침해사고분석 매뉴얼의 개요: 이미징

◎ 이미징의 개념 및 목적
 - 정의: 침해사고 발생 후 증거 수집을 위해 원본 디스크나 저장 매체의 정확한 비트 단위(bit-by-bit) 복사본을 생성하는 과정
 - 목적:
  > 디지털 증거 보존: 법정 제출 가능한 무결성 있는 증거 확보
  > 포렌식 분석: 침해 경로와 공격자 행위 분석을 위한 기초 자료 확보
  > 운영 복구와 분리: 분석 작업이 원본 시스템에 영향을 주지 않도록 분리
 - 사고 전 백업과의 차이점: 사고 전 백업은 서비스 복구용이지만, 사고 후 이미징은 포렌식 분석이 주목적

◎ 이미징 유형
 - 라이브 이미징(Live Imaging)
  > 정의: 시스템을 가동 상태로 유지하며 데이터 수집
  > 장점: 휘발성 데이터(RAM, 네트워크 연결, 실행 중인 프로세스) 수집 가능
  > 단점: 운영체제 및 애플리케이션 실행으로 데이터 변경 가능성 존재
  > 적합한 상황: 중요 서비스의 연속성이 필요하거나 메모리 기반 악성코드 분석 시
 - 데드 이미징(Dead Imaging)
  > 정의: 시스템 종료 후 저장 매체 분리하여 데이터 수집
  > 장점: 시스템 변경 없이 원본 그대로의 데이터 획득 가능
  > 단점: 휘발성 데이터 손실, 서비스 중단 필요
  > 적합한 상황: 법적 증거 확보가 최우선이거나 서비스 중단이 가능한 경우

◎ 이미징 절차 및 기술
 - 휘발성 데이터 수집 우선순위(Order of Volatility)
  > CPU 레지스터, 캐시
  > 라우팅 테이블, ARP 캐시, 프로세스 목록
  > 메모리(RAM) 덤프
  > 임시 파일 시스템, 스왑 파일
  > 디스크 데이터
  > 원격 로깅 및 모니터링 데이터
  > 물리적 구성 및 네트워크 토폴로지
  > 아카이브 미디어(백업 테이프 등)
 - 이미징 도구
  > 하드웨어 이미징 도구: 쓰기 방지 장치(Write Blocker), 포렌식 브릿지
  > 소프트웨어 이미징 도구: FTK Imager, EnCase, dd, dcfldd, Guymager
  > 메모리 덤프 도구: Volatility, DumpIt, FTK Imager
 - 표준 이미지 포맷:
  > Raw 포맷(.dd): 비트 단위 복사, 추가 메타데이터 없음
  > Expert Witness Format(.E01): EnCase 표준, 압축 및 메타데이터 포함
  > Advanced Forensics Format(.AFF): 오픈 소스, 압축 및 무결성 정보 포함

◎ 이미징 무결성 보장 기법
 - 쓰기 방지(Write Protection)
  > 하드웨어 쓰기 방지기(Hardware Write Blocker) 사용
  > 소프트웨어 쓰기 방지 설정(예: 읽기 전용 마운트)
 - 해시값 검증
  > 이미징 전 원본 매체의 해시값(MD5, SHA-1, SHA-256) 계산
  > 이미징 후 이미지 파일의 해시값 계산 및 비교
  > 블록 단위 해싱을 통한 부분 무결성 검증
 - 체인 오브 커스터디(Chain of Custody)
  > 증거 수집, 보관, 분석 전 과정의 문서화
  > 증거 처리자, 시간, 목적, 장소 등 기록
  > 증거 봉인 및 물리적 보안 조치

◎ 이미징 시 고려사항
 - 시점 결정
  > 비즈니스 연속성과 증거 보존 사이의 균형
  > 휘발성 데이터의 중요도 평가
  > 법적 요구사항 및 내부 정책 준수
 - 특수 상황 대응
  > 암호화된 디스크: 전원 유지 상태에서 메모리 덤프 수집(암호화 키 획득 가능성)
  > RAID 구성: 각 디스크 개별 이미징 또는 논리적 볼륨 이미징 선택
  > 클라우드 환경: API 기반 데이터 수집, 서비스 제공자 협조
  > 가상화 환경: 스냅샷, 메모리 덤프, 가상 디스크 파일 수집
 - 저장 공간 요구사항: 원본보다 더 큰 크기 추천
  > 원본과 동일한 크기 또는 압축 형식 사용 시 50-75% 공간 필요
  > 분석용 작업 복사본 추가 공간 확보
  > 임시 분석 결과 저장 공간 고려

◎ 이미징 후 분석 절차
 - 작업 복사본(Working Copy) 생성
  > 마스터 이미지는 보존하고 작업용 복사본 사용
  > 분석 전 작업 복사본의 무결성 검증
 - 기본 분석 절차
  > 파일 시스템 분석: 삭제된 파일 복구, 타임라인 분석
  > 아티팩트 분석: 레지스트리, 이벤트 로그, 브라우저 기록 등
  > 악성코드 탐지 및 분석: 의심 파일 추출 및 분석
  > 타임라인 재구성: 이벤트 시퀀스 파악
 - 보고서 작성
  > 발견 사항, 분석 방법, 증거 출처 문서화
  > 법적 효력을 갖는 형태로 증거 제시
  > 기술적/비기술적 청중을 위한 보고서 구분

◎ 이미징 베스트 프랙티스
 - 사전 준비
  > 포렌식 도구킷(Jump Kit) 구성: 이미징 도구, 저장 매체, 문서화 도구 등
  > 표준 운영 절차(SOP) 수립 및 정기적 훈련
  > 증거 보관 체계 구축
 - 문서화 철저
  > 모든 단계의 사진 촬영 및 기록
  > 해시값 기록 및 검증 결과 보존
  > 이미징 도구, 버전, 설정 기록
 - 법적/규제적 요구사항 준수
  > 지역 및 산업별 법적 요구사항 파악
  > 개인정보보호법, GDPR 등 관련 법규 준수
  > 법정 증거 요건에 맞는 증거 수집 및 보존