2020-12-06 07:05 (일)
[김진국의 디지털포렌식-8] 포렌식 준비도에 대한 대비
상태바
[김진국의 디지털포렌식-8] 포렌식 준비도에 대한 대비
  • 길민권
  • 승인 2012.11.22 04:10
이 기사를 공유합니다

악의적인 공격을 막을 수 없다면, 해결책은?
최근에 대형 보안 사고가 연이어 일어나 신문과 방송에서 많이 언급된 덕분에 보안에 대한 사회적인 관심과 요구가 높아졌다. 그런 이유로 국회는 관련 법률을 제정했고, 기업은 보안 솔루션 투자와 더불어 인적 투자를 늘리고 있으며, 개인도 보안 설정을 강화하거나 소극적으로 정보를 공개하고 있다. 갑작스런 변화로 인한 부작용도 발생하고 있지만, 사회 전체적인 관심을 받고 있다는 점에서 보안을 업으로 삼는 사람들에게는 반가운 일일 것이다.
 
그렇지만, 이런 전체적인 관심에도 불구하고 ICT(정보 통신 기술, Information & Communication Technology)관련 사이버 범죄는 줄어들지 않고 있다. 대형 침해사고와 같이 사회적 충격을 주거나 매스컴의 관심을 받지는 못하고 있지만 지금 이 순간에도 끊임없이 사고는 발생하고 있다. 침해 사고가 살인, 강도, 사기 등과 같은 기존의 범죄에 비해 최근에 생겨난 것이기는 하지만 범죄의 동기는 기존과 크게 다를 바가 없다. 법률과 사회적 감시망을 강화해도 범죄가 사라지지는 않듯이 침해 사고도 같은 관점으로 바라봐야 한다.
 
경비원을 두고, CCTV를 설치하고, 2중 잠금 장치를 하고, 금고를 마련하고, 물리적으로 격리시키면 범죄의 성공 가능성은 낮아지겠지만 완전하다고는 말할 수는 없을 것이다. 침해 사고도 마찬가지이다. 아무리 많은 보안 솔루션을 도입하고, 감시를 강화하고, 우수한 인력을 둔다고 하더라도 감염은 발생한다. 기존 범죄학의 관점에서 보면 당연한 이야기겠지만, 많은 사람들은 침해 사고를 기존 범죄와 차별화하여 막을 수 있다고 생각한다. 대부분 사고의 원인은 여기서부터 시작된다.
 
침해 사고를 줄이려면 막을 수 없다는 전제하에 대비가 필요하다. 물론, 이 전제는 자신이 처한 환경에서 할 수 있는 기본적인 노력을 다한 후여야 한다. 하지만, 최근 보안 투자를 보면 기본적인 노력을 다하지 않은 상황에서 법률적인 제재만 피하기 위해 면책성 투자가 늘어나고 있다. 법률에 따른 어쩔 수 없는 현상이겠지만, 주객이 전도되어 정작 보호해야 할 정보가 등한시 되고 있는 것은 아닌지 고심해볼 필요가 있다.
 
막을 수 없다면 어떻게 대비해야 할까? 이와 관련해 침해 사고의 관점에서 최근 널리 관심을 받고 있는 포렌식 준비도를 살펴보자.
 
◇포렌식 준비도란?
포렌식 준비도(Forensic Readiness)는 일반적으로 다음과 같이 정의한다.
“조사 비용은 최소화하고 디지털 증거의 활용 가능성은 최대화하기 위한 조직의 능력”
부연하자면, 보안 사고에 따른 비용을 최소화하기 위해 사고가 발생하면 신속히 잠재적인 흔적을 법적 증거능력을 유지한 상태에서 수집하고 분석할 수 있도록 사전에 준비를 갖추는 것을 의미한다. 준비는 인적 노력을 비롯하여 정책적, 기술적, 조직적인 노력을 모두 포함한다.
 
침해 사고가 발생했을 때, 이에 따른 조치로 행해지는 사고 대응(IR, Incident Response)을 제외하면 대부분의 보안 투자는 사고 가능성을 낮추기 위한 사전적 투자에 집중되어 있다. 포렌식 준비도도 사전적 투자이기는 하지만 사고의 가능성을 낮추는데 목적을 두는 것이 아니라, 사고가 발생했을 때 어떻게 하면 신속하고 효과적으로 대응할 수 있을 지에 목적을 두고 있다.
 
영국에서는 2007년에 2500만 명의 개인과 725만 가구의 정보가 정부기관 간의 전송 중에 유출되는 사고가 발생하였는데, 이로 인한 사회적 요구를 반영하여 2009년에 포렌식 준비도를 제도화했다. 국내에서도 최근에 일어난 대형 개인정보 유출 사건에 따른 사회적 요구로 개인정보보호법이 제정될 때, 포렌식 준비도의 개념도 논의되었으나 최종 법률안에는 채택되지 못했다.
 
◇포렌식 준비도의 혜택과 그 이면
제도화를 통해 시행하고 있는 국가는 영국이 유일하지만 전세계의 많은 기업에서 사고 대응의 효율을 높이기 위해 포렌식 준비도의 개념을 적극 도입하고 있다. 그렇다면 포렌식 준비도의 도입으로 얻을 수 있는 효과는 어떤 것이 있을까?
 
먼저, 비즈니스 관점에서는 자산을 체계적으로 관리하고 위험을 최소화할 수 있으므로 고객에게 신뢰를 줄 수 있고, ICT 관점에서는 업무에 지장을 주지 않고 사고 대응을 할 수 있으며, 보안 관점에서는 신속한 사고 대응으로 피해를 최소화할 수 있다. 게다가 기업이 법적 증거능력을 확보할 수 있기 때문에 침해사고 소송에서의 승소 가능성을 높여준다. 그리고 전자증거개시(e-Discovery)나 규제 준수와 같은 기업의 다른 거버넌스 활동과도 연계하여 효용을 높일 수 있다.
 
위와 같은 목적이라면 포렌식 준비도는 당연히 도입해야 할 것으로 보이며 효과는 더할 나위 없이 좋아 보인다. 하지만, 좋은 말만 나열하면 쓸모 없는 정책도 좋아 보이기 마련이므로 포렌식 준비도의 이면을 살펴보자.
 
먼저, 준비하는데 시간적, 정책적, 기술적인 노력이 필요하다. 기존의 기업 거버넌스 환경과 충돌하는 면이 많기 때문에 도입 전에 충분한 논의과 정책적, 기술적 검토가 필요하다. 게다가 추가적인 솔루션의 전사적인 도입이 필요하기 때문에 비용적인 측면에서도 많은 부담이 있다. 또한, 아직 법제화가 되어 있지도 않고 국내 사례가 없기 때문에 도입의 타당성을 입증하기 어렵다.
 
이 단점에도 불구하고 최근 포렌식 준비도의 개념이 계속 언급되는 이유는 현 상황에서 필요성이 매우 높아졌기 때문이다. 침해 사고가 끊임없이 발생하는 상황에서 사고를 예방하기 위한 사전적 투자는 한계가 있으므로, 사고 발생 시 이를 신속히 대응하여 피해를 최소화하는 것에 초점을 맞출 필요가 있다.
 
◇침해 사고에 대한 간단한 기술적 포렌식 준비도
현재 논의되고 있는 포렌식 준비도의 개념은 대상이나 범위가 넓다. 하지만, 사고 대응 과정에서 잠재적인 흔적을 수집하고 분석한다는 관점에서 볼 때, 추가적인 장비의 도입 없이 간단히 준비할 수 있는 것들이 있다.
 
-이벤트 로그 모니터링: 공격자들은 자신의 흔적을 삭제할 목적으로 공격 과정 중 이벤트 로그 서비스를 중지시키거나 공격 후 로그를 초기화한다. 따라서, 이런 비정상적인 행위를 모니터링 할 수 있는 방안이 필요하다.
 
-서버의 프리패치 설정: 서버의 경우 프로그램이 중단 없이 계속 실행된다는 점에서 프리패치 설정이 기본으로 비활성화되어 있다. 프리패치 설정이 서버의 성능에 영향을 크게 미치지 않으므로 분석을 위해 이를 활성화할 필요가 있다.
 
-XP 방화벽 로그 설정: 윈도우 XP 이하의 시스템의 경우 로컬 방화벽 로그가 기본으로 비활성화 되어 있으므로 이를 활성화할 필요가 있다.
 
-크래시 덤프 설정: 윈도우 오류를 대비해 크래시 덤프 설정을 최대화(전체 덤프)로 설정할 필요가 있다.
 
-NTFS 마지막 접근 시간 설정: 성능 상의 이유로 윈도우 Vista 이후 마지막 접근 시간이 갱신되지 않도록 설정되어 있다. 폴더 탐색이 빈번하지 않다면 해당 설정을 활성화할 필요가 있다.
 
-복원 지점/볼륨 섀도우 복사본 설정: 윈도우 환경에서 백업을 위한 복원 지점과 볼륨 섀도우 복사본의 설정을 강화할 필요가 있다.
 
-$LogFile 설정: NTFS의 트랜잭션 정보를 저장하고 있는 $LogFile에는 쉽게 발견할 수 없는 많은 침해 흔적을 남는다. 하지만 기본 크기가 64M로 제한이 되어 있어 최근 3시간 정도의 흔적만 남아있으므로 해당 크기를 시스템에 부담이 가지 않게 조정할 필요가 있다.
 
-로그 설정 강화: 윈도우, 리눅스의 시스템 뿐만 아니라 네트워크 장비에 대한 로그 설정을 목적에 맞게 강화할 필요가 있다.
 
-로그 백업과 무결성 유지: 다양한 포렌식 분석 기술이 있지만 로그만큼 유용한 데이터도 없다. 따라서, 로그에 대한 정기적인 백업과 공격자에 의해 변경될 수 없도록 무결성을 강화할 필요가 있다.
 
◇종합해보면…
최근의 공격을 보면, 목적을 위해 많은 시간 동안 공격을 은밀히 수행하며 포렌식 분석을 어렵게 할 목적으로 다양한 안티포렌식 기법을 사용한다. 이런 상황에서 사고 대응 준비가 제대로 갖춰져 있지 않다면 대응이 느려 피해가 커질 뿐만 아니라 남아 있는 흔적에만 의존하여 분석하기 때문에 근원적인 해결책을 찾지 못하게 되고 결국 동일한 피해가 반복된다. 포렌식 준비도는 사고가 발생했을 때 신속한 대응으로 피해를 최소화하고 근원적인 해결책을 마련할 수 있다는 점에서 도입을 긍정적으로 검토해볼 필요가 있다.
 
새로운 솔루션 시장이 될 수 있다는 기대에 포렌식 준비도를 지나치게 과장하여 언급하는 경우도 종종 볼 수 있다. 포렌식 준비도의 본질은 솔루션이라기 보다는 개념적인 측면이 강하다. 따라서, 추가적인 솔루션 도입 없이도 현재의 정책과 환경 내에서 최선의 방법을 찾아 시행해볼 필요가 있다.
 
포렌식 준비도에 대한 보다 자세한 내용은 다음 문서를 참고하기 바란다.
개인정보보호 강화를 위한 포렌식 준비도 모델 및 도입 방안 연구, KISA IIS 3(2). 2012,
-www.kisa.or.kr/jsp/common/libraryDown.jsp?folder=9013341
 
<필자소개>

강원대학교와 고려대학교 정보보호대학원을 졸업하고 현재 안랩 A-FIRST 팀에서 침해사고 포렌식 분석 업무를 담당하고 있다. 국내에 디지털 포렌식과 관련한 올바른 정보 공유를 위해 개인 블로그(FORENSIC-PROOF)와 포렌식 인사이트 커뮤니티를 운영하고 있다.