Monthly Archives: June 2014

You are browsing the site archives by month.

현업부서 클라이언트 인터뷰하면서 느낀점

포렌식 분서중 특이한 이슈가 발생하여 현업부서 담당자 인터뷰를 요청했다.
이슈는 회사 내부정책에 위배되는 행위를 하고있었다. 즉, 내부통제를 우회해서 업무를 처리하고 있었다.

질문 : 왜 이런 방법으로 업무 처리를 하였습니까?
답변 : 급하게 처리되어야 하는 업무입니다. 승인을 받아 처리를 하게되면 시간이 오래걸려 문제가 발생할 수 있습니다.

담당자 이야기를 쭈욱 들어보니 시급하게 처리되어야 하는 업무였다. 당연 업무량도 많다고 이야기 하였다.

잠시 브레이크타임 후, 인터뷰를 조금만 더 깊이있게 현업부서 담당자 입장이되어서 인터뷰를 진행해보기로 했다.

시급을 요하는 업무라면 담당자가 다른방법으로 긴급하게 조치를 할 수 있는 방법이 있을거라는 생각이 들었다.

역시나 맞았다. 다른방법으로 선조치를 하고 있었는데 그런 부분은 첫번째 인터뷰때 이야기하지 않았다.
그리고 실제 처리 업무량도 2배 부풀려서 이야기했다. 처리 데이터 확인결과 그렇게 많은 업무가 아니였다.

인터뷰는 인터뷰일뿐이다. 인터뷰를 확증하는 다른정보들을 수집해야한다.

산업기술, 영업비밀 등 기업정보 유출 진단기법

어제도 오늘도 그리고 내일도 신문기사, TV뉴스를 통해서 정보유출관련 정보를 쉽게 접할수 있다.
앞으로 기업의 임직원 PC에는 저장된 데이터가 얼마 없을것이다. 아니 없을수도 있다.
즉, PC포렌식을 했을때 성과가 없을수 있다는 이야기이면서 다른 측면에서 데이터 분석을 시도해야한다는 의미이다.

PC에는 데이터가 없지만, 서버,  디비 등에는 상상을 초월하는 데이터가 존재할것이다. 빅데이터이다.
즉, 빅데이터를 분석하는 것이 필요하다.

시스템에는 다양한 정보가 가록된다. 로그이다

아래와 같은 시나리오가 있을 수 있다.

“경쟁사로 이직을 결정하게된 A군은 조용히 회사를 퇴사하기로 결심했다. 3개월 후에 경쟁사로 입사하기로 확정되었고 지금 다니는 회사를 정리(인수인계, 자료백업 등)할 시간이 충분했다.”

시간은 충분했지만 회사가 매달 실시하는 로그 통합분석 이상징후조건에 적발되고 말았다.

어떤 로그 분석을 통해 적발된것일까?
– 프린터 출력로그
– 출입기록
– 인터넷 사용기록 등

그럼 데이터를 어떻게 분석했기에 적발할 수 있었을까?

안티포렌식의 다른 이름 정보보호

“기업은 안티포렌식적 요소들을 정보보호를 위하여 사용하고 있다” vs “없다”

사실 기업의 정보보안 담당자분들에게 “안티포렌식적인 요소들이 사용되고 있네요?” 라고 질문을 하면, 모르는 담당자분들이 더 많을 것이다.
즉, 기업에서는 의도했던, 의도하지 않았던간에 정보보안 체계 강화를 위해 안티포렌식적인 요소들을 곳곳에 사용하고 있는 것이다.

앞으로, 더욱더 고도화된 방식의 안티포렌식이 등장하고 안티포렌식 행위가 증가할 것으로 예상된다. 하지만 내 생각은 조금 다르다.
“데이터  삭제”, “데이터 은닉”, “물리적 파괴” 등의 행위를 함으로써 조사행위를 방해하는 방법들은 앞으로 줄어들 것라고 생각한다.
다시말하면, 삭제할, 은닉할, 파괴할 데이터가 줄어들 것이다. 하드디스크 용량이 지속적으로 늘어나는데.. 데이터가 줄어든다고? 의문을 가지는 사람도 분명있을 것입니다. 맞다. 틀린이야기가 아니다.
틀린이야기는 아니지만, 향후 기업의 입장에서는 데이터가 줄어들게 될것이다.
“정보보안 체계 강화”를 위해서 기업들은 많은 시간과 돈, 사람, 시스템에 투자를 하고 있고 끊임없이 개선을 하고 있다.

왜 이렇게 하는 것일까? 정보유출사고가 끊임없이 발생하고 있어 기업은 이에 대응하기 위해서 많은 투자를 하고 있는 것이다.

왜 정보유출 사고는 끊임없이 발생 하는 것일까? 물론 정보를 취득해서 이득을 취하려는자가 있기 때문이다.

그렇다면 기업의 입장에서는 이득을 취하지 못하게 대책을 강구해야 한다. 그래서 많은 정보보안 시스템을 구축해서 차단을 하고 있다.

정보유출이 발생하는 원인들을 살펴보면,

첫째, 디지털 정보를 저장할수 있는 디지털기기가 너무나 다양해졌다.

둘째, 외부로 유출 가능한 다양한 경로가 있다. 다양한 경로가 있지만 “정보 유출차단 관련 정보보안 시스템을 도입해서 우리회사는 잘 운영되고 있다.” 라고 이야기합니다. 단지, 정보보안 담당자 생각입니다. 제3자의 입장에서 보면 여전히 홀이 존재할거라 생각됩니다. 기술적이든 관리적이든 물리적이든요.

연간 수억에서 수백 수천억에 가까운 돈을 투자하면서까지 정보보안에 심혈을 기울이고 있는데, 유출이 되다니….

상황이 이렇다보니 기업은 고민에 빠졌습니다. 어떤 고민이냐하면.

첫째, 임직원들이 컴퓨터에 보유하고 있는 자료가 얼마나되고 어떤 중요한자료들을 보유하고 있는지 궁금해 하기 시작했습니다.

둘째, 임직원들의 하드디스크 용량, 이메일 저장공간에 관심이 생겼습니다.

셋째, 외부해킹 방어뿐만아니라 내부해킹에 대해 관심을 가지기 시작했습니다. 유출을 차단하고 있는 수많은 정책, 시스템의 통제에 헛점이 없는지….에 대해서 재 점검을 하기 시작했습니다.

다시말하면, 직원들의 데이터에 관심을 가지게 되었고 데이터를 줄이기위해 하드디스크 용량을 줄이기도 하고 주기적인 점검을해서 필요없는 데이터를 정리하게끔 하고 있습니다. 즉, 이러한 활동들이 안티포렌식적 요소를 적용한 정보보안 활동이 되는 것입니다.

그밖에도

“기업문화”
즉, 임직원의 공감대가 형성되지 않고서는 포렌식을 못할 수도 있습니다.

기업문화자체가 어떻게 보면 포렌식을 하는 입장에서 안티포렌식적인 요소가 될수도 있을 것이다. 분석은 어떻게든 해보겠지만 아에 시도 자체를 할수 없다면..어떻게 보면 디스크를 완전삭제하는 안티포렌식 행위보다 더 큰 문제가 될수도 있습니다.

“분석 대상 프로파일링”
대화 당사자들만 알수 있는 용어 사용, 전문용어 또는 사투리 등 사용
“마감기한 – 분석 종료일”
분석자에게 안티포렌식적 요소는 사용자의 안티포렌식 행위도 있겠지만 정해진. 마감기한이 있는 분석자에게 부여된 한정된 시간이다. 시간을 무한정 줄수는 없다.
짧은시간안에 효율적으로 분석하는것이 필요, 이런 마감기한도 분석을 방해하는 안티포렌식적 요인이라고 생각합니다.

이상. 끝