(120303) #fitalk profiling insider threats and pre-detection model
ARE YOU READY? : INCIDENT RESPONSE READINESS
1. I N C I D E N T
R E S P O N S E R E A D I N E S S
A R E Y O U R E A D Y ?
2. H Y U N V I S @ N E W S E C U. K R
F B . CO M / H Y U N V I S
B O B 6 기 디 지 털 포 렌 식 멘 티
N E W S E C U L E A D E R
D I G I TA L F O R E N S I CS
광 주 전 자 공 업 고 등 학 교 3 학 년
신 현 우
3. B A S E D PA P E R
• (한국정보보호학회) '기업 서버의 침해 사고 대응을 위한 침해사고 준비도 모델'
• (DFRWS 2018 EU) 'A Comparative Study on Data Protection Legislations and
Government Standards to Implement Digital Forensic Readiness as Legal
Requirement'
• (ICCNS 2018) ‘Implementing Forensic Readiness to Small and Medium
Business: Case Study of South Korea'
4. 순 서
침 해 사 고 / 대 응 ?
I R R 의 실 태 &
중 요 성
기 존 가 이 드 /
도 구 분 석
문 제 점 도 출개 선 방 안 제 시P R O F I T !
5. I N C I D E N T R E S P O N S E R E A D I N E S S
( I R R )
6. 침 해 사 고
I N C I D E N T
DDoS InfoLeak
Destruction Attack Route
“정보통신망 또는 이와 관련된 정보시스템을
공격하는 행위를 하여 발생한 사태”
- ‘KISA 민간부문 침해사고 대응 안내서’
7. 침 해 사 고 대 응 준 비 도
I N C I D E N T R E S P O N S E
R E A D I N E S S
– 금 융 회 사 침 해 사 고 준 비 도 가 이 드 ( 금 융 보 안 원 , 2 0 1 7 )
“침해사고와 관련된 디지털 증거를 법적 증거능력을 갖는
방식으로 수집/분석 하기 위한 계획 및 시스템과 인적 자원
에 대한 조직적 준비”
11. 2 0 1 1 년 농 협 금 융 보 안 사 고
2 0 1 1 년 현 대 캐 피 탈 사 고 증 거 확 보 미 흡 / 시 스 템 , 인 력 부 재
원 상 복 구 에 초 점
12. 2 0 1 1 년 농 협 금 융 보 안 사 고
2 0 1 1 년 현 대 캐 피 탈 사 고
침해사고대응 준비도 미흡
증 거 확 보 미 흡 / 시 스 템 , 인 력 부 재
원 상 복 구 에 초 점
13. 침 해 사 고 대 응 준 비 도
I N C I D E N T R E S P O N S E
R E A D I N E S S
– 금 융 회 사 침 해 사 고 준 비 도 가 이 드 ( 금 융 보 안 원 , 2 0 1 7 )
“침해사고와 관련된 디지털 증거를 법적 증거능력을 갖는
방식으로 수집/분석 하기 위한 계획 및 시스템과 인적 자원
에 대한 조직적 준비”
21. 침 해 대 응 을 통 한 대 응 <
침 해 사 실 이 밝 혀 짐 으 로 인 한 불 이 익
22. 정 보 통 신 망 이 용 촉 진 및 정 보 보 호 등 에 관 한 법 률 제 4 8 조 의 3 ( 침 해 사 고 의 신 고 등 )
에 의 거 하 여 정 보 통 신 서 비 스 제 공 자 , 집 적 정 보 통 신 시 설 사 업 자 는 침 해 사 고 가 발 생
하 면 즉 시 그 사 실 을 미 래 창 조 부 장 관 이 나 인 터 넷 진 흥 원 에 신 고 하 여 야 한 다 .
정 보 통 신 망 이 용 촉 진 및 정 보 보 호 등 에 관 한 법 률 제 7 6 조 ( 과 태 료 ) 제 3 항 에 의 거 하 여
1 천 만 원 이 하 의 과 태 료 를 부 과
관 련 법 률
R E L AT E D L A W S
32. The right to be
forgotten
• 기업에게 사용자가 자신의 데이터 삭제
를 요구할 수 있음
• 이러한 요청을 받은 기업은 요구에 응해
야함
• EU와 관계있는 기업 (사실상 전세계 기
업)
• 사용자는 자신의 데이터를 ‘이동 가능
한’ 형식으로 받을 수 있음
33. 제33조
침해가 발생했을 시 데이터 관리자는
72시간 이내 관련 감독기구에 통지해야 하며,
문서화의 의무가 있음
제83조
규제를 준수하지 않았을 시
벌칙을 규정하는 항목에 의거하여 중대위반시
과징금 전세계매출 4% 또는
2천만유로 중 높은 금액의 과징금 부여
42. P R E PA R AT I O N
D E T E C T I O N &
A N A LY S I S
C O N TA I N M E N T
E R D I C AT I O N &
R E C O V E RY
P O S T-
I N C I D E N T
A C T I V I T Y
N I S T I N C I D E N T R E S P O N S E L I F E C Y C L E
NIST 800-61 Computer Security Incident Handling Guide
준비 탐지& 분석 격리제거&복구 사후조치
43. 사 고 조 사
K I S A 침 해 사 고 분 석 절 차 가 이 드 라 인
사 고 전
준 비
사 고 탐 지 초 기 대 응
대 응 전 략
체 계 화
데 이 터
수 집
데 이 터
분 석
보 고 서
작 성
복 구 , 해 결 과 정
KISA 침해사고 분석 절차 가이드라인 <사고 대응 7단계>
44. D I F F E R E N C E S ?
NIST
KISA
- 해석의 자유
- 사고 이후 발견된 개선사항 적용
- 침해사고 준비도 로서의 역할X
- 분석에 편향
- 사전 준비단계는 간단히 요약
- 침해사고 준비도의 중요성 인식X
52. R E Q U I R E M E N T S
A. 인적 관리 (담당자 선정, 직원 교육 훈련 등)
B. 법적 요구사항 안내서 (정보보호 컴플라이
언스 등)
C. 디지털 증거 수집, 처리 및 보존 가이드라인
D. 초기 대응 절차 안내서
E. 비상 연락망 체계 구축
F. 정기 감사를 통한 지속적인 침해 탐지 계획
수립
관리적 환경요소
53. R E Q U I R E M E N T S
A. 디지털 포렌식 툴 구입 및 설치
B. 디지털 아티팩트 수집 자동화
C. 서버 환경 설정
D. IDS등 관제 시스템 구축
기술적 환경요소
71. O P E N S O U R C E
Google Rapid Response
SekoiaLab FastIR - Artifacts Collector
Cisco Systems Snort - NIPS/NIDS
(Network Intrusion Prevention/Detection System)