반응형
/********************************************************************************************
-- Title : [CISSP] ™ 법 조사 윤리
-- Reference : its21c.net
-- Key word : cissp
********************************************************************************************/
▶ 지적 재산권 법(Intellectual Property Law)
- 상표권 (Trademark)
- 식별을 위해 만든 심볼
- 특허권 (Patent)
- 지정된 기간동안 특허 권리 침해에 대해 법적으로 배타적 권리를 가짐
- 발명특허 : 과학, 기술 공학을 이용한 고도의 창작물을 보호
Protects the Precess of How To Build the Product of the Idea
- 실용신안특허
- 혁신적이고, 산업상 유용하고, 누구나 알아낼 수 있는것이 아니어야 하며 가장 먼저 출원되어야 함
- 저작권 (Copyrignt)
- 저자의 생각이 표현된 작품(Idea, 창작물)을 보호 (Protect How the Idea is Expressed)
- 컴퓨터 프로그래밍과 관련된 저작권 보호 : OS, Source Code, DB, 프로그램 Structure 등
- 메뉴 화면에 대해서는 저작권법의 보호를 받을 수 없음
- 전자 정보는 접근 권한을 획득되는 순간 그 정보에 접근, 사용 한 것으로 간주함
- 기업기밀 (Trade Secret)
- 소유자에게 유용하게 사용될 수 있도록 기밀이 보호되어야 할 독점기술, 사업정보
- 기업기밀의 요건 : 소유자가 정보 개발을 위해 자원을 투자
소유자 사업에 가치가 있어야 함
경쟁사에도 가치가 있어야 함
정보 보호를 위해 적합한 노력을 기울여야 함
- 기업기밀을 보호하기 위한 방법 : 문서 복사본에 관리번호 부여
복사본 생성 제한
문서 관리 대장을 통해 문서 배포 통제
통제된 저장소에 보관
컴퓨터 파일과 단말기를 점검 (보안 SW 설치)
▶ 정보 사생활 보호법 (Information Privacy Law)
- 의도적, 의도되지 않은 노출이나 오용으로부터 개인의 사생활 관련 정보를 보호
- 전자 모니터링 (Electronic Monitoring)
- 종류 : Keystroke, Email, 감시카메라, 마그네틱 엔트리 카드 모니터링 등
- 적법한 방법으로 모니터링을 수행해야 함
- 모니터링에 대해 직원이 동의하고 사용, 보안 정책 위반 시 처벌에 복종하도록 해야 함
- 모든 직원에게 동일하게 적용됨을 알려야 함
- 모니터링 대상이 얼마나 오래 백업되는지 설명해야 함
- 개인 정보 수집 시 반드시 수집 목적을 밝혀야 하고 수집된 정보는 미리 고지된 목적 이 외 사용
불가
▶ 법적 책임
- 주의 의무 (Due Care)
- 사회적으로 통용되는 자산에 대한 통상적 보호 노력
- 공공부문은 관련 법령에 따라, 민간부문은 사업 영역에 따라 기준을 반영
- 주의 의무 이행 시 조직의 보안에 문제가 생기더라도 전적으로 책임을 지지 않을 수 있음
- 주의 의무 이행을 위한 보호방안을 수립
- 지속적 노력 의무 (Due Diligence)
- 주의 의무에 대한 성실한 관리와 이행 (1회성이 아님)
- 정보 보안이 지속적으로 적합하게 유지되고 있음을 보증하기 위한 지속적 노력
▶ 윤리강령
- 규정(Canon) : 강제적인 규정
- 사회와 국가 기간 시설 보호
- 정직, 공정, 책임감, 합법적 행동
- 고객에게 근면하고 경쟁력있는 서비스 제공
- 직업적 명성 보호 및 지속적인 전진
- 안내(Guidance) : 권고 사항
- OECD 개인정보보호 8대 원칙
- 수집제한의 원칙
- 정보 내용의 원칙
- 목적 명확화의 원칙
- 이용 제한의 원칙
- 안전보호의 원칙
- 공개의 원칙
- 개인참가의 원칙
- 책임의 원칙
▶ 사고조사 기법
- 단계 : 사전 준비 → 침해사고 식별 → 피해 억제 → 원인 근절(제거) → 원상회복
- 사전 준비
- 침해사고 식별
- 조기에 침해사고를 발견 시 현장 보존 후 침해사고에 대한 공지와 경고
- 현장 보존이 최우선 단계
- 보고대상 : 조직관리자, 보안담당자, 침해사고 처리팀
- 침해사고 보고 순서 : 관리자 → 내부신고 연락처 → 지역(국가단위) 침해사고 처리팀
- 피해 억제
- 보고 받은 즉시 현장으로 처리팀을 파견하거나 보안 담당자에게 초기 조치 방안을 전달
- 시스템을 네트워크에서 분리
- 시스템을 백업(2개 이상 이미지 백업, 4개 권장)
- 작은 증거라도 훼손되지 않도록 보존
- 백업받은 시스템을 분석, 보고
- 지속적인 위험 존재의 파악을 위해 주변 시스템들에 대한 로그 분석
- 원인 근절(제거)
- 침해 사고의 원인과 징후를 분석
- 보안대책 수립, 시행
- 침해 사고의 원인을 제거
- 원상 회복
- 운영 재개 후 시스템을 모니터링
▶ 증거
- 최상의 증거 : 신뢰성 있는 최우선 증거, 문서화 된 증거(계약서)
- 2차증거 : 최상의 증거에 못미치는 증거, 구두 증언이나 원본의 사본
- 직접증거 : 가정이나 추론의 필요 없이 그 자체로 사실을 증명하는 증거(목격자의 증언)
- 정황증거 : 직접 증거는 될 수 없으나 다른 사실의 존재를 추론, 가정, 증명할 때 이용되는 증거
- 결정적 증거 : 더 이상의 이견이 필요없는 한가지 결론을 도출하여 반박, 부인할 수 없는 증거
- 보강증거 : 어떤 생각이나 사건의 논리를 돕는 다른 성격의 추가적 증거
- 의견증거 : 사실에 대한 본인의 의견이 아닌 단지 보고 들은 사실에 대해서만 증언한 것
전문가의 증언인 경우 개인적 전문성과 사실에 따라 의견을 말할 수 있음
- 풍문증거, 간접증거 : 다른 원천으로부터 수집된 증거(단순 로그), 법정에서 받아들여지지 않음
컴퓨터에 의해 생성된 정보는 정확성과 신뢰성을 입증할 수 없어 풍문증거의
범주에 속함
▶ 증거의 법칙
- 최상의 증거 원칙 : 법원에서 허용되는 증거는 원본이어야 함
증거의 변조를 방지하기 위한 원칙
천재지변, 정상적 업무절차에 따라 원본이 파괴된 경우 복사본 허용
법원의 소환에 따를 의무가 없는 제 3자가 원본을 소유한 경우 복사본 허용
- 증거 배제의 원칙 : 법으로 규정한 압수 및 수색 절차에 따라 획득 되어야 함, 그렇지 않을경우 법적
인정 불가
직원들에게 사전공지 없이 획득한 모니터링 자료는 증거 배제
- 풍문 증거의 원칙 : 풍문 증거는 법정에서 인정되지 않음
컴퓨터에서 생성된 대부분의 증거
- 풍문증거가 법원에서 인정받기 위한 조건
- 일회성 데이터 수집이 아니라 정상적인 업무 도중에 수집된 증거
- 정상적인 업무 절차에 따라 수집된 증거
- 전문적 지식을 가진 직원에 의해 수집된 증거
- 법률적 조건을 갖춘 관리자나 증인의 증언을 통해 입증된 증거
▶ 증거의 법정 허용
- 법원에서 인정받기 위한 증거의 요건
- 논리적 연관성 : 논리적으로 실제 사실을 입증 가능해야 함
- 신뢰성 : 증거에 대한 신뢰성
- 충분성 : 다른 어느 누구도 반론할 수 없는 설득력이 있어야 함
- 증거 보관 절차 (Chain of Evidence)
- 증거가 수집, 분석, 이동되고 법정에서 제시될 수 있도록 보존되는 것을 보여주는 기록
- 법원에 증거 제출 시 원본과 똑같은 상태임을 보여주어야 함(무결성)
- 증거에 대한 신뢰성을 입증
- 증거의 Life Cycle
- 발견과 인지
- 보호 : 증거가 훼손되지 않도록 보존
- 기록 : 현장과 증거에 대해 기록, 사진이나 비디오 촬영
- 수집 : 전원을 끄기 전에 HDD 이미지와 메모리 Dump
- 식별 : 수집된 증거에 날짜, 시간, 수집자 이니셜, 사건번호 등을 마킹
펠트펜을 제외하고 표면에 아무것도 마킹하지 않음
릴투릴 마그네틱 테이프는 앞부분 10~15피트 이내의 윤이나지 않는 부분에 마킹 가능
출력물의 경우 적절한 컨테이너에 담아 밀봉 후 마킹
- 보존
- 전송
- 법정에 제시
- 소유자에 반환
▶ 컴퓨터 범죄 수사 기법
- 법원이 인정할만한 컴퓨터 관련 증거를 수집, 보존, 분석하여 법원에 제출, 결정적 근거로 활용하는
기술
- 기본 기술
- 원본 데이터를 변형 없이 증거로 수집
- 보관한 증거가 원본 데이터와 다르지 않음을 입증
- 데이터 분석 시 변조됨 없이 분석
- 작업 절차
1. 디스크 이미지 백업 : 메모리 덤프 후 원본 컴퓨터에서 HDD를 분리
원본 HDD를 이미지 백업시 최소 2 Copy, 권장 4 Copy 를 받음
2. 검사 컴퓨터에서 데이터 분석 : 숨겨지거나 삭제, 암호화 된 파일, 디렉토리를 분석
3. 원본 컴퓨터를 복제 HDD로 다시 조립해 부팅하며 분석
4. 각종 저장매체에 있는 데이터를 복제, 분석
5. 분석 결과를 정리
---
-- Title : [CISSP] ™ 법 조사 윤리
-- Reference : its21c.net
-- Key word : cissp
********************************************************************************************/
▶ 지적 재산권 법(Intellectual Property Law)
- 상표권 (Trademark)
- 식별을 위해 만든 심볼
- 특허권 (Patent)
- 지정된 기간동안 특허 권리 침해에 대해 법적으로 배타적 권리를 가짐
- 발명특허 : 과학, 기술 공학을 이용한 고도의 창작물을 보호
Protects the Precess of How To Build the Product of the Idea
- 실용신안특허
- 혁신적이고, 산업상 유용하고, 누구나 알아낼 수 있는것이 아니어야 하며 가장 먼저 출원되어야 함
- 저작권 (Copyrignt)
- 저자의 생각이 표현된 작품(Idea, 창작물)을 보호 (Protect How the Idea is Expressed)
- 컴퓨터 프로그래밍과 관련된 저작권 보호 : OS, Source Code, DB, 프로그램 Structure 등
- 메뉴 화면에 대해서는 저작권법의 보호를 받을 수 없음
- 전자 정보는 접근 권한을 획득되는 순간 그 정보에 접근, 사용 한 것으로 간주함
- 기업기밀 (Trade Secret)
- 소유자에게 유용하게 사용될 수 있도록 기밀이 보호되어야 할 독점기술, 사업정보
- 기업기밀의 요건 : 소유자가 정보 개발을 위해 자원을 투자
소유자 사업에 가치가 있어야 함
경쟁사에도 가치가 있어야 함
정보 보호를 위해 적합한 노력을 기울여야 함
- 기업기밀을 보호하기 위한 방법 : 문서 복사본에 관리번호 부여
복사본 생성 제한
문서 관리 대장을 통해 문서 배포 통제
통제된 저장소에 보관
컴퓨터 파일과 단말기를 점검 (보안 SW 설치)
▶ 정보 사생활 보호법 (Information Privacy Law)
- 의도적, 의도되지 않은 노출이나 오용으로부터 개인의 사생활 관련 정보를 보호
- 전자 모니터링 (Electronic Monitoring)
- 종류 : Keystroke, Email, 감시카메라, 마그네틱 엔트리 카드 모니터링 등
- 적법한 방법으로 모니터링을 수행해야 함
- 모니터링에 대해 직원이 동의하고 사용, 보안 정책 위반 시 처벌에 복종하도록 해야 함
- 모든 직원에게 동일하게 적용됨을 알려야 함
- 모니터링 대상이 얼마나 오래 백업되는지 설명해야 함
- 개인 정보 수집 시 반드시 수집 목적을 밝혀야 하고 수집된 정보는 미리 고지된 목적 이 외 사용
불가
▶ 법적 책임
- 주의 의무 (Due Care)
- 사회적으로 통용되는 자산에 대한 통상적 보호 노력
- 공공부문은 관련 법령에 따라, 민간부문은 사업 영역에 따라 기준을 반영
- 주의 의무 이행 시 조직의 보안에 문제가 생기더라도 전적으로 책임을 지지 않을 수 있음
- 주의 의무 이행을 위한 보호방안을 수립
- 지속적 노력 의무 (Due Diligence)
- 주의 의무에 대한 성실한 관리와 이행 (1회성이 아님)
- 정보 보안이 지속적으로 적합하게 유지되고 있음을 보증하기 위한 지속적 노력
▶ 윤리강령
- 규정(Canon) : 강제적인 규정
- 사회와 국가 기간 시설 보호
- 정직, 공정, 책임감, 합법적 행동
- 고객에게 근면하고 경쟁력있는 서비스 제공
- 직업적 명성 보호 및 지속적인 전진
- 안내(Guidance) : 권고 사항
- OECD 개인정보보호 8대 원칙
- 수집제한의 원칙
- 정보 내용의 원칙
- 목적 명확화의 원칙
- 이용 제한의 원칙
- 안전보호의 원칙
- 공개의 원칙
- 개인참가의 원칙
- 책임의 원칙
▶ 사고조사 기법
- 단계 : 사전 준비 → 침해사고 식별 → 피해 억제 → 원인 근절(제거) → 원상회복
- 사전 준비
- 침해사고 식별
- 조기에 침해사고를 발견 시 현장 보존 후 침해사고에 대한 공지와 경고
- 현장 보존이 최우선 단계
- 보고대상 : 조직관리자, 보안담당자, 침해사고 처리팀
- 침해사고 보고 순서 : 관리자 → 내부신고 연락처 → 지역(국가단위) 침해사고 처리팀
- 피해 억제
- 보고 받은 즉시 현장으로 처리팀을 파견하거나 보안 담당자에게 초기 조치 방안을 전달
- 시스템을 네트워크에서 분리
- 시스템을 백업(2개 이상 이미지 백업, 4개 권장)
- 작은 증거라도 훼손되지 않도록 보존
- 백업받은 시스템을 분석, 보고
- 지속적인 위험 존재의 파악을 위해 주변 시스템들에 대한 로그 분석
- 원인 근절(제거)
- 침해 사고의 원인과 징후를 분석
- 보안대책 수립, 시행
- 침해 사고의 원인을 제거
- 원상 회복
- 운영 재개 후 시스템을 모니터링
▶ 증거
- 최상의 증거 : 신뢰성 있는 최우선 증거, 문서화 된 증거(계약서)
- 2차증거 : 최상의 증거에 못미치는 증거, 구두 증언이나 원본의 사본
- 직접증거 : 가정이나 추론의 필요 없이 그 자체로 사실을 증명하는 증거(목격자의 증언)
- 정황증거 : 직접 증거는 될 수 없으나 다른 사실의 존재를 추론, 가정, 증명할 때 이용되는 증거
- 결정적 증거 : 더 이상의 이견이 필요없는 한가지 결론을 도출하여 반박, 부인할 수 없는 증거
- 보강증거 : 어떤 생각이나 사건의 논리를 돕는 다른 성격의 추가적 증거
- 의견증거 : 사실에 대한 본인의 의견이 아닌 단지 보고 들은 사실에 대해서만 증언한 것
전문가의 증언인 경우 개인적 전문성과 사실에 따라 의견을 말할 수 있음
- 풍문증거, 간접증거 : 다른 원천으로부터 수집된 증거(단순 로그), 법정에서 받아들여지지 않음
컴퓨터에 의해 생성된 정보는 정확성과 신뢰성을 입증할 수 없어 풍문증거의
범주에 속함
▶ 증거의 법칙
- 최상의 증거 원칙 : 법원에서 허용되는 증거는 원본이어야 함
증거의 변조를 방지하기 위한 원칙
천재지변, 정상적 업무절차에 따라 원본이 파괴된 경우 복사본 허용
법원의 소환에 따를 의무가 없는 제 3자가 원본을 소유한 경우 복사본 허용
- 증거 배제의 원칙 : 법으로 규정한 압수 및 수색 절차에 따라 획득 되어야 함, 그렇지 않을경우 법적
인정 불가
직원들에게 사전공지 없이 획득한 모니터링 자료는 증거 배제
- 풍문 증거의 원칙 : 풍문 증거는 법정에서 인정되지 않음
컴퓨터에서 생성된 대부분의 증거
- 풍문증거가 법원에서 인정받기 위한 조건
- 일회성 데이터 수집이 아니라 정상적인 업무 도중에 수집된 증거
- 정상적인 업무 절차에 따라 수집된 증거
- 전문적 지식을 가진 직원에 의해 수집된 증거
- 법률적 조건을 갖춘 관리자나 증인의 증언을 통해 입증된 증거
▶ 증거의 법정 허용
- 법원에서 인정받기 위한 증거의 요건
- 논리적 연관성 : 논리적으로 실제 사실을 입증 가능해야 함
- 신뢰성 : 증거에 대한 신뢰성
- 충분성 : 다른 어느 누구도 반론할 수 없는 설득력이 있어야 함
- 증거 보관 절차 (Chain of Evidence)
- 증거가 수집, 분석, 이동되고 법정에서 제시될 수 있도록 보존되는 것을 보여주는 기록
- 법원에 증거 제출 시 원본과 똑같은 상태임을 보여주어야 함(무결성)
- 증거에 대한 신뢰성을 입증
- 증거의 Life Cycle
- 발견과 인지
- 보호 : 증거가 훼손되지 않도록 보존
- 기록 : 현장과 증거에 대해 기록, 사진이나 비디오 촬영
- 수집 : 전원을 끄기 전에 HDD 이미지와 메모리 Dump
- 식별 : 수집된 증거에 날짜, 시간, 수집자 이니셜, 사건번호 등을 마킹
펠트펜을 제외하고 표면에 아무것도 마킹하지 않음
릴투릴 마그네틱 테이프는 앞부분 10~15피트 이내의 윤이나지 않는 부분에 마킹 가능
출력물의 경우 적절한 컨테이너에 담아 밀봉 후 마킹
- 보존
- 전송
- 법정에 제시
- 소유자에 반환
▶ 컴퓨터 범죄 수사 기법
- 법원이 인정할만한 컴퓨터 관련 증거를 수집, 보존, 분석하여 법원에 제출, 결정적 근거로 활용하는
기술
- 기본 기술
- 원본 데이터를 변형 없이 증거로 수집
- 보관한 증거가 원본 데이터와 다르지 않음을 입증
- 데이터 분석 시 변조됨 없이 분석
- 작업 절차
1. 디스크 이미지 백업 : 메모리 덤프 후 원본 컴퓨터에서 HDD를 분리
원본 HDD를 이미지 백업시 최소 2 Copy, 권장 4 Copy 를 받음
2. 검사 컴퓨터에서 데이터 분석 : 숨겨지거나 삭제, 암호화 된 파일, 디렉토리를 분석
3. 원본 컴퓨터를 복제 HDD로 다시 조립해 부팅하며 분석
4. 각종 저장매체에 있는 데이터를 복제, 분석
5. 분석 결과를 정리
---
반응형