침해사고 로그수집 고려사항

◎ 침해사고가 발생한 동작중인 시스템에서 로그수집을 위한 고려사항으로 디지털 포렌식이 불가능한 상황에서 침해사고 시스템의 로그수집 시 무결성을 확보하기위한 최선의 방법을 정리해봤습니다.
 
 > 가급적 원격접속이 아닌 로컬에서 작업 권장
  - 침해사고가 발생한 시스템의 로그를 수집할 때에는 원격 접속보다는 보안을 위해 로컬에서 직접 작업하는 것이 보다 안전합니다.
  - 공격자가 원격 접속 세션을 모니터링하고 있을 경우, 세션을 강제로 종료하거나 관리자 권한을 탈취하는 등 추가적인 보안 위험이 발생할 수 있기 때문입니다.
 
 > 활성데이터(비휘발성데이터 + 휘발성데이터) 수집(사전 수집목록 정리 필요)
  - 사고 분석을 위해서는 시스템에 존재하는 활성 데이터를 빠짐없이, 그리고 신속하게 수집해야 합니다.
  - 활성 데이터는 휘발성 데이터(메모리 덤프, 네트워크 연결 상태 등)와 비휘발성 데이터(로그 파일, 설정 파일 등)로 구분할 수 있습니다.
  - 수집 대상 목록은 시스템의 운영체제와 환경에 따라 달라질 수 있으므로, 사고 발생 초기 단계에서 신속하게 파악하고 수집하는 것이 중요합니다.
  - 특히 휘발성 데이터는 시스템이 종료되면 즉시 사라지기 때문에 운영체제 및 환경별로 상세한 체크리스트를 사전에 체계적으로 준비해 두는 것이 중요합니다.
 
 > 빠르게 수집하기 위해 스크립트나 툴을 이용하여 파일로 저장(사전 다양한 운영체제에서 테스트 완료 필요)
  - 동작 중인 시스템에서 로그를 수집하는 작업은 시스템 성능에 영향을 줄 수 있으므로, 가능한 한 빠르고 효율적인 방법을 사용하는 것이 중요합니다.
  - 반복적인 로그 수집 작업을 자동화하고 시간을 절약하기 위해, 스크립트나 전문 도구를 활용하는 것이 효과적입니다.
  - 수집된 로그는 분석의 용이성을 위해 일반적으로 파일 형태로 저장됩니다.
  - 이러한 도구는 다양한 운영체제와 버전별 환경에서 사전에 충분히 테스트하여 도구의 안정성과 호환성을 반드시 확인해야 합니다.
 
 > 메모리덤프 수집여부 결정(사전 다양한 운영체제에서 덤프프로그램 사전 테스트 완료 필요)
  - 메모리 덤프 수집은 휘발성 증거를 확보하는 데 있어 매우 중요한 수단이 될 수 있습니다.
  - 다만, 시스템 상태에 따라 덤프 수집이 시스템에 영향을 줄 수 있으므로, 수집 여부는 신중하게 판단해야 합니다.
  - 메모리 덤프 수행 전 다양한 운영체제 및 시스템 구성 환경에서 덤프 도구의 안정성과 호환성, 예상 소요 시간과 필요한 저장 공간을 사전에 확인하는 테스트가 필수적입니다.
  - 또한, 메모리 덤프는 시스템의 동작 상태에 따라 결과가 달라질 수 있으므로, 작업 시점과 실행 중인 프로세스 같은 관련 정보를 명확히 기록해야 합니다.
 
 > 외부저장장치에 수집한 데이터를 저장(로컬 시스템에 저장한 후 복사나 이동이 아닌 외부저장장치에 직접 저장)
  - 수집된 로그 데이터는 증거로서의 가치를 유지하기 위해 안전하게 저장하고 철저히 관리해야 합니다.
  - 로컬 시스템에 로그를 저장한 후 이를 복사하거나 이동하면 데이터 훼손 및 변조 위험이 증가할 수 있습니다.
  - 따라서 수집한 데이터는 조사 대상 시스템이 아닌 외부저장장치나 동일 네트워크에 연결한 분석 시스템에 원격으로 로그인하여 직접 저장하는 것이 바람직합니다.
  - 또한 수집된 로그 파일에 대해 SHA-256 이상의 해시 값을 생성하여 보관하고, 분석 과정에서 파일의 무결성을 검증하는 데 활용해야 합니다.
 
 > 디지털포렌식 고려 시 모든 작업내용관련 시간과 내용 기록
  - 로그 수집 과정은 디지털 포렌식 조사에서 매우 중요한 절차 중 하나입니다. 따라서 모든 작업 과정에 대한 상세한 기록이 필수적입니다.
  - 작업의 시간, 내용, 사용한 도구, 실행한 명령어와 그 결과를 정확하게 기록해야 하며,
  - 필요에 따라 스크린샷이나 비디오 녹화 등 시각적 기록 방법도 활용할 수 있습니다.
  - 수집된 증거가 어떤 절차를 통해 수집·보관·분석되었는지를 명확히 기록하고 관리함으로써, 증거의 무결성과 신뢰성을 확보해야 합니다.
 
 > 평소 지속적인 연습 필요
  - 실제 침해사고 발생 시 당황하지 않고 신속하게 대응하기 위해서는 평소 지속적인 훈련과 준비가 필요합니다.
  - 다양한 운영체제 및 시스템 구성 환경에서 로그 수집을 반복적으로 연습하여, 사고 발생 시 신속하고 정확하게 대응할 수 있도록 실무 숙련도를 높여야 합니다.
  - 또한 새로운 공격 기법과 분석 도구에 대한 정보를 지속적으로 학습하고, 사용하는 로그 수집 도구는 최신 상태로 유지해야 합니다.
  - 아울러, 관련 부서 및 외부 전문가와의 협업 체계를 구축하고, 비상 연락망을 정비하여 긴급 상황에 신속하게 대응할 수 있도록 대비해야 합니다.