[보안 트러블슈팅 - 5]
군에서는 네트워크를 상용 인터넷과 물리적으로 분리하여 구축한다.
이 분리된 망에 다른 네트워크와 통신하는 경로가 생기는 망혼용에 민감하다.
그리고 어느 날 위협관리 체계에 망혼용 위협로그가 탐지되었다.
망혼용에 민감한 이유는 군에서 다뤄져야 하는 데이터가 외부로 노출될 위협을 초래할 수 있기 때문이다.
그래서 ①실제로 망혼용이 일어났는지 ②어떤 방식으로 일어났는지 ③자료 이동은 없었는지 확인해야한다.
일단 위협로그에서 ip를 통해 행위자를 추적하여 인터뷰를 진행했다.
경위서를 작성하고 스마트폰 연결 행위이며 자료전송은 없었다는 답변을 받았다.
즉시 네트워크를 차단하고 해당 PC를 수거하여 담당 간부와 함께 디지털 포렌식을 진행했다.
윈도우 레지스트리 편집기를 이용하여 포트 연결 여부를 판단했다.
HKLM\SYSTEM\ControlSet00X\Enum\USB 경로로 가장 유력한 USB 포트 연결을 의심했다.
해당 디렉터리 하단에는 각 장치가 연결됨에 따른 레지스트리의 값을 보여준다.
이때 기기 종류를 의미하는 DeviceDesc 레지스트리에는 Samsung_Android가 있어 스마트폰 연결임을 확인할 수 있었다.
다른 Container reg, Hardware reg 정보도 같은 정보를 제공하고 있어 더블체크가 가능했다.
발생 시각과 사용한 시간을 파악하기 위해 윈도우 이벤트 뷰어를 사용했다.
이벤트 뷰어는 응용 프로그램 및 서비스 로그를 보여주는 툴이다.
Microsoft/Windows/DeviceSetupManager/Admin/ 경로에서 ID 112에서 다음 내용을 확인할 수 있었다.
앞서 파악한 시리얼 번호에 해당하는 기기로 3812ms의 활성 작업 시간이 소요됐다는 것이었다.
이는 발생시각으로부터 약 4초 정도 꽂은 후 바로 뽑은 것으로 확인할 수 있었다.
분석이 끝난 후로는 바이러스 검사와 함께 자료 유출에 대한 분석을 진행했다.
X-way 포렌식의 방식인 Volume Snapshot을 통해 이메일 파일을 수집했다.
앞서 분석한 시각을 기준으로 앞뒤 5분 간격으로 발생한 자료 이동이 2건 존재했음을 알게 되었다.
그중에 1건의 파일이 열리지 않아서 스테가노그래피를 의심했다.
헤더의 헥스 값을 분석하여 알아본 결과 저장된 확장자와 동일해 오측했다고 판단했다.
알고보니 군의 보안 시스템인 DRM(문서보호)과 DLP(자료유출방지)가 문제였다.
분석 툴을 이용하기 위해 다른 네트워크 망으로 옮기는 과정에서 암호화 되었던 것으로 종결했다.
레지스트리에서 USB의 연결은 PnP(플러그 앤 플레이)형식으로 연결한 장치의 고유 식별번호를 알린다.
시스템을 구축할 때 로그 및 관제 시스템의 중요성을 느꼈다.
*보안 상의 이유로 허구의 내용을 섞어 작성했음을 밝힙니다.