[info] 정보보안사고 증거확보 및 보존요령 by ncsc

** 1단계 : 증거자료 백업
1.1 피해 장비(컴퓨터)의 백업파일 생성
- 로그자료
- 프로세스 정보
- 네트워크 연결상태
- 파일 시스템 정보

* 주의사항 : 피해 장비의 전원차단 실시 등 운영 장비 정지로 사고원인의 증거 발견이 불가능해지지 않도록 주의해야 한다.

** 2단계 : 컴퓨터 하드웨어 파악
2.1 윈도우 시스템
- '내 컴퓨터' 등록정보를 이용, 하드웨어 정보파악

2.2 유닉스, 리눅스 시스템
- dmesg 명령어 이용, 하드웨어 정보파악

** 3단계 : 해당 소프트웨어 파악
3.1 윈도우 시스템
- 제어판의 프로그램 추가/삭제 기능을 통해 시스템에 설치된 프로그램 현황을 파악
* 주의사항 : 레지스트리(Registry) 정보를 통해 세부 사항도 확인해야 한다.

3.2 유닉스, 리눅스 시스템
- 운영체제에 맞는 명령어를 사용하여 파악
- Linux : RPM(RedHat Package Manager)명령 실행
- Solaris(SUN O/S) : pkgadd, pkgrm, pkginfo 명령 실행
- HP-UX : swinstall 명령 실행- SCO OpenServer : pkgadd, pkgrm, custom 명령사용
- FreeBSD : pkg_add, pkg_delete, pkg_info 명령사용

** 4단계 : 파일목록 작성 및 조사
4.1 윈도우 시스템
- 모든 파일의 검색 : 검색옵션을 모든 파일을 볼 수 있도록 선택하고 탐색기를 사용하여 전체 파일 현황을 파악
- 특정 파일의 검색 : 검색옵션을 특정 파일을 볼 수 있도록 선택하고 탐색기를 이용, 특정 파일 현황을 파악

4.2 유닉스, 리눅스 시스템
- 모든 파일의 검색 : 'ls' 명령어를 사용하고 '-a' 또는 '-al' 옵션을 사용하여 전체 파일의 목록을 확인
- 특정 파일의 검색 : 'find' 명령어를 사용하여 특정파일의 위치를 확인

** 5단계 : 증거자료 추출
5.1 증거자료 백업매체
- '원본'과 동일한 형태, 동일 모델로 저장 보관

5.2 증거자료 추출분석
- 원본 같은 이미지 복사본을 사용
- 하드웨어적 이미지 복사 : Encase등과 같은 하드디스크 복사기로 복사 (고가의 정밀수사에 사용)
- 소프트웨어적 복사 : '고스트' 프로그램 사용

5.3 증거자료 분석환경
- 컴퓨터 범죄가 일어난 환경과 동일하게 준비 (ex, 동일환경의 하드웨어 준비 등)

** 6단계 : 증거자료 분석, 확보
6.1 일반적 문서파일
- 특정 키워드가 포함된 문서 검사

6.2 회계 파일
- 사용한 회계용 프로그램 파일 분석

6.3 데이터베이스 파일
- 원본 데이터베이스 무결성 검사
- 데이터베이스 구조, 테이블 구성 조사