Journal of Platform Technology

ICT Platform Society (ICT플랫폼학회)
권호 표지

Computer Security Incident Inspection and Response based on Digital Forensics in Windows10 environment

윈도우10 환경의 디지털 포렌식 기반 침해사고 진단 및 대응

  • 김현우 (아주대학교 정보통신대학원 정보통신공학과) ;
  • 손태식 (아주대학교 사이버보안학과)
  • Received : 2023.05.02
  • Accepted : 2023.07.07
  • Published : 2023.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, real-time cyber threats are constantly occurring for various reasons. Most companies have the characteristic of digitizing important internal information and storing it centrally, so it can be said that the impact is very high when an Computer Security Incident occurs. All electronic device information collected and analyzed in the process of responding to an Computer Security Incident has the characteristic of being subject to change at any time. Submission of related evidence is required in future investigations and courts. At this time, the basic principles of digital forensics, such as the principle of integrity and the principle of chain of custody, must be followed to ensure legitimacy and accuracy of the evidence. In this paper, we propose a digital forensic-based Computer Security Incident Inspection and Response procedure in the Windows 10 environment to secure the legitimacy and accuracy of digital evidence collected and analyzed when an intrusion occurs, prevent intrusion in advance, and quickly recognize it.

최근 다양한 원인으로 실시간 사이버 위협이 지속적으로 발생하고 있다. 대부분의 기업들이 내부 중요정보를 디지털화해 중앙집중식으로 저장하고 있는 특성을 가지고 있어 침해사고 발생 시 영향도가 매우 높다고 할 수 있다. 침해사고 대응 과정에서 수집 및 분석하는 모든 전자기기의 정보들은 수시로 변경이 일어날 수 있는 특성을 가지고 있다. 향후 수사 및 법정에서 관련 증거 자료의 제출이 필요하게 되는데 이때 무결성의 원칙, 절차 연속성(Chain of Custody) 원칙 등 디지털 포렌식의 기본원칙들을 지켜 증거자료의 정당성, 정확성 등을 확보해야 한다. 또한 내부 기밀자료, 개인정보가 유출되어도 모르는 경우가 있으며 디지털 포렌식 기반의 침해사고 진단도 주기적으로 진행해 침해사고의 사전 방지 또는 사고 후에 빠른 인지가 가능하도록 해야 한다. 본 논문에서는 침해사고 발생 시 수집 및 분석한 디지털 증거자료의 정당성 및 정확성 확보, 침해사고 사전 방지 및 사고 후 빠른 인지를 목표로 하는 윈도우10 환경의 디지털 포렌식 기반 침해사고 진단 및 대응 절차를 제안한다.

Keywords

References

  1. Ministry of Science and ICT, Announcement of the results of the 2021 information security survey, Apr. 2022.
  2. Telecommunications Technology Association, Dictionary of information and communication terms, terms.tta.or.kr
  3. J. Y. Son and J. S. kim, Research on Determining the Admissibility of Digital Evidence, Judicial Policy Research Institute(Scourt), pp.44-46. 2015.
  4. J. W. Park, A study on admissibility of the digital evidence which has damaged hash value or non-hash value, Master's Thesis, Sungkyunkwan University, 2020.
  5. J. H. Yoon and M. S. Kim, Procedures of Coping with Each Type of Infringement using Live Forensic Technology, Convergence security journal, Vol.16 No.4 [2016], pp.69-78, 2016.
  6. S. H. Kim, (A)Study on the Improvement of Incident Response Procedures Using Digital Forensic Technique, Master's Thesis, Dongguk University, 2017.
  7. KISA, Incident Analysis Procedure Guide, Jan. 2010.
  8. statista, Market share held by the leading computer (desktop/tablet/console) operating systems worldwide from January 2012 to January 2023, www.statista.com
  9. techrecipe, Windows 11 share is still lower than Windows 7, techrecipe.co.kr/posts/46304
  10. AV-TEST, The AV-TEST Security Report 2019/2020, www.av-test.org
  11. Chronicle Security, Ransomware in a global context, www.virustotal.com
  12. Telecommunications Technology Association, Guidelines for Collection, Acquisition, and Preservation of Digital Evidence, Dec. 2017
  13. NIST, Computer Security Incident Handling Guide, Jan. 2012.