정보유출관점에서 정보보안 감사 적발 사례

감사하실때 참고하시기 바랍니다.

 
감사 방법 및 감사관점은 다양하겠지만.. PC상에서 발견되었던 사항 위주로 공유드립니다.

 
[발견사례 일부 발췌]
 
1. 비인가 소프트웨어 설치 및 사용을 감시하는 솔루션이 임직원 PC내 설치 되어 있어서 중앙서버에서 실시간으로 감시하고 있지만… 사용자가 레지스트리 조작 등을 통해서 비인가 소프트웨어 사용하고 사용방법을 문서로 만들어서 공유
 
2. 개인정보 파일을 실시간으로 감시하는 솔루션이 설치 되어 있지만.. 업무 처리상 필요하기 때문에 관련 개인정보 파일을 별도 저장… “파일 확장자 변경”, “압축(2~3회)해서 저장”, “Windows System 폴더내 저장”, “TrueCrypt 등 시큐어 폴더내 저장”, “Virtual Machine 설치” 해서 보관하거나.. 심지어는 숫자를 문자로 변경(“숫자 1을, 영문 소문자 엘(l) 또는 대문자 아이(I)”)해서 저장하기도 한다
 
3. 운영체제 Windows 를 두개 설치하여 정보보안 시스템 우회. 첫번째는 회사의 보안솔루션이 설치되어 있는 윈도우 운영체제이고이고 두번째는 그냥 윈도우만 설치된 운영체제 이다. 회사에서는 USB 사용을 차단하기 위해 DLP솔루션 임직원PC 설치하여 운영하고 있으나, 일부 사용자가 USB 사용시 승인 등의 절차가 불편?하여 Windows 추가 설치하여 우회
 
4. 부팅 전용 USB 사용. 부팅 USB를 사용하여 내부자료 외부 반출
 
5. 음란 영상물, 음란 소설, 음란 사진 등 과다 보유 뿐만 아니라 업무시간에 토렌토, 파일공유사이트에서 다운로드 및 열람, 일부 사용자 공유폴더를 만들어서 사내 공유
 
6. 매체제어(USB 등 통제) 시스템, 문서보안(DRM) 시스템 등을 도입해서 운영하고 있지만, 일부 시스템 취약점 존재, 동시에 USB를 여러개 동시 접속하는 경우 사용가능, 한개 USB를 여러번 접속시도해서 사용가능 한 경우가 있었으며, 문서를 작성하게되면 자동으로 암호화가 되지만 기타 프로그램, 임시 저장되는 파일을 이용하여 암호화없이 파일 저장 가능, 또한 문서보안을 강제로 해제할 수 있는 툴 보유, 엑셀 매크로프로그래밍을 통해서 보안 우회 등
 
7. 인터넷 사용이 불가능한 PC라고 하였으나, 인터넷 접속기록 분석을 통해 어제까지 인터넷 사용했던 기록 확인
 
8. USB를 사용한적이 없다고 하였으나, Registry 분석을 통해서 USB 접속기록 확인, 파일 열람 기록 분석 등을 통해 USB로 파일 일 유출 확인
 
9. 권한없는 사용자가 전체 임직원 인사기록, 설계도면 등 중요정보 파일 보유 및 유출
 
10. 정보보안 담당자 인터뷰 결과, “임직원 USB 사용 불가하며 사용하려면 사용 승인절차를 받아야한다”라고 하였으나,
일부 사용자 중에 다양한 USB 접속기록이 발견되어 인터뷰 결과 “PC 받을때부터 사용이 가능했는데요…” 즉, 회사 정보보안 정책에서 누락된 사용자 발견. 시스템 운영이 제대로 되고 있지 않음..
 
11. 내/외부 망분리를 통해서 정보유출 불가한 환경이라고 하였지만.. 망간 자료연계 시스템 관리 미흡으로 일부 사용자 자유롭게 파일 이동 가능
 
이외에도 다양한 발견사항이 있지만 여기까지만 공유 드리겠습니다.
 
업무하실때 참고하세요 
 
by fbaudit.co.kr

최근 2년간 접수받은 익명제보(내부고발) 유형 분석

익명제보(내부고발) 시스템을 통해서 들어오 제보건 중에 약 46%는 기명으로 제보가 접수되었다.

본인임을 밝히고 제보하는 경우가 46% 나 되다니.. 놀라운 결과 인것 같다.

요일별로 분석한 결과 한주가 시작하는 월요일 오후에 제보가 가장 많이 접수된 것을 확인할 수 있었다.

월요일에 전체 접수의 30% 가 접수된다. 그 다음으로는 수요일, 목요일, 화요일, 금요일, 일요일 순이였다.

가장 제보가 없는 요일은 토요일이다. 전체 접수의 약 2%정도가 토요일에 접수 되었다. 

추가적으로 오전에 접수가 많이 될까 오후에 접수가 많이 될까 확인해 봤는데.. 오전보다는 오후에 접수되는 건이 많았다. 비율로 보면 오전이 42%, 오후가 58% 였다.

 

유형별로 비율을 보면 다음과 같다.

제보유형 / 익명(%) / 기명(%)
고객센터 경영과 관련된 일체사항 / 25% /  75%
고객정보 부당 이용/제공  /100%  /0%
기타 모든 법령 위반 행위  /40%  /60%
뇌물, 금품/향응 수수, 횡령, 배임 등 직무 관련 부당이득행위  /0%  /100%
당사와 거래중인 협력업체의 불법/비리 행위  /0%  /100%
부당한 지시  /67%  /33%
불공정한 특혜 부여  /100%  /0%
성희롱  /50%  /50%
일반 불공정행위  /67%  /33%
회사에 손실을 미치는 행위  /67%  /33%
회사와 이해관계에 있는 회사의 직위를 겸하거나 지분에 참여하는 행위  /100%  /0%
횡령/유용  /100% /0%

내부감사부서에 포렌식 컨설팅이 필요한 이유가 있다.

디지털포렌식을 수행하고자하는 기업들이 늘어나고 있다.

디지털포렌식기반 내부감사기법이라는 주제로 기업에서 종종 강의를 한다. 강의의 핵심내용은 고가의 장비 및 소프트웨어 도입없이 할 수 있는 방법들 소개한다.

사실 가능하기도 하지만 불가능하기도하다… 즉, 사안의 중요성에 따라서 달라질 수 있다는 이야기이다..

포렌식 장비 및 소프트웨어를 도입해서 사용하고 있지만,  프로젝트를 하다보면 필요한 것들이 나타난다.. 그래서 자체적으로 개발해서 만들어 사용하고 있다.

예를 들어서 메신저 내용이 저장되 파일인것 같은데 열어 볼 수 없거나.. 열리는데 한글이 깨져서 볼수 없다거나.. 메신저 파일이 일자별로 생성되서 일일이하나씩 열어봐야한다거나..  파일 암호화가 된것 같은데… 어떻게 열람해야되는지.. 문서보안 DRM은 어떻게 해결해야되지..

PC 1,2대가 아닌. 20~30대, 100~200대 분석을 어떻게 최단 기간에 할수 있지?

경험하지 않고서는 진행과정에서 많은 시행착오를 겪을수 밖에 없다.

내부통제 점검해서 개선했지만… 또 제자리로….

최근에 포렌식기법을 사용해서 회사 내부통제 전반에대해서 점검을 수행했다.

결과적으로 인사, 재무, 총무, 영업 등 거의 모든 부서에서 다양한 이슈들을 발견하였다.

발견된 이슈에 대해서 회사 내부적으로 통제의 취약점을 개선했다.

사실 컨설팅은 이슈사항 발견과 개선안 마련으로 마무리된다.

 

그런데 진행과정에서 또다른 이슈 사항들이 발견되어서 다시 또 포렌식 이미징을 하게 되었다.  다시 또 분석을 하게되었는데…

허걱…. 기존 이슈사항들에 대해 개선안을 마련해서 지침을 공지하고 실행했지만… 역시나 또다른 방법으로 우회한다.

 

이런 상황을 접하면서… 시스템으로 관리하는데는 한계가 있다는걸 느끼게 되었다…

 

지속적 점검만이 답인것인가….?

Fraud Audit – 협력업체 거래부정 by 포렌식

협력업체 거래부정 어떻게 접근할것인가?

업무와 관련된 다양한 정보분석과 다양한 경로를 통해서 입수한 정보를 통해서 협력업체와 유착된 부정행위를 입증하는데 디지털 포렌식을 활용할 수 있다.
본인은 지난 4년간 디지털 포렌식 기술을 내부감사 분야에 활용하여 다양한 부정의 케이스를 접하였다.
4년이 지났지만, 발견되는 케이스들은 비슷하다는게 특징이 있다.