침해사고 대응방법

침해사고 대응방법

CERTCC-KR

cert@certcc.or.kr, http://www.certcc.or.kr

신은경 연구원, sek@certcc.or.kr
이현우 연구원, lotus@certcc.or.kr

[ 1 ] 개요

네트워크/시스템 침입시도 또는 해킹사고를 발견하는 경우, 이에 대응하는 방법에는 다양한 방법이 동원될 수 있다. 공격 호스트에 대해서 파이어월/라우터/시스템 등에서 차단하는 방법이 있을 수 있으며, 공격 호스트를 역으로 공격하는 방법 등이 있을 수 있다. 대부분의 공격 사이트가 또 다른 해킹의 피해자라는 점에서 이러한 방법은 일시적인 대응방법밖에는 될 수 없으며, 공격 사이트 및 피해사이트 모두에게 큰 도움이 되지 않는다. 하지만 패스워드 크래킹 공격이라든가 또는 지속적인 공격을 탐지할 경우에는 라우터에서 이러한 공격 사이트를 차단하여 자신의 네트워크를 보호하여야 한다.

가장 일반적으로 인식되고 있는 대응방법은 공격사이트와 접촉하여 대응하는 방법으로, 이는 보안 사고에 관한 정보를 교환할 수 있으며, 침입 활동을 더 잘 이해하고, 잠재적인 취약성을 알아낼 수 있으며, 궁극적으로 공격 사이트 및 피해 사이트 모두의 보안을 향상시킬 수 있는 계기를 제공한다. 또한 미리 알려지지 않은 보안 사고를 예측하고, 적절하게 대응할 수 있도록 해준다. 그리고 궁극적으로는 전체 인터넷 사회의 컴퓨터 보안을 향상시켜 줄 수 있다.

현재 이러한 방법은 여러 국가의 침해사고대응지원팀(CERT, Computer Emergency Response Team)간에 사용되는 방법이며 상호간의 보안증진을 도모할 수 있는 최상의 방법으로 인식되고 있다. 이 문서는 공격기관의 연락처 정보를 찾는 방법과, E-mail을 통하여 어떻게 보안사고 정보를 교환하고 대응하는지에 대하여 다룬다.

※ 침해사고대응의 중요성
해킹사고 또는 해킹시도에 대하여 적극적으로 대응을 하지 않으면, 공격자는 지속적으로 다양한 방법을 동원하여 공격을 하게되며, 결국 해킹을 당하게 된다. 국외에서 시도되는 공격에도 적극 대응하도록 하여야 한다.

[ 2 ] 공격 사이트 연락처 찾기

침입시도 또는 해킹사고를 탐지하는 경우, 관련 공격 사이트의 정보는 도메인 주소(www.kisa.or.kr 형태)나 IP 주소(203.233.150.1 형태)로 나타난다. 따라서 이러한 도메인주소 또는 IP주소 정보만을 가지고 관련 사이트의 연락처를 찾아야 한다. 도메인 주소를 알경우에는 일반적으로 직접 관련 도메인의 메인 홈페이지를 방문하여 메일 주소를 얻을 수도 있다. 그리고 IP 주소만을 알 경우에는 nslookup 명령이나 툴을 이용하여 IP 주소에 대한 도메인 주소를 알아낼 수 있다. 하지만 많은 경우(1/2 정도)에 있어 공격 호스트의 도메인은 나타나지 않는 경우가 많다. 이런 경우는 보통 whois 명령을 이용하여 인터넷 등록기관(한국의 경우, 한국인터넷정보센터(krnic))에 의해 유지되는 공개 데이터베이스를 조회함으로서 알아낼 수 있다.

※ DNS nslookup, traceroute, whois 기능을 제공해주는 많은 윈도우용 공개 도구들이 존재한다.
NetLab : http://www.listsoft.com/eng/programs/pr134.htm
toucow 사이트 : http://tucows.mirror.ac.uk/dns95.html

가. 도메인 주소/IP 주소 변환

도메인 주소나 호스트 이름이 있으면 UNIX나 Windows NT의 'nslookup'과 같은 명령을 이용하여 IP 주소를 알아낼 수 있다. 또는 공개용 도구를 이용하여 이러한 변환작업을 할 수 있다. 보통 이러한 도구에서는 DNS 라는 항목을 이용한다.

나. 연락처 조회 및 대응

공격 사이트의 도메인 주소나 IP 주소를 알 경우 다음과 같은 방법으로 관련 사이트 연락처 정보를 알아내어 대응할 수 있다.

1) 침해사고대응팀(CERT)에 연락하기

각 지역이나 국가마다 침해사고대응팀(CERT, Computer Emergency Response Team)이 있다. 문제가 생긴 사이트에 직접 연락하는 방법대신에 해당 지역과 관련된 침해사고대응팀에 연락하는 방법을 사용한다.

FIRST(The Forum of Incident Response and Security Team)는 전세계 침해사고대응팀의 연합체로, FIRST의 웹사이트에 있는 침해사고대응팀의 명단을 참고해서 해당 지역의 침해사고대응 팀에 연락한다. 이 방법은 공격 사이트에 직접 연락을 취하는 방법과 함께 병행사용함으로서 더욱 효과적이다.

※ 첨부 각국의 CERT 연락처 참조 : http://www.first.org/team-info/

※ 참고 : 한국 침해사고대응팀 연락처
---전화 : 118 (지방은 02-118)
---팩스 : (02) 4055-519
---E-mail : cert@certcc.or.kr
---핫라인 : 018-312-4119

2) Whois 이용하기

Whois는 도메인 이름과 IP 주소의 할당을 책임지는 인터넷 등록기관의 데이터베이스이다. 데이터베이스에는 도메인 이름과 관련된 등록자의 연락처, IP 등과 같은 정보를 가지고 있으며 whois 명령을 이용하여 조회할 수 있다. 그리고 이러한 정보를 이용하여 전화를 하거나 E-mail을 보내 사고대응을 할 수 있다.

---whois 데이터베이스는 각 국가 그리고 지역에 따라서 여러 사이트에 존재한다.
위의 예에서는 whois.krnic.net은 kr로 끝나는 도메인에 대한 정보만을 제공한다.
따라서 도메인에 따라 다른 whois 서버를 이용하여야 하는데 대표적인 whois 서버는 다음과 같다.

------whois.arin.net : 최상위 도메인 정보제공 (웹기반의 조회 사이트 : http://www.arin.net/whois/arinwhois.html)

------whois.apnic.net : ASIA-PACIFIC 지역 도메인정보 제공 (웹기반의 조회 사이트 : http://www.apnic.net/apnic-bin/whois.pl)

------whois.ripe.net : 유럽 지역의 도메인 정보 제공 (웹기반의 조회 사이트 : http://www.ripe.net/db/whois.html)

------whois..krnic.net : 국내 도메인(kr) 정보제공 (웹기반의 조회 사이트 : http://whois.nic.or.kr/)

따라서 잘 모르는 지역의 IP주소의 경우 arin.net 데이터베이스에서부터 조회를 시작하여 관련 지역의 whois 서버에 조회를 하면 된다.

※ 첨부 "IP 주소별 관련 whois 서버 정보" 참조

3) traceroute : 상위 ISP(Internet Service Provider) 찾기
---공격 사이트에 대한 연락 정보를 찾기가 힘든 경우, 그리고 공격 사이트에서 메일에 답장을 하지 않는경우에는 해당 사이트의 상위 ISP에 연락하여 해당 사이트에게 보안사고 관련 정보 포워딩해달라고 부탁하거나, 또는 직접 사고처리를 요청할 수가 있다. 이 방법은 상위 ISP가 보안 사고와 관련된 자신의 가입자 사이트를 도와 줄 때만 가능하다.

---'traceroute' 명령은 상위 ISP를 확인하는데 사용할 수 있다. 유닉스의 경우 'traceroute' 이라는 도구를 설치하여 사용하며 Windows 95/98/NT 시스템에서는 'traceroute'와 유사한 'tracert'라는 명령어를 사용한다.

---위 결과에서 보는 바와 같이 EXAMPLE-SITE.EDU의 상위 호스트는 EXAMPLE-UPSTREAM.NET이라는 도메인에 있으며, EXAMPLE-UPSTREAM.NET과 관련된 사이트 정보는 Whois 데이터베이스를 이용해서 찾을 수 있다.

※ 주의 : 공격기관의 상위 ISP에게 사고와 관련된 메일을 보낼 경우에는 다음사항을 고려한다.
---- ISP가 공격과 관련된 기관이 아니므로 직접적인 항의는 피한다.
---- 공격기관에게 메일을 포워딩해 달라고 요청한다.

[ 3 ] 대응방법

---공격 사이트와의 연락은 보통 E-mail, 전화, FAX 등을 이용할 수 있다. 보안 사고의 성격에 따라 각각의 방법을 이용하는 데는 장단점이 있다.

가. E-mail을 이용한 대응방법

---E-mail은 가장 대표적으로 사용되는 수단으로, 다음과 같은 장점을 가지고 있다.

--- ---- 메일을 통하여 log file과 같은 저장된 정보를 제공한다.
--- ---- 다수의 관련 기관들과 정보를 공유할 수 있게 해준다.
--- ---- 다른 통신 방법에 비해 좀더 명확한 메시지를 제공한다.

---위의 [ 2 ]에서 기술한 방법으로 공격기관의 정보를 찾아내어 메일 주소를 찾을 수 있는데 이러한 정보는 틀린 경우가 가끔 있으므로 일반적으로 표준으로 사용되는 메일 주소를 병행으로 사용하여 메일을 보내도록 한다.

※ 메일 주소에 대한 권고 사항
- http://info.internet.isi.edu/in-notes/rfc/files/rfc2142.txt

---공격 사이트 및 관련 CERT에 메일을 보낼 때는 공격에 대한 정보(로그 파일 등)를 첨부하여야만 해당 기관에서 사고조사를 할 수 있다. 로그를 첨부하게 되면 자신의 사이트가 밝혀지게 되므로 이를 원하지 않을 경우 피해기관에서는 자신의 도메인 주소나 IP 주소를 "xxx" 등으로 처리하여 보내는 방법을 사용할 수도 있다.

많은 경우에 있어 연락처 정보가 틀리거나 올바른 담당자가 아닐 수 있으므로, 이러한 메일을 보낼 경우 되도록 이면 다음과 같은 문구를 넣도록 한다.

--- --- --- ---"만약 공격 호스트[해당 IP]가 다른 기관의 호스트인 경우에는 아시는 범위에서 관련 사용자 또는 기관에
--- --- --- --- 본메일을 포워딩 해주시면 고맙겠습니다."

---또한 메일을 보낼때는 반듯이 한국침해사고대응팀(CERTCC-KR)의 cert@certcc.or.kr"으로 "cc"하도록 하여 국내 침해사고 대응에 도움이 되도록 하여야 한다. CERTCC-KR에서는 이러한 정보를 통하여 새로운 공격방법을 파악하고 국내 정보통신망 운영기관에 알림으로서 비슷한 종류의 공격이 확산되지 않도록 방지할 수 있는 것이다.

※ 외국에 메일을 보내는 경우, 로그를 첨부할때 표준 시간대 "GMT+9"을 표시해야 한다.

나. 전화를 이용한 대응방법

---전화 연락은 E-mail에 비해서 보다 직접적이고 신속한 방법으로 다른 사이트의 관리자와 이야기해야할 필요가 있을 경우에 사용하는 방법으로, 주로 신속한 대응이 필요한 경우, 매우 민감하거나 중요한 사고에 대하여 효과적이다.

---whois 데이터베이스의 전화 연락처 정보 역시 틀린 경우가 있다. 이러한 경우 직접 공격 기관의 홈페이지에 접속하여 연락처를 알아낼 수도 있으며, 또는 "114"를 이용하기도 한다.

[ 첨 부 1] IP 주소별 관련 whois 서버 정보

[ 첨 부 2] 국가별 주요 CERT 연락처

AFCERT (U.S. Air Force CERT)
---Constituency: Air Force Users
---Email: afcert@afcert.csap.af.mil

ASSIST US. Department of Defense Security Incident Support Team
---Constituency: DOD - Interest systems
---Email: assist@assist.mil

AT&T
---Constituency: Customers of AT&T Internet services
---Email: first-team@inetmail.att.net

AUSCERT (Australian Computer Emergency Response Team)
---Constituency: Australia - Internet .au domain
---Email: auscert@auscert.org.au

BadgIRT University of Wisconsin-Madison
---Constituency: University of Wisconsin-Madison Faculty/Staff/Students
---Email: badgirt@wisc.edu

BSI/GISA
---Constituency: German Government Institutions
---Email: fwf@bsi.de

BTCERTCC - British Telecommunications Computer Emergency Response Team
---Constituency:BT's UK Services
---Email: btcertcc@boat.bt.com

CARNet CERT
---Constituency: CARNet - Croatian Academic and Research Network.
---Email: c-cert@CARNet.hr

CERT(R) Coordination Center (CERT/CC)
---Constituency: The Internet
---Email: cert@cert.org

CERT-IT Computer Emergency Response Team Italiano
---Constituency: Italian Internet Sites
---Email: cert-it@dsi.unimi.it

CERTCC-KR Computer Emergency Response Team Korea
---Constituency: Korean Internet Sites
---Email: cert@certcc.or.kr

CERT-NASK Computer Emergency Response Team - Poland
---Constituency: Networks connected to NASK in polish
---Email: cert@nask.pl

CERT-NL
---Constituency: SURFnet connected sites SURFnet is the Dutch academic, educational and research network
---Email: cert-nl@surfnet.nl

CERT-Renater
---Constituency: Minister of Research & Education France
---Email: certsvp@renater.fr

CIAC US. Department of Energy's Computer Incident Advisory Capability
---Constituency: U.S. Department of Energy (DOE) and DOE Contractor
---Email: ciac@llnl.gov

CSIRT.DK Danish Computer Security Incident Response Team
---Constituency: All customers of Tele Danmark
---Email: csirt@csirt.dk

DANTE Delivery of Advanced Network Technology to Europe Ltd.
---Constituency: European national research networks
---Email: dancert@dante.org.uk

Defence Evaluation and Research Agency, Malvern, UK.
---Constituency: DERA
---Email: first-liaison@eris.dera.gov.uk

DFN-CERT
---Constituency: Germany
---Email: dfncert@cert.dfn.de

DK-CERT Danish Computer Emergency Response Team
---Constituency: All Danish sites
---Email: cert@cert.dk

EWA-Canada
---Constituency: Canadian Federal and Provincial Government Agencies
---Email: first@ewa-canada.com

GTCERT Georgia Institute of Technology CERT
---Constituency: Georgia Tech users
---Email: cert@gatech.edu

ILAN-CERT - Israeli Academic Network CERT
---Constituency: Israeli University users
---Email: cert@cert.ac.il

IRIS-CERT
---Constituency: Spain (incident support service)
---Email: cert@rediris.es

IU-CERT - Indiana University
---Constituency: Indiana University
---Email: first-team@iu.edu

JANET-CERT
---Constituency: All UK organizations connected to JANET network
---Email: cert@cert.ja.net

JPCERT/CC Japan Computer Emergency Response Team Coordination Center
---Constituency: Internet community in Japan
---Email: info@jpcert.or.jp

MCIWorldCom Inc.
---Constituency: MCI WorldCom Employees, Contractors and Alliance Partners
---Email: Gordon.Powell@wcom.com

MxCERT (Mexican CERT)
---Constituency: Mexico (.mx domain)
---Email: mxcert@mxcert.org.mx

NASA Ames Research Center (Principle Center for Information Technology Security)
---Constituency: National Aeronautics and Space Administration
---Email: ais@ames.arc.nasa.gov

NASIRC NASA Incident Response Center
---Constituency: NASA and the International Aerospace Community
---Email: nasirc@nasirc.nasa.gov

NAVCIRT (Naval Computer Incident Response Team)
---Constituency: U. S. Department of Navy
---Email: navcirt@fiwc.navy.mil

NIST/CSRC
---Constituency: NIST and civilian U.S. agencies (guidance only)
---Email: first-team@csmes.ncsl.nist.gov

NORDUnet
---Constituency: NORDUnet
---Email: cert@nordu.net

NU-CERT Northwestern University
---Constituency: Northwestern University Faculty/Staff/Students
---Email: nu-cert@nwu.edu

OSU-IRT - The Ohio State University Incident Response Team
---Constituency: The Ohio State University
---Email: security@net.ohio-state.edu

OxCERT Oxford University IT Security Team
---Constituency: Oxford University
---Email: oxcert@ox.ac.uk

PCERT Purdue Computer Emergency Resp. Team
---Constituency: Purdue University
---Email: pcert@cs.purdue.edu

Pennsylvania State University
---Constituency: Pennsylvania State University
---Email: security@psu.edu

SingCERT (Singapore Computer Emergency Response Team)
---Constituency: Singapore - Internet .sg domain
---Email: cert@singcert.org.sg

Sprint
---Constituency: Sprint
---Email: first-team@sprint.net

SUN Microsystems, Inc.
---Constituency: Customers of Sun Microsystems
---Email: security-alert@sun.com

SUNSeT Stanford University Network Security Team
---Constituency: Stanford University Networks and Systems
---Email: security@stanford.edu

SWITCH-CERT Swiss Academic and Research Network CERT
---Constituency: SWITCH is the Swiss Academic and Research Network
---Email: cert-staff@switch.ch

UNI-CERT - KPN Telecom
---Constituency: Customers of the Internet Service KPN Telecom
---Email: cert@uni-cert.nl

UNIRAS (HM Govt CERT)
---Constituency: HM Government
---Email: uniras@gtnet.gov.uk

USWirt - US West Incident Response Team
---Constituency: Entire Corporation
---Email: wgaspar@uswest.com

[ 참고 사이트 ]
---http://www.cert.org/tech_tips/finding_site_contacts.html
---http://www.first.org/ http://www.certcc.or.kr/