[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
이 슬라이드는 2018 NetSec-KR 에 발표된 자료로, 2017년에 개최한 제 1회 "정보보호 R&D 데이터 챌린지" (http://datachallenge.kr/) 에 대해 상세한 설명을 하고, AI와 Machine Learning 을 정보보안에 접목하여 Data-Driven Security 를 연구하고자 하는 분들께 도움이 되고자, 본 자료를 작성하였습니다.
'모의해킹' 진로 고민부터 실무까지
- 관련 책: 실무자가 말하는 모의해킹 https://goo.gl/EuNJou
모의해커를 꿈꾸는 후배에게 들려주는 멘토의 현장 에세이
: 모의해킹을 다루는 전문 기술서는 많지만, 국내 모의해킹 분야로의 진출을 꿈꾸는 입문자의 불안과 궁금증을 속 시원하게 해결해주는 입문서는 없다. 보안 분야에 10년 이상 종사한 필자는 이 책에서 ‘모의해킹’이라는 주제에 관한 입문자의 각종 궁금증을 자신의 경험에 비추어 구체적으로 풀어준다. 기술적인 내용은 최소화하고 필요한 경우에는 최대한 알기 쉽게 풀어 설명했다. 모의해킹 업무를 진로로 선택한 학생들과 이제 막 업무를 시작한 직원들은 이 책을 다 읽고 나면 앞으로 맞이할 업무에 관해 더 명확하고 구체적인 그림을 그려볼 수 있을 것이다.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
2013 CodeEngn Conference 09
기업의 보안 취약점을 분석하고 이에 대한 대응 방안을 제시하는 보안 컨설팅에 대해 알아본다. 아울러, 보안컨설턴트 양성을 위해 BoB에서 진행하고 있는 보안컨설팅 인턴쉽과정에 대해 소개한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
[NetSec-KR 2018] 2017 정보보호 R&D 데이터 챌린지를 통해 살펴본 Data-Driven SecurityKorea University
이 슬라이드는 2018 NetSec-KR 에 발표된 자료로, 2017년에 개최한 제 1회 "정보보호 R&D 데이터 챌린지" (http://datachallenge.kr/) 에 대해 상세한 설명을 하고, AI와 Machine Learning 을 정보보안에 접목하여 Data-Driven Security 를 연구하고자 하는 분들께 도움이 되고자, 본 자료를 작성하였습니다.
'모의해킹' 진로 고민부터 실무까지
- 관련 책: 실무자가 말하는 모의해킹 https://goo.gl/EuNJou
모의해커를 꿈꾸는 후배에게 들려주는 멘토의 현장 에세이
: 모의해킹을 다루는 전문 기술서는 많지만, 국내 모의해킹 분야로의 진출을 꿈꾸는 입문자의 불안과 궁금증을 속 시원하게 해결해주는 입문서는 없다. 보안 분야에 10년 이상 종사한 필자는 이 책에서 ‘모의해킹’이라는 주제에 관한 입문자의 각종 궁금증을 자신의 경험에 비추어 구체적으로 풀어준다. 기술적인 내용은 최소화하고 필요한 경우에는 최대한 알기 쉽게 풀어 설명했다. 모의해킹 업무를 진로로 선택한 학생들과 이제 막 업무를 시작한 직원들은 이 책을 다 읽고 나면 앞으로 맞이할 업무에 관해 더 명확하고 구체적인 그림을 그려볼 수 있을 것이다.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
2013 CodeEngn Conference 09
기업의 보안 취약점을 분석하고 이에 대한 대응 방안을 제시하는 보안 컨설팅에 대해 알아본다. 아울러, 보안컨설턴트 양성을 위해 BoB에서 진행하고 있는 보안컨설팅 인턴쉽과정에 대해 소개한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
금융당국이 올해 초 카드사태 이후 벌인 ‘개인정보 특별감사’에서 우리·BC·하나SK카드도 개인정보 관리가 부실한 것으로 나타났으며, 지난 11월 11일 금융감독원은 이들 카드사에 ‘개인정보 보호 대책을 강화하라’는 내용의 경영유의·개선 명령을 내렸습니다.
고객정보인 주민등록번호, 카드번호 등 이용자 정보 약 5만건을 예외적으로 부하 테스트 등에 변환하지 않고 사용하다 적발된 은행, 회원 가입신청 시 수집한 고객정보를 제휴업체에 제공하면서 신용카드 유효기간 등의 이용자정보를 제공하였다 적발된 카드사를 비롯 하여, 개인정보가 포함된 데이터를 전체 사용자 공유폴더에서 열람할 수 있도록 방치했다 적발된 카드사도 있었으며, 웹 회원 비밀번호를국가에서 권고하는 보안강도에 미달(이 경우해킹 등에 의해 비밀번호가 노출될 위험성이 큰)하는 암호 알고리즘을 사용하고 있다 적발된 카드사가 적발되기도 했습니다.
앞서 보았듯이 개인정보를 취급하거나 처리하는 기관 혹은 기업들은 개인정보 처리 실태 전반을 점검하고 불필요하게 개인정보를 수집하는 각종 업무절차 및 관행 등을 반드시 개선해야 합니다.
이에, 금번 세미나에서는 고객정보보호를 위한 테크앤로의 VDI 도입 사례를 비롯 CISO와 CPO 기업내 역할과 책임을 위한 제언, 개정 정보통신망법의 핵심과 실무적 대응 방안, 개정 전자금융거래법의 핵심과 실무적 대응 요령에 대한 고퀄리티 정보를 여러분과 공유할 각오입니다.
지능정보사회의 발전에 따라 사이버 공격은 업종과 규모를 가리지 않고 모든 기업을 대상으로 이
뤄지고 있다. 이러한 현실을 반영하여 최근 정보통신망법은 모든 정보통신서비스 제공자에게 특정 지위의 정보보호 최고책임자(CISO)를 지정하도록 개정되어 시행될 예정이다. 그러나 정보통신망법령은 업종별 정보화 특성을 고려하지 아니하고, 매출액·자산총액 기준으로만 정보보호 최고책임자의 지위를 차등화하고 있으며, 차등화된 지위는 임원·비임원 여부로만 규정되어 있어 현장에서 실효성이 발휘되기 곤란하다는 문제가 있다. 본 논문은 정보보호 거버넌스 관점에서 지위를 차등화하고 업종별 특성과 종업원 수 기준에 따른 정보보호 최고책임자의 법적 지위 요건을 제시하고자 한다.
계산 종이접기 분야를 소개합니다.
- 2019. 10. 12. 대전 소모임 '내가 만드는 작은 강연' 발표자료
· 범위
計算折り紙入門 (上原隆平) 제2장 전개도의 기초지식
- 전개도의 기본적인 성질
- 변전개도의 개수
- 아키야마-나라의 정리
· 회전벨트에 의한 무한종류의 접기
· 아키야마·나라의 정리의 확장
1. 디지털 포렌식, 이것만 알자
디지털 포렌식, 이것만 알자
나고야공업대학 정보공학과 윤승용
2015-10-13 1
2. 디지털 포렌식, 이것만 알자
발표자 소개
학력
• 일본 나고야공업대학 정보공학과
• 한국디지털미디어고등학교 해킹방어과
자격
• 디지털 포렌식 전문가 2급
대회
• MWS Cup 2012 3위
• 제3회 디지털 범인을 찾아라 은상
2015-10-13 2
윤승용
Yoon SeungYong
forcom@forcom.kr
https://github.com/forcom
3. 디지털 포렌식, 이것만 알자
디지털 포렌식
디지털 포렌식은 전자적 증거물 등을 사법기관에 제출하기 위
해 데이터를 수집·분석·보고서를 작성하는 일련의 작업을 말한
다.
2015-10-13 3
출처 : 컴퓨터 포렌식 - Wikipedia ─── https://ko.wikipedia.org/wiki/컴퓨터_포렌식
• 전자적 증거물
문서 파일, 인터넷 사용기록, 방화벽 로그, 사진·동영상 파일 등
• 사법기관 제출
형사소송법의 증거 능력에 부합하도록 조사
• 데이터 수집·분석·보고서 작성
전자적 증거물의 적법성, 검증가능성, 신속성, 연계보관성, 동일성을 증명
5. 디지털 포렌식, 이것만 알자
포렌식 관점에서 본 디지털 포렌식
바이너리 데이터가 사법기관에 제출되려면
2015-10-13 5
6. 디지털 포렌식, 이것만 알자
증거란?
2015-10-13 6
형사소송법 제307조(증거재판주의)
① 사실의 인정은 증거에 의하여야 한다.
② 범죄사실의 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다.
범죄에 대한 사실관계를 확실하게 하기 위하여 사용되는 자료
증거
7. 디지털 포렌식, 이것만 알자
증거로 인정받으려면?
2015-10-13 7
형사소송법 제308조(자유심증주의)
증거의 증명력은 법관의 자유판단에 의한다.
형사소송법 제308조의2(위법수집증거의 배제)
적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.
독수독과의 원칙 대판 2009. 3. 12. 선고 2008도11437
형사소송법 제310조의2(전문증거와 증거능력의 제한)
제311조 내지 제316조에 규정한 것 이외에는 공판준비 또는 공판기일에서의 진술에
대신하여 진술을 기재한 서류나 공판준비 또는 공판기일 외에서의 타인의 진술을 내
용으로 하는 진술은 이를 증거로 할 수 없다.
형사소송법 제318조(당사자의 동의와 증거능력)
① 검사와 피고인이 증거로 할 수 있음을 동의한 서류 또는 물건은 진정한 것으로 인
정한 때에는 증거로 할 수 있다.
8. 디지털 포렌식, 이것만 알자
바이너리 데이터가 증거로 인정받으려면?
과학적 증거방법
2015-10-13 8
대판2007.05.10.선고2007도1950,대판2009.03.12.선고2008도8486,대판2010.03.25.선고2009도14772,
대판2011.05.26.선고2011도1902,대판2014.02.13.선고2013도9605
전제로 하는 사실이 모두 진실임이 입증되고 추론의 방법이 과학적으로 정당
하여 오류의 가능성이 전무하거나 무시할 정도로 극소한 것으로 인정되는 경
우에는 법관이 사실인정을 함에 있어 상당한 정도로 구속력을 가진다. 그 증거
방법이 전문적인 지식·기술·경험을 가진 감정인에 의하여 공인된 표준 검사기
법으로 분석을 거쳐 법원에 제출된 것이어야 할 뿐만 아니라, 채취·보관·분석
등 모든 과정에서 자료의 동일성이 인정되고 인위적인 조작·훼손·첨가가 없었
음이 담보되어야 한다.
9. 디지털 포렌식, 이것만 알자
바이너리 데이터가 증거로 인정받으려면?
전문적인 지식·기술·경험을 가진 포렌식 조사관
• 포렌식 전문 수사관
• 포렌식 전문가 자격 취득자
공인된 표준 포렌식 도구
• 한국정보통신기술협회(TTA)
• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 요구사항(TTAS.KO-12.0057)
• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 검증(TTAK.KO-12.0075)
• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항(TTAK.KO-12.0081)
• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증(TTAK.KO-12.0112)
• 미국 국가표준기술연구소(NIST)
• CFTT(Computer Forensics Tool Testing) 프로젝트
• CFReDS(Computer Forensic Reference Data Sets) 프로젝트
2015-10-13 9
10. 디지털 포렌식, 이것만 알자
디지털 관점에서 본 디지털 포렌식
바이너리 데이터를 수집·분석하려면
2015-10-13 10
11. 디지털 포렌식, 이것만 알자
디지털 포렌식 절차
• 대검찰청예규 제805호 디지털포렌식 수사관의 증거 수집 및 분석 규정
• 경찰청훈령 제766호 디지털 증거 수집 및 처리 등에 관한 규칙
• 한국정보통신기술협회(TTA) TTAS.KO-12.0058 컴퓨터 포렌식 가이드라인
2015-10-13 11
수집 분석
보고서 작성
및 대응
12. 디지털 포렌식, 이것만 알자
수집
무엇을 수집할 것인가
• 시스템 메모리, 네트워크 정보, ···
• 하드 디스크, USB 메모리, CD-ROM, ···
어떻게 수집할 것인가
• 활성 시스템 분석 도구
• 메모리 덤프
• 저장매체 이미지 작성
• 물리적 압수
올바르게 수집되었는가
• 해시 값 생성 후 비교
• 당사자 및 입회인의 동의
• 안전한 포장
2015-10-13 12
13. 디지털 포렌식, 이것만 알자
분석
시스템 구성 파악
타임라인 작성
시점 특정
아티팩트 분석
2015-10-13 13
14. 디지털 포렌식, 이것만 알자
보고서 작성 및 대응
• 쉽게 이해할 수 있는 용어를 사용하여 정확하고 간결하며 논
리 정연하게 작성
• 사실 관계 중심으로 객관적 사실, 설명내용, 분석관 의견을 구
분하여 작성
• 수집·분석이 “과학적 증거 방법”으로 이루어졌음을 정확하게
기록
2015-10-13 14
15. 디지털 포렌식, 이것만 알자
디지털 포렌식 기술 최신 동향
디지털 포렌식 기술의 최신 동향
2015-10-13 15
16. 디지털 포렌식, 이것만 알자
“
”
우울하죠
── 디지털 포렌식 전문가 자격 보수 교육에서
2015-10-13 16
17. 디지털 포렌식, 이것만 알자
Internet of Things (IoT)
2015-10-13 17
스마트폰
USB 메모리
네비게이션
드론
노트북
CCTV
블랙박스
MP3 플레이어
스마트왓치
태블릿
스마트TV
센서
18. 디지털 포렌식, 이것만 알자
빅데이터
• WD 6TB GREEN WD60EZRX
• 280,300원 (1GB 당 47원)
• Seagate 4TB ST4000DM000
• 147,800원 (1GB 당 37원)
• Seagate Portable Drive 1TB
• 85,000원 (1GB 당 85원)
···
• SATA2 (3Gbps/s = 375MB/s)
• SATA3 (6Gbps/s = 750MB/s)
• USB 3.0 (5Gbps/s = 625MB/s)
• USB 3.1 (10Gbps/s = 1.2GB/s)
2015-10-13 18
6000GB ÷ 1.2GB/s = 5000 초 = 1시간 24분
20. 디지털 포렌식, 이것만 알자
모바일 운영체제
• 안드로이드, iOS, Windows Mobile, ···
• 기본적으로 관리자 권한 미제공
• 활성 시스템 정보 획득 어려움
• 저장소 이미지 획득 어려움
• 보안 취약점이 많음
• 대부분의 앱이 SQLite DB를 이용
2015-10-13 20
21. 디지털 포렌식, 이것만 알자
디지털 포렌식 최신 판례 동향
주목할 만한 디지털 포렌식 최신 판례
2015-10-13 21
22. 디지털 포렌식, 이것만 알자
대법원 2015. 7. 16. 2011모1839 결정
• 배경
• 수원지검은 피의자의 배임혐의와 관련한 영장을 발부받아 피의자의
사무실을 압수수색
• 당시 검사는 피의자의 동의를 받아 디지털 저장매체를 반출 후 대검
디지털 포렌식 센터에 인계하여 저장된 파일을 복제하였고, 피의자는
복제과정의 일부만 지켜보다 이탈
• 검사는 대검에서 복제한 파일을 자신의 매체에 복제 후 파일 수색
• 이때 기존 영장에 기재된 혐의+영장에 기재되지 않은 혐의 정보 출력
• 이 과정에 참여를 보장받지 못한 피의자는 위법한 압수수색이라며 법
원에 준항고, 수원지법이 압수수색 전부 취소 결정, 검찰이 재항고
2015-10-13 22
23. 디지털 포렌식, 이것만 알자
대법원 2015. 7. 16. 2011모1839 결정
• 결정 주요 내용
• 디지털 증거에서 영장에 기재된 범죄 혐의에 관한 정보만 압수 수색
• 영장에 기재된 내용 이외의 범죄에 관한 정보가 나올 시, 즉시 수색을
중단하고 해당 범죄 행위와 관련된 영장을 다시 발부 후 수색
• 현장에서의 압수수색이 어려워 원본 압수 후 수사기관의 사무실에서
복제 시, 당사자 혹은 변호인이 모든 과정에 참여
2015-10-13 23
24. 디지털 포렌식, 이것만 알자
디지털포렌식 예제
주요 공격 시나리오를 통해
2015-10-13 24
시나리오 출처 : FICON 2015
https://github.com/F-INSIGHT/Slides/tree/master/FICON
25. 디지털 포렌식, 이것만 알자
시나리오
• 국내 언론을 통해 고객정보의 중국 거래 확인
• 데이터 대조결과 내부망에 저장된 전체 고객정보
• 내부 확인결과
• 3개월전부터 악성코드 증가
• 진단된 PC는 모두 포맷해 위협 제거
• 스피어 피싱 메일이 5개월 전 45명의 직원에게 전달
• 악성 링크의 클릭 여부를 기억하지 못함
• 인터넷망(애드웨어 66건, 트로이목마 5건, 봇 12건)과 내부망(애드웨
어 10건, 트로이목마 5건)의 악성코드 감염 확인
2015-10-13 25
출처 : FICON 2015
26. 디지털 포렌식, 이것만 알자
시나리오
2015-10-13 26
출처 : FICON 2015
인터넷 업무망
PMS
File
Server
Web DB
PC PC PC PC PC
PC PC PC PC PC
PC PC PC PC GW
Firewall
PC PC PC PC PC
PC PC PC PC PC
GW PC PC PC PC
Firewall
DC Mail
ERP DB
27. 디지털 포렌식, 이것만 알자
분석 절차
1. 취득 가능한 전자적 정보 선별
• 피해 사실과 이미 조사된 내용 청취
• 초동조치의 시작은 전산망 구조 파악에서 부터
• 유효한 정보를 보관하고 있는 보안장비를 특정
2. 채증
• 악성프로그램 (애드웨어, 트로이목마, 봇 등)
• Spearphishing mail 원문 (수신자 45명에 대한)
• 악성프로그램이 진단된 기록과 피해PC의 하드디스크 이미지 (수신자
45명 포함)
• 방화벽 로그, 접근제한장비 로그, DB쿼리기록, MRTG 등 트래픽 정보
3. 1차 분석과 확정 검색
• 회원정보가 유출되었을 기준시간 특정
• 악성프로그램이 통신하는 C&C IP 주소 파악
4. 2차 채증 및 채증 자료의 분석
2015-10-13 27
출처 : FICON 2015
28. 디지털 포렌식, 이것만 알자
분석 결과
2015-10-13 28
출처 : FICON 2015
• 메일서버와 피해자PC 이미지로 보아, 용의자는 2014. 10. 21. 10:45경
suspect@gmail.com으로 읽어봐.hwp를 첨부하여 직원 45명에게 발송
• 악성프로그램을 분석한 결과, 읽어봐.hwp를 열람하면 1차 C&C 123.123.123.123
으로 접속하여 추가 악성프로그램을 내려받아 설치하는 기능의 악성 프로그램
taskmgr.exe가 설치
• 방화벽 기록으로 보아, 내부망 업무용 컴퓨터 중 120대가 123.123.123.123에 접속
• 추가로 확인된 PC를 분석한 결과, 용의자가 발송한 전자우편을 추가로 3종 확인.
4종의 이메일로 200명이 수신.
• 좀비PC 120대를 분석한 결과, 2차 C&C 234.234.234.234로 접속하는 Gh0st RAT을
1차 C&C에서 내려 받아 설치된 사실 확인
• DB 접근제한 기록으로 보아, 좀비PC 120대 중 1대인 DB admin의 PC에서 점심시
간 동안 DB를 덤프받은 사실이 확인
• 방화벽 기록으로 보아, 2014. 11. 01. 12:15경 DB admin의 PC에서 IP주소
111.111.111.111로 접속해 4GB의 내용이 전송된 사실이 확인
• DB admin의 PC 이미지에서, 회원정보가 압축되어 삭제된 내역과 htran, arpstorm
등이 확인