Monthly Archives: January 2014

You are browsing the site archives by month.

[디지털 포렌식 기반 정보유출 S/W 개발] 사용자 요구사항 -1

프로그램 레이아웃 구성은?
– Encase, FTK Imager Loading 및 Tree View 제공
– 옵션에서 Disk verified 여부 체크
– 다중 Sorting

문서파일 Exporting
– 기 정의된 문서파일이 있고, 사용자가 특정 확장자 추가할 수 있음

분석대상 PC 기본정보 분석
– 윈도우 버전, 설치 일시 등
– IP정보 등
– 이동식 저장장치 등 접속기록
– 하드디스크 접속기록, 용량, 제조사 등

하드디스크 탈부착 흔적
– 계정별 휴지통 SID 와 레지스트리 Profilelist 매칭
* 불일치할 경우, 왜 그런지 확인
– 계정별 휴지통 SID 생성일시 리스트업
– 윈도우 버전별(Windows XP, 7, 8) 분류
* Recycle.Bin, Recycler
– 디폴트로 휴지통 위치 및 레지스트리 위치를 지정하며, 사용자가 임의로 추가할수 있는 구조로 설계
– SID 생성일시와 동일 시간대 파일 MAC 타임 변경 파일 별도 리스트업
– 어떤 하드디스크들이 PC 연결되었었는지 레지스트리 확인해서 리스트업

[재미있는 사례] PC 50대 이미징 했는데, 사본(Destination) 디스크가 사라졌다

많은 이미징 작업을 하면서 겪었던 재미있는 사례를 소개한다.

얼마전에 PC 50대 정도를 밤을 새며 이미징한 적이 있었는데, PC가 많아서 분리하고 조립하고 하는 작업이 빈번했다. 잘 알겠지만 E01으로 이미징을 뜨는 경우에는 50대 정도 PC 이미징하는데 사본디스크 10개(2TB) 면 충분하다.
이미징이 완료되면 중간중간에 PC를 조립하고 작업을 완료한다.

그런데, 이미징 작업 완료 후 사본 디스크 1개가 사라졌다. 10개여야 하는데 9개 밖에 없다.
다시말하면, 사본 디스크 1개가 50대 PC 중 1대에 딸려들어가서 조립된것이다.

“PC 50대를 다시 분리해야 하는가?”

“아니다” 라고 말하는 사람들은 “CMOS”에 들어가서 디스크 장착여부를 확인하면 된다고 할 것이다.

그런데, PC에 CMOS 암호가 설정되어 있고, PC조립 완료 후 Security Seal 을 붙였기 때문에 다시 떼어내기도 힘든 상황 이였다.

도저히 방법이 떠오르지 않았다.. 어떻게 찾아 낼 수 있을까?

방법은 간단했다. PC 50대 모델이 모두 동일하였다.

하드디스크 1개가 추가된것은 무게가 좀더 나갈거라 생각되었기 때문에 직접 들어서 1대를 찾아냈다.

사실 하드디스크 1개 무게를 들어봤을때 감지하는건 솔직기 쉽지 않았지만.. 그래도 여러개 들어보니.. 감이 오더라.. ^^

최근 5년간 내부, 협력업체 직원에 의해 유출된 개인정보 유출 경로

주요, 개인정보유출 경로
GS칼텍스, 1150만명 고객정보 내부직원 유출 (2008.09) –  DVD 복사
삼성카드, 80만여건 정보 내부직원 유출 (2011.08) – 프린터 출력
하나SK카드, 9만 7000건 정보 내부직원 유출 (2011.10) – 이메일 전송
IBK캐피탈, 5천 800여건 정보 내부직원 유출 (2011.12) – 프린터 출력 및 핸드폰 사진촬영
SKT, KT 협력업체 직원 20만건 개인정보 유출 (2012.03) – 불법프로그램 개발하여 무단 조회
메리츠화재, 16만 4천여건 정보 내부직원 유출 (2012.05) – USB 복사
IBK캐피탈, 내부직원이 고객 8,000여명의 개인정보와 신용정보를 조회 유출 (2013.04) – 무단 조회
SC은행 10만 건 개인정보 외부직원 유출(2013.12) – USB 복사
씨티은행에서 3만건의 외주직원 및 내부직원 유출 (2013.12)  – 프린터 출력
KB국민카드, 5,300만명 정보 외주직원 유출 (2014.01)  – USB 복사
NH농협카드, 2,500만명 정보 외주직원 유출 (2014.01)  – USB 복사
롯데카드, 2,600만명 정보 외주직원 유출 (2014.01)  – USB 복사

[칼럼] KB금융, 은행, 카드 개인정보유출에 대해 “사과”, “피해보상”, “2차피해 방지” 도 중요하지만…

기업은 보다 적극적인 방법으로 기업정보(개인정보, 영업비밀 등) 유출에 대한 많은 관심과 투자가 필요하다. 자산규모가 크다고 해서 작다고해서 정보유출에 심혈을 기울이지 않으면 그 기업은 몇일, 몇달, 몇년 동안 언론 비난을 피할 수 없다. 몇년 몇십년동안 쌓아왔던 기업이미지 어떻게 할것인가? 감당 할수 있는 리스크라면 수용해도 된다. 하지만 그렇지 않다면 당장 지금 부터라도 관리해야한다.

시작이 반이며, 늦었다고 생각할때가 가장 빠른시점이고, 정확한 때 라는것은 없다. 바로 지금이다.

TV뉴스, 신문, 매거진 등을 통해서 이미 잘 알고 있겠지만, 이번 유출사고의 원인은 협력업체로 부터 발생했다. 그 발단은 협력업체의 직원인것이다.
대부분의 많은 기업들이 개발 관련 프로젝트(고도화 프로젝트, 차세대 프로젝트, 신규프로젝트, 개선 프로젝트 등)를 외부 협력업체와 진행을 하게되는데, 특히 개인정보를 취급처리하는 협력업체의 경우에는 내부통제를 보다 강화해야한다.

“갑”의 사업장에 들어와서 프로젝트를 수행하는 경우에도 보안을 강화해야하며 내부통제 우회가 있는지 정기적으로 모나터링을 해야한다. 외주업체가 개발관련 프로젝트를 진행할때 데이터베이스(개발DB, 백업DB, 운영DB 등)에 접근해서 프로젝트를 할때 많다. 아니 거의 대부분의 프로젝트들은 데이터베이스와 민감하게 관련되어 있다.

데이터베이스 접근 솔루션이 있다 하더라도 업무상 또는 인지하지 못한 홀(Hole)들이 발생할수 있어 위험에 상시 노출되어 있다.
이번 유출 사건에서 몇몇 회사들은 유출된건이 없다고 하였지만, “과연 그럴까? 확신할 수 있을까? 검증 방법이 신뢰성이 있을까?” 내부 통제정책이 완벽했다고 해서 가지고갈 놈이 못가져 갔을까? 현업에 근무를 해보면 알겠지만 마음먹고 작정하면 다 가져 갈수 있다고 말을 한다.

그러면, 이번 사건의 Fact 만을 보았을때, 무엇이 문제이고 어떻게 해결해야 할것인가?

예방이 그 무엇보다 우선이다. Prevention cost. 즉 예방비용을 늘려야한다. 그리고 detection 해야한다. 제조 업체에서는 리스크를 줄이기위해 prevention cost, appraisal cost 에 많은 시간과 자원을 투자하고 있다.

고객정보를 취급 처리하고 있는 기업의 대표가 이 비용이 아깝다고 생각하면, 집으로 가야할것이다. 아니 집으로 간다. 지금 당장은 아니겠지만…

그렇다면 예방을 위해서 무엇을 해야할까?

첫째, 내부통제 시스템 모니터링을 해야한다.
보안 정책이 회사 규정에 맞게 설정되고 운영되고 있는지 누군가는 모니터링 해야된다. 권한이 부여되지 않았는데 민감한 시스템에 접속을 한다던지, 우회 프로 그램을 사용하여 보안정책을 우회하는지 등등 발생 가능한 리스크를 정리하고 상시 모니터링해야한다

둘째, 잘 알겠지만 모니터링에는 한계가 있다. 컴퓨터가 모든것을 할수 있는 것이 아니다. 그래서 주기적 또는 비주기적 불시 점검을 디지털 포렌식 방법론을 사용하여 점검해야 한다.
이번 사례를 보았을때 협력업체 직원의 컴퓨터를 사고 발생 이전에 주기적 또는 불시 점검을 수행하였더라면… 아니.. 불시 점검, 주기적 점검을 한다는 것을 협력 업체 직원들에게 미리 알렸더라면.. 이런 사태가 발생하지 않았을 것이다.

셋째, 여기서 끝나면 안된다. 프로젝트가 완료되면 유지보수 계약을 하거나 또는 계약 종료가 된다.
즉 개인정보 취급처리 위탁업체에 대해서는 체계적인 관리 시스템을 마련하여 관리해야한다. 위탁업체로 개인정보가 어떻게 흘러가서 수집,이용,처리,보관되고 파기되는지 확인해야하는데, 단순히 업체 담당자 인터뷰, 업체에서 보내준 자료를 통해서 확인하면 절대 안된다. 왜냐하면 실질과 다르기 때문이다.
어떻게 실질과 다른지를 알아내는 방법이 바로 디지털 포렌식이다. 즉, 현재 시점(점검 시점)에는 잘되어 있는데 어제까지는 아니였기 때문이다.
유지보수를 하고 있다면 주기적, 불시 점검을 해야하며, 계약 종료 업체에 대해서도 마찬가지로 점검해야 한다. 불과 몇개월전 계약이 종료된 개인정보 처리 위탁업로 부터 개인정보 파기확인서를 징구 했다.
최근에 협력업체에 방문해서 파기점검을 했더니 이 협력업체는 여전히 “갑”의 고객정보를 보유 및 이용하고 있었다

사례를 들어 결론을 지어보면…

많은 관리방법 및 절차가 있게겠지만, H카드사는 디지털 포렌식 방법론을 적용해서 개인정보를 취급처리하는 협력업체를 몇년째 관리하고 있다.

그 비용이 비록 적은 금액은 아니겠지만…
이번과 같은 사고가 발생하지 않게 예방되고 있다면…
그 가치는 금액으로 환산할 수 없을 것이다.

KB 국민 카드, NH 농협 카드, LOTTE 롯데 카드 3군데 모두 개인정보가 아래와 같이 유출 되었구나…. 이번기회에 사용하지 않는 카드들 정리해야 겠다.

정보유출_20140121

 

Widnows 7 휴지통(Recycle.Bin) 분석을 통한 하드디스크(HardDisk) 탈착 흔적 분석

분석에 앞서, 휴지통(Recycle.Bin)은 언제 생성되는가? (Windows XP 의경우 Recycler 폴더가 생성됨)
–> 파일을 선택후 “Delete” Key 를 누르는 순간 휴지통 폴더가 생성된다. 테스트 방법은 간단하다. 휴지통 폴더를 삭제 후에 파일에서 “Delete” Key 를 누르면 휴지통이 생성되는것을 바로 확인 할 수 있다.
–> Shift + delete Key 를 누를 경우에는 생성되지 않는다.
–> 현재 로그인한 계정으로 휴지통이 생성된다. 즉, 계정별로 구분되어서 휴지통이 생성된다.(휴지통마다 고유한 값을 가지고 있다. SID)
* Widnows 7 의 경우 Public 계정이 생성되어 있는것을 참고로 한다.

하드디스크 탈착 분석시 확인 사항
레지스트리 값 확인
–> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21 ~~~~~~~ 으로 생성됨
즉, 이 위치에 생성되어 있는 값과 휴지통에 생성된 SID 값을 비교해서 불일치 하는 휴지통은 의심의 대상이 된다.

휴지통에 있는 파일이 아직 삭제되지 않았다면..
–> $I 로 시작하는 파일들을 확인해서, 해당 경로를 확인한다. 대부분은 파일들은 User\계정명\ 으로 시작하는 폴더에서 파일이 생성되기 때문에, 혹시 계정명이 “우리집”,”홍길동” 등 회사에서 사용하고 있는 계정과 다르다고 하면 의심해 볼 필요가 있다. 즉, 이 하드디스크는 집에 한번 연결되었다가 회사로 반입될 가능성이 있다.
–> 이런 계정정보가 없다면, 인터뷰를 통해서 역추적 해야한다. “PC 지급 날짜 또는 인사이동 등등”의 질문 들을 통해서 탈부착 여부를 확인해야한다.