보안

플레임과 같은 멜웨어를 이용한 보안 누출 사고 조사하기

Brandon Gregg | CSO 2012.08.08
이를 통해 문서를 지나치게 많이 인쇄하는 사람, USB 드라이브에 파일을 저장하는 사람, 원격 서버에 많은 데이터를 업로드하는 사람을 파악할 수 있다. 또한 360은 쉽게 판독이 가능한 형태로 정보를 보여준다. 표시된 용의자를 클릭하면, 해당 용의자의 의심스러운 행동을 어깨너머에서 보는 것과 같은 동영상으로 보여준다.
 
사례나 아내, 자녀들 등 사람 별로 조사를 할 수 있는 툴을 원한다면, 스펙터 CNE나 e블라스터(eBlaster)가 쓸만하다. 동일하지만 개별적인 기능을 제공하는 프로그램들이다. 
 
스펙터소프트는 동일한 기능을 갖춘 스마트폰용 툴을 선보였다. 이 툴은 전화 통화, GPS, 문자 메시지 등을 감시할 수 있는 모바일 프로그램이다. 가격은 69달러인 이 툴은 프로그램과 사용자 수에 따라 차이가 있다. 물론 사이버게이트(Cybergate) 같은 저렴한 툴이나 오픈소스 프로그램을 이용해 감시를 할 수도 있다.
 
휴대폰 감시 툴, 플렉시스파이
플렉시스파이(Flexispy)는 스펙터소프트 툴에 못지않은 휴대폰 감시 툴이다. 
 
그러나 살고 있는 지역이나 회사 정책에 따라 법적 문제가 초래될 수 있다는 점에 유념해야 한다. 플렉시스파이는 GPS 위치 추적, SMS 포착, 전화 기록 추적 대신 전화 통화를 들을 수 있도록 해주는 툴이다. 또한 전화기가 용의자의 방에 숨겨둔 마이크로폰과 같은 역할을 하도록 기능을 제공한다. 
 
아이튠스(iTunes)와 안드로이드용 앱 스토어에서 이런 무료 휴대폰 감시 툴을 찾을 수 있다. RAT를 통해 증거를 확인하면, 가이던스 소프트웨어의 엔케이스 엔터프라이즈(Encase Enterprise), 액세스 데이터(Access Data)의 FTK, 또는 이미저(Imager) 등의 툴을 이용해 네트워크 설정을 한 후, 용의자의 컴퓨터 시스템 전체 또는 일부를 복제해 자신의 컴퓨터에 증거를 보관하고 분석할 수 있다. 
 
이 툴들은 스펙터소프트 및 다른 멜웨어와 마찬가지로 사용자의 컴퓨터에 노드를 위치시킨 후 원격에서 이미징 프로세스를 시작할 수 있는 액세스를 제공한다. 다운로드 속도는 천차만별이다. 그러나 사설망을 사용할 경우 전송률이 500mbs에 달하기 때문에 완전한 이미지의 경우 단 몇 시간에, 파일의 경우 단 몇 초 만에 작업을 완료할 수 있다.
 
또한 사용자의 PDF, 마이크로소프트 문서 등의 파일에 html 코드를 숨겨 문서를 추적할 수 있다. 앞서 언급한 원격 이미징 툴과 RAT을 이용하고, 네트워크를 설정해 용의자의 문서를 다운로드 받아 실행, 추적 코드를 심은 후, 사용자의 컴퓨터에 다시 위치시킬 수 있다. 
 
그러면 다른 컴퓨터로 전송을 완료한 후 문서를 실행할 경우에도, 최종 사용자의 IP 주소와 시스템 정보를 웹 카운터나 쿠키를 수집하는 것과 마찬가지로 수집할 수 있다. 이는 기밀 정보가 인가되지 않은 시스템으로 옮겨졌는지 보여주는 중요한 증거가 될 수 있다.
 
단 이런 툴을 이용하기 앞서, 해당 지역의 인터넷 및 전화 관련 법률과 회사 규정을 확인해야 한다. 또한 직원들의 프라이버시 권리도 염두에 둬야 한다. 이 네 가지 방법을 이용하면 이란의 컴퓨터 시스템에 침투한 플레임과 같은 효과를 얻을 수 있다. 특히 미 국가안보국(NSA)조차 부러워할 수준의 조사와 증거 수집이 가능하다. editor@itworld.co.kr
 
*Brandon Gregg은 기업 보안 사고 조사 담당 매니저다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.