FICON 2015

이번 FICON 2015는 “이야기가 있는 컨퍼런스”를 모토로 진행되었고, 결론부터 말하면 학생 등록 비용 70000원이 아깝지 않은 컨퍼런스였습니다. 그래서, 잊기 전에 후기 겸 해서 간단하게 정리해보았습니다.

컨셉은 기존의 신청 페이지인 FICON 2015에서, 발표 자료는 SlideShare, PlainBit에서 확인하실 수 있습니다.

다 쓰고나니 글이 꽤나 깁니다. 양해 부탁드립니다 :)

</br>

어떻게 대응할 것인가?

첫 번째 세션은 넥슨코리아에서 IS 감사를 맡고 계신 여성구님께서 발표해주셨습니다.

우선 사건 진행의 타임라인을 크게

• 사전 대응
• 사건 대응
• 사후 대응

으로 나누어서 설명하셨습니다.

사건 대응

사건 인지

밑의 다른 발표자분들 께서도 언급해주셨는데, 아무래도 외부 제보로 인한 인지보다는 내부 감사, 모니터링 중에 발견하는 것이 더 빠르고 효율적인 대응이 가능합니다.

분석 및 검증

유출이 확인되었다면, 어떤 데이터가 얼마나 유출되었는지, 그 데이터가 언제의 데이터인지 확인하여, 피해 데이터를 특정하고 관련된 정보를 수집하여 유출 경로를 파악해야 합니다.

해당 유출 경로를 파악하면, 확산 방지를 위해 적절한 조치를 취해야 합니다. 이 후에는 증거 보존 절차를 밟으시면 됩니다.

경로 파악과 사고 대응(확산 방지 조치) 시 일부 증거가 훼손 될 수 있으나, 사고 대응을 하지 않으면 결국 2차 피해를 유발하므로 최대한 증거를 훼손하지 않는 방향으로 사고 대응을 진행하는 것이 중요합니다. 이 부분은 회사, 조직마다 어떻게 진행할 건지 많은 고려가 필요해 보입니다 :)

보고 및 TF 구성

분석 및 검증 후에는 절차에 따라 보고 과정을 진행한 후에, 내부 TF(TaskForce)를 구성하여 대응한다고 합니다. 아무래도 (정보)자산에 관련된 일이다 보니 법률과 관련된 인력이 많이 필요한 것 같습니다.

신고 및 통지

기업의 데이터를 도난당한 피해자이며 유출시킨 피의자라는 언급이 매우 인상 깊었습니다. 그렇기 때문에 KISA, 경찰/검찰 뿐만 아니라, 정보 주체에게까지 통지해야 합니다.

정보 주체에게 통지 후에는 실제로 유출 피해자인지 확인하는 절차를 보통 취하는데, 이 때 확인 페이지에서도 적절한 보안 조치가 이루어져야 합니다. 전에 국내에서 확인 페이지에서 평문 전송 등으로 인한 2차 피해가 일어났던 것을 생각해보면 될 것 같습니다.

사후 대응

보안 의식의 제고 및 전략에 대한 고려가 필요합니다.

사전 대응

관련 법률이 정보통신망법, 개인정보보호법, 신용정보법 등으로 분리되어 있기 때문에 각 법에 위배되지 않도록 컴플라이언스를 확보하고, 보안 기술과 해당 문제를 해결하기 위한 경영진의 의지도 중요하지만, 정확하게 어떤 데이터를 보호할 것인지 파악하는 것이 가장 중요합니다.

관련 사고에 대한 보험도 있으니 관계자 분들은 고려해 보시는 것도 좋을 듯 합니다.

</br>

어떻게 조사할 것인가?

두 번째 세션은 이 전 공개세미나에서 메모리 해킹 케이스를 발표해주셨던, 경찰청 사이버안전국 이병길 수사관님께서 발표해주셨습니다. 초반에 알 수없는 문제로 슬라이드가 알아서 넘어갈 때는 제가 놀랐었네요 :)

사건 사례

요즘은 3.20 사태나 DDoS 공격처럼 시스템 가용성을 해치는 공격보다는 한수원 사태나 이동통신사들의 개인정보 유출 등 정보를 취하는 사례가 많습니다. 이에 대응하는 것도 좋지만 너무 이 쪽에만 포커스가 맞춰지는 것은 좋지 않다고 봅니다.

사례별 초동조치

DDoS

DDoS의 경우에는 안정적 운영을 방해할 목적이 있어야 처벌이 가능하다고 합니다. 이 부분이 굉장히 애매한 것 같은데 실제로 처벌이 어떻게 되고 있는지 궁금하네요.

침입 및 악성코드

정당한 권한 없이 접근 하는 것은 모두 침해입니다. 가끔 여기저기 돌아다니시면서 SQLi등의 공격을 시도하시는 분들이 계신데, 조심하시기 바랍니다 :(

정보 유출

위의 침입과 유사한 것 같습니다. 타인의 정보 및 비밀을 침해, 도용, 누설하면 안됩니다.

조사 확대

이전 발표에서도 언급되었지만, 피해가 확인 되면, 해당 PC뿐만 아니라 전체 경로로 조사를 확대해야할 필요가 있습니다.

시나리오 및 요약

위의 내용들이 가상 시나리오에서 어떻게 적용되는지 상세한 설명과 함께 보여주셨습니다. :)

</br>

어떻게 들어왔는가?

세 번째 세션은 Ahnlab A-First팀의 오정훈 연구원님이 발표해주셨습니다.

필요성

삭제나 포맷 등의 단순 대응으로는 공격 경로를 차단할 수 없기 때문에 같은 방법으로 재침입을 허용할 수 밖에 없습니다. 다른 발표자 분들도 언급해주셨 듯이, 최초 유입 경로를 파악함으로서 재침입을 방지해야 할 필요가 있습니다.

Lateral Movement

최초 침입 시스템에서 목적지까지 가는 이동 경로를 의미합니다. 보통 도메인 관리자의 권한을 탈취하거나 네트워크 내의 관리자 계정 정보가 동일한 점을 이용하는 Pass the Hash 공격이 자주 이용된다고 합니다. 이 공격은 네트워크 내의 모든 호스트가 감염될 수 있기 때문에 매우 위험합니다.

최초 유입 경로 분석

최우선 목표는 네트워크 구성을 파악하는 것입니다. 네트워크 구성을 알아야 어떻게 접근해왔는지 정확하게 파악할 수 있겠죠. 이 부분은 피해측에서 제공받는 것이 가장 정확한 것으로 보이는데, 만약 제공받은 구성이 수사 중에 틀리다는 것을 인지하면 어떻게 조사를 하는 지 궁금하네요.

분석 유형

• 상세 분석 : 아무 단서가 없는 상황. 추후 분석을 위해 최대한 많은 정보를 수집해야 함. 최초로 공격이 탐지된 시스템이나 게이트웨이 등의 중요 포인트에서 수행합니다.
• 포인트 분석 : 여러 단서를 통해 특정 시간, 특정 아티팩트만을 분석하여 신속하게 정보를 수집

모든 시스템이 감염된 상황이어도 Lateral Movement를 잘 추적한다면 적은 분석으로도 최초 유입 경로를 파악할 수 있습니다.

타임라인 분석을 통해 침입자의 행위를 분석할 수 있지만, 다양한 정보를 통해 시간대를 특정하지 못한다면 매우 힘든 작업이 됩니다.

증거가 없을 시

중요 포인트는 절대 중도 포기하지 않는다 라고 하셨는데, 개인적으로 반성하게 되는 부분이었습니다 :-(

• Lateral Movement 추적에 실패했을 경우, IOC(Indicator of Compromise)를 통한 분석을 시도하는 방법
• 외부와의 연결 지점은 반드시 있기 때문에, 재침입을 유도하여 증거를 만들어내는 방법

이 있습니다.

여담이지만 중식에 고기가 많지 않아서 좀 아쉬웠네요 :)

</br>

어떻게 가져갔는가? 그리고..

네 번째 세션은 Plainbit의 김진국 대표님이 발표해주셨습니다.

무엇을 조사해야 하는가?

로그는 행동에 대한 증거를 명시적으로 남겨두지만, 아티팩트는 정황을 조합하여 추론해내는 것이기 때문에 로그가 오래 보존될 수 있도록 미리 설정해두는 것이 중요합니다.

내부망 이동

결국 데이터 유출은 외부 인터넷 망과 이어진 곳에서 이루어지기 때문에, 내부 클라이언트들에 대한 조사가 이루어져야 합니다.

이벤트 로그, 선호 경로, 파일명 패턴 등의 정보를 사용할 수 있습니다.

침해사고의 문제들

현재 보안은 사고 가능성을 낮추기 위한 방어 체계에만 포커스가 맞춰져 있는데, 사고 발생시 피해를 최소화하는 데에도 신경을 써야 합니다.

누가 인지하였는가?

첫 발표에서도 언급되었지만, 침해사고를 빨리 인식할 수록 대응 시간이 크게 늘어나게 됩니다만, 현재 국내의 침해사고는 대부분 외부 제보로 인한 인지가 많기 때문에, 상대적으로 대응에 미흡한 모습입니다.

어떻게 처리되었는가?

세 번째 발표에서도 언급되었듯이, 전용 백신을 돌린다거나 해당 파일을 지우는 것으로는 완벽하게 대응되었다고 할 수 없습니다.

사고에 대한 인식 문제

사고를 100% 막는 것은 불가능 하다는 것을 인지하고, 사고가 발생했을 때, 조기에 식별하고 체계적인 대응을 통해 피해를 최소화 하는 것이 중요합니다.

침해사고 준비도

다양한 설정 및 정책 등을 강화하면 사고에 효과적으로 대응할 수 있는 시간(골든 타임)이 늘어납니다.

그리고 시뮬레이션을 통해서 직원들이 가상으로라도 사고를 당해보면서 침해사고의 영향을 알게 하는 것과 보안 인력들의 경험을 쌓는 것이 중요합니다.

</br>

보안담당자가 겪는 실무적 이슈와 법률적 검토

다섯번 째 세션은 테크앤로 법률 사무소의 구태언 대표변호사님 께서 발표해주셨습니다.

다양한 디지털 이슈들을 현실의 예시들로 설명해주셔서, 어려운 법 조항들에 비해 쉽게 이해할 수 있었습니다 :)

</br>

패널 토의

패널로는 경찰청 사이버안전국 임희 수사관님, KISA 침해사고분석단 박문범 연구원님, 나루 시큐리티의 김혁준 대표님이 참여해주셨습니다.

북한에 대하여

아무래도 여러 사고가 북한의 소행이라는 보도에 비해 공개된 자료가 적다보니 많은 의심을 받으실 수 밖에 없는데, 단순히 IP 조회 만으로 판별하는 것은 아니고 여러가지 정보를 조합해서 결론을 도출하고 있다고 하십니다.

정보 공개의 경우에는 전략 보호를 위해 절제되어야 하며, 또한 수사에서 얻은 정보를 공개하는 것에 대한 법률이 있기 때문에 해당 법률 또한 준수해야해서 정보 공개는 힘들다고 합니다.

북한 사칭은?

해당 사례가 있었다 라고 언급하신 거 보면, 이 정도는 충분히 식별해 내실 수 있는 것 같습니다 :)

선호 인력?

우선 다들 공통적으로 커뮤니케이션 능력을 선호하시는 것 같고, 그 외에 정보 수집/응용력, 타국인(사이트)와의 소통을 위한 영어 능력도 있으면 좋다고 합니다.

현재 보안 시장의 문제점?

너무 솔루션 위주로 시장이 발달했고, 기업 본인들이 자신의 상태를 잘 모르기 때문에 무작정 솔루션들만 사들이는 경향이 있다고 합니다. 앞의 발표들, 특히 첫 번째 발표에서 나왔듯이 어떤 것을 보호해야 할지 특정하는 것이 급선무로 보입니다 :)

여러 신기술에 대한 대응

결국 신기술도 기존의 기술의 응용이기 때문에, 기존의 연구자료를 고도화하는 방법을 통해 대응이 가능하다고 합니다.

후기

아직 실무를 경험해보지 못한 학생의 입장에서, 전문가 분들의 경험에서 우러나오는 발표들이 매우 흥미로웠습니다. 앞으로 공부하면서 고려해봐야 할 것들에 대해서 많은 생각이 들기도 했고요.

글을 쓰다보니까 상당히 길어진 느낌이 있습니다. 각 발표 별로 분리하자니 짧은 분량이라 그냥 이어서 썼는데 생각보다 많이 기네요. 발표 자료에 있는 내용은 최대한 다시 언급하지 않는 방향으로 했는데 이 것도 욕심인지 자꾸 하나 둘씩 끼워넣다 보니까 길어진 것 같습니다 :(

맨 앞에서도 말씀드렸듯이, 정말 만족스러운 컨퍼런스였습니다, 다음엔 더 많은 분들이 오셔서 좋은 지식들을 얻어가실 수 있었으면 좋겠습니다 :)