정보보안 - 침해사고 개요

침해사고 개요

  • 침해사고란?
    • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 1항 7조
      • “침해사고”란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.
    • 바이러스, 트로이목마, 웜, 백도어, 악성코드 등을 이용한 공격
    • 비인가된 System, 파일, 네트워크 정보 접근
    • 비인가된 사용자가 서비스를 무단 이용
    • 서비스 거부 등 네트워크, 시스템의 마비, 파괴
  • 침해사고 대응 7단게
    • 사고 발생,발견 또는 발생 시점 이전 단게
      • 사고 전 준비
    • 침해 사고 발생
      • 사고 탐지
      • 초기 대응 : 기록, 침해사고 대응팀에 신고, 해당 부서에 통지
      • 대응 전략 체게화 : 최적의 전략을 결정 (정책, 기술, 법…)
      • 사고 조사 : 언제, 누구에 의해서, 피해 규모는 어느정도인지, 피해확산을 어떻게 방지할 것인지, 최소화 방안, 재발방지
        • 데이터 수집 : 증거의 완벽한 확보
        • 데이터 분석
      • 보고서 작성 : 경영진이 이해할 수 있는 내용으로 작성
    • 복구, 해결 과정
  • KISA 분석 요청 시
    • 악성코드, 프로세스 등을 제거하면 안됌
    • 반드시 제거해야 하는 경우
      • 악성파일 경로 확보
      • 악성파일 백업
      • MAC Time 확보 (생성, 접근, 수정시간)

사고 유형별 점검항목

  • 공통
    • 계정
      • 사용하지 않는 계정 확인 -> 삭제
      • 숨겨진 계정 확인 -> 삭제
      • 윈도우 : 관리도구 -> 컴퓨터 관리도구 -> 로컬사용자 및 그룹 -> 사용자
      • 리눅스 : /etc/passwd 확인
        • 패스워드가 없는 계정
        • /bin/bash 쉘 확인
    • 로그파일
      • 이벤트로그, 시스템로그 변조 유무 확인
      • 윈도우 : 관리도구 -> 컴퓨터관리 -> 이벤트뷰어
      • 리눅스
        • /var/log/secure
        • /var/log/meesage
    • 웹쉘
      • 공격자가 원격에서 웹서버의 악의적 명령을 수행할 수 있도록 만들어진 파일
      • 웹쉘 Signature 점검
      • asp, aspx, php, jsp, jpeg 등
      • 업로드된 경로를 파악, 취약점을 제거
      • WHISTL 프로그램 사용하여 탐지
    • 백도어
      • nmap 이용 하여 의심가는 포트 확인
      • netstat, TCPview 등 이용
      • 백도어 관련 서비스 삭제
        • 방화벽 설정 (iptables, hosts.allow, hosts.deny)
      • 해당 포트 차단
      • 바이너리 변조 확인
    • 루트킷
      • 숨겨진 프로세스, 비정상적 프로세스 확인
      • 변조된 파일, System 명령어 확인
      • 윈도우 : IceSword
      • 리눅스 : Rootkit Hunter, Check Rootkit
      • 명령어 무결성 확인, 시스템 재설치 등
  • 웹변조 (웹사이트 변조)
    • 웹페이지
      • 공통 확인 : index.html, main.html, default.html, index.php, main.php
      • IIS 계열 확인 : index.asp, main.asp, default.asp
      • 메인페이지로 설정된 기타 파일 확인
      • 웹페이지 내용이 변경된 경우 웹쉘의 감염 여부를 확인해야 함
        • WHISTL 프로그램을 통해 웹쉘 감염여부 확인
        • 웹쉘이 발견된 경우 접속로그를 통해 웹쉘에 접근한 IP를 확인 / 차단
    • HTTP 메소드
      • 윈도우 IIS 웹서버 : WebDAV 활성화 여부 확인
        • WebDAV : 사용자가 원격으로 서버에 저장되어 있는 파일을 편집, 관리하는 HTTP 확장 기능
          • NAS 클라이언트를 사용해 HDD 드라이브처럼 사용
        • 관리도구 -> IIS 관리 -> 웹서비스 확장
        • 활성화 되어 있는 경우 사용중지로 변경
      • 리눅스 Apache 웹서버 : httpd.conf 파일 확인
        • <Directory /> 의 MOVE, PUT 메서드 의 Allow 여부 확인
          • GET, POST 를 제외한 메서드들을 허용하지 않는 것이 바람직함
          • HEAD : 웹서버 다운유무, 웹서버의 정보를 얻기 위함 (헤더만 전송)
          • OPTIONS : 시스템에서 지원하는 메서드의 종류를 확인
          • DELETE, COPY, MOVE
          • PUT : POST와 유사하나 파일을 변조시킬 수 있음
          • TRACE : 원격지 서버의 루프백 메시지를 호출하여 사용
    • 웹로그 : 생성, 수정 시간 확인
      • 윈도우 : IIS
      • 리눅스 : /usr/local/apache/logs
      • 웹로그에서 특정 메서드의 사용유무를 확인 : grep
    • IIS, Apache 등의 설정이 변경된 경우
      • Admin / root 등 서버관리자 계정 변경 필수
  • 악성코드 경유지/유포지
    • 웹페이지 / 접속 IP
      • 악성코드 유포지 URL 이 삽입된 페이지를 검출
      • grep 명령어 사용
      • 유포 페이지 생성, 수정 시간 확인
        • 해당 시점 기준 접속 로그, 시스템 로그 등을 분석, 또 다른 침해 여부 확인
      • 접속 IP를 통해 좀비 PC를 찾아냄
      • WHISTL 을 이용해 웹쉘 감염 여부 확인, 삭제 조치
  • 봇넷 C&C
    • 네트워크 연결 확인
      • 윈도우 :
        • netstat -an
        • 6666,6667 포트 등 의심포트 확인
          • IRC (Internet Relay Chatting) Port (6667,6668)
          • 사용자 몰래 특정 IRC 서버에 접속하도록 함
        • wireshark 를 통한 패킷 분석
      • 리눅스 :
        • netstat -an
        • lsof -i
        • tcpdump 를 통한 패킷 분석
    • 외부 네트워크와 연결된 백도어 포트가 발견된 경우
      • 방화벽을 이용해 해당 포트 접근 제한
      • 해당 파일 삭제 조치
  • 해킹 경유지
    • 네트워크 연결
      • nmap, netstat 등을 활용하여 파악
    • 윈도우
      • RRAS(Routing and Remote Access Service) 서비스 중지
        • 내부 네트워크에서 외부 네트워크 연결 시 사용
      • 이벤트 로그 분석을 통해 RRAS 를 실행한 서비스, IP를 확인
      • 컴퓨터관리 -> 서비스 및 응용프로그램 -> 서비스 -> Routing And Remote Access Service 사용안함
    • 리눅스
      • PPTP(Point-to-Point Tunneling Protocol) 서비스 중지
        • VPN 프로토콜, MS에서 개발
        • 윈도우에서 오랫동안 사용
      • 시스템 로그를 이용해 PPTP 를 실행한 로그, IP를 확인 (21:37)
      • ps -ef grep pptpd
    • 설치 프로그램
      • 윈도우 : 제어판 -> 프로그램 추가/제거 -> CCProxy, RealVNC 등의 설치여부 확인
      • 리눅스 : Rootkit Hunter 등을 활용

사고 유형별 대응전략

  • DoS 공격
    • 라우터 재설정 (공격 완화)
  • 비인가 사용
    • 업무용 컴퓨터 오용 -> 포렌식 이미징 작업, 용의자와 면담, 범인 식별, 증거확보
    • 징계 결정 (직위, 과거조직 등 고려)
  • 파괴 행위
    • 웹사이트가 손상이 되는 경우
    • 복구 필요
  • 정보의 도난
    • 신용카드 도난, 고객정보 유출
    • 관련시스템 이미지 확보
    • 수사기관 참여
    • 도난신고, 법적 대응
  • 컴퓨터 침입
    • buffer overflow, IIS 등 으로 침입
    • 비인가 접속 차단
    • 취약점 식별
    • 보안 패치
    • 범인 식별

댓글남기기