ㅇ ㅂㅇ
1. 컴퓨터 범죄와 사고
-- 개요
컴퓨터 범죄의 특징
• 탐지와 방어가 일반 범죄에 비해서 매우 어려움
• 일반 범죄인에 비해 매우 지능적인 지능범에 속함, 증거가 대부분 무형의 증거이다.
• 관할의 문제(지역적으로 서로 다른 법률과 담당부서등등)
• 내부자 범죄 비율이 압도적으로 높다.
• 범행이 반복적이고 재실행이 용이
범죄의 원인
• 기업의 불법 행위의 문제 – 조직 정책의 문제(근본적)
• 보안 관련 프레임워크의 부적절성이나 부족(우리나라는 아예 없음!!)
• 보안 의식부족과 적절한 대책 부재
• 범죄 유형에 대한 법률의 미비나 의식 부족으로 상당수가 처벌되지 않음.
처벌을 어렵게 하는 요인
• 관할 지역이 모호하다.
• 범죄 정의가 어렵다
- 비도덕적이거나 비윤리적이라고 모두 범죄는 아니다.
• 증거는 대부분 정황증거이거나 무형의 증거인 경우가 많다.
- 법률적인 증거능력이 지역에 따라 다르다.
- 고문에 의한 합리적인 증거가 재판에 사용될 것인가 문제.. –> 결국 절차에 대한 인식문제
=> 로그 정보는 간접 증거여서 외국에서는 직접 증거가 필요시 됨
- 법의 부족도 한국의 한계
-- 범죄 유형
컴퓨터 범죄 구분
• 컴퓨터를 대상으로 한 불법 행위
• 컴퓨터를 이용한 불법 행위
범죄 유형
• 서비스 거부 공격
• 네트워크 침입
• 사회 공학적인 방법에 의한 불법 행위
• 불법 컨텐츠의 이용과 거래 : 아동포르노, 소스코드 …
• 불법 복제
• 악성 코드
• Spoofing(위장) : IP, Mac, DNS …
• 스파이 행위
• Masquerading(신원 가장)
• 횡령(embezzlement) : 다중 거래로 부터 거액의 돈을 횡령
• 살라미… : 여러 계좌에서 소액을 편취(매우 작은 범죄를 지속적으로 발생해서 큰 이 익을..)
• 쓰레기통 뒤지기
• 데이터 디들링
> 전산 입력 값을 변경하여 출력 값을 변조하는 모든 행위
• 테러리즘이나 반달리즘
> Dsniff 는 보안 툴로서 네트워크 감지를 하여 잘못된 것들을 알아 내기 위함
-- 컴퓨터 범죄의 분류
분류
• 사이버 침입
- 부적절한 자원에 대한 접근
- 민사, 형사상 차이가 있음(어떤??)
• 사이버 절도
- 횡령, 주체정보 절도, 산업 스파이 행위, 불법 복제
• 사이버 사기
- 오프라인과 동일
- 다단계, 판매사기 …
• 파괴적인 범죄
- 악성 코드, 바이러스 살포, 시스템 포맷 …
- 반달리즘, 조직적인 공격
• 비폭력적인 사이버 범죄
- 도박, 돈세탁, 매매춘, 금지 폼목 거래(마약, 약물 …)
-- 범죄자
범죄자 구분
• 범죄 도구로 IS를 이용
• 범죄 도중 우연히 IS(주로 인터넷)를 이용한 범죄자
범죄자 유형
• 화이트 컬러 범죄자
- 내부 정보를 이용한 주식거래, 회사나 고객의 자금 횡령, 잘못된 투자정보 제공, 급여나 평가 자료 수정 …
- White-Collar Crime Fighter 잡지에 많은 정보를 제공함.
• 컴퓨터를 이용한 사기범
- 카드 사기, 다단계 피라미드(http://skepdic.com/pyramid.html) …
• 해커, 크래커, 스크립 키드, 클릭 키드
- 블랙 햇(black hats)
: 이익이나 악의적인 목적의 해커
- 화이트 햇(white hats)
: 보안, 테스트등 합법적인 목적에 기술을 사용하는 해커
- 그레이 햇(grey hats)
: 정당한(?) 목적을 위해 약간의 법률위반
: 침입을 통해 네트워크 관리자에게 경고, S/W의 보안 버그를 찾는 행위 …
-- 사례
전화
• Blue boxes : 1973년 위즈니악이 개발한 불법 전화 사용 장치
• Red boxes : 무료 통화를 위한 tone 발생(공짜 장거리 전화)
• Black boxes : 전화가 걸려왔을 때 전화 거는 사람의 요금이 계산되지 않도록 함
• Cheese boxes : 자신의 전화를 다른 전화로 보이도록 함
• Green Box : 동전 반환 톤 생성
> 과거 사례
2000년 2월 yahoo, 아마존등에 대한 서비스 거부 공격
2000년 10월 MS사 해킹
1988년 11월 모리스 인터넷 웜에 의한 서비스 중단
> 예전 물리적 매체를 관련 하는 분야와 신호 관련 분야가 달라서 책임을 확정 짓기 힘들었지만 2006년 이후 웹 서버, 호스팅 서버(IDC)가 따로 있어 문제가 크게 되지 않아짐
2. 법률
-- 법률 - 법률 사례(미국)
정보 시스템과 연관 있는 공법 : common Law (common law는 관습법이다.)
• 주요 카테고리는 형법, 민법,행정법
• 지적 재산법
- 특허권, 저작권, 거래기밀, 등록상표
• 사생활 보호법
- EU의 경우 미국보다 강화된 사생활 보호법률이 존재 : 동일한 수준의 보호가 미국에 없을때 개인정보 이송 자체를 불허함
-- 관련 법
지적 재산 관련 법
• 재정적이 익을 실현하기 위한 소유자의 능력과 관련이 있다.
• 특허(patent)관련법
- 산업 및 생활에 이용 가능한 새로운 상품이나 기술, 프로세스
- 아이디어와 이를 수행하는 장치와 과정까지 보호된다.
• 저작권(Copyright)
- 프로그램의 소스, 오브젝트 코드, 데이터베이스등이 보호 대상
- 작가의 복사, 판매, 전시 등에 관한 보호
- 상표, 영업비밀들도 보호 대상
- 공개된 영업비밀 등은 보호대상이 아니다.
• Public Domain : 저자가 법적인 권리를 갖지 않고 notice라 표기함
> 프로그램은 창작물이 아니다
>> 알고리즘과 기타 기본 리소스들이 자기 자신이 직접 만든 것이 아니기 때문(사회적 창작물)
프라이버시 관련 법
• 개인정보보호법
- 원래 목적은 국가 기관간 개인정보 공유를 제한함
- 일반 기업의 준법 감시인의 주요 참조 법률중 하나
• 전자통신관련 개인보호법
- 전화내용, 통화 기록, 인터넷 사용기록에 대한 접근 제한 법률(국가기관)
- 법원의 명령에 의해서만 열람 가능
• HIPAA(Health Insurance Portability and Accountability Act)(1996)
- 의료 정보 보호
• GLBA(Gramm Leach Bliley Act) (1999)
- 금융정보 보호관련 법률
3. 사이버 범죄 수사와 증거
포렌식(Forensics)
과학수사를 지칭함. 컴퓨터 포렌식은 IS를 대상으로 법원이 인정 할 만한 여러 가지 증거를
수집, 분석, 보존하는 과학적이고 체계적인 일련의 프로세스.
포렌식의 중요 원칙 – 무결성
• 원본의 변형 없이 수집, 분석
• 증거가 원본과 동일하다는 입증
미 법무부 사법연구원(National Institute of Justice)의 포렌식 지침
• 전자적 범죄현장 수사
(Electronic Crime Scene Investigation : A Guide for First Responders)
“본 지침서의 목적은 전자적 증거의 무결성을 보존하는데 도움이 될 방법을 제시하는데 있다.”
증거의 휘발성
1. 레지스터와 캐시
2. 라우팅 테이블, ARP 캐시, 커널 통계
3. 시스템 메모리 내용
4. 임시 파일 시스템
5. 디스크
- ‘Guidelines for Evidence Collection and Archiving’이라는 글에서 위 순서대로 증거
를 수집할 것을 권고 (IEEE 인터넷 draft)
> 숫자가 1에 가까울 수록 휘발성이 강하다.
>> 하지만 수사 시 PC의 네트워크 분리 및 전원 정상 종료를 위해 거의 포기 한다.
이미징(Imaging)
• Disk cloning, disk ghosting이라고 불리기도 함. 정거용 디스크롸 정확히 동일한 사본을 만드는 과정
• 이미지는 물리적으로나 논리적으로 원본과 동일하다.
• 해시값에 의해서 검증된다.
• 수사에 사용하는 이미지용 프로그램
- SafeBack, Encase, ProDiscover 등
증거 원천
• 파티션 갭
• 파티션 되지 않은 비할당 영역
• 슬랙(slack) 영역 – 파일과 클러스터의 크기 차로 인해 생기는 공간
• 스테가노그래피 > 메시지에 비밀 암호문을 넣어 놓은 것
• 숨김파일
• 휴지통
• 웹캐시와 URL 히스토리
• 임시파일
• 스왑이나 페이지 파일
• 백업정보
• 로그정보
증거 사슬
• 사이버 범죄및 일반 범죄 관련 증거는 매우 깨지기 쉽기 때문에 이를 수집하고 보존하는 과정은 일련의 프레임워크에 의해서 통제되어야 한다. 이때 증거에 대해서 보호되어야 될 항목을 증거사슬(Chain of evidence)이라고 한다.
- 증거가 획득된 위치
- 증거가 획득된 시간
- 증거 발견자 신원
- 증거 보호자 신원
- 증거 통제, 보관자의 신원
> 증거 사슬 모두 중요하며, 이 중에서 하나라도 변동이 된다면 증거 채택이 되기 힘들다.
증거 라이프 사이클
1. 발견과 인지
2. 보호
3. 기록
4. 수집(저장 매체 수집, 이미지 생성, 프린트, 자성소자피하기)
5. 식별(테그와 마킹, 분류)
6. 보존(적절한 환경에 보호 : 자장, 수분, 화재, 도난 …)
7. 전송
8. 제시(법정에)
9. 반환(원 소유자에게 필요하다면)
증거 허용의 조건
• 관련성(Relevant)
- 범죄를 설명하는 정보를 제공해야 한다.
- 범죄를 입증하는데 이용되어야 한다.
- 범죄 발생시간을 확정할 수 있으면 …
• 합법성(Legally Permissible) >> 규정에 일치 해야 함
- 합법적인 방법에 의해서 수집되어야 한다.(??)
• 신뢰성(Reliable)
- 부당하게 수정되지 않아야 한다.
• 충분성(sufficient)
- 부인할 수 없을 만큼 충분해야 한다.
• 식별성
- 내용 확인이 가능해야 한다.
- 예) 암호화 되어있다면 합리적인 과정에 의해서 해독되었다는 보증이 제공되어야 한다.
• 보존성
- 필요 기간 동안 수정이나 변경 없이 재사용이 가능해야 한다.
범죄에 사용된 컴퓨터
• 가장먼저 시스템을 안전하게 종료(전원으로부터 분리)하고 접근을 차단한다.
• 증거를 수집한다.
증거 허용의 조건
• 관련성(Relevant)
- 범죄를 설명하는 정보를 제공해야 한다.
- 범죄를 입증하는데 이용되어야 한다.
- 범죄 발생시간을 확정할 수 있으면 …
• 합법성(Legally Permissible)
- 합법적인 방법에 의해서 수집되어야 한다.(??)
• 신뢰성(Reliable)
- 부당하게 수정되지 않아야 한다.
• 충분성(sufficient)
- 부인할 수 없을 만큼 충분해야 한다.
• 식별성
- 내용 확인이 가능해야 한다.
- 예) 암호화 되어있다면 합리적인 과정에 의해서 해독되었다는 보증이 제공되어야 한다.
• 보존성
- 필요 기간 동안 수정이나 변경 없이 재사용이 가능해야 한다.
범죄에 사용된 컴퓨터
• 가장먼저 시스템을 안전하게 종료(전원으로부터 분리)하고 접근을 차단한다.
• 증거를 수집한다.
증거 유형
• 최선증거
- 복사본이 아닌 원본증거
• 이차증거
- 복사, 구두, 진술서 …
- 최선증거보다 신뢰성이 떨어진다.
• 직접증거
- 목격자의 오감에 의한 증거
• 결정적 증거
• 의견
- 전문가 의견
- 비전문가 의견
• 정황증거
- 추론된 증거
• 간접증거
- 생성된 증거(주로 시뮬레이션이나 재실행된 업무 프로세스)
- 일반적으로 재판에 채용되지 않으나 특별한 경우 사용되기도 한다.
- 영장 청구 증거로 이용될 가능성은 높다.(우리나라 아님..)
사이버 범죄와 관련된 조직의 이슈
• 컴퓨터 관련 범죄에 대한 처리 프레임워크가 미리 마련되어 있어야 한다.
• 적절한 직원으로 구성된 이를 처리하기 위한 위원회(TFT:Task Force Team)는 다음의 이슈를 고려한다.
- 사법기관과 사전 교섭
- 적절한 사법기관의 선택과 연락시기(미:FBI,안보위원회, 울나라: 사이버범죄수사대)
- 컴퓨터 범죄 보고 수단의 마련
- 컴퓨터 범죄 보고진행과 처리 절차
- 조사 계획과 수행
- 고위 경영진, 고위 관리자, 해당부서의 참여 방법이나 동기 부여
- 적절한 증거 수집과 보관을 위한 자원 지원
MOM (동기:motive, 기회:Opportunity, 수단:Means)
• 범죄 용의자로 부터 평가해야 하는것
• 일반 범죄와 동일하다.
> 현대의 범죄는 동기가 없는 범죄가 많음 ( 일본에서 최초 보고 됨 )
4. 책임과 윤리
-- CERT
CERT(Computer Emergency Response Team )
• CERT[써트]는 공식적으로는 CERT 조정센터라고 불리며, 인터넷의 공식적인 비상대응팀이다. CERT는 인터넷이 일종의 파괴프로그램인 worm으로부터의 급습사고가 있은 직후인 1988년 11월에 DARPA에 의해 만들어졌다.
• 오늘날, CERT는 보안상의 허점과 부정이용 사고들에 초점을 맞추어 경보와 사고처리 및 예방을 위한 정책수립 등을 수행한다. CERT는 지속적으로 공공인식 캠페인을 주도하고 있으며, 보안 시스템을 개선 연구에 착수했다.
• CERT는 미국 연방정부의 자금을 지원 받는 연구개발 센터인 '소프트웨어 공학 연구소' 내에서 네트웍으로 연결된 시스템의 생존가능성 프로그램의 일부로서 피치버그의 카네기 멜론 대학 내에 위치하고 있다.
> 카네기 멜론 대학 내에 이 CERT[써트]라고 읽을 수 있는 저작권을 갖고 있어, CERT[씨트]라고 읽음
> incident ⊃ Problem
incident
- 일상적으로 일어나는 현상
Problem
- 일상적으로 일어나는 현상 들중 보안상 이슈들(Password의 잦은 틀림 등)을 모아 놓은 것
-- 기업이 운영하는 CERT
CERT의 목적
• 예방,탐지,교정 통제를 제공
• 정보보안 가이드라인을 제공
CERT의 임무
• 보안 가이드라인 작성 및 배포
- 여기서 가이드라인은 보안 관련 프레임워크를 의미함 – 단지 권고사항이 아님
• 사이버 범죄 및 사고 탐지 대응
• 취약점 분석
• 감사 정보제공 – 감사는 감사조직이 담당
- 조직내의 CERT의 포함된 인원은 감사를 담당할 수 없다 : 감사 독립성 회손
> 감사 독립성 회손은 직무 분리 원칙에 입각하기 때문에 성립한다.
[직무 분리 원칙 : 해당 직무자가 해당 직무에 대해 검토하는 것은 신뢰 할 수 없는 원칙 ]
• 교육
• 대내외 조직간 조정과 협력
• 사고 대응 프레임워크(프로세스) 개발 배포 (문서)
• 이전 보안 지침이나 가이드라인, 프로세스에 대한 위험 분석
• 승인 없는 정보 이전, 공개등과 조직원에 대한 개별 조사는 할 수 없다.
• 침입조사 완료 일주일 이내 사후 검토(post incident review)를 통해 대응 프로세스를 향상시킨다.
-- 정당한 주의 의미 (Due Care) > 법적 의무
기업의 경영진이나 최고 경영자가 기업의 정보및 조직의 보호를 위해서 성실하고 신중하게 수행하는 일련의 의무
위험 평가결과를 기반으로 내부통제(대책)을 수립 해야 하는 법적인 요구사항
• 우리나라와는 상관없다. (GS의 개인정보 유출사건 예)
• 정량적 위험 평가 금액 > 위험에 대한 통제 비용 인 경우 책임이 존재한다.
• 이에 대한 평가와 면책은 IS 감사 또는 감리를 통해서 확보한다.
> 절차적 민주 주의 : 절차적 과정을 거치어 인정을 받는 민주 주의
-- 윤리에 대한 여러 규정
ISC2 윤리 강령
CEI(Computer Ethics Institute : 컴퓨터 윤리 위원회)
IAB(Internet Activities Board)에서 제정한 윤리 강령 RFC1087
• 컴퓨터 접근과 사용은 특권이며 시스템의 모든 사용자에 의해 특권으로 관리 되어야 한다.
댓글 없음:
댓글 쓰기