보안관제센터 보안분석팀 김지우​

침해사고의 재구성은 실제 발생했던 침해사고 기록을 각색하여 한 편의 에피소드처럼 다루는 장으로 사건편과 해결편이 한 묶음이다. 

이를 통해 침해사고 발생 시 어떠한 부분은 점검하고 확인해야 하는지 침해대응 방법에 대해 다뤄보고자 한다.

1. 사건내용

평소 회사 내에서 손꼽히는 미녀로 인기가 많았던 김과장은 최근에 이상한 기분이 들기 시작했다. 

그 기분의 원인은 자신의 PC에서 발생하는 현상에 인한 것으로 분명 자신이 비우지 않았는데 PC의 휴지통이 비워져 있다던가 열람하지 않았던 메일이 열어본 것으로 표시되는 일이 있었고 또 한번은 자신이 퇴근했던 시간에 PC가 부팅되었던 건지 카OO톡에서 "PC에서 로그인 되었다"는 메시지를 받았던 일도 있었다.

지난 스팸메일 사건으로 인해 의기소침해 있던 나보안씨는 또다시 김과장에게 이상한 일이 생기자 "이번엔 기필코..!!" 라는 생각과 함께 의욕을 불태우며 조사를 시작하였고 얼마 지나지 않아 원인을 밝혀낸다.

과연 나보안씨가 밝혀낸 진실은 무엇일까?

2. 조사내용

네트워크 구성도에 따르면 김과장 PC와 인터넷 사이엔 방화벽 하나만 존재하며 나보안씨가 방화벽 로그를 확인한 결과 김과장 PC에서 악성코드 유포지로 접근한 기록은 발견되지 않았다.

이에 나보안씨는 김과장 PC에 이상행위에 대한 모든 흔적이 존재할 것으로 판단하고 네트워크 통신 기록과 시스템 로그 등을 조사하기 시작한다.

[표 1] 네트워크 통신 기록

조사가 진행되면서 김과장 PC에는 화면보호기 설정이 안되어 있으며 김과장 말에 따르면 13일은 9시 10분~ 9시 30분까지 회의가 있어 컴퓨터를 켜 놓은 상태에서 자리를 비웠다는 사실도 알게 되었다.

[그림 2] MFT(Master File Table) 정보

 [그림 3] Windows Event 로그(Security)

[그림 4] USB 접속 기록

[그림 5] Guest 계정 정보

조사결과 나보안씨는 김과장이 느꼈던 이상한 기분의 원인을 찾을 수 있었고 바로 조치하여 김과장에게 감사의 인사와 함께 점심약속까지 잡을 수 있었다.

3. 문제