2019.11.22

윈도우 재해복구 툴킷을 만드는 방법

Susan Bradley | CSO
주말 내내 필자는 오작동하는 서버를 복구했다. 이 경험은 기업이 작든 크든 장애를 대비해 보안 재해 툴킷이 필요하다는 점을 다시 상기 시켜 줬다. 또한, 복구를 원활하게 하기 위해 프로세스와 자원을 계획해둔 재해 체크리스트가 중요하다는 점도 다시 생각하게 됐다.
 
ⓒ ciokr@idg.co.kr

마이크로소프트용 툴
Sysmon으로 시작하는 툴킷에 대해 고려해 볼 만한 마이크로소프트에 맞는 좋은 툴이 있다. 마이크로소프트의 툴은 프로세스 생성, 네트워크 연결 및 파일 생성 시간 변경에 대한 자세한 정보를 제공한다. 이 툴은 재부팅 후와 재부팅 중에 시스템에 상주한다. 이쯤 되면 깃허브(Github)의 샘플 시스몬 구성을 검토해 보고 싶은 생각이 들 것이다.

그런 다음 (아직 하지 않았다면) 로컬 관리자 암호 툴킷으로 눈을 돌려보자. 보통 해커는 표적형 피싱 공격을 통해 네트워크에 접속한 후 로컬 관리자 암호의 해시를 얻기 위해 미미카츠(Mimikatz)나 wdigest 하베스팅과 같은 수단을 쓴다. 과거에는 관리자가 네트워크 전체에 같은 암호를 사용하는 경우가 많았다. 해커는 이러한 습관을 파악하고 탈취한 암호로부터 계속 확장해 네트워크에 완전한 접근권을 얻는다.

따라서 보안 사고가 발생하기 전에 당장 로컬 관리자 암호 툴킷을 설치하는 것이 좋다. 사고 후에 네트워크를 재구축하는 경우라면 이 툴킷을 사용해 더 안전한 방식으로 작업을 수행하고 손상된 암호를 통해 해커가 기업 시스템의 측면으로 이동할 수 있는 가능성을 줄일 수 있다.

꼭 설치해야 할 필요는 없지만 시스템에서 악성 파일을 찾아서 제거하는 마이크로소프트 세이프티 스캐너라는 툴도 있다. 최신 정의를 다운로드했는지 확실히 하려면 각 사고에 대해 해당 정의를 다운로드해야 한다. 세이프티 스캐너는 수동으로 구동된 경우에만 스캔하며 다운로드한 후 10일 동안 이용할 수 있다.

재해복구 꾸러미를 만들어라
종종 재해팀은 당장 사용할 수 있게 개인적이고 전문적인 주요 도구와 툴을 준비해둔 ‘꾸러미’를 가지고 있다. 이런 것이 있으면 늦게까지 재해를 처리하기 위해 여러 곳을 헤멜 필요가 없다. 동시에 개인용품들 예를 들면 칫솔, 치약, 간식과 같은 일상적인 물건을 컴퓨터 툴 가방에 넣어두는 것도 방법이다. 네트워크 기능을 다시 살리는 데 밤을 새울 수도 있기 때문이다.

클라우드 컴퓨팅의 출현과 함께 라이선스와 관련 운영 체제의 ISO 이미지와 애저 포털에 접근할 필요도 커지고 있다. 백업에 들어가 부팅을 하고 백업에서 복구할 수 있도록 운영체제를 갖고 있어야 빠르게 복구할 수 있다. 따라서 기업의 애저 포털, 볼륨 라이센싱 센터와 같은 항목에 대한 접근이나 ISO 및 제품 키에 대한 다른 접근 수단을 문서화하고 보안이 되는 종이 형태로 오프라인과 온라인에 저장해 두면 좋다. 리소스를 획득하기 위해 구매 승인이나 신용카드에 대한 접근권을 가져야 할 수도 있고 재구축을 위해 서비스에 접근해야 할 때 유용하다.

또한 일반적인 통신 채널에 대한 대안의 관점에서 생각하고 인증된 프로세스가 있는지 확인해야 한다. 재해 상황에서는 회사 이메일이 다운될 수 있으므로 주요 팀원 또는 경영진과 연락하기 위해 대체 방법이 필요할 수 있다. 재해복구 꾸러미 안에는 연락처 목록을 추가하고 그 목록을 정기적으로 검토해야 한다. 이 밖에 사내 재해복구 꾸러미에 포함할 것은 다음과 같다.

- 스트레이트 스루(straight-through)와 루프백(loopback)을 포함한 몇 가지 네트워크 케이블
- 개별 기업 환경에 필요한 USB 또는 시리얼 케이블
- 주니퍼(Juniper) 및 시스코(Cisco) 시리얼 어댑터
- 하드드라이브, SSD 및 다양한 크기의 외장 USB 드라이브
- 플래시 드라이브
- 다양한 드라이브 인터페이스 어댑터
- 휴대용 라벨 프린터
- 4 포트 허브
- 디지털 카메라 또는 사진을 찍을 수 있는 휴대폰
- 케이블 타이 및 케이블 가위
- 여러 가지 나사 및 육각 드라이버
- 공책과 펜
- COC(Chain of custody) 양식
- 사고 처리 절차
- 모든 팀원의 명함

만약 포렌식팀의 일원이라면, 이미징 소프트웨어와 쓰기가 차단되는 휴대용 드라이브 복제기가 필요할 수 있다. 전반적으로 보면 데이터가 클라우드, 데이터센터로 이동함에 따라 꾸러미의 물리적 항목 수는 더 적어지고, 데이터가 위치한 데이터센터의 애저 포털, 오피스 365나 사고 대응팀의 연락처에 로그인하는 것과 같은 툴이 더 많이 필요해지고 있다.
 
재해복구 체크리스트 준비
또한 취해야 할 조치의 체크리스트도 마련해야 한다. 예를 들어, 오피스 365의 손상된 받은 편지함에서 수행할 작업에 대한 마이크로소프트 지침을 따르는 식이다. 오피스 시큐어 스코어에 대해 취할 수 있는 조치를 검토하고 오피스 365를 보호하기 위한 마이크로소프트 지침을 미리 살펴볼 필요가 있다.

체크리스트를 가지고 있고 클라우드로 이동하는 과정에 있다면, 보안을 염두에 둔 단계를 확실히 포함하도록 검토하는 것이 현명하다. 또한 이런 계획을 확장해 사이버 보험이나 미디어에 대한 영향을 알려주는 단계를 포함해야 할 수도 있다. 보안 계획 및 문서화를 정기적으로 검토해 적절한 단계를 확보했는지 확인하고 규정 준수를 보장하기 위해 다시 세부 내용을 확인해야 할 수도 있다.

많은 사람이 NIST 문서화를 기반으로 시작한다. 미국 국립 표준기술원(National Institute of Standards and Technology, NIST)은 기업의 재해 계획과 체크리스트를 검토하는 데 도움이 되는 몇 가지 자료를 제공한다. SANS 조직에도 마찬가지로 도움이 되는 리소스가 있다.

만약 도메인 컨트롤러 및 인터넷 연결 장치와 같은 것이 영향을 받는다면, 대체 수단을 써 인터넷에 접속하는 방법 같은 일상적인 항목뿐만 아니라 링크와 리소스가 재해 키트에도 있는지 확인해야 한다.

이 경우에는 의심스러운 기기에 적용할 프로세스를 목록으로 만드는 것이 좋다. 예를 들어, 해킹된 기기를 다루는 기존의 표준 프로세스는 로그 파일과 증거를 확실히 유지하기 위해 해킹된 기계를 끄고 분리하는 것이었다. 그러나 지금의 표준 프로세스는 조금 다르다. 장치가 어디에 위치하는지와 어떤 장치인지에 따라 달라진다. 장치를 오프라인으로 전환하는 대신 격리된 네트워크에 플립해 추가 조사를 할 수도 있다.

또한 워크스테이션이나 서버를 조사할 때 프로세스가 영향을 받은 상태에서 영향을 받은 장치의 백업을 포함하는가를 확인해야 한다. 일단 네트워크와 장치가 다시 작동하면, 모든 침해나 잠재적인 영향도 조사해야 한다. 사실 이를 위해서는 2개의 팀이 필요할 수 있다. 첫 번째 팀은 사고 조사와 향후 분석을 위한 증거를 유지하는 데 전념하고 두 번째 팀은 네트워크 운영을 복구하는 데 전념하는 식이다. 증거를 유지하려는 생각은 가능한 한 빨리 운영을 복구하려는 열망 때문에 종종 잊힌다.

재해가 발생하기 전에 지금 시간을 내 재해를 대비하는 계획을 세워야 한다. ‘만약 그렇다면’이 아니라 ‘언제’ 준비가 되는지 확인해야 한다. ciokr@idg.co.kr



2019.11.22

윈도우 재해복구 툴킷을 만드는 방법

Susan Bradley | CSO
주말 내내 필자는 오작동하는 서버를 복구했다. 이 경험은 기업이 작든 크든 장애를 대비해 보안 재해 툴킷이 필요하다는 점을 다시 상기 시켜 줬다. 또한, 복구를 원활하게 하기 위해 프로세스와 자원을 계획해둔 재해 체크리스트가 중요하다는 점도 다시 생각하게 됐다.
 
ⓒ ciokr@idg.co.kr

마이크로소프트용 툴
Sysmon으로 시작하는 툴킷에 대해 고려해 볼 만한 마이크로소프트에 맞는 좋은 툴이 있다. 마이크로소프트의 툴은 프로세스 생성, 네트워크 연결 및 파일 생성 시간 변경에 대한 자세한 정보를 제공한다. 이 툴은 재부팅 후와 재부팅 중에 시스템에 상주한다. 이쯤 되면 깃허브(Github)의 샘플 시스몬 구성을 검토해 보고 싶은 생각이 들 것이다.

그런 다음 (아직 하지 않았다면) 로컬 관리자 암호 툴킷으로 눈을 돌려보자. 보통 해커는 표적형 피싱 공격을 통해 네트워크에 접속한 후 로컬 관리자 암호의 해시를 얻기 위해 미미카츠(Mimikatz)나 wdigest 하베스팅과 같은 수단을 쓴다. 과거에는 관리자가 네트워크 전체에 같은 암호를 사용하는 경우가 많았다. 해커는 이러한 습관을 파악하고 탈취한 암호로부터 계속 확장해 네트워크에 완전한 접근권을 얻는다.

따라서 보안 사고가 발생하기 전에 당장 로컬 관리자 암호 툴킷을 설치하는 것이 좋다. 사고 후에 네트워크를 재구축하는 경우라면 이 툴킷을 사용해 더 안전한 방식으로 작업을 수행하고 손상된 암호를 통해 해커가 기업 시스템의 측면으로 이동할 수 있는 가능성을 줄일 수 있다.

꼭 설치해야 할 필요는 없지만 시스템에서 악성 파일을 찾아서 제거하는 마이크로소프트 세이프티 스캐너라는 툴도 있다. 최신 정의를 다운로드했는지 확실히 하려면 각 사고에 대해 해당 정의를 다운로드해야 한다. 세이프티 스캐너는 수동으로 구동된 경우에만 스캔하며 다운로드한 후 10일 동안 이용할 수 있다.

재해복구 꾸러미를 만들어라
종종 재해팀은 당장 사용할 수 있게 개인적이고 전문적인 주요 도구와 툴을 준비해둔 ‘꾸러미’를 가지고 있다. 이런 것이 있으면 늦게까지 재해를 처리하기 위해 여러 곳을 헤멜 필요가 없다. 동시에 개인용품들 예를 들면 칫솔, 치약, 간식과 같은 일상적인 물건을 컴퓨터 툴 가방에 넣어두는 것도 방법이다. 네트워크 기능을 다시 살리는 데 밤을 새울 수도 있기 때문이다.

클라우드 컴퓨팅의 출현과 함께 라이선스와 관련 운영 체제의 ISO 이미지와 애저 포털에 접근할 필요도 커지고 있다. 백업에 들어가 부팅을 하고 백업에서 복구할 수 있도록 운영체제를 갖고 있어야 빠르게 복구할 수 있다. 따라서 기업의 애저 포털, 볼륨 라이센싱 센터와 같은 항목에 대한 접근이나 ISO 및 제품 키에 대한 다른 접근 수단을 문서화하고 보안이 되는 종이 형태로 오프라인과 온라인에 저장해 두면 좋다. 리소스를 획득하기 위해 구매 승인이나 신용카드에 대한 접근권을 가져야 할 수도 있고 재구축을 위해 서비스에 접근해야 할 때 유용하다.

또한 일반적인 통신 채널에 대한 대안의 관점에서 생각하고 인증된 프로세스가 있는지 확인해야 한다. 재해 상황에서는 회사 이메일이 다운될 수 있으므로 주요 팀원 또는 경영진과 연락하기 위해 대체 방법이 필요할 수 있다. 재해복구 꾸러미 안에는 연락처 목록을 추가하고 그 목록을 정기적으로 검토해야 한다. 이 밖에 사내 재해복구 꾸러미에 포함할 것은 다음과 같다.

- 스트레이트 스루(straight-through)와 루프백(loopback)을 포함한 몇 가지 네트워크 케이블
- 개별 기업 환경에 필요한 USB 또는 시리얼 케이블
- 주니퍼(Juniper) 및 시스코(Cisco) 시리얼 어댑터
- 하드드라이브, SSD 및 다양한 크기의 외장 USB 드라이브
- 플래시 드라이브
- 다양한 드라이브 인터페이스 어댑터
- 휴대용 라벨 프린터
- 4 포트 허브
- 디지털 카메라 또는 사진을 찍을 수 있는 휴대폰
- 케이블 타이 및 케이블 가위
- 여러 가지 나사 및 육각 드라이버
- 공책과 펜
- COC(Chain of custody) 양식
- 사고 처리 절차
- 모든 팀원의 명함

만약 포렌식팀의 일원이라면, 이미징 소프트웨어와 쓰기가 차단되는 휴대용 드라이브 복제기가 필요할 수 있다. 전반적으로 보면 데이터가 클라우드, 데이터센터로 이동함에 따라 꾸러미의 물리적 항목 수는 더 적어지고, 데이터가 위치한 데이터센터의 애저 포털, 오피스 365나 사고 대응팀의 연락처에 로그인하는 것과 같은 툴이 더 많이 필요해지고 있다.
 
재해복구 체크리스트 준비
또한 취해야 할 조치의 체크리스트도 마련해야 한다. 예를 들어, 오피스 365의 손상된 받은 편지함에서 수행할 작업에 대한 마이크로소프트 지침을 따르는 식이다. 오피스 시큐어 스코어에 대해 취할 수 있는 조치를 검토하고 오피스 365를 보호하기 위한 마이크로소프트 지침을 미리 살펴볼 필요가 있다.

체크리스트를 가지고 있고 클라우드로 이동하는 과정에 있다면, 보안을 염두에 둔 단계를 확실히 포함하도록 검토하는 것이 현명하다. 또한 이런 계획을 확장해 사이버 보험이나 미디어에 대한 영향을 알려주는 단계를 포함해야 할 수도 있다. 보안 계획 및 문서화를 정기적으로 검토해 적절한 단계를 확보했는지 확인하고 규정 준수를 보장하기 위해 다시 세부 내용을 확인해야 할 수도 있다.

많은 사람이 NIST 문서화를 기반으로 시작한다. 미국 국립 표준기술원(National Institute of Standards and Technology, NIST)은 기업의 재해 계획과 체크리스트를 검토하는 데 도움이 되는 몇 가지 자료를 제공한다. SANS 조직에도 마찬가지로 도움이 되는 리소스가 있다.

만약 도메인 컨트롤러 및 인터넷 연결 장치와 같은 것이 영향을 받는다면, 대체 수단을 써 인터넷에 접속하는 방법 같은 일상적인 항목뿐만 아니라 링크와 리소스가 재해 키트에도 있는지 확인해야 한다.

이 경우에는 의심스러운 기기에 적용할 프로세스를 목록으로 만드는 것이 좋다. 예를 들어, 해킹된 기기를 다루는 기존의 표준 프로세스는 로그 파일과 증거를 확실히 유지하기 위해 해킹된 기계를 끄고 분리하는 것이었다. 그러나 지금의 표준 프로세스는 조금 다르다. 장치가 어디에 위치하는지와 어떤 장치인지에 따라 달라진다. 장치를 오프라인으로 전환하는 대신 격리된 네트워크에 플립해 추가 조사를 할 수도 있다.

또한 워크스테이션이나 서버를 조사할 때 프로세스가 영향을 받은 상태에서 영향을 받은 장치의 백업을 포함하는가를 확인해야 한다. 일단 네트워크와 장치가 다시 작동하면, 모든 침해나 잠재적인 영향도 조사해야 한다. 사실 이를 위해서는 2개의 팀이 필요할 수 있다. 첫 번째 팀은 사고 조사와 향후 분석을 위한 증거를 유지하는 데 전념하고 두 번째 팀은 네트워크 운영을 복구하는 데 전념하는 식이다. 증거를 유지하려는 생각은 가능한 한 빨리 운영을 복구하려는 열망 때문에 종종 잊힌다.

재해가 발생하기 전에 지금 시간을 내 재해를 대비하는 계획을 세워야 한다. ‘만약 그렇다면’이 아니라 ‘언제’ 준비가 되는지 확인해야 한다. ciokr@idg.co.kr

X