의휴대전화모바일분석을통하여사행성게임기를촬영한사진, 문자내역등을추출함으로써혐의입증피의자의직원 5명이피의자회사사무실에침입하여보안장비등을절취하였다고고소한사건에서, 피의자가조작하여제출한포맷된 CCTV 원본하드디스크에서이미유실된 CCTV 녹화영상을 DVR File System 및파일스트럭쳐분석을통해복구및재생하여사건의진실을밝힘내연남에의한강간고소사건에서내연기간중사용했던고소인과피의자의각휴대전화문자메시지내용을복원하여고소인주장의신빙성을배척하는데활용강간및공갈고소사건에서피의자가고소인에게공갈내용의통화를할무렵고소인이피의자에게보낸문자메시지내용을휴대전화모바일분석을통해추출함으로써혐의입증 2010. 11. 17. 1 명구속기소 1 명불구속기소 2010. 12. 19. 구속기소 2011. 3. 2. 구속기소 2010. 7. 22. 혐의없음 2011. 4. 5. 구속기소 5
디지털포렌식도입 기업의측면?? 6
산업기밀유출대안 기업. 산업기밀유출및지적재산권침해소송증가로인해서기업의디지털포렌식에대한관심증가 최근 5 년간산업기술유출시도 203 건에피해액추정 235 조규모 ( 국정원 ) 이며대부분의기술및영업비밀의유출사건은퇴직자및 내부의소행에의해이루어지고있다. 직장인들의잦은이직과위장취업, 산업스파이로인한피해의증가로피해규모는더욱 커질것으로전망하고있다. 7
공공 / 수사기관의디지털포렌식확산에대응 수요자 : 수사기관중심 민간기업및개인 매체 : 컴퓨터디스크 멀티디바이스 용도 : 범죄조사 ediscovery 8
개인정보보호법대응 9
형사소송법개정영향 압수대상 출력 / 복제가불가능할경우제한적압수 압수범위 의심할만한정황이있고해당사건과관계가있다고인정할수있는것에한정하여압수 압수물처리 소유자, 소지자등의신청이있을경우수사기관이압수물을환부또는가환부 10
전자소송시대의도래 소장을비롯한소송서류가전자문서의형태로작성 제출 보존되는소송방식미국, 싱가포르독일에서실시중 2010.03.24 민사소송에서의전자문서이용등에관한법률 공포 / 시행 2010.04.26 특허법원전자소송시행 2011.05.02 민사소송 1단계실시 : 민사소송법, 민사조종법, 특허법본안사건전자소송실시 2012.01.02 민사소송 2단계실시 : 민사소송법, 민사조종법, 특허법각종신청사건전자소송실시 2012.05.07 가사, 행정도산사건전자소송실시 ( 예정 ) 2013.05.06 집행. 비송사건전자소송실시 ( 예정 ) 소송에대한진입장벽이낮아짐에따라전자문서생성, 검증및관리를위한디지털포렌식 /ediscovery 관련기술각광예상 11
E-DISCOVERY( 전자증거개시 ) 전자증거개시가요구되는경우, 소송에관련된전자적자료 (ESI, Electronically Stored Information) 가손실되지않고적절히증거제출의무를이행할수있도록디지털포렌식기술이용 디지털포렌식의데이터수집방법등을이용하여잠재적인연관성이있는 ESI가특정기간동안안전하게보존되며고의적인증거폐기가일어나지않도록보장할수있음 기업간소송외에도공정거래위원회에의한담합행위조사에의한사례또한증가추세 미국에진출한국내기업수가늘어남에따라전자증거개시를대비해야할필요성이점차커지고있음 한미 / 한일 FTA와같은시장개방에따른대안마련의필요성 ( 기술복제국가에서기술보유국가로의변화 ) 12
ANTI- 포렌식 안티포렌식, 디지털포렌식을방어또는회피하기위한기술 전통적인물리적파손 ( 펀칭, 분쇄, 용해 ) 강력한자기장을이용한디가우징 (Degaussing) 난수나 0 으로데이터를덮어쓰는와이핑 (Wiping) 소프트웨어방식의정보삭제도구데이터은닉을위한스테가노그래피자동및원격데이터삭제도구디스크 / 파일암호화 13
포렌식준비도 14
디지털포렌식관련이슈 포렌식업계의영세성 수사환경의변화 디지털포렌식분야 / 제품의전문화 포렌식솔루션개발증가 개발, 운영인력난 기업의디지털포렌식수요 멀티 & 비표준디바이스 악성코드및 APT 대응 형사소송법 보안솔루션과의융합 개인정보보호법 공인자격증제 15
디지털포렌식기술적이슈 SSD 는웨어레벨링 (Wear Leveling) 알고리즘을통해드라 이브전체상에존재하는블록의사용율을균일하게조절하 기때문에데이터복구의한계와예측이힘들다. 로그분석중심의서버포렌식은최근디도스봇, 스턱스넷과멀웨어가서버내에서유발한이상행위에대한분석의필요성이대두되고있음, 통합로그분석, 연관분석과융합추세 네트워크포렌식은패킷을대상으로포렌식을수행하는것 으로 DDOS BOT 또는 APT 공격에대한행위분석과사이 버테러에대비하여최근관심이높아지고있음. ERP를비롯한재무프로그램의데이터베이스와연관메타데이터, 이메일등의데이터를대상으로한데이터베이스포렌식분야에대한수요가증가하고있으나기술적난이도가높고벤더의협조가부족한현실임 스마트폰의폭발적인보급과다양한기능으로인해스마트 폰포렌식에대한이슈가증가, 국내스마트폰분석은일부 업체에서상당한수준에서진행 ( 수사기관에제한적판매 ) 디지털가전의확산과비표준화된저장매체의증가로 수집대상과분석매체가확대되고있음. 휴대형 SSD, 블랙박스, 네비게이션, MMP, ipad 등 클라우드환경에서는다양한논리적물리적저장공간이존 재하고데이터변경과삭제, 저장, 유통과정의복잡성으로 인해포렌식조사시타임스탬프의신뢰를갖기가어렵다. 테라바이트급디스크의사용화시대도래대용량하드디스크의보급과용량의증가 1인다매체소유이로인한데이터카빙, 백업, 분석효율의저하 16
디지털포렌식도구 원본디스크에손상이나변경이가해지는것을방지 디스크복제및 이미징도구 하기위하여증거물인원본디스크를물리적으로 동일한형태로다른디스크에복제하거나, 미러이미지파일을생 성하기위한도구 데이터무결성 도구 증거물이부당하게훼손되거나변경되지않았다는 것을검증하는도구 데이터복구및 분석도구 디스크에서삭제되거나손상된데이터를복구 분석하기위한도구 암호복구 도구 시스템이나문서파일에암호가설정되어있는경우이를알아내 기위하여사용하는도구 17
디지털포렌식도구 자료조사 도구 데이터복구나암호복구가끝난후많은문서들중에서사건과 관련이있는내용의자료를조사하기위하여사용하는도구 증거수집 도구 인터넷이나컴퓨터시스템에서증거가되는디지털데이터를 수집할때사용하는도구 네트워크및인터넷 분석도구 네트워크트래픽을모니터링하거나인터넷기반 서비스를이용하여수사에필요한정보를제공해주는도구 데이터베이스 분석도구 데이터베이스로부터필요한레코드를추출하거나삭제된 레코드를복구하기위하여사용하는도구 18
디지털증거수집시주의사항 적법절차의준수 증거능력의보존과조사행위에대한정당성확보 보관의연속성유지 증거조작의심에서자유롭기위한신뢰성확보 증거의경로및작업내역기록 (Chain of Custody) 원본증거의안전한보존및무결성유지 증거훼손이용이한전자증거의특성을고려 증거수집및분석과정의문서화 증거분석자와도구의신뢰성확보 표준화된절차와방법으로증거수집과분석 과정의적정성, 정확성, 객관성등을담보 조사자의노하우에따른분석역량의차이와검증 19
디지털증거수집방안 증거및진술확보부가증거확보외부증거확보자문및수사의뢰 직접적인증거확보 추가적인증거확보 피해사실및외부증거확보 ----------------------------------- ----------------------------------- ----------------------------------- PC, 노트북, 외부저장장치등 ----------------------------------- 그룹웨어, 메일, ERP로그등 ----------------------------------- 경쟁사영업제안서, 이직사실등 ----------------------------------- 1 차. 사실파악디지털포렌식전문기업 디지털포렌식을활용하면삭제된증거를비롯한 USB의활용의도적인파기, 전송, 훼손에대한관련자료를추적할수있으므로초기진술을확보하여향후 사용자가사용했던이메일및사내인트라넷의계정과로그, DB 등을확보하여기존확보증거와의연관성을분석하여야함또한내부시스템을통한 IP 및 기업기밀의유출에대한대부분의인지시점은내부핵심인력의경쟁사취업또는카피제품의출시등으로인지하는것이일반적영업자료, 파일, 제품등에대한 2 차. 자문및상담기술유출신고센터, 협회등 3 차. 수사의뢰경찰및검찰 ( 첨수부 ) 등 소송에대비와공모등에대처 MAC Add 수집로그를확인 외부증거확보노력이필요 20
정보감사의필요성증가 21
기업의디지털포렌식을활용한정보감사 22
기업내도입시고려사항 비용부문 디지털포렌식랩구축시필요사항 사고대응 정보유출사고후포렌식분석의문제점 23
정보감사솔루션 통합관리솔루션 관제솔루션 개인관리솔루션 감사솔루션 S/Agent 기반의정보관리솔루션 S/Agent 기반의 개인이정보및문서관리, 보호 정보보유및유출감사 실시간감시및유출방지 정보모니터링시스템 정보관리주체가개인 정보보호을위한예방적감사 DLP + DRM + 관제 정보추적및관제 설치형독립프로그램 정보감사도구 C C C C C C D D C S C C S C D C A/S D C C C C C C D 24
디지털포렌식분석절차및환경 수집단계저장단계분석단계보고단계 내부정책 - 보안서약서 - 매체감사확인서 - 매체봉인지 디스크복제및쓰기방지 - Dossier - Write Protector - Forensic Workstation 사전분석툴 : 포터블 / 자동화 정밀분석툴 : AD FTK - 분석결과보고서작성 - 증거파일첨부 - 분석소견서 ( 법정용 ) - 매체공증 ( 변호사 ) - AD1, E01, AFF, Smart - 절차녹취 ( 영상, 이미지 ) 이미지저장 25
디지털포렌식을활용한정보감사 監視단속하기위하여주의깊게살핌. 감시의범위와기능은 제한적으로작동함 보안영역 ( 울타리 ) 의안전성에의존 監査 감독하고검사함. 시스템의취약점또는권한을이용하여통상감시자가인지하지못하는상태또는장소, 방법으로범죄가이루어지기때문에감사는시스템중심이아닌사람중심으로이루어져야함 ( 환경분석, 행위분석, 사용자패턴분석을위한다양한정보필요 ) 감시는데이터에대한보관, 유통에초점을맞추지만감사는유출행위에대한분석에초점이있음 ex) 기밀파일에대한불법적인유통과보관여부만가리는것이아니라해당파일을생성과복제, 은폐, 훼손에대한흔적을추적하고고의성과위법성의여부등행위분석에초점. 26
감사사례 구분분석결과 기술정보유출사례영업기밀유출사례기밀자료훼손사례기밀문서무단복제네트워크유출흔적소유정보확인분석사전감사 퇴직자가퇴직시소유의노트북및 PC의데이터를외장하드및 USB를이용하여복제및반출여부확인메일을통한영업기밀의유출과기밀문서에대한첨부전송여부분석및첨부파일복구데이터삭제도구의사용흔적과고의적인훼손여부확인기밀문서및도면, 기획서등의자료에대한메타데이터분석을통한자료의위변조및복제증거획득. 웹하드및기타웹사이트접속을통한정보유출분석및공유네트워크를통한우회유출흔적분석해당매체의사용자확인및 OS설치정보확인감사대상매체에대한사전감사를통해불필요한정보의포함여부를사전에분석 (ex. 재무감사시영업정보포함여부 ) USB 및외장하드접속및데이터전송흔적분석 - 레지스트리및윈도우시스템로그분석 - 링크파일분석 ( 예, 최근열어본문서의바로가기파일 ) e메일전송흔적및첨부파일복구분석 - 아웃룩데이터파일 (PST, OST) 분석 - 기타메일데이터베이스파일의복구분석삭제도구사용흔적과삭제데이터복구분석 - 레지스트리및프리패치 ( 실행프로그램작동흔적 ) - 데이터카빙을통한삭제데이터복구원본문서작성자와관련문서위, 변조여부분석 - 도큐먼트메타데이터분석 - 해시함수를이용한파일무결성분석 - 퍼지해시를이용한파일유사성검증웹사이트접속내역분석과공유네트워크접속흔적 - 웹브라우저사용흔적분석 ( 임시인터넷폴더분석 ) - 네트워크관련레지스트리분석 OS설치정보확인및타임라인분석 - 시계열분석을통한정황분석 - OS아티팩트분석을통한설치정보분석의도하지않는사내기밀자료유출에대비 27
활용방안. 보안정책위반자감사 ( 직원보안수준감사 ) DIGITAL FORENSIC AUDIT SYSTEM 28
활용방안. 퇴직자감사업무의강화 DIGITAL FORENSIC AUDIT SYSTEM Issue 1 퇴직자 HDD 관리시스템 Issue 2 HDD Information Collector 29
활용방안. 퇴직자 HDD 관리의개선 DIGITAL FORENSIC AUDIT SYSTEM 신청단계공증단계수집단계 저장단계 자체분석단계추가 퇴직자발생이슈 재직자감사이슈 보안각서및매체감사동의 ( 확인 ) ( 필요시공증 ) HDD 이미지복제를통한데이터수집 데이터인덱싱및저장 유출의심 정밀분석의뢰 Storage 수사기관및전문업체의뢰 30
활용방안. 예방적사전감사의도입 DIGITAL FORENSIC AUDIT SYSTEM < 예방적사전감사도입장벽 > 감사업무에대한직원들의부정적인고정관념장시간의감사업무로인한업무방해감사결과및절차에대한불신피감사활동자체에대한불안및거부감 단시간내에정보감사완료 HDD회수등의절차없이현장감사가능업무중감사가가능피감사자와감사중결과조회가능선감사후분석을통해다수에대한기본감사후문제가되는직원을선별하여분석가능 31
활용방안. 파견 / 외부근로자정보감사 DIGITAL FORENSIC AUDIT SYSTEM 외주개발자 A 에대한행위분석 1. 조사시간 : 빠른검색 30분소요 2. 조사범위 : 타임라인검색 3. 조사결과 - 프로젝트완료 2일전오후소스파일삭제 - USB를연결하여프로젝트압축파일복사 - 웹하드접속, 본사에메일 4건발송 32
활용방안. 부정행위자감사및사고대응 DIGITAL FORENSIC AUDIT SYSTEM < 활용예 > DFAS를활용한실제사례. 2011년 12월영등포소재첨단도료개발업체 A사 - 개발팀장이경쟁사로이직후 A사의카피제품을생산으로기술자료유출에대한의심으로분석의뢰 - 사용했던노트북을대상으로휴대형감사툴로정보감사시행 ( 총조사및분석시간약 40분소요 ) < 결과 > USB접속이력, 타임라인분석, 외부저장장치연결이력, 최근열어본문서볼륨위치확인, 키워드검색으로원재료배합비불법유출흔적확인후증거보존및경찰에수사의뢰 33
활용방안. 자가감사 (Pc Clean-up Solution) DIGITAL FORENSIC AUDIT SYSTEM? 수많은보고자료와첨부자료가쌓여서나도어디에무엇이있는지알수가있나! 감사팀직원들에게공개하기어려운정보나기밀정보는어떻게하지? 최상위레벨의보안감사를하위레벨의보안인력에게의존한다? 불필요한정보를삭제해도다시복구가가능하다는데확실한방법은없나? 1. 키워드검색을통해서문서내용을검색 4. 특정자료에대한검색과암호화 / 완전삭제 2. 외부감사가불가능한경우자체감사수행 5. 사내 / 외부정기감사에대비한사전자가진단 3. 임원스스로자신의정보현황을한눈에파악 6. 개인수준의최상위보안상태유지 34
활용방안. 개인정보보호법준수감사 DIGITAL FORENSIC AUDIT SYSTEM 자신도모르게개인정보를축적하고저장하고있다가 도난, 분실, 해킹으로유출되어피해를입거나불법수집으로간주됨 업무상작성한문서나전송받은자료에포함되어있는 개인정보를확인하여불필요한정보를삭제하거나암호화해야함. 보유기간이지난개인정보및관리권한이없은개인정보는 반드시파기하여야함. 35
활용방안. 사내정보감사의기술적역량확보 DIGITAL FORENSIC AUDIT SYSTEM 01011 01000 11001 11110 시스템정보분석 사용자정보분석 타임라인분석 시스템기본정보분석 사용자계정정보 윈도우아티팩츠타임라인분석 시스템온 / 오프시간분석 방문웹사이트정보 파일 MAC 타임타임라인분석 네트워크정보분석 포털검색어 타임라인을통한행위분석 설치프로그램내역분석 최근열어본문서 공유폴더내역분석 최근실행한프로그램 자동실행프로그램내역분석 실행한명령어 외장형저장장치연결내역분석 36
기타. 디지털포렌식감사기능의다양한활용 디지털포렌식기반의 산업기밀및개인정보유출감사솔루션 DIGITAL FORENSIC AUDIT SYSTEM 37
결론 디지털포렌식준비도 1. 정보감사에대한목적과운영방안을수립해야함. 2. 사내정보감사를위한기본적인규정과절차, 제도를수립해야함. ( 권한부여 ) 3. 수립된규정과절차에대한실효적인시행방안과시스템을도입하여야함. 4. 디지털증거의확보와정보감사를위한인력 ( 기술 ), 전담부서를운영해야함. 5. 사고발생에대비한기술적, 법적인자문과공증을위한준비를갖추어야함. 6. 임직원의업무환경변화에능동적으로대처할수있는꾸준한개선 38
참고사항 39
Forensic@Duzon.com 02-6233-2071~5 40
감사합니다. 41