[프로젝트] 네트워크 포렌식 개요

 

프로젝트 관련 글

 

[IT/Security] - [프로젝트] 네트워크 포렌식 증거 수집

[IT/Security] - [프로젝트] 네트워크 포렌식 패킷 분석 - 1

[IT/Security] - [프로젝트] 네트워크 포렌식 패킷 분석 - 2

[IT/Security] - [프로젝트] 네트워크 포렌식 패킷 분석 - 3

 

 

---

 

 

■ 네트워크 포렌식이란

  네트워크 포렌식은 디지털 포렌식에 포함된다고 할 수 있는 네트워크 포렌식은 그만큼 디지털 포렌식과 많은 부분이 비슷하나 포렌식의 기준이 되는 대상이 다르다고 할 수 있다. 디지털 포렌식이 일반적은 모든 디지털 데이터들을 대상으로 한다면 네트워크 포렌식은 네트워크를 기반으로 생겨난 데이터에 한정 된다.

간단히 정의를 하면 아래처럼 할 수 있다.

 

네트워크를 통하여 전송되는 데이터나 패스워드 등 데이터 트래픽을 분석하거나 접근에러로그, 네트워크 환경 등을 조사하여 수사단서를 찾아내는 분야

 

※ 디지털 포렌식 (컴퓨터 포렌식, 사이버포렌식, e-Discovery)

디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법

정보화가 고도화되면서 과학수사, 수사과학 분야에서 디지털 기기를 매개체로 한 기술이 요구됨

 

 

 

 

■ 네트워크 포렌식의 필요성

1. 데이터 증거 인정의 어려움

  디지털 포렌식의 필요성과 마찬가지로 디지털 자료는 일반적으로 복사가 쉽고 원본과 복사본의 구분도 어렵고 조작 및 생성, 전송, 삭제가 매우 용이하다. 따라서 디지털 자료가 법적 증거력을 갖기 위해서는 자료의 수집․보관․분석․보고에 이르는 전 과정에 특별한 절차와 방법이 있어야 한다.

 

 

대검찰청(디지털수사과) - 디지털포렌식 수사관의 증거 수집 및 분석 규정 (시행 2015.7.16.) 제15조 (정보저장매체 등의 압수·수색·검증) ① 압수의 목적물이 정보저장매체 등인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 압수하여야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때 또는 압수·수색 대상자 또는 책임자 등(이하 ‘책임자등’이라고 한다)의 동의가 있는 때에는 정보저장매체 등을 압수할 수 있다. ② 압수·수색의 대상인 정보저장매체와 정보통신망으로 연결되어 있고 압수·수색의 대상이 되는 디지털 증거를 저장하고 있다고 인정되는 다른 정보저장매체에 대하여 압수·수색 대상인 정보저장매체를 통하여 접속한 후 수색을 할 수 있다. 이 경우 압수·수색·검증 대상 정보저장매체가 정보통신망에 연결되어 있고, 압수·수색대상자가 정보통신망으로 접속하여 기억된 정보를 임의로 삭제할 우려가 있을 경우에는 정보통신망 연결 케이블을 차단할 수 있다. ③ 제1항 본문의 압수·수색을 행하는 경우에는 책임자등을 참여시키고, 압수·수색한 디지털 증거에 대하여 해시값(Hash Value)을 생성하여, 책임자등의 확인·서명을 받아야 한다. 이 경우 다음 각 호의 내용이 포함된 확인서를 작성하여 책임자등의 확인·서명을 받아야 한다. 다만, 확인서는 사용된 디지털포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다. -후략-

 

 

  특히 네트워크 데이터들(패킷, 로그)은 휘발성이 강해 더욱 증거를 수집하고 인정받는데 어렵고, 많은 데이터 량으로 인해 분석하여 증거로서의 가치를 만들어 내는 점이 중요하다.

 

 

2. 증가하는 네트워크 보안 위협

  최근 APT나 DDoS 등의 공격들이 증가 되었다. 그에 따른 보안이 화두가 되고 있고, 속속들이 벤더들이나 보안회사에서 네트워크 포렌식을 이용한 솔루션, 장비들을 개발하고 있다.

 

※ APT(Advanced Persistent Threat, 고도화된 지속적 위협)

  2010년 1월, 구글은 중국으로부터 시작된 고도화되고 정밀한, 타깃형 공격의 피해자가 되었고, 그 결과 민감한 지적 재산권이 도난당했다고 발표했다. 2010년 미디어, 안티바이러스 업체, 보안 제품 회사, 기자들은 '고도화된 지속적인 위협(APT)'라는 용어를 사용하기 시작. 이는 이미 보안과 군에서 복잡한 네트워크 침투 공격을 묘사하기 위해 널리 사용되던 용어였다.

APT는 매우 정교하고 종종 제로데이 공격이나 최신의 기술과 접목하기 때문에, 널리 사용되는 방어 기법이 존재하지 않고, 성공률을 높이고 탐지될 리스크를 최소화하기위해 장기간의 은밀한 공격을 취한다.

 

※ 0-day 공격(Zero Day Attack, 제로데이공격)

  보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이루어지는 보안 공격. 공격의 신속성을 의미하는 것으로, 일반적으로 컴퓨터에서 취약점이 발견되면 제작자나 개발자가 취약점을 보완하는 패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례이나, 제로 데이 공격은 대응책이 공표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다. 아직 알려지지 않은 취약 지점도 공격할 수 있는 알려지지 않은 프로그램 공격도 이에 속하며, 공격에 이용된 패킷의 특징을 분석해서 아직 발견되지 않은 취약점을 이용한 공격을 차단하는 연구도 진행되고 있으나 아직 확실한 해결책은 발견되지 않고 있다.

 

 

 

 

■ 네트워크 포렌식의 절차

  네트워크 정보에서 디지털 증거를 복구하고 분석할 때 재현 가능하고 정확한 결과가 나오도록 수행해야 한다. 그에 따른 권장 프로세스인‘네트워크 포렌식 조사 방법론(OSCAR)’를 소개한다.

OSCAR의 전체 단계는 아래와 갇다.

 

 

정보 수집  ‣  전략 수립  ‣  증거 수집  ‣  분석  ‣  보고서

 

 

 

1. 정보 수집

- 사건

• 사건에 대해 알고 싶고, 알아야하는 정보들이 있다.

ex) 어떤 일이 일어났는지, 사건 발견 날짜/시간/방법, 사건 연루자, 법적문제 등

 

- 주변 환경

• 주변 환경에 따라 수집되는 정보의 수준이 달라진다. 또한 환경이 끊임없이 변화하고 복잡해 질 수 있으므로 계속해서 체크해야 한다.

ex) 비즈니스 모델, 네트워크 토폴로지, 조직 구조, 사용 가능한 자원 등

 

 2. 전략 수립

조사 목표와 기간, 증거의 출처, 증거의 가치 대비 들어가는 비용 등을 통해 증거 수집의 우선순위를 정하고 초기 증거 수집과 분석 계획을 세운다. 또한 초기 분석 수행 후, 더 많은 증거를 확보하기 위한 재분석을 수행해야한다.

ex) 우선순위 결정

  

예상 증거 출처	중요도	수집난이도	휘발성	우선순위
방화벽 로그	높음	중간	낮음	2
웹 프록시 캐시	높음	낮음	중간	1
ARP 테이블	낮음	낮음	높음	3

 

3. 증거 수집

- 문서화

• 모든 시스템의 접근한 사실과 증거 수집 과정의 모든 행위를 문서화함.

ex) 날짜, 시간, 출처, 증거 수집 방법, 조사관 이름, 관리 연속성 등

 

- 수집

• 증거 자체를 수집.

ex) 패킷 캡처, 로그 등을 하드디스크에 저장. 웹 프록시나 로그 서버의 하드디스크 이미징 등

 

- 저장과 수송

• 증거가 안전하게 보관되고 있는지 확인하고 관리 연속성을 유지해야함.

ex) 증거에 접근했거나 관리했던 사람의 서명, 확인 가능한 기록 등

 

4. 분석

- 연관성

• 네트워크 포렌식 특징 중 하나는 증거의 출처가 다양. 증거들의 연관성을 고려해야 함.

 

- 타임라인

• 누가 무엇을 언제 어떻게 했는지 정리 되야함.

 

- 흥미로운 이벤트

• 특정 이벤트가 강한 연관성을 가질 수 있음.

 

- 확증

• 오탐의 가능성을 줄이기 위해 여러 출처를 비교하여 확실한 증거를 찾아야함.

 

- 추가적인 증거 복구

• 새로운 증거의 필요성이 있을 수 있음. 과정을 반복하여 계속해서 증거를 복구하여 흥미로운 이벤트를 이해할 수 있도록 해야함.

 

- 해석

• 분석 과정에서 사건의 이론을 정리하고, 증거의 의미를 평가하는 등의 해석 과정이 필요.

• 해석은 항상 가설이며, 사실로 증명되거나 증명되지 않을지 모름.

  

5. 보고서

- 보고서에 포함되어야 할 내용

• 기술적 능력이 없는 비전문가(법무팀, 경영자, 판사, 배심원 등)가 이해 할 수 있는 내용

• 논리적으로 상세한 내용

• 사실에 기반을 둔 내용

 

 

 

 

■ 네트워크 포렌식의 활용

- 네트워크 문제 해결

- 네트워크 성능 측정, 병목 구간, 활동 관찰

- 네트워크 최적화

- 네트워크 공격/위협 감지

- 기업 내부의 네트워크 감사, 부정 방지

- 프로그램에서 사용되는 프로토콜 네트워크 정보 확인

- IDS/IPS 시스템 시그니처 작성

 

 

 

 

■ 참고

 

• 침해 대응과 포렌식.pptx/hwp - 디지털 포렌식 강의자료, 백승찬 강사님

 

• 네트워크 포렌식 ( 1장 실용적인 조사 전략 ) - 조너선 햄, 셰리 다비도프 지음/ 에이콘 출판사

 

• 디지털포렌식 수사관의 증거 수집 및 분석 규정 - 대검찰청(디지털수사과)

 

• http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&s q=18740&key=&dir_group_dist=0&dir_code - [Tech Report]네트워크 포렌식의 의미, 그리고 패킷 해부

 

• https://www.youtube.com/watch?v=d54y7JsAspg - 네트워크 포렌식..백문이 불여일견(RDP Replayer) 1 - 이병길 경찰청 사이버테러 대응센터 수사관

 

• http://terms.naver.com/entry.nhn?docId=864258&cid=42346&categoryId=42346 - [네이버 지식백과] 제로 데이 공격 [zero day attack, -攻擊]

 

 

 

 

 

 

 

 

끝