침해사고분석을 통해 공격자의 흔적을 찾아내고, 공격 당시 사건을 재구성하여 시스템에 발생한 피해를 파악하는 작업이다.
시스템에 침해가 발생하기 까지는 많은 일들이 발생한다. 공격자가 시스템을 공격하고 장악하기 위해 정보 수집 과정을 거치게 된다. 이 과정에서 공격자는 대상 시스템의 서비스 종류, 시스템 현황, OS종류, IP대역, 포트정보, 취약점 정보 등 많은 정보를 수집하게 된다.
정보 수집을 통해 충분히 공략할 대상 시스템의 약점을 파악했으면 취약점을 이용해 공격에 들어가게 된다. 보통 이 과정에서 많은 수의 공격이 탐지되고 차단이 된다. 공격자는 가능한 모든 방법을 동원해 탐지되지 않기 위해 우회 시도를 하고, 100번의 공격 중 1번의 공격이 성공하게 되면 공격 성공 단계에 이르게 된다. 바로 이 단계가 침해가 발생되는 시점이다. 이후 공격자는 자신의 목적에 따라 시스템에 악성코드를 설치하거나 시스템의 정보를 유출하는 행위가 이뤄지고, 대부분의 침해사고분석은 이런 유출 또는 시스템변조가 발생되고 이뤄지게 된다.
다양한 방법을 이용해 침입시도에 대한 분석이 가능하다. 주로 네트워크에서 발생되는 정보를 활용하게 된다. 가장 많이 사용되는 정보는 침입탐지시스템에서 제공하는 정보다. 시스템에 가해지는 공격시도나 공격행위에 대해 네트워크 레벨에서 사전에 분석해 파악하고, 차단하면 시스템 침해로까지 이뤄지지 않을 수 있다.
긴급 상황 대응할 때 필요 기술과 노하우를 살펴 볼 것이다. 침해사고가 발생한 시스템에서 정보를 수집하고 수집한 정보를 해석하기 위해 무엇이 필요한지 확인해 보자.
2부에서 다루는 침해사고분석 방법론은 기업이나 조직의 IT환경에서 발생하는 침해사고에 대해 효율적으로 분석하고, 원인을 파악하는 방법에 대해서 설명할 것이며, 실무 중심의 기술적인 방법에 초점을 맞출 것이다.