| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 디지털포렌식2급
- 교환학생수업
- 프라하여행
- 드롭박스포렌식
- 울름교환학생
- 교환학생준비
- 교환학생
- 울름
- 영국
- 이탈리아
- 울름공과대학교
- 영국여행
- 드롭박스아티팩트
- 교환학생기숙사
- 애플키노트
- 자바
- 밀라노
- 밀라노두우모성당
- java
- 교환학생지원
- 교환학생나라
- 이탈리아여행
- 디지털포렌식
- 독일기숙사
- 울름기숙사
- 교환학생여행
- 내셔널갤러리
- 기숙사비
- 독일교환학생
- 자바프로그래밍
- Today
- Total
공부해야할 때
Digital Forensic with ISO 27000 본문
사실 이 글은 어디에 포스팅 해야할지 모르겠다. 하지만 전문적인 지식도 아니고 수업을 하면서 느낀점과 내 레포트를 올리는 이곳에 포스팅 하도록 한다.
내가 교환학생으로 생활하는 Hochschule Ulm 이라는 학교에서 (우리나라로 치면... 과학기술대)에서 수강하는 과목중에 Information security management 라는 과목이 있는데 그 수업 마지막 시간에 각자 주제를 정해서 ISO 27001/2에 맞게 발표를 하는 시간이 있었다.
평소 디지털 포렌식에 관심이 많은 나로썬 같이 교환학생을 온 친구들과 별개로 혼자 팀을 이뤄서 프로젝트를 진행하였다.
(한국에서나 여기서나 팀플은 힘들다... 혼자가 가장 편함)
나는 Digital Forensic with practical example이라는 주제를 가지고 발표를 진행하기로 하였다.
우선 프로젝트를 진행하기에 앞서 ISO 27000에 대해서 간략하게 설명을 하자면
국제표준 정보보호 인증으로 일종의 보안 프레임 워크이다. 만약 어떠한 회사나 단체에서 이 인증을 획득했다고 하면 이는 ISO 27000의 기준에 걸맞는 보안체계를 가지고 있다는 것 을 뜻한다.
항목은 A.5부터 A.15까지 다양하게 있다.
이를 준비하면서 교수님으로 부터 책 2권을 받았는데 한권은 ISO 27001 다른 한권은. ISO 27002였다. (물론 영어...)
두가지의 정확한 차이는 모르겠지만 내가 읽어봤을 땐 27k1 (편의상 이렇게 표기한다 읽을 때 도...)은 매 항목마다 표가 있는데 이를 통해 해당하는 목차의 간략한 설명을 제시한다.
하지만 27k2는 해당하는 목차의 좀더 자세한 설명이 추가되어있다. 예를들어 A.12.4.1에는 Event logging에 관한 항목인데 이벤트 로그가 무엇인지에 대한 간단한 설명과 왜 주기적으로 살펴봐야 하며 이를 어떻게 관리하고 모니터링 할 지에 대한 설명이 적혀있다.
그래도 한국에서 나름 포렌식 공부한다고 책도 몇권 읽어보고 디지털포렌식 2급 필기까지도 공부했지만 이런식으로 접근하는건 처음이라 접근하는 법을 몰라서 교수님께 많은 질문도 하고 학교 정규과정에 편성되어있는 Digital Forensic과목을 듣는 학생들에게 자문을 구하기도 하였다. (이 학생이 File carving을 하는법을 알려줬다... )
결론적으로!
프로젝트는 디지털포렌식을 진행하면서 참고해야할 보안정책을 초점을 맞췄다.
교수님이 구글에서 찾아 읽어보라는 Digital Forensic Readness에는 각 회사(?)에서 디지털 포렌식을 진행하면서 주의해야할 가이드라인을 제시하고 있는데 이를 참조하다보니 조금씩 갈피가 잡히기 시작했다.
생각을 해보면..
생판모르는 남의 사무실에 가서 수사를 진행한다고 생각해보면 어디서 부터 시작해야하고 누가 정보보안 관리자인지 어떤 자료는 어디에 백업되어 있으며 어떤 방식으로 저장하는지 모른다. 하지만 ISO 27K1 과 27k2에는 이런 것들을 명확하게 명시하라는 조항이 있어서 만약 해당 회사가 ISO 27K1 과 27K2의 인증을 받은 회사라면 분명 회사 보안 정책에 명시가 되어 있을 것이다.
10~20분동안의 시간에 정책과 디지털포렌식의 예시를 보여주기엔 너무 짧은 시간이라 ISO 27K2에서 크게 6개의 주요 내용을 뽑아서 정리를 해보았다.
- A. 11 Physical and environmental security
- A. 11.2 Equipment
- A 11.2.7 Secure disposal or reuse of Equipment
- A.12 Operations security
- A. 12.3 Back up
- A. 12.4 Logging and monitoring
- A.12.4.1 Event logging
- A. 12.4.3 Administrator and operator logs
- A. 18 Compliance
- A. 18.1 Compliance with legal and contractual requirements
- A. 18.1.3 Protection of records
- A.18.1.4 Privacy and protection of personally identifiable information
- A. 11.2.7 Secure disposal or re-use of Equipment
-> Sensitive information should be destroyed or encrypted with powerful encryption keys.
Lots of company following the ISO 27002, and you can know they destroy sensitive data which could be a crucial evidence. Or if they encrypted with powerful encryption keys. Investigator should decide to how to recover way. In physical way or decrypt encryption key. Because if they don’t find any evidence there is a possibility that they destroyed it.
- A. 12.3.1 Information backup
-> Every data should be backed up in case of losings them.
Although they destroyed or concealed it, they always have backup. So if hard to find original version it will be good to finding back-up data
- A. 12.4.1 Event logging
-> Every produced logs are saved and viewed
When every data is created and deleted, they create logs about it. So flowing the log and trace their work is one of the good way.
- A. 12.4.3 Administrator and operator logs
-> Privileged users can manipulate the logs. To prevent this logs are protected.
Checking privileged user might be helpful to find out manipulate logs by comparing the original logs that we found.
- A. 18.1.3 Protection of records
-> Protect record for integrity. If it changed it is not evidence.
integrity is one of the most important in digital forensic. If you can’t prove integrity in the court. That evidence is never become evidence.
짧게 요약하자면 나는 A.12.3의 백업관련 정책과 A.11.2.7의 정보처리 과정이 가장 인상깊었다.
디지털 포렌식을 공부한 사람들은 다 알겠지만 물리적방법으로 하드디스크를 파괴하거나 자료의 주소를 완벽하게 찾아내어 덮어쓰는 방식 외에는 자료의 완전한 삭제는 불가능 하다. 이런점을 이용해서 교수는 디지털 포렌식 수업시간에 자료를 복구하는 실습으로 아마존이나 이베이에서 중고로 하드디스크를 사용하여 복구를 시도하는 실습을 하기도 한다고 한다. (뭔가 사생활 침해 같기도 하지만...)
11.2.7을 보면 회사는 기밀정보 혹은 민감한 정보를 파괴할때 혹은 보관할때 강력한 암호를 사용하거나 완벽하게 파괴하라고 제시한다.
이런점을 토대로 수사관은 사라진 정보에 대해서 물리적 손상을 의심할 수 있기도 하며 또는 해당 암호의 암호키를 알아내는데 수사의 방향을 잡을 수 있다.
13.1은 백업에 관한 사항이다. 수기로 장부를 작성하거나 보관하지 않는이상 조직내의 모든 자료들은 백업화 되어 저장된다. 심지어 저장하는 곳도 화재나 침수등 물리적인 피해를 방지하고자 메인 서버에서 멀리 떨어진 곳에 보관하여 몰살(?)당할 위험으로 부터 백업 데이터를 지켜내는걸 제안한다. 따라서 대다수의 가이드라인에서도 그렇듯이 나는 원본을 찾는것도 좋지만 백업본과 원본의 해쉬파일을 비교한다던지 원본은 없는데 백업본이 있다던지 하는 경우를 고려해서 수사하는 방향을 제시했다.
사실 발표의 마지막에는 .dd파일로 부터 간단한 명령어를 통하여 이미지파일을 복구하는 실습을 하기도 하였는데 사실 이건 내가 알아내거나 찾아본게 아니라 다른 수업을 들었던 친구에게 도움을 받아 시행한거라 따로 포스팅은 안하겠다만
간단한 방식은 jpeg파일의 header와 footer를 찾아 이미지 파일의 크기를 계산하여 복구하는 방식이었다. 이런 간단한 실습조차 나에겐 매우 흥미롭게 느껴졌으며 이 발표를 혼자서 진행한것에 대해 전혀 후회를 안하게 해준 요소중 하나였다.
이번 수업을 통해 디지털포렌식은 무조건 데이터 복구만 이 아니라는걸 알게 되었다. 앞으로 또 어떤 새로운걸 배울지 걱정이 되기도 하면서 기대가 된다.
(사실 블로그 포스팅은 처음인데 너무 글만 주저리주저리 쓴게 아닌가 걱정이다... 뭔가 사진이라도 첨부하고 싶은데 이건 뭐... 딱히 사진을 어떻게 사용해야 할지도 모르겠고..)