Monthly Archives: September 2014

You are browsing the site archives by month.

‘기업의 중요 정보유출’ 관점의 E-Discovery

[관련상황 – 프로그램 소스코드 유출]
ㅇ 프로그램 개발업체 A사의 핵심인력 홍길동이 퇴직 후 기존에 근무했던 회사와 유사한 회사 설립(핵심기술력이 없는 경우, 유사한 회사를 설립하는데 몇 년(최소 2~5년)은 걸림)
ㅇ 같은 부서 근무했었던 동료직원 여러명이 차례로 퇴직하여 홍길동이 설립한 회사에 입사
ㅇ A사는 내년에 신제품을 출시하려고 준비하고 있는데, 홍길동이 설립한 회사는 3개월 먼저 비슷한 신제품을 출시하려고 계획 중이며, 언론 등에 알리고 있는 상태임
ㅇ A사가 주장하기를 홍길동이 내부의 중요정보를 가지고 나갔을 거라는 확신을 가지고 있었으나, 확실한 증거가 없는 상태임

[증거 수집 가능 항목]
A. 사용자의 PC
ㅇ사건과 관련된 특정 시점 이후에 “생성”, “수정”, “접근”된 파일 목록 수집
– 파일명, 파일경로, 용량, 생성일시, 수정일시, 접근일시, 삭제여부, ★해쉬값 등
ㅇ사전에 정의한 키워드를 가지고 파일 컨텐츠 정밀 검색하여 검색된 정보 수집
ㅇ핵심 모듈에 대한 프로그램 소스코드 확인(변수 선언, 처리 로직 등)

ediscovery_01

B. 내부 시스템
ㅇ이메일 송수신 내역 – 발신자, 수신자, 참조자, 메일제목, 첨부파일명 등
ㅇ프린터 출력 이력 – 사용자명, 사용자IP, 출력일시, 출력물 제목, 출력매수 등
ㅇUSB 등 이동식 저장장치 사용 이력(USB 사용 승인/해제, 파일 복사 내역 등)
-요청자, 승인자, 승인일시, 사용기간, 파일명, 복사여부 등
ㅇ외부 파일 전송과 관련된 특정 웹사이트 접속이력
-웹하드, 클라우드, 파일공유사이트, FTP서버, 원격접속기록 등
ㅇ문서보안 해제로그 – 요청자, 문서보안 해제 승인자, 승인일시, 파일명 등
ㅇ망간자료연계시스템에서의 파일 복사 이력 – 요청자, 승인자, 승인일시, 파일명 등
ㅇ내부 메신저 및 쪽지 등을 통한 파일 송수신 기록
ㅇ형상관리 서버의 프로그램 소스코드에 대한 변경이력 및 소스코드 파일에 대한 해쉬값 생성 및 비교
ㅇ공유폴더 및 네트워크 파일 서버 접속 이력

ediscovery_02

[증거 수집시 고려 사항]
ㅇ증거자료 제출을 요구한 시점 이후에 PC내 데이터를 변경하거나 삭제하는 경우 제도적 장치 마련 필요, 조직적 증거 은닉 가능성 있음
ㅇ제3의 독립된 기관에서 업무수행, 필요 시 피해 기업의 직원 참여 가능
ㅇ전 직원을 대상으로 할 수 없기 때문에 사전에 대상을 특정하는 것이 필요, 즉, 특정 부서를 지정하는 등 조사범위 한정
ㅇ산업별(반도체, 소프트웨어, 금융, 전자, 화학 등), 규모별(대, 중, 소기업)로 조사 대상 기업 분류 필요
ㅇ회사로부터 지급받은 PC이고 업무목적상 사용하기로 동의 하였다 하더라도 개인의 프라이버시 문제가 발생할 수 있기 때문에 검색 시 제한된 키워드 사용
ㅇ2차 유출에 대한 리스크 차단 필요
ㅇ증거자료 수집 시 해당 증거가 요청한 사용자의 것이 맞는지 확인하는 절차 필요, 자산관리 대장 비교, PC 구매이력 확인 등

변호사, 회계사도 디지털 포렌식 전문가

falcondossier_03
falcondossier

변호사, 회계사 대상으로 내부역량 강화를 위한 디스크 이미징 교육을 얼마전에 실시하였다. 단순 교육이 아닌 모든 교육 참석자가 실제로 디스크 이미징을 수행하였다. 팔콘과 도시어라는 장비 실제 만져보면서 실습한 결과, 이제는 포렌식 전문가 도움 없이도 변호사, 회계사분들이 직접 이미징을 할수 있게 되었다.

외부에서 다양한 교육을 받고 업무에 활용하는 것도 중요하지만, 내부의 우수한 인력들을 활용한 교육이 어쩌면 더 많은 시너지를 낼수 있을것 같다.

“변호사” + “회계사” + “디지털 포렌식 전문가” 각각의 전문영역이 있지만, 어느 정도 서로 시너지를 낼 수 있는 영역들이 공유가 된다면 향후 몇년후가 기대 된다..

변호사도 회계, 포렌식 실무를 알고..
회계사도 법률, 포렌식 실무를 알고..
포렌식전문가도 법률, 회계 실무를 알게되는 그날까지…
falcondossier_02

포렌식 분석할때 주로 사용하는 S/W

Encase 6.x, 7.x
FTK 3.x, 4.x, 5.x
FTK Imager
RMF(Recover My Files)
Toad For Mysql, SQLYog, WorkBench
SQLlite
Forensic Explorer
UltraSearch
Everything
KONAN Desktop
Google Desktop
Kernel oooooo Viewer

[FBA 챌린지]다양한 부서에서 소유하고 있는 여러 중요정보가 유출되었다면

실제 아래와 같은 사례가 있어서 많은 시행착오를 거쳐 나름 방법론을 만들었다. 혹시, 포렌식에 관심 있으신분들은 한번쯤 고민해봤으면 좋겠다.

다양한 부서(인사, 총무, 감사, 영업, 전략, IT, 정보보안, 법무, 컨설팅 등등)에서 소유하고 있는 회사의 여러 중요정보가 동시다발적으로 외부에 유출되어 회사 이미지에 심각한 영향을 주게되었고 이로 인해서 회사 입장에서 손실이 발생하기 시작하였다.

이에 회사는 정보유출자를 찾아달라고 요청했다.  부서가 많다보니 분석 대상자는 약 100여명정도 된다

당신이 이 사건의 담당자라면 어떻게 어떤 방법과 절차를 동원해서 이사건을 접근해서 해결하겠는가?

1. 정보보안 시스템이 잘 갖추어져 있는 경우

2. 정보보안 시스템이 전혀 없는 경우

*  접근 방법 및 절차가 궁금하신 분들은 나름대로 접근 방법 및 절차 등을 작성해주시면 피드백을 드리겠습니다.