- 출처 : 그림으로 배우는 보안구조
11. 증거를 보전한다.
증거가 되는 기록을 남기는 것의 중요성
- 로그를 사용하면 공격의 흔적을 남일 수 있지만, 그 로그에 대한 신뢰성이 요구되는 경우가 있다.
- 만약 로그의 신뢰성이 유지되지 않는다면 재판에서 증거로 사용할 수 없다.
- 예를 들어, 회사 내부 컴퓨터에 부정하게 접속된 경우 해당 로그를 조사한다.
- 로그가 발견되어도, 그 로그를 회사 내부 사람이 임의로 고쳤을 가능성이 있다면 신뢰할 수 없다.
- 포렌식
- 컴퓨터 관련 범죄나 법적 분쟁이 생겼을 때 기기에 남아있는 로그 뿐만 아니라 저장되어있는 데이터 등을 수집, 분석하고 원인을 규명한다.
- 컴퓨터 및 디지털 데이터로 처리하므로 컴퓨터 포렌식, 디지털 포렌식으로 불리고 있다.
- 분석한 결과는 법적 증거로 인정되는 경우도 있으며 범죄 수사에 사용되고 있다.
- 컴퓨터 포렌식에 도움을 주는 전용 도구도 등장하고 있는데, 증거 능력을 보유한 분석 보고서를 만들 수 있다.
포렌식 관련 주의점
- 컴퓨터는 부팅되는 것만으로도 일부 데이터가 갱신되어 버린다.
- 이때문에 포렌식 할 때 컴퓨터에 해당 컴퓨터에서 작업하는 것은 일절 금지되어 있다.
- 데이터 분석에는 특수 장비를 사용하여 저장 장치를 복제한 저장장치 사본을 사용한다.
- 또한 시간이 지나면 로그를 삭제할 가능성이 높아질 뿐만 아니라 다른 증거를 수집하는 것도 어렵게 된다.
- 공격이나 의심스러운 활동에 주의를 기울이는 경우에는 가능하다면 신속한 대응이 요구되고 있다.
- 기업에서는 퇴직자 컴퓨터를 초기 상태로 만들어 다른 사람이 사용하도록 하기도 하지만, 데이터가 삭제되어 버리면 조사할 수 없기 때문에, 퇴사자가 주요 인물인 경우에는 증거 보전을 검토한다.
포렌식의 대상
- 컴퓨터의 데이터 복구, 조사, 분석
- 컴퓨터와 서버간 접속 기록에 관한 로그 조사
- 서버와 외부 네트워크간 접속 기록에 관한 로그 조사
포렌식의 흐름
- 데이터 수집
- 보통 때의 데이터 파악
- 인시던트 탐지
- 증거 보전
- 조사 대상자의 디스크를 확보
- 통신 장비의 로그 확보
- 증거 분석
- 파일의 위, 변조
- 의심스러운 처리 조사
- 통신량 등의 파악
Point
- 컴퓨터에 저장되어 있는 데이터와 로그가 법적인 증거로 인정되기 위해서는 포렌식이 필요하다.
- 컴퓨터가 부팅되면 데이터가 다시 기록되기 때문에 최대한 신속한 증거의 보존이 요구된다.
12. 모바일 기기 관리
모바일 기기를 일괄적으로 관리하는 "MDM"
- 스마트폰이나 태블릿 PC는 컴퓨터와 같은 기능을 제공한다.
- 고속 네트워크가 보급되어 출장지에서도 고객 정보 및 상품 정보 등에 접근할 수 있는 환경이 갖추어졌다.
- 하지만 편리한 반면, 분실이나 도난 등으로 인한 위험이 어느때보다 높아지고 있다고 말할 수 있다.
- 모바일 기기의 보안을 생각할 때 MDM(Mobile Device Management)이라는 단어가 자주 사용되고 있다.
- MDM 도구에서는 단말기 정보의 백업이나 복구, 분실 시 원격 잠금이나 초기화, 어플리케이션 배포 및 갱신, 위치 정보의 취득이나 가동 이력의 표시 등을 중앙에서 관리할 수 있는 기능을 제공한다.
종업원의 단말기를 사용하는 "BYOD"
- 기업이 제공한 단말기 이외에 직원이 개인적으로 보유하고 있는 스마트폰이나 태블릿 PC 등 모바일 기기를 업무에 사용하는 것은 BYOD(Bring Your Own Device)라고 한다.
- 지금까지 업무에 사용하는 것뿐만 아니라 사내에 반입하는 것 자체를 금지했던 기업도 적지 않다.
- 그러나 전화와 메일, 스케줄 관리 등 개인 모바일 기기를 사용하는 것이 효율적이라고 생각하게 되었다.
- 기업은 단말기 구입 비용이 절감되고 개인에게도 여러 단말기를 가지고 다닐 필요가 없으며 익숙한 단말기를 사용할 수 있는 장점이 있다.
- 한편, 개인이 반입한 단말기에 기밀 정보가 저장되면 정보 유출의 위험이 높아진다.
- 그래서 도난이나 분실, 기밀 정보의 인위적인 반출, 소프트웨어 갱신 누락, 바이러스 감염 등 위험을 제대로 이해한 후 관리하는 것이 요구되고 있다.
Point
- 직원들에게 배포한 모바일 단말기를 중앙에서 관리하기 위해 MDM 도구가 사용되고 있다.
- BYOD는 직원이 여러 대의 단말기를 가지고 다닐 필요가 없고 기업의 단말기 구입 비용을 절감하는 장점이 있지만, 보안 측면에서 위험도 적지 않다.
13. 정보 시스템 부서가 파악할 수 없는 IT
임의의 클라우드를 이용하는 것은 위험
- 조직이 어느정도 규모가 되면 IT에 관한 업무는 "정보 시스템 관련" 부서가 담당한다.
- 사내에서 사용하는 시스템의 설계와 구축 뿐만 아니라 네트워크 관리 및 운영도 한다.
- 그러나 최근에는 편리한 클라우드 서비스가 속속 등장하고 있어 IT 부서와 관계없이 이용할 수 있게 된다.
- 예를 들어, 파일 공유 서비스나 온라인 메일 서비스, 작업관리 및 일정관리 도구도 쉽게 사용할 수 있다.
- 이것은 편리한 반면, 보안을 감안할 때는 바람직하지 않다.
- 기밀정보나 개인정보가 클라우드에 저장되어 공유되는 경우, 정보 유출로 이어질 가능성이 있다.
- 이처럼 조직이 관리하고 있는 시스템 이외의 서비스를 직원이 임의로 이용하는 것을 "섀도우 IT"라고 한다.
- 이를 방지하기 위해서는 규칙을 정하는 것뿐만 아니라 편안하게 업무를 할 수 있는 환경을 사내에 준비하는 것도 필요하다.
관할 부서의 차이에도 주의
- 클라우드 서비스 이외에도 정보 시스템 부서가 모르는 IT기기가 이용되는 경우가 있다.
- 예를 들어, 문서를 인쇄할 때 사용하는 복합기기는 많은 부서에 설치되어 있다.
- 이러한 장치는 총무 부서가 관리하는 경우가 많아 정보시스템 부서가 모르는 사이에 구매될 수 있다.
- 그렇게 되면 초기 패스워드가 변경되지 않는 등의 문제가 발생한다.
- 3-10에서 설명했듯이 최근에는 라우터와 네트워크 카메라 IoT 기기를 포함해서 이와 같이 부적절하게 관리되고 있는 기기를 겨냥한 공격이 증가하고 있으며, 보안상의 위험으로 부상하고 있다.
Point
- 직원이 임의로 사용하는 클라우드 서비스 등을 섀도우 IT라고 하는데, 편리하지만 정보유출의 위험이 존재한다.
- 적절한 관리자에 의해 운용되고 있지 않은 기기는 설정이 적합하게 되어있지 않은 경우가 있기 때문에 주의가 필요하다.
개발 글 싸개