정보유출사고 조사과정DFLI, Digital Forensics and data Leakage Investigation
2015년 국가정보원 통계에 따르면 국내에서 발생하는 산업기밀 유출사고 중 80%가 전, 현직 임직원에 의해 발생하고 있다고 합니다. 특히 의도적인 인력 흡수(인력 스카우트)를 통해 핵심 정보가 유출되는 경우가 가장 많았으며, 기업 인수 합병(M&A)을 통해 산업기밀이 유출되기도 한다고 합니다.
내부자 정보유출사고를 막기 위해 DLP, DRM 등의 솔루션을 도입하고 있지만 내부자 정보유출사고는 끊임없이 발생하고 있습니다. 최근에는 솔루션 우회에 더하여 유출 행위를 조작하거나 은닉하려는 안티포렌식 행위가 일반화되고 있어 유출 후 악의적인 행위를 식별하기가 더욱 어려워지고 있습니다. 조직 구성원이 다루는 데이터 등급에 따라 위험군을 분류하고 정기 및 수시감사, 퇴직자 프로세스를 통해 사전에 정보 유출에 대응해야 합니다.
Magnet AXIOM은 현재 전세계적으로 가장 인기 있는 디지털 포렌식 도구입니다. 강력한 아티팩트 분석 기능을 가지고 있어 분석가의 분석 시간을 획기적으로 단축시켜 줍니다. 사고를 분석하기 위해 필연적으로 오픈소스나 프리웨어를 사용하게 되는데 AXIOM은 별도 도구 없이 단일 도구만을 사용해 사고 분석을 종료할 수 있습니다. 다양한 사고 유형 중 AXIOM의 기능을 가장 잘 활용할 수 있는 사고는 정보유출사고입니다. 본 과정에서 정보유출사고의 분석 도구로 AXIOM의 가치를 확인해보시기 바랍니다.
본 과정에서는 150건 이상의 내부자 정보유출사고의 분석 경험을 바탕으로 사고 유형별 조사기법을 체계적으로 살펴봅니다. 또한, 실제 사례를 바탕으로 구성한 케이스 데이터를 기반해 사고 접근기법, 초기 대응, 데이터 수집, 데이터 분석 방법과 내부자 행위를 역추적하는 방법을 학습합니다.
과정 상세 내용
교육 기간 : 4일 (7시간/1일), 09:30 – 17:30
교육 방식 : 이론 (30%) + 실습 (40%) + 케이스 분석 (30%)
제공 사항 : 노트북 지원(AXIOM 평가판 포함), 교육 기간 내 점심 및 다과 제공
※ 본 교육에서 다루는 모든 조사 기법은 윈도우 10 (x64) 환경을 기준으로 합니다.
| 일정 | 주제 | 상세 내용 |
|---|---|---|
| 1일차 | 정보유출사고 개요 | 정보유출사고 유형 |
| 사고 유형별 대책 | ||
| 사고 유형별 조사 방법 | ||
| 정보유출사고 사례 | ||
| 사고 데이터 수집 | 사고 유형별 조사 아티팩트 선별 | |
| 온라인 아티팩트 선별 수집 | ||
| 오프라인 아티팩트 선별 수집 | ||
| 2일차 | 저장장치를 이용한 유출 흔적 | 로컬저장장치(HDD, SSD) 연결 흔적 조사 |
| 외장하드, USB 연결 흔적 조사 | ||
| CD, DVD 사용 흔적 조사 | ||
| 파일 열람 흔적 조사 | ||
| {연결 흔적 + 열람 흔적} 유출 식별하기 | ||
| 3일차 | 네트워크 전송을 이용한 유출 흔적 | 파일 공유, 공유 폴더 사용 흔적 조사 |
| 원격 접속, FTP 사용 흔적 조사 | ||
| 이메일, SNS 사용 흔적 조사 | ||
| 클라우드 서비스, 메신저 사용 흔적 조사 | ||
| 윈도우 백업 활용 | 볼륨 섀도 복사본 활용하기 | |
| 안티포렌식 대응 | 안티포렌식 기법별 조사 방안 | |
| 4일차 | 실전 정보유출 사례 분석 | 사례 소개 |
| 원인 및 피해 범위 분석 | ||
| 유출 타임라인 구성 |