CISSP IT보안이론 요약: 사건과 윤리

1. 조사

• 심각한 보안사고가 발생 할 경우 조사관은 적절한 절차를 준수하는 것을 보장하여야 한다.

 

증거

허용증거(요구사항)

• 사실결정에 관련이 있어야 한다.
• 확인하고자하는 사실은 자료로 제출되어야 한다.
• 증거는 합법적으로 획득이 되어야 의미가 인정된다.

증거의 종류

• 실제 증거: 실제로 법정에 가져 갈 수 있는 것. 컴퓨터의 HDD, 지문이 묻은 키보드 등
• 증거 서류: 사실을 증명하기 위해 법정으로 가져가는 서면 항목
  • 법정절차에서 증거로 사용 될 경우 원본문서가 제출 되어야 함
  • 당사자간의 계약이 서면에 포함 될 때, 문서에 서면계약을 수정할 수 있는 조건이 없고, (당시의)구두계약을 포함하고 있으면 구두증거 배제의 법칙이 성립된다.
• 증언 증거: 증인이 법정에서 구두 증언을 하거나 녹취록을 서면으로 증언 하는 것.
  대부분의 증인은 직접적인 관찰에 근거한 주장과 증거를 제공하고, 특정분야의 전문가로 접수 된 경우 개인적 지식과 사실을 기반으로 전문가적 의견을 제공한다.

증거수집과 법정절차

• 디지털 증거 기술자 6가지 원칙
  1. 증거를 다룰 때, 일반법정의 절차적 원칙을 모두 적용
  2. 증거를 압수하면 수행한 작업에 대해 그 증거를 변경하지 마라
  3. 디지털 증거 원본에 접근할 필요가 있는 경우, 그 사람은 목적에 맞게 훈련돼 있어야 한다
  4. 증거를 다루는 모든 활동은 문서화되어 보존 검토 되어야 한다.
  5. 증거를 소유하는 동안에는 증거에 취한 모든 행위의 책임이 있다.
  6. 압수증거를 다루는 모든 기관은 이 원칙을 준수 할 책임이 있다.
• 매체 분석: 저장 매체의 라이브 분석, 포렌식 이미지 분석, 삭제된 파일의 복구
• 네트워크 분석: 휘발성 특성으로 재구성이 어렵다. 네트워크 활동로그에 의존한다.
  • IDS(IPS)로그, 모니터링 시스템에서 수집된 네트워크 패킷, 사건이 발생되는 동안 의도적으로 수집한 패킷, 방화벽·네트워크 보안장비의 로그
• 소프트웨어 분석: 애플리케이션 내에서 발생하는 활동을 검토. 악성코드,취약점 검토 수행
• HW/임베디드 디바이스 분석: 조사를 하는 시스템에 대한 전문적인 지식을 지녀야 한다.

 

조사과정

팀구성 → 사고대응정책에 따라 운영 → 조사범위를 명확히 한 권한부여

법집행 참여

• 사법당국이 참여 할 경우 고위 관리공무원을 포함 하여야 한다.
• FBI의 국립컴퓨터 범죄팀 개인자격 요건:
  • 컴퓨터 과학 학위
  • 산업·교육 기관 경험
  • 기본·고급 상업교육
  • 기본 데이터·통신네트워크 기술
  • OS 경험
• 당국 참여 기피원인
  1. 조사 공개가 회사에 피해를 주는 경우
  2. 법집행기관은 법적 요구사항을 준수하여 조사 하여야 함

조사실시(주요원칙)

• 시스템은 오프라인 상태에서 백업을 하고, 백업을 사용하여 조사한다.
• 보복공격은 하면 안된다.
• 의심스러운 상황은 지원부서에 문의 한다. 사법기관의 지원을 원치 않으면 민간조사기업에 문의한다.
• 조사과정은 비공식 인터뷰로 시작하는 것이 좋다

 

2. 컴퓨터 범죄의 주요 범주

컴퓨터 범죄가 포함되는 일반적인 범죄 분류

1. 군사 및 정보 공격
2. 업무 공격
3. 금융 공격
4. 테러리스트 공격
5. 원한 공격
6. 스릴 공격

 

군사 및 정보 공격

• 법 집행 기관이나 군사 및 기술 연구소의 비밀과 제한된 정보를 얻기 위해 주로 시작됨

업무 공격

• 불법적으로 조직의 정보를 얻는데 초점

금융 공격

• 불법으로 돈이나 서비스를 획득하기 위해 사용 됨.

테러리스트 공격

• 정상생활을 방해하고 공포를 주는 것이 목적
• 모든 테러 공격의 이전에는 정보수집이 발생한다.
• 주로 발전소, 통신제어, 전력분배 조절 시스템이 목표가 된다.

원한 공격

• 개인이나 조직에 대한 원한이 동기가 되어 공격을 하는 것

스릴공격

• 단순한 재미를 위해 공격하는 것

 

3. 사고처리

적절한 사고처리의 첫 단계는 사고발생을 인식 하는 것

*이벤트(Event): 일정기간 동안 일어난 일
*사건(Incident): 조직의 데이터에 CIA에 영향을 미친 이벤트
 

사건의 일반적인 유형

스캐닝

• 더 심한 공격을 하기 전의 정찰 공격
• 거부 트래픽 기록, 로그파일 저장으로 증거 확보

손상

• 시스템에 대한 무단접근
• 데이터의 비정상적인 수정·이동·누락, 변경된 타임스템프 등으로 감지를 할 수 있다.

악성코드

• 바이러스, 스파이웨어 등
• 악성코드 스캐너 구현 및 최신 DB유지.
• 외부코드 도입관리

서비스거부

• 하나 이상의 서비스가 사용 될 수 없는 것
• DoS트래픽을 거부하는 것은 가능하나 복잡한 DoS공격은 방어가 어렵다

 

대응팀

- 컴퓨터 사고 대응팀(CIRT), 컴퓨터 보안사고 대응팀(CSIRT)

책임

• 사고에 의한 금액과 손상의 범위를 결정
• 사고 중 기밀정보가 손상 됐는지 여부를 확인
• 보안원복, 피해복구를 위해 필요한 복구절차 구현
• 보안개선, 재발방지를 위해 필요한 추가 보안 대책의 실행을 감독

- 대응팀의 구성은 관리·기술을 대표하고, 보안사고에 직접적인 영향을 받는 부서의 대표들로 구성 되어야 한다.
 

사고대응 프로세스

1 단계: 탐지와 식별

• 비정상적인 활동을 감지하는 것
• IDS(IPS), 안티바이러스, 방화벽로그, 시스템로그, 물리보안시스템, 파일 무결성 모니터링 SW

2 단계: 응답과 보고

• 분리 및 봉쇄
  • 조직의 노출을 제한하고 추가 손상방지에 전념
  • 증거수집은 HW, SW, 데이터를 압수하는 것이 일반적이다.
  • 압수유형: 자발적 자수, 법원의 명령, 수색영장
• 분석 및 보고
  • 증거수집 이후 사고의 원인을 분석하고 서면보고서에 결과를 요약한다.
  • 보고서에는 의견과 사실은 구별하고, 완전히 사실에 근거하고 추정의 정도를 포함하는 결론.

3단계: 복구와 치료

• 복구
  • 조직에 발생 할 수 있는 손상을 재조정 하고 향후 유사사건의 피해를 최소화 하는 것
  • 수행내용:
    • 취약점 보완을 위해 손상된 시스템을 재구축
    • 의심되는 무결성 데이터를 대체하기 위해 백업을 복원
    • 사고분석 중 식별되는 부족한 부분을 채우기 위해 기존 보안제어를 보완하는 것
• 교훈
  • 사고 중에 자신의 행동을 검토
  • 사고대응 과정에서 잠재적 개선영역을 찾는다.

 

개인 인터뷰

• 수사에 도움이 되는 정보를 수집하는 것

*심문은 법원에서 범죄에 관여된 사람을 의심하고 수집한 정보를 사용 하려는 것

• 인터뷰, 심문 모두 전문으로 훈련된 조사관이 수행해야 한다.

 

사고 데이터 무결성과 보존

• 증거가 변경 된다면 법원에서는 인정 될 수 없다.
• 공격자에 의해서 로그파일이 수정 될 수 있기 때문에 대책이 필요하다.
• 대책
  • 데이터 변경이 허용되지 않는 중앙서버로 로그기록을 전송
  • 로그파일 삭제 보호기능
  • 로그파일에 디지털서명 활용

 

사건보고

사건보고의 문제

• 모든 사건에 대해 보고 할 경우, 이후 심각한 사고에 대한 보고가 무시 될 수 있다.
• 중요하지 않은 사건을 보고 하는 것은 더 취약한 인상을 줄 수 있다.
• 사고를 즉시 보고하지 않을 경우 조치효과와 법적조치가 어려워 진다.

- 법률이나 규정에 정의된 유형의 사건은 보고해야 한다.
- 사고가 발생하기 전에 미리 담당 직원이 법집행기관과 관계를 구축한다면 사건 보고시에 시간과 노력을 줄일 수 있다.
 

보고시에 포함 되어야 하는 정보

• 사고의 본질, 누구에 의해 어떻게 시작 됐는가?
• 언제 발생 했는가?
• 어디에서 발생 했는가?
• 공격자는 어떤 도구를 사용 했는가?
• 어떤 손상이 생겼는가?

 

4. 윤리

윤리 강령: 전문가적인 행동에 대한 최소한의 기준. 윤리적 판단 근거를 제공한다.
 

(ISC) 윤리강령

* (ISC)²: 국제 정보시스템 보안 인증 컨소시엄

전문(Code of Ethics Preamble)

• 사회 안전과 복지, 공익, 주요인물(고용인)에 대한 의무와 서로에 대한 의무가 가장 높은 윤리적 행동의 기준이 된다.
• 이 강령에 대한 엄격한 준수가 인증의 조건이다.

규범(Code of Ethics Canons)

1. 사회, 공익, 공공의 믿음, 신뢰, 사회기반시설(인프라)을 보호하라. 보안전문가들은 사회적 책임이 크다. 우리의 행동이 공익에 도움을 줘야할 책임이 있다. 
2. 명예롭게, 정직하게, 정당하게, 책임감 있게, 합법적으로 행동합니다. 진실함은 우리의 의무를 수행하는 데 필수적입니다.  조직 내 다른 사람들 또는 보안 커뮤니티, 일반 대중이 우리 지침의 정확성이나 행동 동기를 의심하게 되면, 우리는 효과적으로 임무를 수행할 수 없습니다.
3. 주요 인물(고용인)에 성실하고 유능한 서비스를 제공합니다. 우리는 사회 전체에 대한 책임도 있지만, 우리를 고용한 사람들 에게도 특별한 책임이 있습니다. 우리는 조직에서 공정하고 유능한 서비스를 제공할 자리에 있는지 확인을 하여야 합니다.
4. 직업을 발전시키고, 보호합니다. 우리가 선택한 직업은 계속 변화합니다. 보안전문가로서 최신 지식을 유지하고, 커뮤니티의 공통지식체계에 기여를 하여야 합니다.

불만(Complaint)

윤리 강령 위반 가능성을 접한 (ISC)2 회원은 공식 윤리 불만사항을 접수하여 (ISC)2에 위반 가능성 조사를 보고할 수 있습니다. 불만사항에는 위반한것으로 보이는 윤리강령 규범(canon)이 확인되어야 합니다. 또한 불만사항은 주장된 행위에 의해서 피해를 입었다고 생각되는 경우에만 접수가 됩니다. 피해를 입은 개인은 불만을 제기할 수 있고, 다음 규범 중 어떤 것과 연관이 있는지 결정하게 됩니다:

• 일반 대중 누구나 규범 1 이나 2에 대해서 불만을 제기 할 수 있다.
• 고용주나 계약관계에 있는 개인이 규범 3에 대해 불만을 제기 할 수 있다.
• 다른 전문가들이 규범 4에 대해서 불만을 제기할 수 있다. 사이버보안 전문가에 한정되지 않고, 다른 영역의 전문가들도 불만을 제기 할 수 있다.

 

윤리와 인터넷

RFC 1087에서 정의하는 비윤리적 활동

• 인터넷리소스에 무단접근 하려고 검색
• 인터넷의 사용 목적을 방해
• 작업을 통한 자원 폐기
• 컴퓨터 기반 정보의 무결성을 파괴
• 사용자의 개인정보 노출