정보보안개론 11장 침해 대응과 디지털 포렌식 연습문제 답

*틀릴 수 있음

 

01 다음 중 침해 사고에 대응하기 위해 만들어진 조직은?

=>4. CERT(Computer Emergency Response Team)

CERT - 침해 대응 체계

구성원

- 시스템 운영 전문가 : 침해 사고가 발생한 시스템을 효율적으로 복구하기 위해 서비스와 시스템의 관계를 명확히 이해하고 조치

- 대외 언론 및 외부 기관 대응 전문가 : 침해사고 이해하고 언론 및 사이버 안전국, 경찰에 적절한 방법으로 대응

- 법률팀 : 침해사고 대응 과정에서 법적인 문제가 발생했을 때 이에 대한 판단을 내리고 법적인 후속절차

- 인사팀 : 조직 내 구성원의 권리와 책임 파악, 침해사고 대응 과정에서 적절한 조직원 찾도록 지원

(+상표권 등록돼서 사용 x 대신 CIRT, CSIRT 사용하기도 함)

 

02 침해대응 절차의 순서대로 번호를 쓰시오

=>235146

1. 사전 대응

2. 침해 사고 발생

3. 사고 탐지

4. 대응

5. 제거 및 복구

6. 후속 조치 및 보고

 

03 침해사고를 이해하고 언론 및 사이버 안전국, 경찰 등에 대해 적절한 방법으로 대응하는 역할을 하는 구성원은?

=>2 대외 언론 및 외부 기관 대응 전문가

*01 해설 참고

 

04 침해 사고 중 위험 등급이 가장 낮은 상황은?

=>2. 일반적이지 않은 숨김파일 또는 디렉터리가 존재(2등급)

 

침해사고 위험등급(1등급이 가장 위험)

1등급

- 정상동작 x

- 중요한 파일 삭제중

-악성 프로그램 실행

-접근제어 해도 지속적 접근공격

-대응수단 x

2등급

- 비인가 관리자 명령 실행중

- 시스템 자원 불법사용 중

- 일반 사용자 디렉토리에 시스템파일 존재

- 일반적x인 숨김파일 존재

- 담당자 모르는 사용자 추가 or 권한 변경

3등급

- 내/외부 취약점 수집

- 내/외부 불법적 접근 시도

- 내/외부 비정상 패킷 전송량 증가

- 확산 빠른 바이러스 외부 발생

 

05 사실 인정의 기초가 되는 실험을 실험자 자신이 법원에 직접 보고하지 않고 진술서나 진술 기재서를 통해 간접적으로 보고하는 경우의 증거를 무엇이라고 하는가?

=>전문증거

 

증거의 종류

- 직접 증거  : 사실을 직접적으로 증명(위조지폐)

- 간접 증거 : 간접 추측 증거(지문, 전문증거)

- 인적 증거 : 증언, 진술, 전문가 의견

- 물적 증거 : 흉기

 

06 포렌식으로 증거를 획득할 때 지켜야 할 기본 원칙 중 같은 환경에 서 같은 결과가 나오도록 재현할 수 있어야 한다는 원칙은?

=>재현의 원칙

 

포렌식 법적 효력 위한 원칙

- 정당성의 원칙 : 적법한 절차 통한 증거수집

- 재현의 원칙 : 같은 환경, 같은 결과 재현 가능

- 신속성의 원칙 : 휘발성 정보 위해 신속한 정보 수집

- 연계보관성의 원칙 : 증거의 이송, 분석, 보관, 법정제출과정 명확

- 무결성의 원칙 : 위/변조 안됨

 

07 포렌식으로 증거를 획득할 때 지켜야 할 기본 원칙 중 증거의 이송, 분석, 보관, 법정 제출 과정이 명확해야 한다는 원칙은?

=>연계보관성의 원칙

*06해설 참조

 

08 포렌식에서 사용하는 증거 라벨의구성 요소에 대해 간단히 설명하시오

증거 획득 날짜, 피의자 동의 여부, 사건 번호, 라벨 번호, 증거 설명, 인적사항(증거 획득자, 감독자, 검토 책임자)의 구분, 이름, 서명, 날짜, 연락처

 

09 복사본 등의 이차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙은?

=>최량 증거 원칙

 

10 삭제된 파일을 복구할 수 있는 이유를 알 수 있도록 파일 삭제 과정을 간단히 설명하시오

 

=> 파일을 삭제할 때 운영체제에서 해당 데이터를 모두 삭제하는 것이 아니다. 

파일을 삭제하면 해당 파일에 대한 링크 값을 삭제하고, 파일이 저장된 공간에 다른 파일로 덮어쓰기가 가능하다 표시 해줄 뿐이다. 따라서 다른 파일로 덮어쓰기 되지 않은 파일은 복구가 가능하다