KR101710086B1

KR101710086B1 - 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치

Info

Publication number: KR101710086B1
Application number: KR1020150144575A
Authority: KR
Inventors: 윤호상; 정일훈; 장희진
Original assignee: 국방과학연구소
Priority date: 2015-10-16
Filing date: 2015-10-16
Publication date: 2017-02-24

Abstract

본 발명은 해킹 대응 기술에 관한 것으로서, 더 상세하게는 침해사고에 대한 증거수집 및 조사분석을 자동화하는 방법 및 장치에 대한 것이다.
본 발명에 따르면, 증거 수집을 자동화함으로써 공격자에 의해 임의로 삭제되거나 로그 제한 용량에 의해 누락되는 데이터를 최소화할 수 있다.

Description

침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치{Method and Apparatus for executing proof collection and investigation analysis for incident response}

본 발명은 해킹 대응 기술에 관한 것으로서, 더 상세하게는 침해사고에 대한 증거수집 및 조사분석을 자동화하는 방법 및 장치에 대한 것이다.

침해사고를 일으키는 해킹 기법이 지능화됨에 따라 침해사고에 대한 분석 및 대응도 어려워지고 있다. 따라서, 해킹 피해 기관이 침해사고에 대한 적절한 대응을 하지 못하여 피해가 확산되거나 복구가 불완전하게 되어 반복적으로 피해를 입는 경우가 많다.

침해사고 대응은 개략적으로 사전 준비, 사고 식별, 증거 수집, 조사 분석, 보고 및/또는 발표, 증거 보존과 같은 여섯 단계로 이루어지는데 이들 중 증거 수집 및/또는 조사 분석은 언제, 누구에 의해, 어떻게 사고가 일어났는지, 피해 확산 및/또는 사고 재발을 어떻게 방지할 것인지를 결정하는 주요 단계이다. 증거 수집 및/또는 조사 분석은 포렌식 기술을 활용하여 이루어진다.

증거수집에 있어서 현재 포렌식 기술은 파일 시스템, 레지스트리, 웹 브라우저 로그 등 각 아티팩트 별로 개별적인 도구 형태로 지원되어 침해사고 분석가가 사용하는데 어려움이 있다. 또한 사고 발생 후 필요한 데이터를 수집하는 형태이므로 증거가 공격자에 의해 의도적으로 삭제되거나 로그 제한 용량 등으로 사라졌을 가능성이 높다.

조사 분석에 있어서 현재 포렌식 기술은 수집된 데이터 아티팩트의 모든 정보를 컬럼(Column) 형태로 구분하여 보기 편하게 제공하는 형태이다. 즉, 단순히 비트(Bit)를 사용자가 읽기 편한 방식으로 해석할 뿐 의미(Semantics)를 해석하거나 연관분석(Correlation)을 제공하지는 않는다.

증거 수집 및/또는 조사 분석에 있어서 현재 포렌식 기술은 개별 데이터 아티팩트의 제한된 수집 및/또는 수집된 데이터에 대한 낮은 수준의 분석만을 제공하므로 침해사고와 관련하여"언제, 누가, 어디서, 무엇을, 어떻게, 왜"와 같은 사항들을 결정하기 위해서는 침해분석 전문가의 개별 경험과 지식에 상당 부분 의존한다. 이에 따라 침해분석 전문가의 능력에 따라 분석 결과가 상이하며 체계적인 대응에 한계가 있다.

따라서, 침해분석 전문가에 대한 의존을 최소화하며 효과적인 대응을 지원할 수 있는 체계화되고 사용이 용이한 기본 인프라 기술 개발이 요구된다.

1. 한국공개특허번호 제10-2015-0081889호

1. 이승원, "침해사고대응 모델 및 디지털 포렌식 모델의 프로세스 통합에 관한 연구"서울벤처대학원대학교 2013년 2. 노영섭외, "윈도우 환경에서의 증거 수집 시스템 설계 및 구현에 관한 연구"정보보호학회논문지 제23권 제1호 (2013년 2월) pp.57-67

본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 침해사고에 대한 증거수집 및/또는 조사분석을 자동화하는 방법 및 장치를 제공하는데 그 목적이 있다.

본 발명은 위에서 제시된 과제를 달성하기 위해, 침해사고에 대한 증거수집 및 조사분석을 수행하는 방법을 제공한다.

상기 증거수집 및 조사분석을 수행하는 방법은,

(a) 데이터 수집부가 데이터를 수집하는 단계;

(b) 인포메이션 생성부가 수집된 데이터를 파싱하여 인포메이션을 추출하여 추출 인포메이션을 저장하는 단계;

(c) 분석 식별 모듈이 상기 추출 인포메이션을 이용하여 행위 이벤트들을 식별하는 단계;

(d) 상기 분석 식별 모듈이 식별된 행위 이벤트들 중에서 호스트 내 악성 코드의 유입, 실행 및 전파와 관련되는 해당 행위 이벤트를 식별하는 단계; 및

(e) 상기 분석 식별 모듈이 상기 해당 행위 이벤트를 이용하여 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로를 식별하는 단계;를 포함하는 것을 특징으로 한다.

이때, 상기 데이터는, 디스크, 메모리 및 네트워크로부터의 레지스트리 파일, 이벤트 로그 파일, 파일 시스템 메타 데이터, 웹브라우저 로그 파일, 및 활성 데이터를 포함하는 필수 데이터, 및 파일 생성, 프로세스 생성, 프로세스 실행, 및 네트워크 연결 정보를 포함하는 이벤트 데이터를 포함하는 것을 특징으로 할 수 있다.

또한, 상기 필수 데이터의 수집은 미리 설정되는 수집 주기에 따라 이루어지며, 상기 이벤트 데이터의 수집은 해당 이벤트 발생시 마다 실시간으로 수집 저장되는 것을 특징으로 할 수 있다.

또한, 상기 행위 이벤트들에 대한 식별은 상기 추출 인포메이션을 룰(rule) 형태로 생성되는 사용자 지식을 기반으로 연관분석하여 상기 악성코드의 유입, 실행 및 전파와 관련되는 행위 이벤트로 식별되는 것을 특징으로 할 수 있다.

또한, 상기 (c) 단계는, 상기 악성코드의 파일명이 입력으로 주어지면, 상기 도메인 내에서 악성코드 감염 추적 호스트 리스트 확보하는 단계; 상기 악성코드 감염 추적 호스트 리스트내의 각 호스트에 대해 확보된 행위 이벤트들 중에서 상기 악성코드의 파일명과 관련된 제 1 행위 이벤트를 우선 식별하는 단계; 및 상기 제 1 행위 이벤트와 연관되는 주요 객체를 기준으로 제 2 행위 이벤트를 식별하는 단계;를 포함하는 것을 특징으로 할 수 있다.

여기서, 상기 주요 객체는 프로세스, 파일을 포함하는 것을 특징으로 할 수 있다.

또한, 상기 (e) 단계에서, 상기 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별은 상기 악성코드 감염 추적 호스트 리스트의 각 호스트에 대한 호스트 내 악성코드의 유입 및 전파 식별 결과로 도출되는 IP(Internet Protocol) 주소를 기반으로 도출되거나 상기 호스트내에서의 실행 분석 결과를 기반으로 상기 도메인 내에서 악성코드의 실행 행위로 도출되는 것을 특징으로 할 수 있다.

또한, 상기 IP 주소의 취합만으로 상기 도메인 내에서의 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별이 완성되지 않으면, 분석 결과 확보한 감염 추정 호스트로의 유입 및 전파 행위 이벤트에 사용된 파일명으로 상기 도메인 내에서 수집된 행위 이벤트를 검색하여 감염으로 추정되는 또 다른 호스트 리스트를 이용하여 상기 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별이 수행되는 것을 특징으로 할 수 있다.

다른 한편으로, 본 발명의 다른 일실시예는, 데이터를 수집하는 데이터 수집부; 수집된 데이터를 파싱하여 인포메이션을 추출하여 추출 인포메이션을 저장하는 인포메이션 생성부; 상기 추출 인포메이션을 이용하여 행위 이벤트들을 식별하고, 식별된 행위 이벤트들 중에서 호스트 내 악성 코드의 유입, 실행 및 전파와 관련되는 해당 행위 이벤트를 식별하고, 상기 해당 행위 이벤트를 이용하여 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로를 식별하는 분석 식별 모듈;을 포함하는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 장치를 제공할 수 있다.

본 발명에 따르면, 증거 수집을 자동화함으로써 공격자에 의해 임의로 삭제되거나 로그 제한 용량에 의해 누락되는 데이터를 최소화할 수 있다.

또한, 본 발명의 다른 효과로서는 개별 아티팩트별 수집 도구를 제공하는 것이 아니라 호스트 내의 아티팩트를 통합 수집 기술을 제공하여 수집을 용이하게 하며 여러 호스트에 대해 동시 수행이 가능하여 증거 수집에 소요되는 시간 및 인력 비용을 최소화할 수 있다는 점을 들 수 있다.

또한, 본 발명의 또 다른 효과로서는 침해사고 분석을 위한 조사분석을 자동화함으로써 기존 포렌식 기술이 데이터 파싱 결과인 인포메이션(정보)을 침해분석 전문가에게 제공하던 수준에서 벗어나 인포메이션(정보)의 연관분석을 통한 행위 이벤트 식별, 호스트내에서의 악성코드 유입/실행/전파 행위 이벤트 식별 및 도메인 내에서의 악성코드 이동경로 및 방법, 실행 행위 식별 등 종래 침해분석 전문가가 수행하던 단계를 자동화할 수 있다는 점을 들 수 있다.

또한, 본 발명의 또 다른 효과로서는 침해사고에 대해 체계화되고 사용이 용이한 기본 인프라 기술을 제공함으로써 침해분석 전문가들의 개별 경험과 지식에 대한 의존도를 최소화하고 빠르고 효과적인 대응을 지원할 수 있다는 점을 들 수 있다.

도 1은 본 발명의 일실시예에 따른 증거수집 및 조사분석을 자동으로 실행하는 장치(100)의 구성 블록도이다.
도 2는 도 1에 도시된 데이터 수집부(110)에서 증거 데이터를 수집하는 과정을 보여주는 흐름도이다.
도 3은 도 1에 도시된 인포메이션 생성부(120) 및 행위 이벤트 생성부(131)에서 각각 인포메이션 및 행위 이벤트를 생성하는 과정을 보여주는 흐름도이다.
도 4는 도 1에 도시된 제 1 및 제 2 식별부(133,135)에서 호스트로의 악성코드의 유입과 호스트내에서의 실행 및 타 호스트로의 전파 행위 이벤트를 식별하고 결과적으로 도메인 내로의 악성코드의 유입과 도메인 내에서 전파를 통한 이동 경로 식별 및 악성코드의 각종 실행 행위를 식별하는 과정을 보여주는 흐름도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.

제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.

예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.

일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.

이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치를 상세하게 설명하기로 한다.

도 1은 본 발명의 일실시예에 따른 증거수집 및 조사분석을 자동으로 실행하는 장치(100)의 구성 블록도이다. 도 1을 참조하면, 데이터 아티팩트를 수집하는 데이터 수집부(110), 수집된 데이터 아티팩트를 파싱하여 인포메이션(정보)을 추출하여 추출 인포메이션을 저장하는 인포메이션 생성부(120), 이 추출 인포메이션을 이용하여 행위 이벤트를 식별하고, 식별된 행위 이벤트 중에서 호스트 내 악성 코드의 유입, 실행 및/또는 전파와 관련되는 해당 행위 이벤트를 식별하고, 상기 해당 행위 이벤트를 이용하여 도메인(즉 조직)내로의 악성코드 진입지점, 이동 및/또는 전파 경로를 식별하는 분석 식별 모듈(130) 등을 포함하여 구성된다.

여기서, "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 및/또는 소프트웨어의 결합으로 구현될 수 있다.

또한, 본원 발명의 이해를 용이하기 위해, 개념적으로 분류하면, 인포메이션 생성부(120)는 로우 레벨(low level) 분석 모듈이 되며, 분석 식별 모듈(130)은 하이 레벨(high level) 분석 모듈이 될 수 있다.

도 1을 계속 참조하면, 데이터 수집부(110)는 디스크, 메모리, 네트워크로부터의 레지스트리 파일, 이벤트 로그 파일, 파일시스템 메타 데이터, 웹브라우저 로그 파일, 활성 데이터 등의 데이터를 수집한다. 이 때 데이터 수집은 공격자에 의한 고의 삭제 또는 용량 제한으로 인한 누락 등을 최소화하기 위해 주기적으로 이루어지며, 파일 생성, 프로세스 생성, 프로세스 실행, 및 네트워크 연결 정보 등을 포함하는 중요 휘발성 정보는 이벤트가 발생할 때마다 저장된다.

인포메이션 생성부(120)는 데이터 수집부(110)에서 전달받은 데이터를 파싱하여 인포메이션(정보)을 추출하여 추출 인포메이션을 생성하여 저장한다. 즉, 예를 들면, 레지스트리 파일로부터는 연결 드라이브 정보, 장치 연결/해제, 응용프로그램 설치/실행 정보 등을 추출하고 이벤트로그로부터는 외부시스템 로그인 정보, 원격 서비스 사용 정보 등을 추출하여 저장한다.

하이 레벨(High level) 분석 모듈인 분석 식별 모듈(130)은 획득된 증거로 침해사건에 대해 언제, 누가, 어디서, 무엇을, 어떻게, 왜를 밝히는 단계로 현재까지는 침해분석 전문가가 직접 수행하는 영역으로, 전문가 지식이 동원되는 가장 복잡한 단계이다. 일반적으로 추출 인포메이션의 복잡한 의미 해석이 필요하므로 현재는 대부분 전문가에 의해 수동으로 진행중이다.

그러나, 본 발명의 일실시예의 경우 이러한 전문가 지식의 수동적인 진행으로 인한 문제점을 해소하기 위해 분석 식별 모듈(130)은 행위 이벤트 생성부(131), 호스트 내 악성코드의 유입, 실행 및 전파를 식별하는 제 1 식별부(133), 도메인 내 악성코드의 유입, 실행 및 전파를 식별하는 제 2 식별부(135) 등을 포함하여 구성된다. 본 발명의 일실시예에서 행위 이벤트는 악성코드가 일반적으로 수행하는 행위로 저장매체를 통한 파일 유입, 네트워크를 통한 파일 유입, 강제 시스템 제어, 시스템 자원 제어, 네트워크 설정 변경, 시스템 주요 객체(파일, 프로세스, 레지스트리) 생성/변경/접근, 정보 수집 등의 행위가 있다.

행위 이벤트 생성부(131)는 인포메이션 생성부(120)에서 전달받은 추출 인포메이션을 룰(Rule)형태로 생성된 사용자 지식을 기반으로 연관분석하여 악성코드의 유입/실행/전파와 관련된 행위 이벤트를 식별한다. 대상이 되는 행위 이벤트의 예로는 USB(universal serial bus)를 통한 파일 저장, 게시판을 통한 파일 다운로드, 악성코드 다운로드 및 명령 수신, 자동 실행 설정 변경, 사용하지 않는 영역에 접근/저장/실행, 권한 상승, 프로토콜을 이용한 파일/문서 업로드 등이 있다.

제 1 식별부(133)는 단일 호스트 내에서 식별된 행위 이벤트 중에 특정 악성코드의 파일명을 입력받아 이를 기준으로 해당 호스트 내로의 유입 행위, 해당 호스트에서 다른 호스트로의 전파 행위, 유입부터 전파까지 호스트 내에서 악성코드 실행 행위를 추출하여 침해사고에 대한 호스트 내 조사분석을 수행한다.

제 2 식별부(135)는 상기 제 1 식별부(133)의 유입/전파 호스트 IP를 입력으로 받아 도메인(즉 조직) 내로의 악성코드 진입지점, 이동/전파 경로를 식별한다.

부연하면, 제 1 식별부(133)에서 입력된 악성코드 파일명을 기준으로 파일이 유입된 방법/경로, 파일이 전파된 방법/경로를 검색한다. 유입된 방법/경로는 입력된 악성코드 파일명을 생성한 프로세스, 이 프로세스의 이미지 파일(image file), 이 이미지 파일을 생성한 프로세스, 이 프로세스의 이미지 파일(image file)의 순서로 반복 검색하며 결과적으로 유입과 직접 연관된 프로세스(웹, 메일, telnet/ftp 등 네트워크 응용프로그램, 패치서버, 외장저장장치 연결)와 파일을 파악할 수 있다.

전파된 방법/경로는 입력된 악성코드 파일명의 실행으로 생성된 프로세스, 이 프로세스가 생성한 생성 파일, 이 생성 파일의 실행으로 생성된 프로세스, 이 프로세스가 생성한 파일의 순서로 반복 검색하며 결과적으로 전파와 직접 연관된 프로세스(웹, 메일, telnet/ftp 등 네트워크 응용 프로그램, 외장 저장 장치 연결)와 파일을 파악할 수 있다. 유입과 전파가 모두 식별되면 이동경로가 완성된 것으로 판단한다. 그렇지 않으면 유입 또는 전파 식별을 위한 검색 중에 파악된 파일명으로 또 다시 이 파일이 검색되는 호스트를 식별하고 그 호스트에서 이동경로를 생성하는 작업을 실시한다.

분석 결과가 충분치 않을 경우(이동경로가 완성되지 않는 경우), 상기 제 1 식별부(133)에서 수행되는 호스트 내 유입/실행/전파 식별 과정에서 추가적으로 식별된 악성코드 파일명을 이용하여 호스트 내 악성코드의 유입/실행/전파 및/또는 도메인 내 악성코드의 유입/실행/전파 식별을 반복 수행한다.

도 2는 도 1에 도시된 데이터 수집부(110)에서 증거 데이터를 수집하는 과정을 보여주는 흐름도이다. 도 2를 참조하면, 데이터 수집부(도 1의 110)의 구동이 시작되면 기본적으로 주요 이벤트 발생 시에는 실시간으로 이벤트 데이터를 저장한다(단계 S210,S211,S220). 또한, 필수 데이터의 경우, 수집 주기에 따라 필수 데이터를 수집하여 저장한다(단계 S220,S230,S240,S250). 이때 필수 데이터는 레지스트리 파일, 이벤트 로그 파일, 파일시스템 메타데이터, 웹브라우저 로그 파일 등을 포함하고, 이벤트 데이터는 파일 및 프로세스 생성/실행, 네트워크 연결 정보 등을 포함한다.

도 3은 도 1에 도시된 인포메이션 생성부(120) 및 행위 이벤트 생성부(131)에서 각각 인포메이션 및 행위 이벤트를 생성하는 과정을 보여주는 흐름도이다. 도 3을 참조하면, 인포메이션 생성부(120)가 구동됨에 따라 수집된 데이터로부터 인포메이션을 추출하여 추출 인포메이션을 생성하고 저장한다(단계 S310,S320).

이후, 행위 이벤트 생성부(131)가 구동됨에 따라 악성코드의 유입/실행/전파와 관련 가능성이 있는 행위 이벤트를 룰(Rule)형태로 구축된 사용자 지식을 기반으로 생성 및 저장한다(단계 S340). 예를 들면, USB를 통한 파일 유입 행위의 이벤트는 레지스트리 파일 또는 setupapi 로그 파일로부터 획득한 연결 드라이브 정보, 장치 연결/해제 등의 인포메이션과 $UsnJrnl로부터 획득한 파일 생성 인포메이션을 연관분석하여 식별될 수 있다.

연관분석의 세부 사항은 레지스트리 파일과 Setupapi 로그 파일의 특정 위치에는 연결된 USB의 고유한 시리얼 번호와 제조사 ID 및 제품 ID 정보, 연결 시 생성된 볼륨 레이블 및 드라이브 문자와 볼륨 시리얼 번호, USB의 최초 연결 시각과 마지막 연결 시각, 연결된 USB 내부의 폴더 구조 및 파일 등의 정보를 획득할 수 있다.

또한, $LOG와 $UsnJrnl 파일의 특정 위치에는 파일의 생성/삭제와 같은 파일시스템 상의 파일의 변경에 관한 정보를 얻을 수 있다. 따라서 위의 인포메이션을 바탕으로 특정 시간에 특정 회사제품의 고유한 시리얼 번호를 가지는 USB가 특정시간 동안 연결이 되어있다는 사실을 알 수 있다. 또한, 해당 USB 내의 폴더 구조와 파일 정보를 일부 확인할 수 있다. 또한, USB 연결 시간 동안 PC의 파일시스템에 생성된 파일 중에 USB 내에 존재했던 파일이 있다면, 해당 파일이 USB에서 PC로 유입되었다는 것을 판단할 수 있다.

도 4는 도 1에 도시된 제 1 및 제 2 식별부(133,135)에서 호스트로의 악성코드의 유입과 호스트내에서의 실행 및 타 호스트로의 전파 행위 이벤트를 식별하고 결과적으로 도메인 내로의 악성코드의 유입과 도메인 내에서 전파를 통한 이동 경로 식별 및 악성코드의 각종 실행 행위를 식별하는 과정을 보여주는 흐름도이다. 도 4를 참조하면, 악성코드 관련 파일명이 입력으로 주어질 때 실제 조사분석을 위한 분석 단계가 시작되며 파일명이 입력되면 도메인 내에서 수집된 행위 이벤트를 검색하여 감염으로 추정되는 호스트를 식별한다(단계 S410,S420,S430,S440).

식별된 호스트 각각에 대해 호스트 내에서 해당 악성코드 관련 행위 이벤트를 식별하고 이들 간의 연관관계(순서)를 분석하여 각 호스트내에서의 유입/실행/전파 행위 이벤트를 식별한다(단계 S450,S451,S453,S455,S457). 악성코드 감염 추정 호스트에 대해 위 단계를 반복수행하고 결과를 취합하여 도메인 내에서의 악성코드의 이동경로 및 방법, 실행 행위 등의 분석 결과를 사용자에게 제공한다(단계 S460,S461,S463). 만약 감염 추정 호스트에 대한 분석 결과로 도출된 IP 주소의 취합만으로 도메인 내에서의 악성코드 이동경로가 완성되지 않는다면, 분석 결과 확보한 감염 추정 호스트로의 유입 및 전파 행위 이벤트에 사용된 파일명으로 도메인 내에서 수집된 행위 이벤트를 검색하여 감염으로 추정되는 또 다른 호스트 리스트를 식별하고 식별된 호스트 각각에 대해 호스트 내 유입/실행/전파 행위 이벤트 식별 단계를 반복 수행한다(단계 S470,S410 내지 S457).

도메인 내에서 악성코드 이동경로 및 방법, 실행 행위 등에 대한 분석 결과가 완료될 때 까지 위 과정을 반복 수행한다. 호스트 내에서 유입/실행/전파 행위 이벤트 식별은 주어진 파일명과 관련된 제 1 행위 이벤트를 우선 식별하고 상기 제 1 행위 이벤트와 연관된 프로세스, 파일 등 주요 객체를 기준으로 이와 관련된 제 2 행위 이벤트를 식별하는 방식으로 반복 수행하여 이루어진다.

100: 장치
110: 데이터 수집부
120: 인포메이션 생성부
130: 분석 식별 모듈
131: 행위 이벤트 생성부
133: 제 1 식별부 135: 제 2 식별부

Claims

(a) 데이터 수집부가 데이터를 수집하는 단계;
(b) 인포메이션 생성부가 수집된 데이터를 파싱하여 인포메이션을 추출하여 추출 인포메이션을 저장하는 단계;
(c) 분석 식별 모듈이 상기 추출 인포메이션을 이용하여 행위 이벤트들을 식별하는 단계;
(d) 상기 분석 식별 모듈이 식별된 행위 이벤트들 중에서 호스트 내 악성 코드의 유입, 실행 및 전파와 관련되는 해당 행위 이벤트를 식별하는 단계; 및
(e) 상기 분석 식별 모듈이 상기 해당 행위 이벤트를 이용하여 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로를 식별하는 단계;를 포함하며,
상기 데이터는, 디스크, 메모리 및 네트워크로부터의 레지스트리 파일, 이벤트 로그 파일, 파일 시스템 메타 데이터, 웹브라우저 로그 파일, 및 활성 데이터를 포함하는 필수 데이터, 및 파일 생성, 프로세스 생성, 프로세스 실행, 및 네트워크 연결 정보를 포함하는 이벤트 데이터를 포함하고,
상기 필수 데이터의 수집은 미리 설정되는 수집 주기에 따라 이루어지며, 상기 이벤트 데이터의 수집은 해당 이벤트 발생시 마다 실시간으로 수집 저장되는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
삭제
삭제
제 1 항에 있어서,
상기 행위 이벤트들에 대한 식별은 상기 추출 인포메이션을 룰(rule) 형태로 생성되는 사용자 지식을 기반으로 연관분석하여 상기 악성코드의 유입, 실행 및 전파와 관련되는 행위 이벤트로 식별되는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
제 1 항에 있어서,
상기 (c) 단계는, 상기 악성코드의 파일명이 입력으로 주어지면, 상기 도메인 내에서 악성코드 감염 추적 호스트 리스트 확보하는 단계;
상기 악성코드 감염 추적 호스트 리스트내의 각 호스트에 대해 확보된 행위 이벤트들 중에서 상기 악성코드의 파일명과 관련된 제 1 행위 이벤트를 우선 식별하는 단계; 및
상기 제 1 행위 이벤트와 연관되는 주요 객체를 기준으로 제 2 행위 이벤트를 식별하는 단계;를 포함하는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
제 5 항에 있어서,
상기 주요 객체는 프로세스, 파일을 포함하는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
제 5 항에 있어서,
상기 (e) 단계에서, 상기 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별은 상기 악성코드 감염 추적 호스트 리스트의 각 호스트에 대한 호스트 내 악성코드의 유입 및 전파 식별 결과로 도출되는 IP(Internet Protocol) 주소를 기반으로 도출되거나 상기 호스트내에서의 실행 분석 결과를 기반으로 상기 도메인 내에서 악성코드의 실행 행위로 도출되는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
제 7 항에 있어서,
상기 IP 주소의 취합만으로 상기 도메인 내에서의 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별이 완성되지 않으면, 분석 결과 확보한 감염 추정 호스트로의 유입 및 전파 행위 이벤트에 사용된 파일명으로 상기 도메인 내에서 수집된 행위 이벤트를 검색하여 감염으로 추정되는 또 다른 호스트 리스트를 이용하여 상기 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로에 대한 식별이 수행되는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법.
데이터를 수집하는 데이터 수집부;
수집된 데이터를 파싱하여 인포메이션을 추출하여 추출 인포메이션을 저장하는 인포메이션 생성부;
상기 추출 인포메이션을 이용하여 행위 이벤트들을 식별하고, 식별된 행위 이벤트들 중에서 호스트 내 악성 코드의 유입, 실행 및 전파와 관련되는 해당 행위 이벤트를 식별하고, 상기 해당 행위 이벤트를 이용하여 도메인내로의 상기 악성코드의 진입지점, 이동 및 전파 경로를 식별하는 분석 식별 모듈;을 포함하며,
상기 데이터는, 디스크, 메모리 및 네트워크로부터의 레지스트리 파일, 이벤트 로그 파일, 파일 시스템 메타 데이터, 웹브라우저 로그 파일, 및 활성 데이터를 포함하는 필수 데이터, 및 파일 생성, 프로세스 생성, 프로세스 실행, 및 네트워크 연결 정보를 포함하는 이벤트 데이터를 포함하고,
상기 필수 데이터의 수집은 미리 설정되는 수집 주기에 따라 이루어지며, 상기 이벤트 데이터의 수집은 해당 이벤트 발생시 마다 실시간으로 수집 저장되는 것을 특징으로 하는 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 장치.