[HUFS/정보보안] #8 IoT 보안과 AI 보안, 침해대응과 포렌식, 사회 공학

IoT 보안과 AI 보안

IoT 보안

IoT(사물인터넷) 유형별 주요 보안 위협

IoT 공통 보안 7대 원칙 (인터넷진흥원)

AI 보안

인공지능 > 머신 러닝 > 딥 러닝

인공지능 자체의 취약점을 이용해 학습 과정에서 데이터에 오류가 존재하는 노이즈를 고의적으로 추가하는 회피 공격(= 데이터 변조 공격)이 있으며, 변조 공격을 학습 데이터에 포함해 훈련시키는 방법으로 대응한다

 

데이터 변조 사례에 대한 데이터 학습

비슷하게 일부로 악의적인 데이터를 이용해 오작동을 일으키도록 하는 중독 공격(= 악의적 데이터 주입 공격)이 있으며, 사전 학습이나 우회하는 답변으로 대응한다 ex) 스캐터랩의 이루다에게 악의적 발언 훈련

 

스캐터랩 이루다

인공지능에서 사용하는 데이터 자체를 탈취하는 전도 공격(= 데이터 추출 공격)은 수많은 쿼리를 넣고 산출된 결과를 분석해 인공지능에 사용된 데이터를 추출하는 방식으로, 질의 횟수를 조정하는 것으로 대응한다

 

사용자당 질의 횟수 제한

나이브 베이즈 분류기를 활용해 스펨 메일을 탐지하는 스펨 메일 솔루션이 있다

 

훈련 데이터 예시

이 외에도 네트워크 침입 탐지의 전문가 시스템이나 악성 코드 탐지, CCTV 등의 보안에 AI가 활용된다

 

침해대응과 포렌식

침해 대응

침해 사고에 대한 사전 대응

CERT(Computer Emergency Response Team) 구성

• 시스템 운영 전문가
• 대외 언론 및 외부 기관 대응 전문가
• 법률팀
• 인사팀

 

침해 사고의 위험 등급

등급 상황별 대응 절차 (대응 매뉴얼)

• 1등급: 네트워크 단절 및 전원 공급 중단 후 상황 보고 및 전달
• 2, 3등급: 시스템 담당자를 파악하고 책임자와 접속 경위 조사, 조치가 되지 않았을 경우 대외 기관(한국정보보호진흥원)에 의뢰하고 침입 시도와 대응책이 포함된 보고서 작성 및 공지

 

침해 대응 체계를 확인하기 위한 점검 (사전 점검)

• 조직의 모든 사람이 보안 정책을 알고 있는가
• 침해 사고 대응팀은 사고 발생시 보고 체계를 알고 있는가
• 언론 관련 대응에 대해 인지하는가
• 기술적 절차에 대해 이해하는가
• 정해진 절차에 따라 주기적인 훈련을 하는가

 

침해 사고 식별 과정에서 확인해야 할 사항 (사고 탐지)

• 발생 시점
• 발견자와 보고자
• 발견 경위
• 발생 범위와 파급된 손상
• 기업 서비스 능력의 손상 여부
• 공격자의 규모와 공격 능력

 

침입 탐지 시스템(IDS) / 침입 방지 시스템(IPS) / 네트워크 트래픽 모니터링 (MRTG) / 네트워크 관리 시스템 (NMS) 등의 수단으로 사고를 탐지한다

 

MRTG / NMS

손상 최소화 및 추가 손상 방지를 위한 대응

• 단기 대응: 침해 사고가 발생한 시스템이나 네트워크를 식별해 해체/차단
• 백업 및 증거 확보: 침해 사고 발생 시스템을 초기화하기 전에 백업하고 포렌식 절차에 따라 시스템의 이미지 획득
• 시스템 복구: 시스템에 백도어 등의 악성코드 제거 및 계정의 비밀번호 재설정, 보안 패치 적용
• 보고: 침해 사고 식별과 대응 과정을 기록 문서에 따라 작성 후 문서와 포렌식 과정의 획득 자료를 기반으로 보고서 작성, 원인 파악 및 대응책 마련

* 메모리 덤프 > 해커 접속 차단 > 시스템 이미지 확보 > 운영자에게 통보 > 침입자 추적

 

시스템 복구 과정의 침입 상황 파악

• 시스템에 설치된 프로그램 변조 여부
• 시스템 설정 파일 변조 여부
• 데이터 삭제 및 변조
• 운영중인 다른 시스템 침투 여부

 

디지털 포렌식

디지털 포렌식이란 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적, 논리적 절차와 방법을 따르는 것으로, 법정 제출을 전제로 디지털 환경과 장비를 이용하려 디지털 증거 자료를 수집/분석하는 기술이다

 

증거의 종류

• 직접 증거: 직접 증명된 증거. 범행 목격자, 위조지폐
• 간접 증거: 간접적으로 추측하는 증거. 지문이나 알리바이
• 인적 증거: 증인의 증언, 감정인의 진술, 전문가의 의견
• 물적 증거: 범행에 사용한 흉기

 

포렌식 증거는 간접 증거이며, 사실 인정의 기초가 되는 실험을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고한다

 

포렌식의 기본 원칙

• 정당성의 원칙: 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다
• 재현의 원칙: 법정에 증거를 제출할 때 동일 환경의 같은 결과가 나오도록 재현해야 한다
• 신속성의 원칙: 컴퓨터의 내부 정보는 사라지는 것들이 많기 때문에 신속하게 진행한다
• 연계 보관성의 원칙: 증거 획득 후에는 법정 제출까지의 과정이 명확하고 추적 가능해야 한다
• 무결성의 원칙: 위변조되어서는 안되며, 단계별로 무결성을 입증해야 한다

 

포렌식 수행 절차

1. 수사 준비: 장비와 툴을 확보하고 적절한 법적 절차를 거쳐 피의자나 수사 대상에 접근
2. 증거물 획득(증거 수집): 증거를 획득한 사람, 이를 감독한 사람, 이를 인증해주는 사람, 시스템 정보, 복제 작업을 한 원본 매체나 시스템의 디지털 사진, 증거 라벨 등을 수집
3. 보관 및 이송: 획득한 증거를 연계 보관성을 만족시키며 보관 및 이송, 이송되거나 담당자/책임자가 바뀔 때에는 문서에 기록
4. 분석 및 조사: 법원에 원본을 제출해야 하는 최량 증거 원칙에 따라 원본을 보관하고 복사한 문서로 분석 및 조사 진행, 각 단계에서 무결성을 확인할 수 있는 정보 기록, 분석 프로그램은 공증된 프로그램으로 제한, 분석에 사용된 스크립트는 내용과 실행 단계별 결과를 문서화
5. 보고서 작성: 포렌식 수행 과정을 보고서로 작성

사이버 수사 기구는 대표적으로 국가 정보원(국가사이버안전센터) / 경찰청 사이버테러대응센터 / 대검찰청 첨단범죄 수사과 등이 있다

 

네트워크 증거 수집 방법

• 보안 솔루션 이용: 침입탐지 시스템, MRTG 이용해 수집
• 네트워크 로그 서버: 로그 서버를 별도로 두어 로그를 안전하게 저장해 수집
• 스니퍼: 네트워크 패킷 탐지용으로 운영, 백도어 탐지 및 공격자 위치 탐색

 

시스템 증거 수집 방법

• 활성 데이터 수집: 정보는 지속적으로 사라지므로 바로 수집하며 과정 녹화
• 남아있는 세션 확인: net session이나 query user 등 침입자의 세션이 남아있는지 확인
• 프로세스 덤프: 특정 시점에 작업 중이던 프로세스 상태 기록을 분석 (작업 관리자)
• 시스템 로그 분석: 삭제될 가능성이 높아 우선적으로 분석, 네트워크로 연결된 로그를 별도 관리
• 저장 장치 분석: 쓰기 금지를 보정하는 장치 연결, 원본 하드디스크를 이미지 장치로 복사, 저장 매체의 모든 정보를 비트 단위로 복사, 별도의 포렌식용 시스템에서 이미지 전용 분석 툴 사용
• 이메일 분석: PC를 수거해 메일 관련 데이터 수집, 이메일 서버에 정보를 요청해 웹 메일 브라우저의 임시 파일 획득
• 인터넷 분석: 인터넷 브라우저 쿠키나 임시 파일, History 파일을 분석, 방문 사이트의 정보 획득 및 작업 내용 파악

 

하드디스크 삭제된 파일의 운영 (대응이 빠를수록 복구 가능성 높음)

저장 장치는 파일 삭제에 이름, 크기, 생성 시간 등을 저장하는 MFT(Master File Table)를 활용한다

* 보안을 위해 별도의 삭제 프로그램으로 완전한 삭제도 가능

 

파일 삭제 원리

사회 공학

사회 공학

인간 상호 작용의 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻는 비기술적 침입 수단을 사회 공학이라 한다

 

취약한 조직의 유형

• 조직원 수가 많은 조직
• 구성체가 여러 곳에 분산된 조직
• 개인 정보가 노출된 조직
• 보안 교육이 부족한 조직
• 정보의 분류와 관리가 적절하지 않은 조직
• 그 외 일반적인 대중들

 

사회 공학 기법은 인간 기반 사회 공학과 컴퓨터 기반 사회 공학으로 나뉜다

 

인간 기반 사회 공학

• 직접 접근: (권력을 이용, 동정심 호소, 가장된 인간관계 이용)
• 도청: 도청 장치나 전화 회선의 태핑
• 훔쳐보기: 편광필름
• 휴지통 뒤지기: 세단기

 

컴퓨터 기반 사회 공학

• 시스템 분석: 버려진 컴퓨터, 하드디스크 분석 (정보 삭제 후 폐기나 자기 소거 장치로 예방)
• 악성 소프트웨어 전송: 이메일, USB 메모리 등으로 악성코드 전달 (실행 파일 등)
• 인터넷에 존재하는 부분적인 정보 수집
• 피싱(개인 정보 낚시): 피싱 메일, 실제 주소와 연결 주소가 다르거나 유사한 URL 이용
• 파밍: 도메인 이름을 속여 진짜 사이트로 오인
• 스미싱: SMS 피싱

 

사회 공학의 대응책으로 충분한 교육과 보안 의식, 경계심을 가져야 하며 사회 공학이 의심되는 경우를 직접 구분할 수 있어야 한다

 

보안 조직

조직의 보안을 달성하기 위한 구성원들 간의 지배 구조를 정보 보안 거버넌스라고 하며 효율적 조직 구성의 어려움이나 성과 측정, 조직의 무관심 등을 이유로 실제 구현에는 어려움이 있다

 

정보 보안 거버넌스의 성공적인 운영

ISO27001 국제 표준 보안 인증 및 보안 프레임워크를 기준으로 위험 관리 체계를 갖출 수 있다

 

ISO27001 평가

정보 보안 경영 시스템

보안 조직의 위치 1 (시스템 운영팀 밑의 소극적 형태)

보안 조직의 위치 2 (IT 기획팀 밑의 적극적 형태)

보안 조직의 위치 3 (CEO 직속 보안팀)

보안 팀의 역할

• 정보 보안 업무를 기획하고 각종 통제 사항을 관리
• 모니터링, 위협 분석 등을 통하여 평시 정보 보안 관리를 이행
• 조직 임직원에 대한 정보 보안 교육을 시행
• 긴급 상황에 대처하기 위한 비상 계획 수립과 운영을 지원

 

보안 팀의 인력 구성

보안 인증

소프트웨어나 시스템의 보안에 대한 인증 마크를 보안 인증이라 한다

* TCSEC (미국) / ITSEC (유럽) / CC (통합)

 

TCSEC

CC

개인 정보의 정의

실제 개인 정보의 범위는 애매한데, 일반적으로 다음과 같이 나뉜다

• 신분 관계: 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등
• 개인 성향: 사상, 신조, 종교, 가치관, 정치적 성향 등
• 심신 상태: 건강 상태, 신장, 체중 등 신체적 특징, 병력, 장애 정도 등
• 사회 경력: 학력, 직업, 자격, 전과 여부 등
• 경제 관계: 소득 규모, 재산 보유 상황, 거래 내역, 신용 정보, 채권채무 관계 등

 

OECD 개인 정보 보안 8원칙

국내에서는 KISA에서 주관하는 ISMS-P (구 PIMS) 인증을 통해 개인 정보 보안을 보장🔽

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 제도소개