• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포렌식 수사관 입장에서 본 ‘당할 준비 된 환경’ 2014.10.10

아직도 많은 기업에서 포렌식 수사에 협조하는 방법 몰라

수사관의 시간을 아껴주는 걸 취우선으로 생각해야


[보안뉴스 문가용] 파이어아이(FireEye)의 컨설턴트인 마셜 헤일먼(Marshall Heilman)은 유출사고를 겪은 기업이나 조직에서 수사나 포렌식을 진행할 때 네트워크를 한 눈에 보여주는 표나 다이어그램을 제공받는 경우는 굉장히 드물다고 한다. “그래서 수사나 조사를 시작할 때 제일 먼저 해야 할 건 보통 조직마다 다른 네트워크 상태를 빠르게 익히는 겁니다. 정말 비효율적이죠.”

 

 ▲ 자, 이제 자리에서 일어나 할 수 있는 것부터 해보자.


헤일먼과 팀을 이루어 보안 관련 사건 조사를 맡고 있는 크레이그 호프만(Craig Hoffman)은 헤일먼과 함께 해킹 범죄가 일어났을 때 평범한 조직이나 업체에서 할 수 있는 일들이 생각보다 많다고 한다. “무슨 정보가 어떤 경로로 나갔는지, 그에 대한 로그 파일을 저장하는 것 외에도 할 수 있는 일이 많습니다. 공격이 기술적인 한계 밖에서 이루어진, 어쩔 수 없는 현상이었다고 해도 넋 놓고 수사관들의 수사결과를 기다리는 게 아니라 회사 차원에서 할 수 있는 것들을 해야 합니다. 최소한 똑같은 공격에 또 당할 수는 없으니, 아는 것부터 차근차근 시작하는 것이 좋습니다.”


둘은 자신들이 조사한 거의 모든 회사들이 피해 규모를 훨씬 더 줄일 수 있었다고 한다. “업체나 조직에서 평소 보안에 대한 고민을 하고 훈련을 해왔다면 말이죠. 물론 모든 사고를 막을 수는 없습니다. 하지만 모든 사고의 피해 규모는 얼마든지 줄일 수 있다는 게 저희의 지론입니다.”


그렇게 하려면 헤일먼의 표현대로 “당할 준비가 되어 있는 환경”이 구축되어야 한다. 즉 사건이 터졌을 때 어떻게 대응할 것인지에 대한 계획이 미리 서있어야 한다는 것이다. “수사관들이 와서 어떤 질문을 할 것인지 예상해서 미리 답변을 준비하는 것도 좋습니다. 그러면 수사관도 좋고 업체도 좋습니다. 시간을 엄청나게 아낄 수 있거든요. 유출사고의 피해 규모를 줄이려면 무엇보다 시간을 줄이는 게 최우선입니다.”


그런데 문제는 대부분 업체나 조직이 유출사고가 일어났다는 사실조차 감지하지 못하는 경우가 태반이라는 것이다. “보통 언론사나 서드파티 업체가 더 빨리 알아챕니다. 그래서 뉴스를 보고 알게 되는 경우가 많죠. 많은 게 아니라 사실 그런 경우가 대부분입니다.” 이 둘이 설명하는 ‘당할 준비가 되어 있는 환경’이란 다음과 같다.


1. 내부 로그 관리

“대형 업체들은 내부 DNS 서버를 다량으로 갖추고 있습니다. 어떤 회사는 100개도 넘는 곳이 있을 정도입니다. 그런데 외부 DNS 서버는 단 네 개 뿐이었죠. 그런데도 로깅은 이 네 개의 외부 트래픽에 대해서만 이루어지고 있었죠.”

이렇게 내부 DNS 로그가 부실할 경우 수사하는 입장에서 어떤 시스템으로부터 문제가 발생하고, DNS 요청이 어디서 들어왔는지 범위를 좁히기가 상당히 힘들어진다. 그러면 당연히 공격자를 추적하는 게 힘들어진다.


2. 움직이는 IP주소

많은 조직들에서 다이내믹 호스트 설정 프로토콜(DHCP)를 내부 시스템의 IP 주소 매핑 회전에 사용하고 있다. IP 주소가 움직이는 타깃이 되는 것이다. “그래서 7일 내에 일어난 사건이라면 원하는 답을 얻을 확률이 높습니다. 그러나 1년이 지난 사건이라면 전혀 알 수가 없죠. 당시의 IP가 어디에 해당하는지 전혀 알 수가 없으니까요.” IP 추적 방법을 어느 정도 마련하면 수사관들에게 도움이 된다.


3. 파일 찾는 법 제대로 숙지하기

악성 파일이 네트워크 내에서 발견되었을 때 그 파일이 어디에 위치하고 있는지와 어디로까지 번졌는지를 정확히 찾아낼 수 있어야 한다. “이게 말이 쉽지 제대로 할 줄 아는 회사는 극히 드뭅니다. 이것만 해도 수사의 시간을 대폭 줄일 수 있습니다.”


4. 사건 대응 훈련 주기적으로 하기

팀을 짜서 모의 해킹 사건을 일으키고 그것에 대한 대응을 연습해야 한다. 이는 각종 기술적인 행동뿐 아니라 언론에 인터뷰하는 법, SNS 단속 등도 포함한다. 보통 의도치 않은 경로로 사건이 와전되어 전파되는데, 이게 또 다른 사건의 씨앗이 되는 경우가 많다.


5. 너무 성급한 발표는 금물

발표를 하기에 앞서 내부적으로 네 가지 질문에 답을 해보는 것으로 준비가 되었는지 가늠해볼 수 있다. “무슨 일이 일어났는가? 어떻게 일어났는가? 같은 방식이 또 당하지 않기 위해 어떤 방책을 마련했는가? 관련된 사람들을 어떻게 보호할 예정인가?”

사건 자체도 기업의 신뢰도를 떨어트리지만 사건이 진행됨에 따라 자꾸만 발표 내용을 바꾸는 것도 신뢰를 잃게 한다는 것을 기억해야 한다. “말은 최대한 바꾸지 않는 편이 좋습니다. 그러니 바꾸지 않아도 된다는 확신이 설 때만 발표를 하기를 권합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>