반응형
/********************************************************************************************
-- Title : [CISSP] ™ 법 조사 윤리
-- Reference : its21c.net
-- Key word : cissp
********************************************************************************************/

▶ 지적 재산권 법(Intellectual Property Law)
  - 상표권 (Trademark)
      - 식별을 위해 만든 심볼

  - 특허권 (Patent)
      - 지정된 기간동안 특허 권리 침해에 대해 법적으로 배타적 권리를 가짐
      - 발명특허 : 과학, 기술 공학을 이용한 고도의 창작물을 보호
                       Protects the Precess of How To Build the Product of the Idea
      - 실용신안특허
      - 혁신적이고, 산업상 유용하고, 누구나 알아낼 수 있는것이 아니어야 하며 가장 먼저 출원되어야 함

  - 저작권 (Copyrignt)
      - 저자의 생각이 표현된 작품(Idea, 창작물)을 보호 (Protect How the Idea is Expressed)
      - 컴퓨터 프로그래밍과 관련된 저작권 보호 : OS, Source Code, DB, 프로그램 Structure 등
      - 메뉴 화면에 대해서는 저작권법의 보호를 받을 수 없음
      - 전자 정보는 접근 권한을 획득되는 순간 그 정보에 접근, 사용 한 것으로 간주함

  - 기업기밀 (Trade Secret)
      - 소유자에게 유용하게 사용될 수 있도록 기밀이 보호되어야 할 독점기술, 사업정보
      - 기업기밀의 요건 : 소유자가 정보 개발을 위해 자원을 투자
                                 소유자 사업에 가치가 있어야 함
                                 경쟁사에도 가치가 있어야 함
                                
정보 보호를 위해 적합한 노력을 기울여야 함
      - 기업기밀을 보호하기 위한 방법 : 문서 복사본에 관리번호 부여
                                                     복사본 생성 제한
                                                     문서 관리 대장을 통해 문서 배포 통제
                                                     통제된 저장소에 보관
                                                     컴퓨터 파일과 단말기를 점검 (보안 SW 설치)

▶ 정보 사생활 보호법 (Information Privacy Law)
  - 의도적, 의도되지 않은 노출이나 오용으로부터 개인의 사생활 관련 정보를 보호
  - 전자 모니터링 (Electronic Monitoring)
      - 종류 : Keystroke, Email, 감시카메라, 마그네틱 엔트리 카드 모니터링 등
      - 적법한 방법으로 모니터링을 수행해야 함
      - 모니터링에 대해 직원이 동의하고 사용, 보안 정책 위반 시 처벌에 복종하도록 해야 함
      - 모든 직원에게 동일하게 적용됨을 알려야 함
      - 모니터링 대상이 얼마나 오래 백업되는지 설명해야 함
      - 개인 정보 수집 시 반드시 수집 목적을 밝혀야 하고 수집된 정보는 미리 고지된 목적 이 외 사용
        불가


▶ 법적 책임
  - 주의 의무 (Due Care)
      - 사회적으로 통용되는 자산에 대한 통상적 보호 노력
      - 공공부문은 관련 법령에 따라, 민간부문은 사업 영역에 따라 기준을 반영
      - 주의 의무 이행 시 조직의 보안에 문제가 생기더라도 전적으로 책임을 지지 않을 수 있음
      - 주의 의무 이행을 위한 보호방안을 수립

  - 지속적 노력 의무 (Due Diligence)
      - 주의 의무에 대한 성실한 관리와 이행 (1회성이 아님)
      - 정보 보안이 지속적으로 적합하게 유지되고 있음을 보증하기 위한 지속적 노력

▶ 윤리강령
  - 규정(Canon) : 강제적인 규정
      - 사회와 국가 기간 시설 보호
      - 정직, 공정, 책임감, 합법적 행동
      - 고객에게 근면하고 경쟁력있는 서비스 제공
      - 직업적 명성 보호 및 지속적인 전진

  - 안내(Guidance) : 권고 사항

  - OECD 개인정보보호 8대 원칙
      - 수집제한의 원칙
      - 정보 내용의 원칙
      - 목적 명확화의 원칙
      - 이용 제한의 원칙
      - 안전보호의 원칙
      - 공개의 원칙
      - 개인참가의 원칙
      - 책임의 원칙

▶ 사고조사 기법
  - 단계 : 사전 준비 → 침해사고 식별 → 피해 억제 → 원인 근절(제거) → 원상회복

  - 사전 준비

  - 침해사고 식별
      - 조기에 침해사고를 발견 시 현장 보존 후 침해사고에 대한 공지와 경고
      - 현장 보존이 최우선 단계
      - 보고대상 : 조직관리자, 보안담당자, 침해사고 처리팀
      - 침해사고 보고 순서 : 관리자 → 내부신고 연락처 → 지역(국가단위) 침해사고 처리팀

  - 피해 억제
      - 보고 받은 즉시 현장으로 처리팀을 파견하거나 보안 담당자에게 초기 조치 방안을 전달
      - 시스템을 네트워크에서 분리
      - 시스템을 백업(2개 이상 이미지 백업, 4개 권장)
      - 작은 증거라도 훼손되지 않도록 보존
      - 백업받은 시스템을 분석, 보고
      - 지속적인 위험 존재의 파악을 위해 주변 시스템들에 대한 로그 분석

  - 원인 근절(제거)
      - 침해 사고의 원인과 징후를 분석
      - 보안대책 수립, 시행
      - 침해 사고의 원인을 제거

  - 원상 회복
      - 운영 재개 후 시스템을 모니터링

▶ 증거
  - 최상의 증거 : 신뢰성 있는 최우선 증거, 문서화 된 증거(계약서)

  - 2차증거 : 최상의 증거에 못미치는 증거, 구두 증언이나 원본의 사본

  - 직접증거 : 가정이나 추론의 필요 없이 그 자체로 사실을 증명하는 증거(목격자의 증언)

  - 정황증거 : 직접 증거는 될 수 없으나 다른 사실의 존재를 추론, 가정, 증명할 때 이용되는 증거

  - 결정적 증거 : 더 이상의 이견이 필요없는 한가지 결론을 도출하여 반박, 부인할 수 없는 증거

  - 보강증거 : 어떤 생각이나 사건의 논리를 돕는 다른 성격의 추가적 증거

  - 의견증거 : 사실에 대한 본인의 의견이 아닌 단지 보고 들은 사실에 대해서만 증언한 것
                    전문가의 증언인 경우 개인적 전문성과 사실에 따라 의견을 말할 수 있음

  - 풍문증거, 간접증거 : 다른 원천으로부터 수집된 증거(단순 로그), 법정에서 받아들여지지 않음
                                 컴퓨터에 의해 생성된 정보는 정확성과 신뢰성을 입증할 수 없어 풍문증거의
                                 범주에 속함

▶ 증거의 법칙
  - 최상의 증거 원칙 : 법원에서 허용되는 증거는 원본이어야 함
                              증거의 변조를 방지하기 위한 원칙
                              천재지변, 정상적 업무절차에 따라 원본이 파괴된 경우 복사본 허용
                              법원의 소환에 따를 의무가 없는 제 3자가 원본을 소유한 경우 복사본 허용

  - 증거 배제의 원칙 : 법으로 규정한 압수 및 수색 절차에 따라 획득 되어야 함, 그렇지 않을경우 법적
                              인정 불가
                              직원들에게 사전공지 없이 획득한 모니터링 자료는 증거 배제

  - 풍문 증거의 원칙 : 풍문 증거는 법정에서 인정되지 않음
                              컴퓨터에서 생성된 대부분의 증거

  - 풍문증거가 법원에서 인정받기 위한 조건
      - 일회성 데이터 수집이 아니라 정상적인 업무 도중에 수집된 증거
      - 정상적인 업무 절차에 따라 수집된 증거
      - 전문적 지식을 가진 직원에 의해 수집된 증거
      - 법률적 조건을 갖춘 관리자나 증인의 증언을 통해 입증된 증거

▶ 증거의 법정 허용
  - 법원에서 인정받기 위한 증거의 요건
      - 논리적 연관성 : 논리적으로 실제 사실을 입증 가능해야 함
      - 신뢰성 : 증거에 대한 신뢰성
      - 충분성 : 다른 어느 누구도 반론할 수 없는 설득력이 있어야 함

  - 증거 보관 절차 (Chain of Evidence)
      - 증거가 수집, 분석, 이동되고 법정에서 제시될 수 있도록 보존되는 것을 보여주는 기록
      - 법원에 증거 제출 시 원본과 똑같은 상태임을 보여주어야 함(무결성)
      - 증거에 대한 신뢰성을 입증

  - 증거의 Life Cycle
      - 발견과 인지
      - 보호 : 증거가 훼손되지 않도록 보존
      - 기록 : 현장과 증거에 대해 기록, 사진이나 비디오 촬영
      - 수집 : 전원을 끄기 전에 HDD 이미지와 메모리 Dump
      - 식별 : 수집된 증거에 날짜, 시간, 수집자 이니셜, 사건번호 등을 마킹
                 펠트펜을 제외하고 표면에 아무것도 마킹하지 않음
                 릴투릴 마그네틱 테이프는 앞부분 10~15피트 이내의 윤이나지 않는 부분에 마킹 가능
                 출력물의 경우 적절한 컨테이너에 담아 밀봉 후 마킹
      - 보존 
      - 전송
      - 법정에 제시
      - 소유자에 반환


▶ 컴퓨터 범죄 수사 기법
  - 법원이 인정할만한 컴퓨터 관련 증거를 수집, 보존, 분석하여 법원에 제출, 결정적 근거로 활용하는
     기술

  - 기본 기술
      - 원본 데이터를 변형 없이 증거로 수집
      - 보관한 증거가 원본 데이터와 다르지 않음을 입증
      - 데이터 분석 시 변조됨 없이 분석

  - 작업 절차
      1. 디스크 이미지 백업 : 메모리 덤프 후 원본 컴퓨터에서 HDD를 분리
                                     원본 HDD를 이미지 백업시 최소 2 Copy, 권장 4 Copy 를 받음
      2. 검사 컴퓨터에서 데이터 분석 : 숨겨지거나 삭제, 암호화 된 파일, 디렉토리를 분석
      3. 원본 컴퓨터를 복제 HDD로 다시 조립해 부팅하며 분석
      4. 각종 저장매체에 있는 데이터를 복제, 분석
      5. 분석 결과를 정리



---
반응형

+ Recent posts