기밀 정보 유출, 데이터 파괴 등 디지털 기기에 저장된 정보를 위협하는 침해사고가 계속해서 증가하고 있다. 이와 함께 디지털 침해 사고를 조사하기 위하여 디지털 포렌식 기술 또한 계속해서 발전해 왔다. 디지털 포렌식 기술의 발전으로 인하여 사용자의 행위를 추적할 수 있는 다양한 포렌식 아티팩트들이 발견되었으며, 포렌식 아티팩트로부터 정보를 추출하기 위한 다양한 포렌식 도구가 개발되었다. 하지만 포렌식 도구에서 출력하는 정보는 각기 다른 양식을 갖고 있다. 따라서 포렌식 도구에서 출력하는 정보를 다시 가공해야 하는 작업이 필요하다. 가공된 데이터는 데이터 간의 정보를 비교 분석하여 연관관계를 도출하고 그 의미를 파악해야 한다. 이를 위하여 데이터를 가공하는 작업에서 데이터의 저장과 출력을 효과적으로 하기 위한 방안이 필요하다. 본 논문에서는 침해사고 조사 분석시 필요한 다양한 포렌식 아티팩트 정보를 효과적으로 기술할 수 있는 디지털 포렌식 침해지표 작성 포맷 DFIOC(Digital Forensic Indicators Of Compromise)를 제안한다. DFIOC는 XML 기반의 포맷이며 침해사고 조사에 필요한 다양한 포렌식 아티팩트 정보를 Evidence로 표현하여 기술할 수 있다. 또한 포렌식 분석 결과를 기록하는 Forensic Analysis를 제공하고 있으며, 침해 흔적을 기록하기 위하여 Indicator 항목을 제공하고 있다. 포렌식 분석 과정에 필요한 데이터를 DFIOC 포맷의 문서 하나로 기록할 수 있게 됨으로써 불필요한 데이터 가공이 발생하지 않게 된다. 또한 정규화된 포맷을 통해 수집된 정보를 기록하기 때문에 입출력이 쉬워지며 수집된 정보를 확인하고 상호 연관관계 분석에 활용하기 쉬워진다.
기밀 정보 유출, 데이터 파괴 등 디지털 기기에 저장된 정보를 위협하는 침해사고가 계속해서 증가하고 있다. 이와 함께 디지털 침해 사고를 조사하기 위하여 디지털 포렌식 기술 또한 계속해서 발전해 왔다. 디지털 포렌식 기술의 발전으로 인하여 사용자의 행위를 추적할 수 있는 다양한 포렌식 아티팩트들이 발견되었으며, 포렌식 아티팩트로부터 정보를 추출하기 위한 다양한 포렌식 도구가 개발되었다. 하지만 포렌식 도구에서 출력하는 정보는 각기 다른 양식을 갖고 있다. 따라서 포렌식 도구에서 출력하는 정보를 다시 가공해야 하는 작업이 필요하다. 가공된 데이터는 데이터 간의 정보를 비교 분석하여 연관관계를 도출하고 그 의미를 파악해야 한다. 이를 위하여 데이터를 가공하는 작업에서 데이터의 저장과 출력을 효과적으로 하기 위한 방안이 필요하다. 본 논문에서는 침해사고 조사 분석시 필요한 다양한 포렌식 아티팩트 정보를 효과적으로 기술할 수 있는 디지털 포렌식 침해지표 작성 포맷 DFIOC(Digital Forensic Indicators Of Compromise)를 제안한다. DFIOC는 XML 기반의 포맷이며 침해사고 조사에 필요한 다양한 포렌식 아티팩트 정보를 Evidence로 표현하여 기술할 수 있다. 또한 포렌식 분석 결과를 기록하는 Forensic Analysis를 제공하고 있으며, 침해 흔적을 기록하기 위하여 Indicator 항목을 제공하고 있다. 포렌식 분석 과정에 필요한 데이터를 DFIOC 포맷의 문서 하나로 기록할 수 있게 됨으로써 불필요한 데이터 가공이 발생하지 않게 된다. 또한 정규화된 포맷을 통해 수집된 정보를 기록하기 때문에 입출력이 쉬워지며 수집된 정보를 확인하고 상호 연관관계 분석에 활용하기 쉬워진다.
Computer security incident such as confidential information leak and data destruction are constantly growing and it becomes threat to information in digital devices. To respond against the incident, digital forensic techniques are also developing to help digital incident investigation. With the deve...
Computer security incident such as confidential information leak and data destruction are constantly growing and it becomes threat to information in digital devices. To respond against the incident, digital forensic techniques are also developing to help digital incident investigation. With the development of digital forensic technology, a variety of forensic artifact has been developed to trace the behavior of users. Also, a diversity of forensic tool has been developed to extract information from forensic artifact. However, there is a issue that information from forensic tools has its own forms. To solve this problem, it needs to process data when it is output from forensic tools. Then it needs to compare and analyze processed data to identify how data is related each other and interpret the implications. To reach this, it calls for effective method to store and output data in the course of data processing. This paper aims to propose DFIOC (Digital Forensic Indicators Of Compromise) that is capable of transcribing a variety of forensic artifact information effectively during incident analysis and response. DFIOC, which is XML based format, provides "Evidence" to represent various forensic artifacts in the incident investigation. Furthermore, It provides "Forensic Analysis" to report forensic analysis result and also gives "Indicator" to investigate the trace of incidence quickly. By logging data into one sheet in DFIOC format for forensic analysis process, it is capable of avoiding unnecessary data processing. Lastly, since collected information is recorded in a normalized format, data input and output becomes much easier as well as it will be convenient to use for identification of collected information and analysis of data relationship.
Computer security incident such as confidential information leak and data destruction are constantly growing and it becomes threat to information in digital devices. To respond against the incident, digital forensic techniques are also developing to help digital incident investigation. With the development of digital forensic technology, a variety of forensic artifact has been developed to trace the behavior of users. Also, a diversity of forensic tool has been developed to extract information from forensic artifact. However, there is a issue that information from forensic tools has its own forms. To solve this problem, it needs to process data when it is output from forensic tools. Then it needs to compare and analyze processed data to identify how data is related each other and interpret the implications. To reach this, it calls for effective method to store and output data in the course of data processing. This paper aims to propose DFIOC (Digital Forensic Indicators Of Compromise) that is capable of transcribing a variety of forensic artifact information effectively during incident analysis and response. DFIOC, which is XML based format, provides "Evidence" to represent various forensic artifacts in the incident investigation. Furthermore, It provides "Forensic Analysis" to report forensic analysis result and also gives "Indicator" to investigate the trace of incidence quickly. By logging data into one sheet in DFIOC format for forensic analysis process, it is capable of avoiding unnecessary data processing. Lastly, since collected information is recorded in a normalized format, data input and output becomes much easier as well as it will be convenient to use for identification of collected information and analysis of data relationship.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 표준화된 데이터 기술 방식을 개발하고 활용함으로써 분석과정에 발생하는 불필요한 데이터를 가공하는 작업들을 보다 단순화 하고 효율적으로 처리할 수 있다. 본 논문에서는 많은 양의 데이터를 가공하고 저장할 뿐만 아니라 분석 결과를 저장하고 침해 흔적을 기술할 수 있는 XML 기반의 표준화된 포맷인 Digital Forensic Indicators Of Compromise (DFIOC)를 소개한다.
이와 같은 불필요한 작업은 포렌식 아티팩트 수집, 분석 결과 작성 전반에 걸쳐 발생하게 되며, 조사할 데이터의 양이 많을수록 조사관에게 더욱 더 많은 부하가 가해지게 된다. 이 같은 문제를 해결하기 위하여 표준화된 포렌식 아티 팩트 정보의 작성 방안으로 Digital Forensic Indicators Of Compromise(DFIOC) 포맷을 개발하고 소개하였다.
제안 방법
XML(Extensible Markup Language)은 다양한 데이터를 기록하고 교환하는 것에 있어서 혼동이 없도록 명확한 데이터의 표현을 위하여 개발된 언어이다. Digital Forensic Indicators Of Compromise(DFIOC)는 XML을 기반으로 설계하였으며, 수집된 포렌식 아티팩트를 명확히 기록하고 분석에 활용할 수 있도록 설계하였다. Fig.
Forensic Analysis는 침해 시스템으로부터 수집된 Evidence를 분석하여 관계를 규정하기 위한 목적으로 설계된 항목이다. Forensic Analysis에 필요한 기본 정보로서 수사관 정보, 수사 날짜, 기간 등 포렌식 조사 정보를 기입할 수 있으며, Evidence 간의 관계를 기술하여 보고서를 작성할 수 있도록 설계하였다.
exe 파일이 존재하고 Winlogon 서비스가 등록된 것이 동시에(Indicator2) 확인되거나, svchost 프로세스가 8080 포트를 열고(Indicator3) 있다면 침해 흔적으로 판단할 수 있다고 작성되어 있다. Indicator2나 Indicator3은 둘중 하나만 확인되어도 침해흔적으로 판단할 수 있으므로 OR를 사용하여 조합하였다. 또한 Indicator2와 Indicator3는 자동화된 분석이 가능하다는 의미로 Inspectable을 기록하였으며, 침해 중요도 정보로 Indicator2는 높은 확률로 동일한 침해 흔적인 것으로 판단할 수 있기 때문에 80으로 기록하였으며, Indicator3은 프로세스가 포트를 열고 있는 것은 동일한 정보가 수집되더라도 다른 침해 상황일 가능성이 있기 때문에 60의 낮은 중요도를 주었다.
DFIOC Evidence는 다양한 포렌식 아티팩트 정보를 묶는 하나의 엘리먼트를 의미하며, 표는 Evidence 엘리먼트의 하위 6개의 엘리먼트 설명하고 있다. 다양한 포렌식 아티팩트 정보를 기록하기 위하여 많은 엘리먼트가 설계되었으며, 활용 목적과 수집 위치에 따라 각각의 엘리먼트는 6개로 분류된 엘리먼트의 하위 엘리먼트에 기록하도록 설계되었다. 조사할 침해시스템을 파악하기 위한 목적으로 수집 되는 기본적인 정보는 SystemBasicInfo 엘리먼트의 하위 엘리먼트로 기록된다.
침해 시스템이 활성 상태일 때 활성 메모리에서 추출되는 정보를 수집하기 위하여 SystemLiveInfo 엘리먼트를 설계하였으며, 사용자 행위를 추적하기 위한 목적의 정보는 UserSystemActivities 엘리먼트 하위에 설계되어있다. 또한 침해 시스템에 저장된 실행 파일 정보 및 다양한 파일들의 기본적인 정보들을 수집하기 위하여 EvidenceFiles 엘리먼트를 설계하였다. 실행 파일은 Win32, Win64의 윈도우 실행 파일에 대한 정보를 작성할 수 있으며, 일반 파일은 문서 파일, 그림 파일 등 다양한 파일을 표현하기 위한 것으로 시간 정보를 중점적으로 표현할 수 있도록 설계하였다.
프로세스와 네트워크 정보 조합을 통한 판단은 두 정보가 동시에 나타나야 하므로 AND 조합으로 기입하였으며 오탐 가능성이 있으므로 가중치는 60으로 낮게 표기하였다. 또한 해시 Indicator와 프로세스와 네트워크 정보의 Indicator는 둘 중 하나만 탐지되더라도 침해 시스템으로 의심이 가능하므로 두 개의 Indicator를 OR로 조합하였다. 작성된 Indicator는 다른 침해 의심 시스템을 조사해야 할 때 동일한 흔적이 존재하는지 비교 분석함으로써 침해 의심 시스템을 빠르게 분석할 수 있다.
또한 침해 시스템에 저장된 실행 파일 정보 및 다양한 파일들의 기본적인 정보들을 수집하기 위하여 EvidenceFiles 엘리먼트를 설계하였다. 실행 파일은 Win32, Win64의 윈도우 실행 파일에 대한 정보를 작성할 수 있으며, 일반 파일은 문서 파일, 그림 파일 등 다양한 파일을 표현하기 위한 것으로 시간 정보를 중점적으로 표현할 수 있도록 설계하였다. 마지막으로 침해 시스템이 외부와 통신한 과정에서 발생한 보안 이벤트를 확인하기 위하여 보안 이벤트 정보를 SecurityEvents 엘리먼트로 분류하여 수집하도록 하고 있다.
위와 같이 DFIOC Forensic Analysis는 “Copied from”, “Contains”와 같은 Evidence들 간의 관계 기술어를 정의하고 사전에 목록화하여 모호하게 표현될 가능성을 제거하고 있으며, 포렌식 분석 정보를 충실히 표현하도록 설계하였다.
작성 가능한 Evidence는 지금까지 발견된 포렌식 아티팩트를 기반으로 설계하였으며, 목적에 따라 분류하여 침해 시스템으로부터 수집된 정보를 찾기 쉽도록 하였다. 포렌식 아티팩트는 지속적으로 발견되고 있으며, 향후 추가적인 포렌식 아티팩트가 발견될 경우 Evidence를 추가하여 DFIOC를 사용할 수 있다.
지금까지 악성코드 감염 시나리오를 가정하여 DFIOC 포맷의 Evidence 항목에 수집된 정보를 수집하고, 수집된 정보를 바탕으로 분석하여 분석 결과를 Forensic Analysis 항목에 기록하였으며, 침해 지표를 Indicator 항목에 작성하는 과정을 확인하였다. XML 기반으로 작성되었기 때문에 수집된 정보를 혼동 없이 정확히 표현할 수 있었으며, XML 하나의 포맷 상에서 포렌식 분석 결과와 침해 흔적을 작성하였기 때문에 불필요한 정보 가공 없이 Evidence의 ID를 참조하는 것만으로 분석 내용을 정리할 수 있었으며, 침해 탐지 시그니처를 작성할 수 있었다.
침해 시스템에서 사용된 프로그램 설치 및 설정 관련 정보는 SystemSettingInfo 엘리먼트 하위에 기록되어 사용자가 시스템을 사용한 환경을 파악하기 위한 목적으로 활용된다. 침해 시스템이 활성 상태일 때 활성 메모리에서 추출되는 정보를 수집하기 위하여 SystemLiveInfo 엘리먼트를 설계하였으며, 사용자 행위를 추적하기 위한 목적의 정보는 UserSystemActivities 엘리먼트 하위에 설계되어있다. 또한 침해 시스템에 저장된 실행 파일 정보 및 다양한 파일들의 기본적인 정보들을 수집하기 위하여 EvidenceFiles 엘리먼트를 설계하였다.
이론/모형
침해 시스템에서 수집한 내용을 기반으로 포렌식 분석을 진행할 수 있으며 분석된 내용을 DFIOC 포맷의 Forensic Analaysis 항목에 기록할 수 있다. Fig.
성능/효과
지금까지 악성코드 감염 시나리오를 가정하여 DFIOC 포맷의 Evidence 항목에 수집된 정보를 수집하고, 수집된 정보를 바탕으로 분석하여 분석 결과를 Forensic Analysis 항목에 기록하였으며, 침해 지표를 Indicator 항목에 작성하는 과정을 확인하였다. XML 기반으로 작성되었기 때문에 수집된 정보를 혼동 없이 정확히 표현할 수 있었으며, XML 하나의 포맷 상에서 포렌식 분석 결과와 침해 흔적을 작성하였기 때문에 불필요한 정보 가공 없이 Evidence의 ID를 참조하는 것만으로 분석 내용을 정리할 수 있었으며, 침해 탐지 시그니처를 작성할 수 있었다.
Indicator2나 Indicator3은 둘중 하나만 확인되어도 침해흔적으로 판단할 수 있으므로 OR를 사용하여 조합하였다. 또한 Indicator2와 Indicator3는 자동화된 분석이 가능하다는 의미로 Inspectable을 기록하였으며, 침해 중요도 정보로 Indicator2는 높은 확률로 동일한 침해 흔적인 것으로 판단할 수 있기 때문에 80으로 기록하였으며, Indicator3은 프로세스가 포트를 열고 있는 것은 동일한 정보가 수집되더라도 다른 침해 상황일 가능성이 있기 때문에 60의 낮은 중요도를 주었다. 이와 같이 작성된 Indicator를 사용하여 조사관은 침해 사고 발생 시 DFIOC에 수집된 Evidence와 기존에 작성된 Indicator를 비교 분석하여 빠르게 유사 침해 사고 여부를 파악할 수 있다.
후속연구
따라서 기존의 침해 사고 분석도구를 DFIOC의 포맷에 적용하기 위한 연동 도구가 필요하다. 또한 수집된 정보를 사용자가 손쉽게 조작하여 데이터를 확인할 수 있도록 DFIOC 포맷을 활용한 분석 환경 개발과 Indicator 기반의 침해 사고 분석 도구 개발이 향후 과제로 남아 있다.
시나리오의 침해 시스템으로부터 Evidence 정보를 수집한다면 USB 연결 흔적, 악성 프로그램 실행 흔적, 프로세스 동작 및 포트 오픈 상태가 수집될 것이다. Fig.
작성 가능한 Evidence는 지금까지 발견된 포렌식 아티팩트를 기반으로 설계하였으며, 목적에 따라 분류하여 침해 시스템으로부터 수집된 정보를 찾기 쉽도록 하였다. 포렌식 아티팩트는 지속적으로 발견되고 있으며, 향후 추가적인 포렌식 아티팩트가 발견될 경우 Evidence를 추가하여 DFIOC를 사용할 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
포렌식 조사 과정은 어떤 단계로 이루어지는가?
각기 다른 도구에서 출력된 정보 양식이 다르기 때문에 추출된 정보들 간의 연관 관계 분석을 위하여 포렌식 조사 과정 중 정보의 가공이 필연적으로 발생하게 된다. 포렌식 조사 과정은 데이터 수집 및 조사 단계. 분석 단계, 보고서 작성 단계로 이루어진다[3]. 각각의 단계에서 사용하는 데이터 처리 방법이 다르기 때문에 매번 데이터 가공을 수행하게 된다.
침해지표는 무엇인가?
OpenIOC는 Mandiant에서 2008년에 발표된 침해지표 포맷이다. 침해지표는 침해 시스템의 분석 결과로 확인된 내용을 기록하여 향후 탐지 시그니처로 활용하기 위한 포맷이다[7]. 파일의 해시 값, 크기, 경로 또는 레지스트리 등 침해 시스템에서 확인할 수 있는 다양한 종류의 정보를 표현할 수 있다.
침해지표는 어떤 정보들을 표현할 수 있는가?
침해지표는 침해 시스템의 분석 결과로 확인된 내용을 기록하여 향후 탐지 시그니처로 활용하기 위한 포맷이다[7]. 파일의 해시 값, 크기, 경로 또는 레지스트리 등 침해 시스템에서 확인할 수 있는 다양한 종류의 정보를 표현할 수 있다. OpenIOC를 통해 기록된 정보는 또 다른 침해 사고 조사 시 동일한 침해 사고 흔적이 존재하는지 파악하기 위한 용도로 사용한다.
참고문헌 (10)
Alessandro Guarino, "Digital Forensics as a Big Data Challenge," StudioAG, ISSE 2013 Securing Electronic Business Processes, Vol.6, pp.197-203, 2013.
Yinghua Guo, Jill Slay, and Jason Beckett, "Validation and verification of computer forensic software, toolsdSearching Function," Digital Investigation, Vol.6, pp.S12-S22, Sep., 2009.
Karen Kent, Suzanne Chevalier, Tim Grance, and Hung Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST SP800-86 Notes, Aug., 2006.
MITRE [Internet], https://cyboxproject.github.io.
Eoghan Casey, Greg Back, and Sean Barnum, "Leveraging CybOX to standardize representation and exchange of digital forensic information," Digital Investication, Vol.12, pp.102-110, Mar., 2015.
Stephen Larson, "Book Review: The Basics of Digital Forensics: The Primer For Getting Started in Digital Forensics," Journal of Digital Forensics, Security and Law, Vol.9, No.1, pp.83-85, 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.