목차


소개

Amazon Macie는 Amazon S4 버킷에서 데이터를 검색할 때 사용하는 기능이다. 이를 특정 문자나 정규표현식을 사용하여 찾는다. 설명에는 기계학습을 사용하여 개인정보(PII)나 민감한 데이터를 식별할 수 있다고 소개한다.

활용

이제 Macie를 이용해 검색하기 위해 패턴을 생성한다. 패턴은 우측 패널에 설정에서 사용자 지정 데이터 식별자를 선택한다.

민감 정보를 찾기 위한 패턴 설정 1

민감한 데이터인 폰 번호를 검색하는 정규표현식을 간단히 작성한다. 단순 문자열도 최대 50개까지 지정할 수 있고, 예외처리도 10개 까지 가능하다.

민감 정보를 찾기 위한 패턴 설정 2

이제 검색은 검색 대상이 되는 S3 버킷을 선택한다. 버킷 선택은 우측 패널의 S3 버킷에서 선택 가능하며 여러 버킷을 지정하여 한번에 검색도 가능하다.

Macie 스캐닝 대상이 되는 S3 버킷 설정

다음과 같이 간단한 S3 버킷의 정보를 보여주고, 우측에는 Macie의 요금 정보도 간략하게 보여준다.

Macie 스캐닝 하기 앞서 선택한 S3 버킷 정보

상세한 Macie의 요금은 요금 | Amazon Macie | Amazon Web Services(AWS)에서 확인 가능하다. Macie를 활성화 한 것만으로도 버킷 갯수당 0.10 달러가 소비된다. 그 이유는 검색 속도를 높이기 위해 인덱싱하는 것 때문으로 추측된다. 다음 버튼을 누르면 작업 방식을 선택할 수 있다. 지속적으로 반복작업을 할 것인가? 반복 작업을 한다면 기존 객체를 포함할 것인가? 이번 한번만 작업할 것인가? 등 설정할 수 있다. 기업의 경우 개인정보보호법에 의거해 데이터가 암호화되어 저장되어 있더라고 Pulic 버킷에 대해서는 지속적으로 Macie를 이용해 스캐닝하고, 최초로 진행할 땐 기존 객체를 포함을, 그렇지 않은 경우 기존 객체를 미포함으로 선택하여 비용을 줄일 수 있어 보인다. 반면 S3 버킷에서 탐지한 민감한 데이터를 조치를 하고 다시 스캔하여 결과를 확인할 수도 있다.

Macie를 이용한 민감한 정보 스캐닝 스케줄링 설정

다음으로 넘어가면 어떤 것을 검색할 것인지 미리 생성한 패턴을 선택한다.

Macie를 이용한 민감한 정보 스캐닝 탐지 패턴 설정

결과를 식별할 수 있게 Macie 작업 이름을 지정한다.

Macie를 이용한 민감한 정보 스캐닝 이름 설정

마지막을 설정한 작업을 검토하고 문제 없으면 제출을 클릭하여 스캐닝을 진행한다.

Macie를 이용한 민감한 정보 스캐닝 작업 최종 검토

스캐닝 결과는 우측 패널의 결과에서 확인할 수 있다. 결과는 모든 탐지 결과를 보여주며, 버킷별, 유형별, 작업별로 구분하여 볼 수 있다.

Macie를 이용한 민감한 정보 스캐닝 결과

각 결과를 선택하면 상세한 정보를 볼 수 있다. 중요한 것은 무엇이 탐지되었는가를 Macie에서 확인할 수 없다. 따라서 상세 결과의 개요에 리소스 부분의 링크를 선택하여 직접 S3 버킷에 방문하고, 탐지된 파일을 다운로드하여 분석할 수 있다.

Macie를 이용한 민감한 정보 스캐닝 상세 결과

간단하게 Macie를 구성하고 스캐닝도 해봤다. S3 버킷별로 암호화가 되어 있는 경우 처리하는 방법도 살펴볼 필요가 있고, 기업마다 개인정보의 유형이 다르기 때문에 패턴 생성에도 심혈을 기울여야 할 것 같다.

참고

 

What is Amazon Macie? - Amazon Macie

What is Amazon Macie? Amazon Macie is a fully managed data security and data privacy service that uses machine learning and pattern matching to discover, monitor, and help you protect your sensitive data in Amazon Simple Storage Service (Amazon S3). Macie

docs.aws.amazon.com

 

'Information Technology > Cloud' 카테고리의 다른 글

Amazon Macie (2/2) - 활용편  (0) 2020.09.13
Amazon Macie (1/2) - 구축편  (0) 2020.09.13

목차


소개

Amazon Macie는 Amazon S4 버킷에서 데이터를 검색할 때 사용하는 기능이다. 이를 특정 문자나 정규표현식을 사용하여 찾는다. 설명에는 기계학습을 사용하여 개인정보(PII)나 민감한 데이터를 식별할 수 있다고 소개한다.

구축

처음 Macie에 들어가면 기능 활성화를 진행할 수 있다. 첫 활성화 땐 30일 무료 평가판으로 자동 등록되어 무료로 사용할 수 있다.

Macie 활성화 시작 화면

최초 활성화를 하면 목적에 맞게 현재의 권한으로 접근할 수 있는 S3 버킷의 상태를 살펴볼 수 있다.

Macie의 대시보드

제일 먼저 설정해야 할 부분은 검색 결과이다. 민감한 데이터를 검색하고 찾아낸 결과를 새로운 S3 버킷에 저장한다. 본 포스트에서는 테스트를 위해서 오레온 데이터 센터를선택했지만, 보안 분야에서 찾아낼 민감한 데이터란 개인정보가 주류를 이루기에 개인정보보호법상 서울로 데이터센터로 변경해 진행하는 것을 추천한다.

Macie 전용 S3 버킷 설정 시작 화면

말 그대로 민감한 데이터이기에 필수로 암호화 기능을 이용해야 한다. 새로운 S3에서 직접 만들때 기본 암호화에서 AWS-KMS 기능을 활성화하고 키와 연동하여 생성하고, Macie에서 해당 버킷과 암호키를 선택하여 구성할 수 있다. 아니면 간단하게 Macie를 생성할 때 새로운 S3 버킷과 암호키 지정하여 새로운 S3 버킷을 생성할 수 있다. 이 포스트에서는 새로운 버킷과 새로운 암호화키를 생성하는 방식으로 진행한다. 다음과 같이 버킷 생성을 선택하고 버킷 이름을 지정한다.

버킷 생성으로 설정 시 화면

자동으로 KMS 암호화가 활성화 되는데, 우측 상단의 새 KMS 키 생성을 선택하여 새로운 암호키를 생성한다. 키는 대칭키로,

Macie가 사용할 키 유형 설정

키 이름을 지정하고

Macie가 사용할 키 별칭 설정

IAM 롤 설정이 없고 1인 사용자이기에 키 관리자는 선택하지 않고 굳이 개인 사용자가 마스터 키를 가질 필요도 없으니 CMK(Customer Master Key)는 선택 없이 넘긴다. (참고로 키 관리를 AWS에 맡기면 비용이 발생한다.)

Macie가 사용할 S3 버킷의 키 관리 정의
Macie가 사용할 S3 버킷의 키 사용 권한 정의

마지막으로 키 정책 검토인데, 생성한 키를 Macie가 사용할 수 있도록 정책을 편집한다. 삽입할 정책은 다음과 같으며, Json 구조에 맞게 잘 삽입한다.

{ 
    "Sid": "Allow Macie to use the key", 
    "Effect": "Allow", 
    "Principal": { "Service": "macie.amazonaws.com" }, 
    "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], 
    "Resource": "*" 
}

Storing and retaining sensitive data discovery results with Amazon Macie에서 Macie의 정책을 키에 삽입하는 방법을 참고할 수 있다. 키를 생성했다면 다시 Macie로 돌아와서 KMS 키 별칭 끝의 Refresh 아이콘을 클릭하고 새로 생성한 키를 선택한다.

Macie 저장소 설정 완료 단계

설정이 잘 되었다면 저장을 눌렀을 때 다음과 같은 화면이 보여진다.

Amazon Macie 결과 저장소 생성 완료

삽질

Macie를 이용해 S3 버킷을 즉흥적으로 생성할 때 Macie가 암호키를 사용할 수 있도록 권한을 부여하지 않은채 생성 버튼을 누른다면, S3 버킷은 생성되고 암호키는 사용하지 못한채 "권한이 없다"는 에러메시지가 출력된다.

'Information Technology > Cloud' 카테고리의 다른 글

Amazon Macie (2/2) - 활용편  (0) 2020.09.13
Amazon Macie (1/2) - 구축편  (0) 2020.09.13

hakawati(Jason H. Choi), 1987

학력

  • 2005.02, 대구경신고등학교 졸업
  • 2014.02, 대구가톨릭대학교 컴퓨터공학과 졸업
  • 2018.03, 성균관대학원 일반대학원 과학수사학과 입학 - 디지털포렌식 전공
  • 2020.02, 성균관대학원 일반대학원 과학수사학과 졸업

경력

  • 2012.05, (주) 한국정보보호교육센터 40기 수료
  • 2012.06, (주) TriCubeLab 입사
  • 2014.05, (주) TriCubeLab 퇴사
  • 2014.06, (주) 한국정보보호교육센터 입사
  • 2019.05, (주) 한국정보보호교육센터 퇴사
  • 2019.07, 쿠팡 입사

경력 활동

  • 2012.06~ 분석 및 홍보 영상 제작 12건
  • 2012.12~ 경유지, 유포지 분석 약 300건
  • 2013.01~ YARA 패턴 제작 104건
  • 2013.05~ 리눅스 스크립트 제작 8건
  • 2013.06~ 신규 아이디어 5건
  • 2013.10~ 취약점 정보 수집 및 정리 18건

커뮤니티 활동

대외 활동

자문 활동

  • 2014.11, 사이버침해대응지원센터, 자문위원단
  • 2017.04, 한국인터넷진흥원, 사이버 시큐리티 인텔리전스 구축 자문위원단
  • 2017.05, 인코그니토 멘토 참여
  • 2018.07, 한국인터넷진흥원, CTI R&D 과제 자문위원단 자문
  • 2018.12, 한국인터넷진흥원, 오픈소스 인텔리전스 시스템 구축 자문

집필 활동

강의 활동

  • 2014.07, [특강] 국가정보보안교육원 - 악성코드 유포 방법론
  • 2014.08, [특강] 국가정보보안교육원 - 정보통신기반시설과 악성코드
  • 2014.09, [교육] 고용노동부, 한국산업인력공단 - 스펙초월 멘토스쿨 악성코드 멘토
  • 2014.10, [교육] 교육부 - 모바일 보안 (21h)
  • 2014.12, [특강] 보안프로젝트 - 드라이브-바이 다운로드와 자바스크립트 난독화 (3h)
  • 2015.01, [특강] 보안프로젝트 - 드라이브-바이 다운로드와 자바스크립트 난독화 (3h)
  • 2015.02, [특강] 보안프로젝트 - Viper를 이용한 악성코드 관리 (3h)
  • 2015.03, [특강] 보안프로젝트 - 드라이브-바이 다운로드와 자바스크립트 난독화 특강 (3h)
  • 2015.04, [특강] 한국정보보호교육센터 - 사물인터넷과 보안 (3h)
  • 2015.04, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (35h)
  • 2015.04, [특강] 보안프로젝트 - 드라이브-바이 다운로드와 자바스크립트 난독화 (3h)
  • 2015.05, [교육] 금융보안원 - 악성코드 분석 실무 (35h)
  • 2015.06, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (35h)
  • 2015.07, [교육] 금융보안연구원 - 악성코드 분석 실무 (35h)
  • 2015.09, [특강] 보안프로젝트 - 자바스크립트 난독화 (3h)
  • 2015.10, [교육] 금융보안원 - 악성코드 분석 실무 (35h)
  • 2015.11, [특강] SKT - 드라이브-바이 다운로드와 자바스크립트 난독화 (2h)
  • 2015.11, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (35h)
  • 2015.11, [특강] 보안프로젝트 - 드라이브-바이 다운로드와 자바스크립트 난독화 (3h)
  • 2015.12, [특강] 넥슨 - 드라이브-바이 다운로드와 자바스크립트 난독화 (2h)
  • 2016.06, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (35h)
  • 2016.07, [특강] 머니투데이 - 랜섬웨어 (30m)
  • 2016.08, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (21h)
  • 2016.08, [교육] KUCIS 대학정보보호동아리연합회 - 악성코드 분석 실무 (35h)
  • 2016.11, [교육] 대구시청 - 악성코드 분석 실무 (21h)
  • 2016.12, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (35h)
  • 2016.12, [특강] 경기정보보호지원센터 - 사물인터넷과 보안(3h)
  • 2017.03, [교육] 한국정보보호교육센터 - 악성코드 분석 실무 (56h)
  • 2017.05, [교육] 경기도 광주시청 - 정보화인원 전문교육 (12h)
  • 2017.07, [교육] KUCIS 대학정보보호동아리연합회 - 악성코드 분석 (35h)
  • 2017.08, [특강] 선린고 - 모의해킹 (8h)
  • 2017.09, [특강] 금융보안원 - 랜섬웨어 (6h)
  • 2017.10, [교육] 산업통상자원부 - 침해사고대응 (28h)
  • 2017.10, [교육] 경기 융합보안지원센터 - 침해사고대응 (70h)
  • 2018.01, [교육] 한국정보보호교육센터 - 66기, 악성코드 분석 실무 (35h)
  • 2018.04, [교육] 한국정보보호교육센터 - 단기, 침해사고 분석 및 대응 (35h)
  • 2018.06, [특강] 유한킴벌리 - 악성코드 유포 (3h)
  • 2018.07, [교육] 한국정보보호교육센터 - 67기, 악성코드 분석 실무 (70h)
  • 2018.09, [특강] 한세고 - 악성코드 분석 (4h)
  • 2018.11, [특강] LG U+ 악성코드, 침해사고대응 특강 (4h)
  • 2018.11, [교육] 중부발전 악성코드 강의 (30h)
  • 2019.01, [교육] 동서발전 악성코드 강의 (24h)

기사

자격증

  • 2000.08, 워드프로세서 1급
  • 2001.10, 정보처리기능사
  • 2010.06, ITQ 파워포인트
  • 2012.08, 정보처리기사
  • 2015.02, IEQ 인터넷윤리자격 2급
  • 2015.12, CEH(Certified Ethical Hacker)
  • 2018.12, 디지털포렌식 전문가 2급

연락처

블로그 정보

  • 포스팅 수가 나태함을 상징하는 블로그

운영 규약

  • 본 블로그 안에 저작권법에 위반 되는 자료가 문제 발생 시 삭제하겠습니다.
  • 본 블로그 안에 모든 자료는 공유를 위한 목적이기에 제 사진을 제외한 자료들은 편하게 이용하시면 됩니다.
  • 단, 이 블로그 안에 모든 자료를 그대로 복사하여 이용하지 마시고, 새로운 형태의 콘텐츠 활용으로 이용해주시길 바랍니다.
  • 기타 자료 문의사항은 위 연락처 또는 댓글, 방명록을 통해서 연락해 주시길 바랍니다.(방명록도 있어요.)
  • 본 블로그의 자료는 The GNU General Public License v3.0 라이선스 규약을 따릅니다.
    • 출처 표기하면 가져다 쓰셔도 됩니다.

보안 규약

이 블로거 안의 자료는 정보 보안법에 의거하여 해당 자료가 저작권 등에 의해서 문제가 있다면 바로 삭제하겠습니다.

연구 목적으로 사용하지 않고 악의적인 목적으로 이용할 시 발생할 수 있는 법적인 책임은 모두 본인에게 있습니다.

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 정당한 접근권한이 없거나 허용된 접근 권한의 범위를 초과하여 정보통신망에 침하는 행위를 금지한다.(48조 1항) 위반하면 3년 이하의 징역 또는 3000만원 이한의 벌금에 처한다.(63조 1항 1호)

주요 정보통신기반시설을 침해하여 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억 원 이하의 벌금에 처하도록 규정하고 있다(28조 1항).

또 형법에서도 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 그밖의 방법으로 정보처리에 장애를 발생하게 한 자는 업무방해죄로 5년 이하의 징역 또는 1500만 원 이하의 벌금에 처하도록 규정하고 있다(314조 2항).

2018年 12月 21日 올림

1. Advancing Infosec, Keynote Presentation

마이크로소프트 위협 인텔리전스 센터 총 책임자인 존 램버트가 키노트를 잡았다. 전통적인 방어와 최근 방어의 차이를 설명했으며, 마이크로소프트에는 One Hunt라는 것이 있다고 설명했다. One Hunt는 레드팀, 블루팀 모두 하나의 공통 과제를 제공하고 이 과제를 해결하는 프로젝트를 의미하는 것 같았다. 아무래도 공격과 방어의 인사이트를 공유하여 융합되도록 하는데 있어 중요한 부분인 것 같다. 

위협 정보 공유하는 것은 매우 중요하다고 언급하며 지속적으로 컨퍼런스 발표, 블로그 운영, 트위터 활동, 도구 제작 및 오픈소스로 공개 그리고 멘토링을 통해 다른 팀이나 다른 사람들과 함께 성장하도록 장려한다고 말한다. 그러면서 이러한 결과가 ATT&CK Matrix가 만들어지지 않았나 라고 말하는 것 같다. 그러면서 다음 오픈소스들을 언급했다.

  • atomic red team - https://github.com/redcanaryco/atomic-red-team
    - 얜 ATT&CK를 공부하면서 알게된 녀석인데 실제 공격에 사용된 코드를 살펴볼 수 있어서 기억하고 있는 오픈소스다.
  • sigma - https://github.com/Neo23x0/sigma
    - 얜 HELK였나 무슨 오픈소스에서 시그니처 부분에 sigma를 적극 도입한다고 이야기해서 알게되었고, Neo23x0은 워낙 유명한 사람이라 놀랐던 오픈소스다.
  • jupyter - https://jupyter.org/
    - 한번 봤었다가 뭐야 이거 하면서 넘겼던 녀석인데 브라우저에서 코딩하는 IDE 오픈소스 같다.
  • binder - https://mybinder.org/
    - 얜 이번에 처음 봤는데 주피터 노트북이 있는 깃헙 주소를 바인더에 넣으면 브라우저에서 실시간으로 컴파일(인터프리터)해서 결과를 보여주는 도구 같다.

이러한 오픈소스를 적재적소에 사용하여 위협 인텔리전스를 수행하는 것이 매우 중요하며, 깃허브화(Githubification)을 진행하여 함께 할 수 있도록 구성하는 것이 중요하다고 언급하며 끝났다. (야레야레 깃헙 이제 MS 꺼잖아 소스코드 올리면 누구 좋으라는거야? 깃랩에 올리자 가용성이 조금 불안하지만..)

2. How Did We Get Here?

MITRE의 ATT&CK 리더인 Blake Storm과 인터뷰 내용이다. 처음엔 엑셀로 정리하면서 ATT&CK 프로젝트를 시작했고, 공격 정보를 토대로 방어를 할 수 있길 바랬다고 말한다. 이후 질문들이 이어지는데, 기억에 남는 질문이 ATT&CK의 단편적인 내용으로만 대응을 진행하면 오탐율이 많아지는데, 맥락(Context)적인 내용도 추가할 예정인지 물어본다. 이에 대한 답변으로 기존에 진행하는 방법론에 ATT&CK를 섞어 쓰는게 어떤가를 이야기한다. 플랫폼에 클라우드를 추가하는게 어떤가에 대한 질문에는 당연히 어렵다고 말한다. 각 TTPs에 심각도를 추가하는 것이 어떤가에 대한 질문에는 각 환경이 상이하기에 위협의 크기를 수치화하기가 힘들다고 답변한다. 그 외 다음 도구에 대한 질문이 꽤나 있었다. 아무래도 근거 자료로 매우 중요한 프로젝트이기 때문인듯 하다.

  • CAR - https://car.mitre.org/
    Cyber Analytics Repository의 약자로 공격에 대한 분석 결과를 저장한 저장소 같은 역할을 담당한다. CVE 처럼 별도의 식별 키워드로 CAR를 사용한다.

3. Operationalizing ATT&CK

SCYTHE사의 CEO인 Bryson Bort가 발표했다. 이 회사는 ATT&CK 프레임워크를 이용하여 레드 팀과 블루 팀을 컨설팅하는 회사다. 5분짜리 영상인 점을 보았을 때 핵심만 골라서 이야기한거 같다. 한마디로 "ATT&CK를 원소 주기율표의 원소들 처럼 이리섞고 저리섞어 활용해야 한다."로 요약할 수 있다.

4. Summiting the Pyramid of Pain: Operationalizing ATT&CK

General Electric의 인텔리전스 분석가 EMMA와 사고 분석가 JUSTIN이 발표했다. 일단 위협 인텔리전스 활동이 얼마나 고통스러운지 파이어아이의 고통의 피라미드(Pyramid of Pain)을 가지고 나왔다. 특히나 IDD(Intelligence Driven Defense)를 수행할 때 인텔리전스 팀과 침해사고 대응팀의 임시적 대화(ad hoc communication)이 가장 큰 고통이며, 이 간극이 인텔리전스 팀이 생산하는 데이터와 침해사고대응팀이 생산하는 데이터에 간극을 일으킨다고 언급한다. 이를 해결하기 위해 선택한 것이 스프레드시트로 데이터를 정립해 운영하는 것이었으나 이 또한 720개가 넘어가는 TTP를 분류하는 점에서 또 다른 고통(Spreadsheet of Pain)으로 이야기를 한다. 

고통에서 해방하고자 만든 자체적인 프로세스인 Tiamat을 소개했다. 한 기업이 위협 인텔리전스를 수용하려면 이러한 고통을 이겨냈을 때 성과가 발현될 듯 싶지만, 전문적이고 지속적으로 활동 가능한 침해사고대응팀부터 만들어야 하지 않을까 싶다. 

5. ATT&CK: All the Things

미공군인 USAA의 정보보안 전문가 Neelsen Cyrus와 디텍션 리더인 David Thompson의 발표다. 사이버 킬체인은 낡은 방법론이고 ATT&CK는 최신 방법론으로 이야기한다. 따라서 ATT&CK로 분석하기 위해 데이터를 수집하여 관리하는데 이를 kafka 메시징 수집기를 이용하고 Logstash를 통해 로그를 분류한다. 90일 데이터는 Elasticsearch 데이터베이스에 기록하고, 1년의 데이터는 Hadoop 파일 시스템을 이용하여 기록한다. 그리고 위협 인텔리전스를 하기 위해 자체적으로 생태계를 구축한 이야기를 한다.

  • DMR(Detection Management Reporting) - 흔히 말하는 대시보드 같은 역할을 하는 기능으로 보인다.
  • DSP(Defense Security Posture) - 탐지 방법을 설정하면 DMR에 반영되고, DMR에서 우선순위를 정하면 DSP에 반영된다. 탐지 방법을 반영하기에 ATT&CK의 TTPs를 여기에 적용한다.
  • GWH - 시그니처 기반으로 큐를 돌려 헌팅되면 그 결과를 보여준다.
  • PAX - 억제 엔진으로 ATT&CK의 모든 정보를 단순히 탐지하는 형태로 사용하면 오탐이 많을 수 있기에 이를 억제하기 위해 사용하는 기능으로 보여진다.
  • AST(A Simulation Tool) - Canaries나 PoC 실행, 공격 명령어 등 공격을 시뮬레이팅할 수 잇는 기능이다.
  • MIST(Malicious Intel Search Tool) - IoC 정보를 수집하거나 인터넷에 공개된 다양한 위협 정보를 수집하는 기능이다.
  • SHP(Secure Hub Portal) - 공격을 매트릭스 형태로 관리하고, 보고서를 생산하는 등 기능을 가진다.

군에서 솔루션을 직접 구축해 운영하고, 그 구축에 필요하다면 오픈소스를 적극 활용하면서 이를 컨퍼런스에서 다양한 전문가에게 공개하고 토론하는 문화가 신기했다.

6. Agile Continuous Improvement Using ATT&CK

음 캘리포니아 치과 의사 협회(Delta Dental of California)? 여기에 사이버 위협 관리자인 Matthew Stiak와 컨설팅 업체인 Level Nine Group의 Jason Sinchak이 발표했다. 주된 내용은 조직에 ATT&CK를 적용하는데 필요한 고찰에 관한 이야기다. 탐지(Detection), 방지(Prevention), 대응(Response) 영역은 꾸준이 발전하고 있으니 식별 영역으로 넘어가자는 의미를 가지고 있다. 이를 위해서 ATT&CK를 고민했는데, 새로운 방법론을 도입할 때 고충은 기존 방법론과의 마찰이다. 이 마찰을 다음과 같이 정의했다.

  • 구조적 제한
  • 교육이 필요
  • 한정된 자원과 시간 관리

이를 해결하기 위해 선택한 방법으로 다음을 제안한다. 제안의 핵심은 애자일이다.

  • 애자일 방법론을 이용하여 장접을 부곽시킨다.
  • 미시적 관점까지 살펴볼 수 있는 퍼플 팀을 창설한다.
  • 각 항목별 평가 지표를 구성한다.

애자일 방법론은 이야기만 들어봤지 구체적으로 무엇인지 모른다. 오늘 퇴근길에 당장 서점에 들려서 애자일 관련 책 중 가장 많이 판매된 책을 한권 구매해서 읽어봐야 할것 같다. 퍼플 팀은 여섯 번째 영상에서 처음 나온 단어인데, 레드 팀과 블루 팀의 소통의 부재를 연결짓고 매니징하는 관리직으로 보면 된다. 다만 여기서 제안하는 'micro' 퍼플 팀은 레드 팀과 블루 팀의 활동의 단편적인 한 블록 단위로 평가를 하는 미시적인 평가를 진행하는 형태로 표현한다. 이 집단에 의해 만든 평가 지표로 객관적인 평가를 구성하여 효과성을 증명하는 것으로 이야기가 마무리된다.

이전 까지는 레드 팀과 블루 팀만 언급나왔다면 처음으로 퍼플 팀에 관한 이야기를 했다. 분야가 다른 두 전문 분야를 섞었을 때 마찰은 커진다. 우리나라는 그 조율을 각 분야의 상급자가 조율했다면, 외국의 경우 여유가 있는지 없는지는 모르겠으나 중재자 역할을 하는 조직을 별도로 운영하는 것으로 알고 있다. 이 점을 미루어 보았을 때 퍼플 팀은 매우 중요한 교두보 효과를 억제할 수 있다고 생각한다.

7. Vendor Panel Discussion

ATT&CK를 이용하는 밴더사 패널이다. Tag Cyber는 처음 보는 회사고 나머지 회사는 요즘 핫한 트렌드에 발맞춰 움직이는 회사들이다. 팔로알토는 다른 회사에 비해 전통성이 있지만.. 토론에 참여한 밴더사는 영상을 보는 기준 왼쪽부터 순서대로 다음과 같다.

  • Tag Cyber - 컨설팅, 교육, eBook 간행물 등을 진행하는 회사다. 이 패널 토의에서 Tag Cyber의 Ed Amoroso 박사는 진행자 역할을 한다.
  • ATTACKIQ - BAS(Breach and Attack Simulation) 솔루션으로 유명한 회사다. 알려진 유출 및 공격 시나리오를 기반으로 자사의 위험성을 판단하는 솔루션으로 특히나 ATTACKIQ에서는 ATT&CK의 분류 방식을 포함하여 광범위한 유출과 공격 시나리오를 제공한다.
  • Endgame - 얼마전에 ATT&CK 시나리오를 에뮬레이팅할 수 있는 솔루션 소개 영상을 보고 감탄한 회사다. 그것 보다 사실 어벤저스 엔드게임을 빨리 보고 싶다.
  • Cybereason - 이스라엘에 본사가 위치한 정보보안 업체로 국내에도 이 회사의 솔루션을 많이 검토하고 사용한다. 이 회사의 대표적인 솔루션은 EDR(Endpoint Detection & Response)로 엔드포인트에서 탐지하고 대응하기 위한 수 많은 로그 분석을 진행하고, 당연히 제품에는 ATT&CK를 활용하고 있는 것으로 알려져있다.
  • Unit 42 at PaloAlto Networks - 팔로알토 네트웤스의 Unit 42는 APT 공격을 전문적으로 분석하고 CTI화하여 운영하는 대표적인 조직 중 하나다.

첫 번째 질문은 ATT&CK 프레임워크에 대한 생각을 물어봤다. 요약하자면 다음과 같다.

  • Unit 42의 Jen은 ATT&CK 프레임워크를 가지고 환경에 적용해보고 그 결과를 통해 방어하는 방법을 다루는 것이 좋다고 언급한다. 특히 오픈소스를 사용하는 경우가 많은데 능력있는 공격자는 오픈소스를 많이 사용하기에 문제되지 않는다고 말한다. 
  • Cybereason의 Ross는 ATT&CK 프레임워크가 로제타 스톤과 비유했는데, 그 이유는 이 프레임워크를 통해 기술적인 것들을 공통된 언어로 사용하여 소통할 수 있었기 때문이다고 말한다. (로제타 스톤은 고대 이집트의 법전이 새겨진 비석인데, 이 비석이 발견되면서 이집트의 상형 문자를 해독하여 이집트 역사를 이해할 수 있게 되었기 때문에 이를 비유한 것으로 보여진다.) 그 외 사이버 보안의 문제로 공격자가 방어자보다 늘 우위에 있는 이유는 많은 시간을 가질 수 있기 때문이라고 말한다. 그렇기에 방어자는 제한된 시간 안에 방어를 유지해야하고, 이러한 상황에 필요한건 효율적인 방어 전략이라고 말한다. 
  • Endgame의 Devon은 수 많은 위협을 어떻게 분류할 것인가, 분류한 것을 어떻게 이해시킬 것인가에 많은 방법이 있는 만큼 많은 고민이 필요하다고 말한다. 이런 고민에 있어서 현지화된 정보만으로는 한계가 있고, 다양한 정보가 공유되어 활용되어야 하는데 ATT&CK 프레임워크가 큰 한몫을 한 것으로 이야기한다. 게다가 ATT&CK는 실제 활용되고 있기에 매우 긍정적으로 이야기한다. 
  • 마지막으로 ATTACKIQ의 Carl은 보안을 경제적으로 접근했다. 방어에 비해 공격자가 100배 정도 되는 금액을 더 많이 소비하여 공격한다고 이야기한다. 이런 비대칭적인 소비에 집중하여 이런 문제를 해결할 수 있는 방법을 찾는 것이 좋지 않을까 이야기한다. 또한 ATT&CK 프레임워크는 더욱 가공되어야 한다고 말한다. 예시로 클라우드 침해에 관한 내용인데, 이 부분은 프레임워크에 포함된 TTPs가 없음을 이야기했다.

마지막에 Carl이 말한 클라우드 침해에 관한 이야기 때문에 중반 이후부터는 일반적인 보안 트렌드와 패널 질문(보안의 고충)에 대한 이야기를 한다. 이 이야기 안에 핵심으로 손꼽을만한 이야기를 한다면 바로 경제 관점에서 바라보는 보안이다. 과거에 공격자는 단순히 Spray-and-pray 모델로 공격을 통한 수익을 노렸다면, 지금은 시스템화되어 있고 기술력있게 공격하여 얼마만큼의 수익을 가질 것인가를 생각한다고 말한다. 

자본주의 시대에 충분히 고려해볼 문제다. 공격자가 방어자의 방어를 뚫는데 많은 시간과 돈(시간이 곧 돈이지)이 든다면 부담감을 느끼거나, 만만하게 시작했다면 손해볼 수 있을 것이다. 그러면 다음 공격은 더 큰 자본을 가지지 않는 이상 쉽지 않을 것이다. 이러한 관점이 경제 관점에서 바라보는 보안으로 이야기할 수 있을 것이다.

8. VCAF: Expanding the ATT&CK Framework to cover VERIS Threat Action Varieties



9. Playing Devil’s Advocate to Security Initiatives with ATT&CK



10. From Red VS Blue to Red Loves Blue



11. Helping Your Non-Security Executives Understand ATT&CK in 10 Minutes or Less



12. ATT&CK as a Teacher



13. Detection Philosophy, Evolution & ATT&CK



14. Decision Analysis Applications in Threat Analysis Frameworks



15. Building an Atomic Testing Program



16. 5 Ways to Screw Up Your Security Program with ATT&CK



17. ATT&CK + OSQuery = Love



18. An ATT&CK Review of 200 Hybrid-Analysis Submissions



19. From Technique to Detection



20. Hunters ATT&CKing with the Data



21. Analyzing Targeted Intrusions Through the Lens of the ATT&CK Framework



22. End User Panel Discussion



23. Sofacy 2018 and the Adversary Playbook



24. From Automation to Analytics



25. The Use of Game Theory with MITRE ATT&CK


'Information Security > CTI & Threat Hunting' 카테고리의 다른 글

MITRE ATT&CKcon 2018 review - 진행 중  (1) 2018.12.21
  1. corehack 2019.05.24 15:27

    좋은 자료 감사합니다.

개요

2013년 FBI는 마약 밀매 사건을 조사를 위해 피조사자의 이메일 수집 영장을 발부받아 마이크로소프트에 데이터를 요청했지만 거부당했다. 마이크로소프트는 통신저장법에 의거 미국이 아닌 타국(아일랜드)에 저장된 데이터이기 때문이었다. 이에 마이크로소프트와 미연방과 다툼이 있었다.

과거에도 유사한 문제가 있었기에 데이터가 저장된 서버의 위치가 영장의 범위를 벗어나는 문제를 개선하고자 시도했던 LEADS(Law Enforcement Access to Data Stored Abroad) Act나 ICPA(International Communications Privacy Act) 모두 통과하지 못했었다. 

도널드 트럼프 대통령은 2018년 종합세출법안(omnibus appropriations bill)을 통과시켰고, 동년 3월 23일 법안에 서명했다. 이 법안에 합법적인 해외 데이터 활용의 명확화를 위한 법률(Clarifying Lawful Overseas Use of Data Act)이 포함되었다. 이로 인해 본격적으로 타국에 저장된 데이터를 압수할 수 있게 되었다. 결국 CLOUD Act에 근거한 새로운 영장을 발부받아 마이크로소프트에 집행했고 CLOUD Act로 새로 발부 받은 영장의 효력을 대법원이 인정했다.

CLOUD Act의 주요 내용

개정 배경

이 법안은 다양한 국가적 범죄(테러, 마약, 불법 거래 등)로 부터 공공을 보호하기 위함과 시대적 상황을 고려하였다.

(1) 통신 서비스 제공 업체가 보유한 전자적 데이터에 적시에 접근할 수 있는 것은 것은 테러를 포함한 심각한 범죄로 부터 공공을 보호하고 대처하기 위한 정부 노력의 본질적인 구성 요소다.

(2) 미국 정부의 이러한 노력은 미국 관할권에 속하는 통신 서비스 제공자의 보호, 통제 또는 소유하는 미국 이외의 지역에 저장된 데이터에 접근할 수 없기에 방해 받고있다.

(3) 타국 정부 또한 심각한 범죄를 대처하기 위한 미국의 통신 서비스 제공자가 보유한 전자 데이터에 대한 접근성을 점점 더 높여나가야 한다.

(4) 통신 서비스 제공자는 미국 법에 의해 공개할 수 없는 전자적 데이터를 타국 정부가 요청할 때 잠재적으로 상충되는 법적 의무에 직면하게 된다.

(5) 통신 서비스 제공자가 미합중국법전 제18편 제121장(일반적으로 “Stored Communications Act”로 알려짐)에 의거 전자 자료 공개를 요구하는 경우 Foreign 법에 의해 통신 서비스 제공자가 공개하는 것을 금지되는 경우도 있어 상충되는 법적 의무가 발생할 수 있다.

(6) 국제 협약은 미국 정부와 타국 정부가 시민의 특권과 프라이버시 보호하는 법규를 공유하는 공통된 약속을 통해 상충될 수 있는 법적 의무를 해결하기 위한 방법을 제공한다.

역외 압수 신설

18 U.S. Code § 2713을 Chapter 121에 신설하여 역외 압수의 명시적 근거를 마련했다.

“전자 통신 서비스나 원격 컴퓨팅 서비스 공급자는 미국 내외에 관계없이 제공자의 보호, 통제 또는 소유에 있는 고객이나 가입자와 관련된 유선이나 전자 통신의 내용 그리고 모든 기록이나 기타 정보를 보존, 백업 또는 공개할 의무를 이 규정에 따라 준수해야 한다.”.

서비스 제공자의 영장 각하신청 제도 개정

18 U.S. Code § 2703(h)(2)를 다음 내용으로 개정하여 서비스 제공자의 영장 각하신청 제도를 개정했다.

“(2) 각하 신청이나 변경 요청 ㅡ (A) 타국의 전자 통신 서비스나 원격 컴퓨팅 서비스를 포함하는 공공 또는 원격 컴퓨팅 서비스에 대한 전자 통신 서비스 제공자는 가입자나 고객의 전선이나 전자 통신 내용을 이 섹션에 의거하여 발급된 법적 절차에 따라 공개해야하며, 공급자가 합리적으로 믿을 만한 법적 절차를 수정하거나 각하할 수 있는 동의서를 제출할 수 있다.

행정협정 체결을 통한 외국 정부에 정보제공의 법적 상충 해결

18 U.S. Code § 2511(2)에 (j)를 추가하여 정보제공을 명시화했다.

“(j) 집행 협약의 대상이되는 외국 정보의 명령에 따라 유선이나 전자 통신 내용을 공개하는 공공이나 원격 컴퓨팅 서비스를 운영하는 통신 서비스 제공 업체는 이 섹션에 의거 위배되지 않도록 법무부 장관이 의회에 섹션 2523을 만족한다고 결정했다”

또한 18 U.S. Code § 2523을 Chapter 119에 신설하여 외국 정부가 데이터 접근에 대한 협약을 마련했다.

집행 협정 요구사항 ㅡ Chapter 119, 121, 206의 목적 상 외국 정부가 데이터에 접근하는 규율을 집행하는 협약은 이 챕터의 요구사항을 충족해야하며, 만약 국무부 장관의 동의와 함께 법무부 장관이 결정하고 (1), (2), (3) 그리고 (4)의 서면 증명과 고려사항에 대한 설명을 포함하여 서면 증명서를 의회에 제출한다.

생각

아무리 CLOUD Act가 활성화 되었다고 하더라도, 타국에 위치한 데이터를 압수하기 위해 영장심의가 없으면 불가능하다. 다시 말해서 합당한 법적 근거가 마련되지 않으면 언제나 편하게 데이터를 살펴볼 수 없다는 것이다. 참고로 CLOUD Act가 승인되면서 구글, 마이크로소프트, 애플의 생각이 포스팅되기도 했다. 이들이 이 법안을 처음부터 지지했는지, 아니면 통과된 법안이기에 어쩔 수 없이 수용하고 앞으로 어떻게 대응할 것인지에 대한 부분은 각자가 판단할 몫이다.

참조 사이트


'Information Security > Digital Forensics' 카테고리의 다른 글

CLOUD Act  (0) 2018.12.19

자격증

취득하면 취소선 그어버립니다~ 물론 다 획득할 생각은 없.. 비싸.. 기타 자격증은 댓글로 부탁드립니다.


국내 자격증

정보보안기사

디지털포렌식전문가 2급

  • 국내 치곤 조금 비쌈(직장인 그저, 학생 비쌈)
  • 디지털 포렌식을 제대로 공부할 수 있는 시험
  • 사이트 - https://forensickorea.org/exam/

IEQ 인터넷윤리자격

  • 국가 공인 자격증으로 3급, 2급, 지도사 이렇게 세 종류로 구분
  • 지도사가 좀 어렵고, 2급이 쉬운편인데 보안이 살짝 들어가있고, 윤리 시험이라서 도덕, 철학 문제가 나옴
  • 2급은 취득했고 지도사 준비중
  • 사이트 - https://license.kpc.or.kr/nasec/qlfint/qlfint/selectIeqinfomg.do

CPPG 개인정보관리사

PIP 개인정보보호사


해외 자격증

EC-Council

국제 전자상거래 컨설턴트를 위한 국제위원회로 민간 자격증을 운영하는 곳으로 자격증 취득하면 액자에 걸면 간지 뿜뿜 할 수 있는 라이선스를 국제 배송으로 보내준다. 영어로 시험쳐야 하고 국제 공인은 아니가 그냥 민간 자격증이라 국내에서는 크게 인정해주지 않는 분위기다.

CND (Certified Network Defender)

  • 네트워크 위협, 분석, 정책 등 네트워크 기반 보안 자격증

CEH (Certified Ethical Hacker)

  • EC-Council의 대표적인 자격증으로 해커 윤리를 강조
  • 우리나라의 IEQ와 달리 도덕과 철학 문제는 없음

ECSA(EC-Council Certified Security Analyst)

  • 침투테스터를 위한 자격증

CHFI(Computer Hacking Forensic Investigation)

  • 컴퓨터 해킹 수사를 위한 자격증으로 미국 법이 나오는걸로 알려져있음

CCISO(EC-Council’s Certified Chief Information Security Officer)

  • CISO 자격증으로 도메인이 거버넌스, 리스크 관리, 보안 전략 기획 이런거 시험침
  • 강의듣고 시험쳐서 획득하는 자격증으로 수료증과 진배없음

CTIA(Certified Threat Intelligence Analyst)

  • 이 자격증 보고 트렌드에 EC-Council은 민감한 곳이구나 싶었다.
  • 강의듣고 시험쳐서 획득하는 자격증으로 수료증과 진배없음

ISACA(Information Systems Audit and Control Association)

IT 거버넌스에 초점을 둔 국제 전문 협회로 국제공인 자격증을 운영하는 곳으로 국내에서도 많이 인정하는 자격증을 운영한다. 특히 국내에서 인기있는 자격증으로 CISA가 있다.

CISA(Certified Information Systems Auditor)

CISM(Certified Information Security Manager)

  • CISA가 정보 시스템 감사 자격증이라면 얜 정보 보호 관리자 자격증
  • 국내에서 CISA 보다 상대적으로 인정을 덜 받는 자격증
  • 사이트 - http://www.isaca.or.kr/info/cism.asp

(ISC)² (International Information System Security Certification Consortium)

여기도 국제 공인으로 사이버 보안 전문가를 위해 교육이나 자격증을 전문으로 운영하며 세계적으로도 인정받는 자격증으로 CISSP이 있다. 호주에 영어시험이랑 CISSP 자격증만 들고가도 기술자로 대우 받으며 영주권 획득 가능하다는 소문이 있었으나 조금만 찾아보면 가산점 부여 되는 정도.. 기술시험도 쳐야한다고.. (http://www.hojujota.com/marn/acs)

CISSP(Certified Information Systems Security Professional)

CCFP(Certified Cyber Forensics Professional)

SSCP(Systems Security Certified Practitioner)

CCSP(The Industry’s Premier Cloud Security Certification)


SANS

1989년에 설립하여 전통있는 정보보안 교육과 자격증을 함께 장사하는 곳으로 교육을 들어야 자격증을 딸 수 있다. 그렇다고 교육의 질이 나쁘거나 자격증 인정 여부가 나쁜 편은 아니다. 뭘해도 비싼 조직 글로벌 강사의 꿈의 조직이다. 엄청나게 많은 자격증을 운영하는데 그 중에 GIAC를 가장 쳐준다.

GIAC 외 기타 자격증 리스트 - https://www.giac.org/certifications/categories

GIAC(Global Information Assurance Certification)


기타

도구 개발한 회사가 자기 도구를 이용한 자격증 시험을 운영하는 곳이다.

ACE(AccessData Certified Examiner)

EnCE(EnCase Certified Examiner)

EnCEP(EnCase Certified eDiscovery Partitioner)

CFSR(Certified Forensic Security Responder)

  • 엔케이스로 하는건 아닌거 같은데 엔케이스에서 운영하는 듯
  • 침해사고대응 쪽 자격증
  • 사이트 - https://www.opentext.com/products-and-solutions/services/training-and-learning-services/course-catalogue/encase-training/forensic-security-responder-certification


개요

대중적으론 악성코드보단 바이러스라는 용어를 더 일상적으로 사용하고, 정보보안을 공부한 사람이라면 악성코드란 용어를 더 친숙하게 받아들인다. 악성코드란 무엇일까. 지금까지 우리는 악성코드란 단어를 의구심 없이 받아 들일뿐 물음표를 던져본적이 없었던 것 같다. 그래서 Malware란 단어를 살펴보기 앞서 악성코드 단어를 분해해보려 한다.

정의 파악

악성(惡性)이란 악한 성질로 이 성질 파악의 주체는 사람의 목적이다. 날카로운 칼이 있다. 이 칼은 어떤 성향을 가진 사람 손에 들려져 있는가에 따라 맛있는 요리를 할 수 있지만, 누군가를 해칠 수도 있다. 어떤 용도로 사용하지 않으면 그냥 물건일 뿐이다. 누군가를 해칠 수도 있다는 가능성이 실현되는 것은 그 주체자의 의도와 행동에 따르기에 물체인 칼은 악한 성질을 가지고 있다고 판단할 수 없다.

코드(Code)란 기호를 의미하며 컴퓨터에서만 사용하는 용어는 아니다. 하지만 여기서는 컴퓨터에서 사용하는 코드를 의미한다. 컴퓨터에서 코드란 하드웨어에서 실행되는 소프트웨어의 요소 중 하나다. 프로그래밍 언어를 이용해 사람은 소스코드를 작성한다. 작성한 소스코드는 컴파일러나 인터프리터에 의해 하드웨어인 CPU가 해석할 수 있는 기계어 코드로 변환된다.

두 정의를 통해 살펴본 것 처럼 악성코드란 악한 성질을 가진 컴퓨터 코드로 볼 수 있다. 앞서 악성의 정의를 살펴본 것 처럼 컴퓨터의 관점에서 악성은 실행되지 않는 코드일 뿐이다. 불편함을 초래하거나 귀찮게하거나 놀리거나 금전적 손실을 일으키거나 컴퓨터를 못쓰게 만드는 등 사람의 입장에서 "이 소프트웨어 나쁘네" 하면 악성코드가 된다.

문제 의식

코드 정의에서 살펴봤듯이 소프트웨어가 하드웨어에서 실행되는 요소 중 하나가 코드며 소개 안한 다른 요소는 데이터다. CPU도 코드 세그먼트(CS)와 데이터 세그먼트(DS)가 따로이 운영되고, 이들이 운영되는 큰 이유인 분할 메모리 모델에서 코드 영역과 데이터 영역이 따로 구분되어 관리될 정도로 중요한 요소다. 데이터는 가공되지 않은 정보다. 데이터는 코드가 동작하는 과정에 사용된 의미를 찾을 수 있으며, 사용자가 데이터를 보고 해석하여 의미를 찾을 수 있다. 이렇게 찾게된 의미를 정보라 부른다.

그렇다면 악성코드는 있는데, 악성 데이터는 없을까? 악성 코드가 동작하기 위해 필요한 데이터는 당연히 악성 데이터다. 이 데이터가 없으면 해당 코드가 동작하지 않으니까. 사용자는 데이터만 보고 악성으로 해석하기 힘들 수 있지만 이미 악성으로 판단된 상황에서 찾은 데이터는 악성으로 해석할 수 있다. 대표적인 경우가 .pdb 파일이다.

.pdb 파일은 Program DataBase의 약자로 프로그램을 개발할 때 다양한 정보가 저장되는 데이터 파일이다. 어떤 악성 소프트웨어를 분석하는 과정에서 .pdb 파일의 경로를 만나게 되거나 운좋게 .pdb 파일을 찾게 된다면 이 파일을 분석하여 컴파일러에 관한 정보, 디버깅에 관한 정보 등 확인할 수 있으며, 이는 분석한 악성 소프트웨어 정보와 결합하여 악성 정보로써 관리된다.

결론

그렇다면 정말 악성코드로 불리는게 맞는 것일까? 현재 우리가 부르는 악성코드와 매핑되는 영단어는 Malware다. 이 단어도 합성어인데 악성을 의미하는 Malicious와 소프트웨어(software)의 조합이다. 소프트웨어는 다시 코드와 데이터와 같은 요소로 이루어져 있다고 정의했었다. 다시 말해서 악성코드와 악성 데이터를 합쳐야 멀웨어가 되는 구조를 가지게 맞다. 앞으론 멀웨어나 악성 소프트웨어로 쭉 써야할 것 같다.

기타

추가로 악성코드란 한국어 명칭이 처음 사용된 것이 언제인지 찾아봤다. 인터넷에서 찾아볼 수 있는 가장 오래된 정보로는 안철수 대표가 1999년 정보보호 심포지움에서 "컴퓨터 바이러스와 악성코드의 현황 및 대책"이란 발표인 것 같다. 아쉽게도 이 제목은 CIH 바이러스 분석 및 대책 논문의 레퍼런스에서 찾아 볼 수 있었을 뿐 발표 자료나 내용은 찾을 수 없었다. 1년이 지난 2000년 한국정보보호센터로 불리던 시절의 KISA에서 발간한 KISA-2000 정보시스템 해킹 바이러스 현황 및 대응 보고서에서 악성코드와 바이러스는 의미가 혼용되어 사용된다. 분명 그 전에 악성코드란 단어가 사용되었던 적이 있었을 것 같다. 정보보안 역사를 경험한 대선배님들과 대화할 기회가 온다면 한번은 물어봐야 할 것 같다.

레퍼런스


'Information Security > Malware' 카테고리의 다른 글

Is malware same mean Korean word 악성코드?  (0) 2018.12.14
랜섬웨어 대응방안  (5) 2017.05.17
[보고서] Mirai Botnet  (0) 2016.12.26
도메인 쉐도잉 (Domain Shadowing)  (0) 2015.03.17
Sweet Orange exploit kit  (0) 2014.09.02
공다팩(Gondad EK) 분석 #04  (2) 2014.08.14

2018년 11월 24일 제 12회 디지털 포렌식 전문가 2급 실기를 쳤다. 11회때 칠 수 있었는데, 형사소송법이랑 증거 수집 절차 같은거 지하철에서 공부하면서 가다가 지하철역 지나쳐버려서 못쳤고, 이번엔 일찍 일어나서 느긋하게 걸어갔다. 시험장소는 동국대 경영관이었고 눈보라 헤쳐가며 한 시간이나 일찍 도착했다. 그때 시험 친 지인들의 이야기를 들어보면 주로 침해사고조사가 베이스인 디지털 포렌식이 시험이었다고 한다. 이번에는 수사를 베이스로한 디지털 포렌식 시험을 칠 꺼라고 이야기 들렸다. 일전에 짬내서 공부했던 것과 시험치기 직전에 벼락으로 살펴봤던 내용 그리고 시험 내용은 다음과 같다.


1. 이미징

전체를 이미징하는 것과 선별적으로 이미징하는 것은 차이가 있다. 최근 이미징의 대부분은 선별적 이미징을 한다고 들었고, 이러한 이유로 물리 드라이브보다 논리 드라이브를 이미징하는 경우가 많다고 하나 이를 시험에 낼것 같진 않았다. FTK Imager나 EnCase를 이용한 이미징을 수행하는 것은 매 실기 시험에 기본 소양으로 알려져 있다. 학교 덕분에 EnCase를 다뤄볼 일이 있고, 물어볼 친구가 있어 간단하게 쓰기 방지와 캐싱 그리고 캐싱에서 이미징하는 것을 두 번 연습했었다. FTK Imager를 주력으로 쓴다면, 레지스트리 기반으로 쓰기 방지를 진행하고, EnCase를 이용한다면 Fast Bloc 기능을 이용한다. 쓰기 방지 설정 후에 USB를 삽입해야 한다. 대부분 시험장은 백신이 동작해서 원본이 손상되니 꼭! 쓰기방지 후에 진행하는 것을 추천한다.

2. 조사

문제에서 요구하는 조건에 맞게 정보와 데이터를 찾을 수 있어야 할 것 같았다. 이전에 자격증을 취득한 분들께 들어보면 문제에서 찾고자하는 무언가에 대한 정보가 불명확한 형태로 문제를 냈었다고 했었다. 다행이도 이번엔 명확하게 무엇을 찾아야 할지 문제에 적혀있어 앞으로 시험을 치룰 사람이면 파일 시스템의 유형이나 용량부터 파일 이름, 해시 등 찾는 방법을 알아두면 좋을 것 같다. 다행이도, 개인적으로 문제에서 요구하는 내용은 사전에 연습하지 않아도 될 만큼 모두 이해할 수 있는 수준의 데이터 유형이었고, 나머지는 어떤 도구에서 어떻게 찾아야 하는가인데, EnCase의 Report와 Process 기능을 알고 있어서 그나마 쉽게 끝낼 수 있었다.

3. 분석

문제에 시나리오가 주어진 상황이었다. 이메일로 주고 받은 내용과 시나리오를 통합해보면 댓글 알바를 통해 대외 이미지를 만들고 이를 통해 당선되는 선거법위반 시나리오 였다. 아쉽게도 이메일 확장자인 .pst, .eml, .ost 같은 것은 알아도, EnCase에서 검색하는 방법을 몰랐다. 간만에 노가다했다. 윈도우 시스템의 폴더 구조를 가지고 있어 User 폴더의 사용자 계정을 추측하고, 디폴트로 많이 사용하는 Download, Documents, Appdata 같은 위치를 찾아봤다. 별도로 설치된 응용프로그램은 보이지 않아 Appdata는 무시하고 Download와 Documents에 있는 정보들을 살펴보다 보니, .eml 파일들이 있었다. 주로 분석할 때 헥사 도구를 자주 사용하는 편이라서 내용을 보려고 EnCase의 Hex 기능으로 살펴보다가 바로 닫았다. Email UTF-8 인코딩이 되어있고, 인터넷이 차단된 상황이기에 온라인 디코더를 이용할 수 없어서 고민하던 찰나, EnCase에 이것저것 만지다 보니 자동으로 디코딩해서 잘 보여주는 기능이 있었다. 이렇게 삽질하면서 하나하나 문제를 해결했다.

4. 법률

법률은 좀 어려웠다. 첫 번째로 동일성의 원칙을 지키기 위해 어떻게 해야하는가에 대한 질문엔 해시라는 키워드를 이용해 기술했다. 두 번째로 증거능력에 대한 문제였는데, 나중에 지인들과 이야기를 하다보니 내가 쓴 답은 증명력에 대한 내용이었다. 증거 능력이 직접 증거와 간접 증거 모두 증거로써 능력을 가진다면 증거능력이 있다는 것이었는데, 이메일로 주고 받은 내용은 간접 증거로써 증거 능력이 있다. 세 번째로 불법 수집한 증거에 대한 증거 능력에 대한 내용인데 이는 형사소송법 제308조의2에 의거 증거능력이 될 수 없다고 적으려다가 기억하는게 잘못되었을 수 있어서 제308조의2를 뺐고 작성했다. 그 외 기억나지 않는 문제에 기술한 답 중에 몇 가지 기억나는 키워드로는 사법공조협조가 있었다. 수사를 하면서 만나는 데이터는 곧 증거이기에 디지털 포렌식 수사에 있어 필히 공부해야할 법률은 증거법이면 충분할 것 같다.

5. 보고서 작성 및 보고

보고서는 템플릿은 자율이었고, 파일 유형은 .docx, .hwp, .pdf로 제작하면 별 문제 없다고 공시되어 있었다. 그냥 그대로 작성하면 된다. 굳이 잘 쓸 필요는 없으나 문제의 답이 되는 내용은 모두 스크린샷이 있는 것이 중요해 보인다. 모든 답안은 CD/DVD에 꿉어서 제출하는데, 한번 기록하면 지울 수 없어 USB 형태를 선택하고 답안을 기록하여 제출했다. 이게 문제될지 안될지는 13회 실기 후기 포스팅이 올라오면 무조건 꿉어서 제출해야 한다는 것이니 시간이 답을 줄듯 싶다.


4시간 동안 친구들이랑 즐겁게 게임하는 느낌이었다. 꼭 그럴땐 시간이 얼마만큼 흘렀는지 모를만큼 집중했기에 마지막 문제까지 작성하고 시계를 보고 깜짝 놀랬다. 30분 밖에 남지 않아서. 몇 개 문제를 잘못 해석해 오답을 썼지만, 비록 CD를 꿉지 않았지만 붙었으면 좋겠다.

  1. Kuncap 2019.07.25 01:31

    실기는 공부를 어떻게 하셨나요??

+ Recent posts