침해사고분석 매뉴얼의 개요, 사고조사

◎ 침해사고분석 매뉴얼의 개요, 사고조사
 
 > 사고조사
  - 침해사고와 관련된 로그는 호스트 기반 증거와 네트워크 기반 증거로 구분하여 수집하고 분석해야 합니다.
  - 사고조사는 데이터 수집 단계와 데이터 분석 단계로 나뉩니다.

 > 조사 과정: 데이터 수집
  - 데이터 수집은 사고 분석 과정에서 심층적으로 조사해야 할 행위(범행)와 단서들을 확보하는 단계입니다. 수집된 데이터는 사고의 원인을 규명하고 결론을 도출하는 데 필요한 기초 정보를 제공합니다. 만약 가능한 모든 데이터를 수집하지 못했다면, 침해사고를 정확하게 해결할 수 없을 뿐만 아니라, 사고의 발생 경위를 명확히 이해하는 것도 어려워집니다.  
  - 따라서 본격적인 사고 조사를 시작하기 전에 접근 가능한 모든 데이터를 최대한 수집하며, 데이터 무결성을 위해 SHA256 이상 해시값을 생성하고 체인 오브 커스터디(Chain of Custody,CoC: 현재의 증거가 최초로 수집된 상태에서 지금까지의 어떠한 변경도 않았다는 것을 보증하기 위한 절차적인 방법)를 유지하는 것이 중요합니다.

  - 호스트 기반 정보: 시스템에서 얻은 로그, 레코드, 문서 및 기타 정보를 포함합니다. 데이터 수집의 첫 번째 단계는 휘발성 정보를 우선 수집하는 것입니다. 휘발성 정보는 시스템 재부팅이나 종료 시 사라지기 때문에, 가장 먼저 확보해야 합니다.
   * 수집해야 할 휘발성 정보의 예시는 다음과 같습니다:
    ** 시스템 날짜와 시간
    ** 메모리 사용 정보(메모리 덤프, 선택사항)
    ** 현재 열려 있는 소켓(포트) 정보
    ** 현재 연결이 성립된 네트워크 상황
    ** 소켓을 통해 대기 중인 애플리케이션 정보
    ** 현재 실행 중인 프로세스 목록
    ** 현재 열려 있는 파일 목록
    ** 네트워크 인터페이스의 상태
    ** 시스템 패치 현황
    ** ARP 테이블: MAC 주소와 IP 주소 매핑 정보
    ** 라우팅 테이블: 네트워크 경로 정보
   * 수집해야 할 비휘발성 정보의 예시는 다음과 같습니다:
    ** 시스템 로그, 레지스트리 파일, 이벤트 로그, 사용자 계정 정보
    ** 웹 브라우저 히스토리, 설치된 애플리케이션 목록
    ** 파일 시스템 메타데이터(생성/수정 시간 분석)

  - 네트워크 기반 정보: 네트워크 흐름 및 보안 장비에서 발생한 로그를 포함합니다. 이는 외부와의 통신 및 침입 흔적을 확인하는 데 필수적인 데이터입니다. 
   * 수집해야 할 네트워크 기반 정보의 예시는 다음과 같습니다:
    ** 침입 탐지/방지 시스템(IDS/IPS) 로그
    ** 방화벽 로그
    ** 웹방화벽 로그
    ** 기타 보안 장비 로그
    ** 네트워크 트래픽 캡쳐(PCAP)
    ** DNS 로그

  - 그 외 일반적인 정보: 다음과 같은 정보들을 포함할 수 있습니다.
   * 수집해야 할 그 외 일반적인 정보의 예시는 다음과 같습니다:
    ** 인터뷰 기록: 사건 관련자(시스템 관리자, 사용자 등)의 진술
    ** 내부 보안 정책 및 절차: 사고 발생 당시의 보안 정책 준수 여부 확인
    ** 시스템 구성도 및 네트워크 구성도: 공격 대상 및 주변 시스템 파악
    ** 취약점 분석 보고서: 사고 발생 이전의 시스템 취약점 정보
 
 > 조사 과정: 데이터 분석
  - 데이터 분석은 수집된 모든 정보를 종합적으로 검토하여 침해 발생 시점, 사고 원인, 공격 경로, 공격자의 행위, 영향 범위 등을 파악하는 과정입니다.  
   * 이 과정에는 다음과 같은 작업이 포함됩니다:
    ** 타임라인 분석: 다양한 로그 및 이벤트들을 시간 순서대로 배열하여 공격 흐름을 파악
    ** 상관관계 분석: 여러 데이터 소스 간의 연관성을 분석하여 숨겨진 공격 패턴 발견
    ** 행위 분석: 정상적인 시스템 활동과 비교하여 비정상적인 행위 식별
    ** 악성코드 분석: 수집된 악성코드 샘플을 분석하여 기능 및 특징 파악
    ** MITRE ATT&CK 프레임워크 기반 공격 분석
    ** IOC(Indicator Of Compromise: 침해 지표) 분석: IP 주소, 도메인, URI, 파일 해시(File Hash), 이메일 주소, 파일이름과 관련된 네트워크 아티팩트를 통해 알려진 공격 패턴, 악성코드 특징 등을 분석하여 침해 흔적 식별
    ** 기타 필요한 분석 절차 수행