침해사고분석 매뉴얼의 개요: 자료수집 체크리스트

◎ 사고이력 확인
 - 사고 발생 정보
  > 최초 사고 징후 확인 날짜 및 시간 (정확한 타임스탬프와 시간대)
  > 탐지 소스 기록 (SIEM, EDR, IDS/IPS, 사용자 신고 등)
  > 초기 분석가 및 대응자 기록
  > 사고 심각도 분류 (기능적 영향, 정보 영향, 복구 가능성)

 - 초기 대응 기록
  > 특이사항 및 조치사항 확인
  > 영향을 받은 사용자/시스템 목록
  > 초기 응답 조치 내역
  > 각 조치에 대한 책임자 명시

◎ 서비스 개요 및 현황 확인
 - 서비스 정보 수집
  > 서비스 관리조직/담당자 정보
  > 서비스 개요 및 기능
  > 주요 자산 목록 (중요도별 분류)
  > 백업 상태 및 최근 백업 날짜
  > 자산 인벤토리 및 네트워크 매핑

 - 보안 현황 확인
  > 사고대응절차 현황
  > 자산관리 및 분류 체계
  > 접근통제 및 권한관리 정책
  > 암호화 구현 현황 및 키 관리
  > 패치 관리 및 취약점 스캔 이력
  > 비즈니스 연속성 계획

◎ 환경설정 확인
 - 시스템 환경 정보
  > 로그 위치 및 홈 디렉토리 확인
  > 구성 파일 위치 및 백업 상태
  > 운영체제 버전 및 패치 레벨
  > 주요 설정파일 변경 이력 및 체크섬

 - 신규 변경사항
  > 새로 추가된 가상 사이트 및 디렉토리 (최근 7일 이내)
  > 최근 설치된 소프트웨어 및 업데이트
  > 신규 사용자 계정 생성 이력

 - 네트워크 보안 설정
  > 방화벽 정책 설정 확인 (포트 및 규칙 상세)
  > 인바운드/아웃바운드 규칙 점검
  > 보안 그룹(Security Group) 설정
  > NAT 설정 및 네트워크 세그멘테이션

◎ 웹구조 및 네트워크 파악
 - 웹 서비스 현황
  > 운영 중인 웹사이트 목록 (도메인, 가상호스트)
  > 웹 애플리케이션 구조 및 기술 스택
  > 컨테이너/서버리스 함수 여부
  > API 엔드포인트 및 외부 연동 서비스

 - 네트워크 구조
  > 네트워크 전체 구조도 (물리적/논리적 토폴로지)
  > DMZ, 내부망, 관리망 구역별 매핑
  > 네트워크/웹 방화벽 적용 현황
  > 트래픽 흐름도 및 라우팅 정보

 - 서버 및 시스템 정보
  > 운영 중인 서버 및 역할 (웹서버, WAS, DB서버)
  > 로드밸런서 및 프록시 서버 구성
  > DB 연결 구조 및 연결 문자열
  > 파일 공유 연결 (NFS/SMB 마운트)
  > 제3자 서비스 및 공급망 연결 현황

◎ 로그수집
 - 휘발성 데이터 (최우선 수집)
  > 메모리 덤프(반드시 동일(가상)환경에서 테스트 후 진행)
  > 실행 중인 프로세스 목록, 활성 네트워크 연결, 로그인 세션 정보, 시스템 상태 정보 등 스크립트를 통한 수집

 - 웹 관련 로그
  > WEB 로그 (Access log, Error log)
  > WAS 로그 (Access log, Error log, 트랜잭션 로그)
  > 웹 방화벽(WAF) 로그
  > 프록시 서버 로그

 - 시스템 로그
  > Windows: Application Log, Security Log, System Log, Setup Log, PowerShell Log, Sysmon 등 (C:\Windows\System32\winevt\Logs 폴더 압축수집)
  > Linux: /var/log/auth.log, /var/log/secure, /var/log/messages, /var/log/audit/audit.log 등 (/var/log/ 폴더 압축 수집)
  > 애플리케이션 특정 로그

 - 보안 장비 로그
  > 네트워크 탐지 및 대응 시스템(NDR) 로그
  > 방화벽(FW) 로그
  > 침입 방지 시스템(IPS) 로그
  > 침입 탐지 시스템(IDS) 로그
  > 엔드포인트 보안(EDR) 로그

 - 인증 및 접근 로그
  > Active Directory 로그
  > LDAP 인증 서버 로그
  > VPN 접속 로그
  > 특권 계정 사용 로그

 - 클라우드 서비스 로그
  > AWS: CloudTrail, VPC Flow Logs, GuardDuty
  > Azure: Activity Log, Network Security Group Flow, Azure Monitor
  > GCP(Google Cloud Platform): Cloud Logging, VPC Flow Logs, Security Command Center

◎ 데이터베이스 점검
 - 사용자 및 권한 관리
  > DB 사용자 계정 전체 목록
  > 엔터프라이즈 관리자, SA(System Administrator) 계정 상태
  > 계정별 권한 현황 및 감사
  > 최근 생성된 계정 및 권한 변경 이력
  > 특권 계정의 접근 로그 분석

 - 데이터베이스 구조 분석
  > 최근 생성/수정된 테이블, 뷰, 인덱스
  > 저장 프로시저 및 함수 변경 이력
  > SQL Injection 공격 시그니처
  > 임시 테이블 및 의심스러운 객체
  > 민감한 데이터 테이블 접근 기록

 - 데이터베이스 로그 분석
  > 트랜잭션 로그 검토
  > SQL Audit Log 분석
  > 비정상적인 쿼리 패턴 식별
  > 대량 데이터 조회/수정 흔적
  > 쿼리 실행 시간 분석 (Time-based SQLi 탐지)

 - 백업 및 무결성
  > 데이터베이스 백업 상태 확인
  > 백업 무결성 검증
  > 데이터 무결성 검사

◎ 웹쉘 탐지 및 분석
 - 시그니처 기반 탐지
  > 정규표현식 패턴 매칭 (eval, passthru, system, shell_exec)
  > YARA 룰 기반 탐지
  > 알려진 웹쉘 파일명 검색 (shell.php, cmd.aspx 등)
  > 웹쉘 해시 값 데이터베이스 매칭

 - 파일 시스템 분석
  > 파일 무결성 모니터링(FIM) 결과
  > 웹 디렉토리 신규/변경 파일 탐지
  > 파일 권한 및 소유자 변경 이력
  > 파일 해시 값 비교 및 검증

 - 행위 기반 분석
  > 웹 서버 프로세스의 비정상적 외부 명령 실행
  > 시스템 명령어 실행 흔적 (whoami, ipconfig, ls 등)
  > 네트워크 연결 생성 행위
  > 파일 업로드/다운로드 패턴 분석

 - 네트워크 트래픽 분석
  > 웹쉘을 통한 C&C 통신 패턴
  > 비정상적인 HTTP POST 요청
  > 의심스러운 User-Agent 문자열
  > 암호화된 페이로드 전송 흔적

◎ 시스템 포렌식 분석
 - 파일 시스템 분석
  > MAC 타임 분석: 최근 7일간 수정/접근/생성된 파일
  > 타임라인 분석: 전체 파일 시스템 타임라인 구성
  > 삭제된 파일 복구: 휴지통, 언링크된 파일 분석
  > 파일 서명 분석: 확장자 위조 및 숨김 파일 탐지

 - 메모리 포렌식 (Volatility 활용)
  > 프로세스 분석: 실행 중인 프로세스, 숨겨진 프로세스 (pslist, psscan)
  > 네트워크 분석: 활성 연결, 리스닝 포트 (netscan, netstat)
  > 악성코드 탐지: 코드 인젝션, DLL 주입 흔적 (malfind, dlllist)
  > 사용자 활동: 명령어 히스토리, 클립보드 내용 (cmdscan, clipboard)

 - Windows 레지스트리 포렌식
  > ShellBags: 사용자가 접근한 폴더 흔적
  > AmCache: 응용프로그램 실행 흔적
  > 최근 문서: 최근 열어본 파일 목록
  > 네트워크 정보: 연결된 네트워크 및 공유 폴더

 - 시스템 상태 분석
  > 실행 중인 프로세스: 부모/자식 관계, 실행 경로
  > 네트워크 연결: 외부 통신 시도, C&C 통신 탐지
  > 서비스 및 드라이버: 악성 서비스, 루트킷 탐지
  > 자동 시작 프로그램: 레지스트리, 시작 폴더, 스케줄 작업

 - 루트킷 및 지속성 메커니즘 탐지
  > 숨겨진 프로세스 및 파일
  > 커널 수준 변조 검사
  > 부팅 과정 무결성 검증
  > 시스템 파일 변조 확인

◎ 네트워크 패킷 분석
 - 패킷 캡처
  > 네트워크 스니핑 도구 활용 (Wireshark, tcpdump)
  > 캡처 시간: 최소 15-30분 (트래픽 패턴에 따라 조정)
  > 전체 패킷 및 메타데이터 수집
  > 특정 세그먼트 집중 (DMZ, DB 접근 구간)

 - 트래픽 분석
  > 비정상적인 네트워크 트래픽 패턴
  > C&C 통신 탐지
  > 데이터 유출 흔적 (대용량 아웃바운드 트래픽)
  > 포트 스캔 및 취약점 스캐닝 활동

 - 플로우 데이터 분석
  > NetFlow/sFlow 데이터 수집
  > DNS 쿼리 패턴 분석
  > 암호화된 트래픽의 메타데이터 분석
  > 이상 트래픽 필터링 및 분석

 - 증거 보전
  > pcap 파일 무결성 보장 (해시 계산)
  > 체인 오브 커스터디 문서화
  > 암호화 보관

◎ 취약점 점검
 - 웹 애플리케이션 취약점
  > OWASP Top 10 기준
  > API 보안: API 인증, 권한 부여, 입력 검증
  > 클라이언트 사이드: XSS, CSRF, 클릭재킹
  > 자동화 도구: Burp Suite, OWASP ZAP, Nessus

 - 시스템 취약점 점검
  > Linux/Unix: CIS 벤치마크 기반 80개 항목
    > 패스워드 정책, 파일 권한, 네트워크 설정
    > SUID/SGID 파일, 불필요한 서비스
  > Windows: CIS 벤치마크 기반 70개 항목
    > 로컬 정책, 사용자 권한, 레지스트리 설정
    > 공유 폴더 권한, 패치 상태

 - 데이터베이스 보안 점검 (60개 항목)
  > 기본 계정 상태 및 비밀번호
  > 권한 분리 및 최소 권한 원칙
  > 감사 설정 및 로그 보존
  > 네트워크 암호화 및 접근 제어

 - 네트워크 보안 점검 (40개 항목)
  > 방화벽 정책 및 ACL 설정
  > 스위치 포트 보안
  > 무선 네트워크 보안
  > 네트워크 장비 펌웨어 버전

 - 클라우드 보안 점검 (30개 항목)
  > IAM 정책 및 역할 관리
  > 스토리지 버킷 접근 권한
  > 네트워크 보안 그룹 설정
  > 암호화 키 관리

 - 컨테이너 보안 점검 (20개 항목)
  > 컨테이너 이미지 스캔
  > 런타임 보안 설정
  > 오케스트레이션 플랫폼 보안
  > 네트워크 정책

◎ 클라우드 및 다양 환경 분석
 - 클라우드 환경 증거 수집
  > AWS: CloudTrail 이벤트, VPC Flow Logs, ELB 로그, S3 액세스 로그
  > Azure: Activity Log, NSG Flow Log, Application Gateway 로그
  > GCP(Google Cloud Platform): Audit Log, VPC Flow Log, Load Balancer 로그
  > 공통: VM 스냅샷, 설정 백업, 메타데이터

 - 컨테이너 포렌식
  > 컨테이너 이미지 분석
  > 런타임 환경 변수 및 설정
  > 볼륨 마운트 및 데이터 지속성
  > 오케스트레이션 로그 (Kubernetes, Docker Swarm)

 - 하이브리드 환경 분석
  > 온프레미스-클라우드 연결 로그
  > VPN/Direct Connect 트래픽
  > 동기화 서비스 로그
  > 하이브리드 인증 시스템 로그

◎ 증거 보전 및 체인 오브 커스터디
 - 디지털 증거 수집
  > 드라이브 이미징: 전체 시스템 물리적/논리적 이미지
  > 메모리 덤프: 전체 물리 메모리 캡처
  > 네트워크 캡처: 실시간 트래픽 녹화
  > 로그 파일: 원본 그대로 복사

 - 무결성 검증
  > SHA-256/MD5 해시 값 계산
  > 디지털 서명 적용
  > 타임스탬프 기록
  > 체크섬 검증

 - 문서화
  > 증거 수집 과정 상세 기록
  > 담당자 및 날짜/시간 기록
  > 보관 위치 및 접근 제어
  > 법적 요구사항 준수 확인