침해사고 분석 및 대응 방법
1. 침해사고란?
해킹, 컴퓨터 바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태 (정보통신망법 제2조 제1항 제7호)
침해사고 유형
해킹, 스미싱, 피싱, DDoS, Zero day Attack 등
침해사고 대응
1. 준비단계
침해사고 분석 및 복구를 위한 정보 수집
침해사고 예방을 위한 보안, 대응을 위한 프로세스
2. 침해사고 탐지
정보보호시스템을 통한 이상징후 탐지, 관리자의 침해사고 식별
3. 초기대응
사고정황 세부상황 확인. 사고대응팀 소집 및 침해사고 관련 부서 통지
4. 대응 전략 결정
전략 결정 및 관리자 승인
5. 사고조사(데이터 수집 및 분석 단계)
로그 및 시스템 파일 분석
시스템 상태 분석
6. 복구 및 해결
침해사고 분석
파일 시스템 분석(포렌식)
문제가 발생한 DB의 파일, 위치, 크기, 시간 등의 정보를 분석
windows 기준,
시스템 분석
시스템 내부 명령어를 활용한 배치파일 작성하여 분석하거나
Sysinternals, Foundstone 등의 분석 도구를 활용하여 분석
레지스트리 분석
Regshot, Regripper 등의 분석도구 활용
악성코드 분석 방법
동적 분석 : 악성코드 분석 환경에서 코드 실행 시 시스템의 변화를 분석, 악성코드가 어떠한 동작을 하는지 확인
정적 분석 : 악성코드 파일을 역공학 방식으로 분석, 명령부분, 동작방식 등을 분석
관련된 자세한 내용을 확인하려면
KISA의 '침해사고 분석 절차 안내서' 참조
