Monthly Archives: May 2013

You are browsing the site archives by month.

[포렌식] 향후 발생가능한 서비스 분야

디지털 포렌식을 활용한서비스는 감히 짐작컨데 전산업에 걸쳐 활용이 될것으로 생각이 된다.

최근 뉴스기사에도 언급되었던 ‘배우자의 외도사실 입증’에 큰 기여릉 하고 있다. 앞으로 흥신소에소 도입할 가능성이 크다.더불어 내 아이는 어떻게 컴퓨터를 사용할수 있을까? 휴대폰에는 어떤 정보들이 있을까? 부모의 걱정거리 해결에도 도움을 줄수 있을 것이다.

또한 탐정법이 국회를 통과해서 입법이된다면 그 파장은 더 클것이다. 민간에서도 합법적으로 조사가 가능해지기 때문에 거 많은 증거들 확보 할수 있기때문이다. 물론 법적 증거로 채택될수 있는 모든 상황은 갖추어야 한다.

반도체/화학/제조/전자/건설 등의 사업분야는 여전히 많은 위험에 노출되어있는것이 사실이다. 적절한 통제를 갖추고 모니터링하는것이 가장중요하지만, 분명히 홀이 존재하기 때문에 감사할수 있는 첨단 시스템을 갖추고 있어야한다. 첨단이라고 하니깐 뭐 대단한것처럼보이지만, 사실은 포렌식전문가와 포렌식 분석실정도로 보면 될것이다

[내부감사] Observation

협력업체관련 내부감사시 관찰해야 항 사항들

– 업무용 컴퓨터 / 개인용 컴퓨터 / 모바일폰
– 품의서
– 법률적 근거
– 인터뷰(거래를 하고 있는 담당자 대상, 개방형 질문)
– 휴폐업 조회(통신 판매업 포함)
– 사업자 조회(회사명 변경 등)
– 업체관련 기사 및 인터넷 정보 조회(웹사이트, 카페, 블로그 등)
– CCTV 확인
– 업체방문
– 인터넷으로 사업장 위치 확인
– 해당업체 매출정리
– 세금계산서, 카드전표 등 확인
– 필적확인(외부전문가 활용)
– 업체 전화해서 실제 물품 구매
– 물품 수령 방법
– 업체에 매출액 요청
– 업체에 수금기록
– 남아있는 외상금액 요청
– 업체와 거래하는 주변 다른 업체 컨택
– 전체 업무 플로우 확인
– 업체 계좌번호 확인
– 개인 계좌 거래내역 요청
– 거래 장부 확인
– 인사정보(입사일, 부서이동, 직책, 가족관계 등)

[포렌식] 분석툴(Encase, FTK 등)이 알려주지 않는 진실

포렌식을 잘 알지못하는 사람들은 고가의 분석툴만 있으면 정보유출 흔적, 내부부정 등을 찾아 낼수 있다고 알고 있다.
하지만, 실제 많은 케이스 분석결과 분석툴보다는 회사내에서 사용하는 시스템에서 대부분의 결정적인 증거가 발견되었다.
한가지예로, 자체 개발해서 사용하고 있는 메신저 대화내용에서 많은 흥미로운 진실들을 밝혀 낼 수 있었다.
이러한 메신저의 구조를 아는것이 무엇보다도 중요하다. 대화기록은 디폴트로 저장되는지 데이터 파일이 디비 형태로 있는지 등등을 파악하는것이 필요하다.

또한, 최근 정보보안에 많은 기업들이 투자를 하고 있다. 특히 문서보안(DRM)을 도입한 기업의 경우에는 파일들이 암화되어 분석툴에서 분석을 해주지 못한다.
즉, 키워드 검색이 불가능하다. 이럴 경우에도 내부 시스템을 잘 알고 있다면 별도의 다른 방법으로 쉽게 해결이 가능하다.

마지막으로, 회사내부에서 사용하고 있는 그룹웨어, 이메일, 정보유출방지 시스템, 방화벽 로그 등을 적절히 활용한다면 만족할만한 결과를 얻을 수 있을 것이다

Keep going with Staying Power

[칼럼]내부감사부서 역량강화를 위한 디지털포렌식 도입의 필요성

최근 트렌드를 보면, 내부감사부서에 IT전문가들이 포진해 있다. 데이터를 추출하고 조회하고 검색하는 등 감사업무 효율성강화에 한 몫을 하고 있다.
그러나 IT전문가가 포렌식업무까지 병행할수 있다면 금상첨화?일것이다.

사례 중심으로 설명을 하겠다.

[정보유출] 이미 외부로 유출된 파일 분석 기법

내부 시스템 로그 분석결과 내부 시스템 관리자에의해서 내부의 특정파일이 외부로 전송된 것을 확인하였다.

방화벽 로그 확인결과, 20메가 photo.zip 파일이 외부로 성공적으로 전송되었다.

관리자 인터뷰 결과 회사 워크숍때 찍은 사진을 전송한 것이라고 했다.

인터뷰만을 믿고 위 사건을 종료 시킬것인가? 아니면, 추가 조사를 할것인가?

추가 조사를 할경우 다음과 같은 방법과 절차로 진행하여야 한다.

 

ㅇ 포렌식 기법

 

ㅇ 타임라인 분석 기법