침해사고분석 매뉴얼의 개요: 사전준비

◎ 사전준비
 - 기본 기술 및 사전 지식
  > 운영체제 및 시스템 구조 이해: 시스템 내부 구조에 대한 이해 없이 데이터를 수집하는 것은 매우 어렵습니다. 따라서 운영체제별 파일 시스템 구조를 파악하고 있어야 합니다.
  > 명령어와 기능 숙지: 파일 속성 확인 방법, 주요 시스템 명령어와 그 세부 옵션에 대해 숙지해야 합니다.
  > 쉘 스크립트 및 실습 경험: 간단한 쉘 프로그래밍 능력을 갖추고, 다양한 OS를 설치해 보고 실습해 보며 실제 상황에 대비한 경험을 늘려야 합니다.
  
 - 도구 선택 및 준비
  > 사전 준비된 도구 사용 권장: 대상 시스템에 이미 존재하는 명령어나 도구 사용은 지양하고, 외부에서 검증된 포렌식 도구(예: USB에 담긴 도구 모음)를 활용합니다.
  > 정적 컴파일 도구 활용: 대부분의 리눅스 명령어는 공유 라이브러리나 동적 링크를 사용합니다. 대상 시스템의 라이브러리 버전과 차이가 있을 경우 정상 동작하지 않을 수 있으므로, 라이브러리 종속성 제거를 위해 안전한 환경에서 정적 컴파일한 명령어나 도구를 준비합니다.
  > 스크립트 활용: 정적 컴파일한 명령어나 검증된 포렌식 도구를 사용하여 사전 제작된 수집 스크립트로 신속하게 데이터를 수집하고 작업 기록을 자동화합니다.
  > 다양한 도구의 비교와 선택: 동일하거나 유사한 결과를 보여주는 여러 도구들을 직접 테스트해보고, 상황에 가장 맞는 도구를 선정합니다. 유명한 도구라고 해서 무조건 안전한 것은 아니므로, 직접 검증하는 절차가 필요합니다.

 - 증거 보존 및 초기 접근
  > 증거 훼손 위험 인지: 분석자가 시스템에 접근하는 순간, 원래 존재하던 증거(로그, 파일 속성, 프로세스 정보 등)가 변경되거나 소실될 수 있습니다. 그러므로 접근 전 반드시 현황을 파악하고, 최소한의 행위로 증거 보존을 최우선으로 해야 합니다.
  > 로컬 작업 우선: 원격 접속보다 현장에서 로컬로 분석을 진행함으로써 네트워크상의 추가적인 변조나 원격 침입 가능성을 줄입니다.
  > 전용 저장장치 활용: 로컬 작업 시에도 분석 도구, 스크립트 및 수집 데이터는 대상 시스템의 사용 중인 파티션이 아니라, 외부 USB 등 별도 저장장치에 보관하여 원본 시스템의 영향을 최소화합니다.
  > 최소 조작 원칙: 의심스러운 파일을 실행하지 않도록 하고, 전용 툴이나 스크립트를 활용하여 데이터를 신속하게 수집합니다.
  > 체인 오브 커스터디 관리: 분석 전, 수집부터 보관(HASH 값 기록), 그리고 후속 증거 제출까지의 모든 과정을 문서화하여 증거의 신뢰성을 유지합니다.(법적 증거력 보존)

 - 시스템 변조 및 위험 요소 대책
  > 루트킷 및 변조 위험 인지: 침해 사고가 루트킷 설치나 공격자의 변조로 이어진 상황이라면, 시스템에 기본 내장된 명령어의 결과만으로는 신뢰할 수 없는 경우가 많습니다. 공격자가 조작한 파일, 프로세스, 네트워크 정보가 누락될 위험이 있기 때문입니다.
  > 대체 수집 기법 활용: 변조 여부가 의심되는 경우, 메모리 덤프와 같은 보다 직접적인 방법으로 데이터를 확보하는 것이 효과적입니다.
  > 원격 분석의 경우: 로컬 접근이 불가능한 상황에서는, 원격에서도 최소한의 명령 실행으로 데이터를 빠르게 복제하여 안전한 곳에 저장하고 분석하는 전략을 세워야 합니다.

 - 분석 전략
  > 교차 분석: 조작 가능성을 염두에 두고, 수집된 다양한 데이터(예: 파일의 시간 정보, 각종 설정 정보, 로그 파일 등)를 교차 분석하는 것도 중요합니다.  
  > 메모리 덤프 분석: 루트킷이 설치되었거나 명령어가 변조된 경우, 메모리 덤프 분석이 가장 신뢰도가 높습니다.
  > 실시간 분석 기술: 라이브 시스템에서의 프로세스/네트워크 상태 분석 기법 숙지가 필요합니다.
  > 로그 상관관계 분석: NDR/FW/IPS/IDS/WAF/EDR 등 보안장비 로그와 수집된 시스템의 이벤트 로그간 상관관계 분석이 필요합니다.