Monthly Archives: February 2014

You are browsing the site archives by month.

VDI 환경에서 디지털 포렌식 수행 방법

1억 400만건이라는 개인정보 유출 사건으로 인하여 금융권 기업들이 내부 정보보안 강화를 위해서 발빠르게 움직이고 있다.

특히 가상화 도입을 서두르고 있다.

VDI 환경에서 디지털 포렌식을 어떻게 할것인가? 논리적 또는 물리적 망분리 방식에 상관없이 포렌식 전문가들은 VDI 환경에서 어떻게 디지털 증거를 수집할 것인지에 대해서 기업보다 먼저 고민해야한다.

VDI 구축환경을 단순하게 생각해보면 Thin-Client 가 있고, Vmware 상의 업무망과 외부망이 있다.

Thin-Client 단말기에는 Embedded 윈도우가 설치되어 있고 그위에 콘솔이 올라가 있다. 즉 단말기도 PC다. 저장공간이 있는…

중요한건 Thin-Clinent 가 아니라 Vmware 환경의 업무망의 데이터 수집이다.

사실 간단하다. Vmware 이미지 파일 가져와서 분석해도 되고, 직접 권한을 받아서 해당 PC 열람해서 봐도된다.(단, 무결성이 중요하지 않다면..)

업무망에서 외부로 데이터 유출은 불가능하다.

하지만, Operation Error 가 발생하게 되면 취약점이 생겨 USB 등 이동식 저장장치를 통해서 외부로 데이터 유출이 가능하다. USB 접속기록 확인해볼필요가 있다.

Operation Error 라고하면..
– 정보보안 에이전트가 Thin Client 에 설치되지 않을 수가 있다. 최초 PC 지급시 미설치되어서 지급되거나, 내부 정보보안관련 시스템 서비스가 일시적으로 중단되었을때 외부 유출 경로가 OPEN 될수 있다. 그래서 1가지 솔루션에 너무 의존하면 안되다. 근본적인 방법은 USB 포트를 막는것이 필요하다.

– 규모가 큰 기업들에서는 다양한 보안 정책들이 설정되어 있어서 담당자라고 할지라도 정책에 대해서 정확이 모른다. 기본적인 개념은 알고 있어서 한 Depth 더 들어가면 업체에 문이를 해야한다. 그렇기때문에 끊임없이 보안 정책이 사용자의 PC에 제대로 반영되는지 등에 대해서 모니터링 해야한다.
hp_thinclient_01

정보유출에 대한 기준에 대해서… 어디까지를 유출로 볼것인가?

어디까지를 개인정보 유출로 볼것인가?

업무 목적상 고객정보(약 2만건) 파일을 위수탁업체로 보냈다.

고객정보를 보낸 직원 이메일 보낸편지함에 남아있는 파일, 그리고 위수탁 업체 담당자의 이메일 받은편지함에 남아있는 고객정보 파일이 만약에 삭제되지 않았다고 했을때, 이것을 개인정보 유출이라고 보아야 할것인가?

업무목적상 고객정보파일을 USB에 임시 저장하여서 사용했는데, 사용했던 USB가 개인소유의 것이라면 이것을 개인정보 유출로 보아야 할것인가? 그 USB가 회사내에 있다고 하면 유출이 아닌것인가? USB가 집에 보관되어 있다면 유출로 보아야 할것인가?

회사를 퇴사하면서 개인이 보유한 자료를 백업해서 가지고 나갔는데, 가지고 나간 파일안에 고객정보파일이 있었다면… 정보 유출 일까?

회사의 A부터에서 가지고 있어야할 고객정보 파일이 B부서, C부서에도 보관되고 있다면 이것은 내부에서 내부로의 정보 유출인데.. 이것도 정보유출로 보아야 할까?

위수탁업체에서 목적달성된 개인정보를 파기하고 있지 않고 있다면 정보 유출일까? 파기했는데 완전삭제 하지 않았다면 이것 또한 정보 유출일까?

계약기간이 끝나 위수탁업체에서 “갑”의 고객정보를 파기하지 않았다면.. .이건 정보 유출일까?

내 생각은 이미 회사 밖에 나간 정보들은 유출로 보아야 하지 않을까?

 

Registry

REG_Dword
REG_Binary

포렌식 전문가는 기본적으로 프로그래밍을 할 줄 알아야한다.

개발언어에 관계없이 포렌식 전문가는 1개의 언어는 능숙하게 다룰줄 알아야한다.