안녕하세요. 보안 침해 사고가 발생했을 때 대응 및 조치에 대해 알아보도록 하겠습니다.
해커가 해킹을 수행하는 상황이라면, 서비스 특성이 모두 다르기 때문에 상황을 잘 판단하여 대응하여야 합니다.
이런 침해사고 또는 해커가 공격하는 상황이라면 보통 CERT(Computer Emergency Response Team)가 대응하게 되는데
IT 정보자산 관련하여 컴퓨터 해킹사고에 대응하기 위한 정보보안전문팀이라고 할 수 있습니다.
해커가 침투한 흔적만 있을 때와 현재 해커가 공격 중 총 2개의 상황을 놓고 볼 때 대응하는 방법이 달라지는데,
우선, 해커가 침투한 상황일 경우 메모리를 덤프 하여 다시 쓰기가 불가능하게 조치 후 CD-ROM 같은 백업 매체에 저장합니다.
로그를 먼저 백업하지 않는 이유는 로그의 위조 및 변조가 너무 쉬워 법적 효력이 없기 때문에 이 경우는
메모리 덤프를 통해 위조 및 변조가 불가능한 CD-ROM에 저장하는 게 가장 좋은 판단이라고 생각됩니다.
메모리 덤프를 수행한 상황이라면, 방화벽이나 TCPWrapper 등을 통해 접근제어를 통해 해커의 접속을 끊거나,
셸 프로세스를 확인해서 종료하는 것도 좋은 판단이 될 수 있습니다.
해커가 정상적으로 끊긴 게 확인되면 이미지를 수정이 불가능한 매체나 파일 형태로 다시 저장을 수행하는 게 좋고,
이 경우는 2개의 파일로 나눠 1개는 법적 증거 제출용, 1개는 포렌식용으로 용도를 나눠 저장하는 게 적절합니다.
이 경우는 위에 언급한 흔적만 남아있을 경우도 동일합니다.
이미지 저장을 하는 과정을 수행하면서 관리자는 상위 직급 관리자나 운영자에게 이 사실을 통보 후 빠른 조치를 취합니다.
이후 공격 대상이 되었던 이미지를 똑같이 만들어 침입자(해커)경로를 추적하는 과정까지 진행합니다.
시스템 복구 과정은 우선 침입 상황을 파악하고 다음 사항을 확인 후 실행하는 게 좋습니다.
●시스템에 설치된 응용 프로그램 변조여부
●시스템 설정 파일의 변조여부
●데이터의 삭제 및 변조여부
●운영중인 다른 시스템 침투여부
정리하자면 대응은 아래와 같습니다.
● 메모리덤프
● 해커의 접속차단
● 운영자에게 통보
● 침입자 추적
● 침입 후 대응 및 시스템 복구
리눅스의 중요 시스템 로그
●utmp : 리눅스의 가장 기본적인 로그를 제공
●wtmp : /usr/include/utmp.h 파일의 구조체를 그대로 사용하며 utmp 데몬과 비슷한 역할을 수행
●su : su명령을 사용한 권한변경 로그
●pacct : 시스템에 로그인한 모둔 사용자가 수행한 프로그램 정보
●.sh_history 또는 .bash_history : 각 사용자의 홈디렉터리에 저장한 실행했던 명령기록
●lastlog : wtmp와 마찬가지로 last 명령으로 해당사항을 출력
●syslog : 시스템의 로그 정보를 대부분 수집하여 로깅
●authlog : 실패한 로그인 시도에 대한 로깅수행