급증하고 있는 사이버범죄...일반인은 경찰과 KISA 도움 받을 수 있어
경찰 수사 위한 악성코드 분석과 보안기업의 악성코드 분석, 목적이 다르다
[보안뉴스 원병철 기자] 본지에서 가장 많이 다루는 아이템 중 하나이자, 독자들의 많은 관심을 받는 것이 바로 ‘사건·사고’ 기사다. 최근 랜섬웨어 등 기업은 물론 개인까지 피해를 입을 수 있는 사이버 공격이 늘면서 많은 사람들이 주목하고 있기 때문이다.
[이미지=iclickart]
그런데 실제 이런 사건·사고가 발생했을 때, 우리가 할 수 있는 일은 별로 없다. 기업이라면 경찰과 한국인터넷진흥원(KISA)에 신고한 후 자체 보안인력으로 사고 수습에 나서고, 개인이라면 역시 경찰과 KISA에 신고하는 방법뿐이다.
이에 본지는 7월 11일 정보보호의 날을 맞아 실제 사이버 범죄에 피해를 입었을 때 어떻게 신고를 하며, 신고된 사건이 어떻게 접수되고 처리되는지 알아보기로 했다. 또한, 접수된 사건을 경찰이 어떻게 처리하는지도 알아봤다.
보통 사이버 범죄와 관련된 경찰업무는 경찰청 사이버안전국에서 맡지만, 일반인이 별도의 신고루트를 알 수 없기 때문에 보통 통합 신고번호인 112로 신고하거나 가까운 경찰서에 내방해 민원실에서 진정서를 작성하며 피해사실을 신고하게 된다. 사이버범죄는 사이버안전국 내 관련 팀에 배정되며, 사건이 배정되면 담당 수사관이 진술서를 작성하게 된다. 이때 범죄사실을 입증할 수 있는 자료가 있어야만 유리하며, 범죄사실이 인정되면 검찰에 송치된다.
경찰에 따르면 보통 경찰서의 수사관이 약 50여건의 사건을 배정받으며, 경찰청은 약 10여건의 사건을 배정받는다. 어느 사건을 먼저 수사하느냐는 수사관의 판단에 따라 선택되며, 사안이 심각하거나 사건이 명확해 해결이 빠르게 진행될 경우 선택될 가능성이 높다.
참고로 민간 분야 사이버 영역을 책임지고 있는 한국인터넷진흥원은 인터넷침해대응센터와 118 안내전화로 일반인의 상담을 받는다. 주로 PC 등 간단한 문제가 많아 전문 상담원의 상담과 원격 지원으로 해결하며, 사안이 심각할 경우 침해대응본부로 이관해 침해사고분석단이 직접 검토한다. 다만 출동지원은 민원인이 요청하고, 사건의 경중에 따라 진행된다. 상담내용이 범죄와 관련이 있을 경우 KISA 내 ‘사이버 원스톱 센터’로 이관해 경찰청에서 파견 나온 경찰관이 직접 담당하게 된다.
경찰의 악성코드 분석, 단서와 증거 수집이 최종 목표
사이버안전국에서 사건을 맡고 수사하기로 결정되면, 본격적인 수사에 나선다. 다만 사이버안전국은 일반 사건처럼 현장에 출동하거나 수사를 통해 증거를 수집하는 대신 주로 범죄에 사용된 악성코드를 분석해 범인을 추적하거나 증거를 수집한다.
보통 악성코드를 분석하는 기관이나 민간기업(보안기업)의 경우 1부터 100까지 악성코드의 모든 것을 분석하지만, 사이버수사에서는 크게 2가지를 목표로 한다. 바로 △수사의 단서(추적 단서)로 활용할 수 있는 데이터와 △범죄사실을 증명할 수 있는 데이터. 사이버안전국 역시 궁극적인 목표는 범인을 잡고 증거를 바탕으로 적법한 대가를 치르도록 하는 것이기 때문이다.
이 때문에 보안업체와 수사기관의 악성코드 분석은 비슷하면서도 다르다. 예를 들면, 보안업체는 백신 에이전트나 보안장비, 바이러스 토탈 등에서 악성코드를 수집한다면, 수사기관은 좀비PC나 제보, 수사에서 수집한다. 또한, 보안업체가 악성코드를 분석해 백신에 반영하고 공격을 차단하는 데 목적을 둔다면, 수사기관은 수사단서 확보와 범죄증거 확보를 우선한다. 무엇보다 보안업체는 백신의 업그레이드와 위협 인텔리전스 생성이 최종 목적이라면, 수사기관은 범죄자 검거와 원인 규명 등 사건 해결이 최종 목적이다.
사이버 수사에서 수사관은 악성코드 분석을 통해 범죄 증거, 즉 악성기능의 여부를 판별하는데 주력하고, 범죄자 추적의 단서는 주로 2차 명령제어(C&C) 서버를 찾는데 중점을 준다. 특히, 수사관은 수집·분석 기술은 물론 관련 법률지식도 필요하며, 구체적인 정적 분석보다 빠른 동적 분석을 선호하는 것으로 알려졌다.
한편, 사이버 수사를 담당하는 수사관은 약 1,400여명으로 수사관 1인당 연간 약 300건의 사건을 담당하기 때문에 인력이 매우 부족한 편이다. 이에 경찰은 개인 스스로가 사이버 위협으로부터 자신을 보호하고, 예방할 수 있도록 주의를 기울여 달라고 당부하고 있다.
[원병철 기자(boanone@boannews.com)]
경찰 수사 위한 악성코드 분석과 보안기업의 악성코드 분석, 목적이 다르다
[보안뉴스 원병철 기자] 본지에서 가장 많이 다루는 아이템 중 하나이자, 독자들의 많은 관심을 받는 것이 바로 ‘사건·사고’ 기사다. 최근 랜섬웨어 등 기업은 물론 개인까지 피해를 입을 수 있는 사이버 공격이 늘면서 많은 사람들이 주목하고 있기 때문이다.
[이미지=iclickart]
그런데 실제 이런 사건·사고가 발생했을 때, 우리가 할 수 있는 일은 별로 없다. 기업이라면 경찰과 한국인터넷진흥원(KISA)에 신고한 후 자체 보안인력으로 사고 수습에 나서고, 개인이라면 역시 경찰과 KISA에 신고하는 방법뿐이다.
이에 본지는 7월 11일 정보보호의 날을 맞아 실제 사이버 범죄에 피해를 입었을 때 어떻게 신고를 하며, 신고된 사건이 어떻게 접수되고 처리되는지 알아보기로 했다. 또한, 접수된 사건을 경찰이 어떻게 처리하는지도 알아봤다.
보통 사이버 범죄와 관련된 경찰업무는 경찰청 사이버안전국에서 맡지만, 일반인이 별도의 신고루트를 알 수 없기 때문에 보통 통합 신고번호인 112로 신고하거나 가까운 경찰서에 내방해 민원실에서 진정서를 작성하며 피해사실을 신고하게 된다. 사이버범죄는 사이버안전국 내 관련 팀에 배정되며, 사건이 배정되면 담당 수사관이 진술서를 작성하게 된다. 이때 범죄사실을 입증할 수 있는 자료가 있어야만 유리하며, 범죄사실이 인정되면 검찰에 송치된다.
경찰에 따르면 보통 경찰서의 수사관이 약 50여건의 사건을 배정받으며, 경찰청은 약 10여건의 사건을 배정받는다. 어느 사건을 먼저 수사하느냐는 수사관의 판단에 따라 선택되며, 사안이 심각하거나 사건이 명확해 해결이 빠르게 진행될 경우 선택될 가능성이 높다.
참고로 민간 분야 사이버 영역을 책임지고 있는 한국인터넷진흥원은 인터넷침해대응센터와 118 안내전화로 일반인의 상담을 받는다. 주로 PC 등 간단한 문제가 많아 전문 상담원의 상담과 원격 지원으로 해결하며, 사안이 심각할 경우 침해대응본부로 이관해 침해사고분석단이 직접 검토한다. 다만 출동지원은 민원인이 요청하고, 사건의 경중에 따라 진행된다. 상담내용이 범죄와 관련이 있을 경우 KISA 내 ‘사이버 원스톱 센터’로 이관해 경찰청에서 파견 나온 경찰관이 직접 담당하게 된다.
경찰의 악성코드 분석, 단서와 증거 수집이 최종 목표
사이버안전국에서 사건을 맡고 수사하기로 결정되면, 본격적인 수사에 나선다. 다만 사이버안전국은 일반 사건처럼 현장에 출동하거나 수사를 통해 증거를 수집하는 대신 주로 범죄에 사용된 악성코드를 분석해 범인을 추적하거나 증거를 수집한다.
보통 악성코드를 분석하는 기관이나 민간기업(보안기업)의 경우 1부터 100까지 악성코드의 모든 것을 분석하지만, 사이버수사에서는 크게 2가지를 목표로 한다. 바로 △수사의 단서(추적 단서)로 활용할 수 있는 데이터와 △범죄사실을 증명할 수 있는 데이터. 사이버안전국 역시 궁극적인 목표는 범인을 잡고 증거를 바탕으로 적법한 대가를 치르도록 하는 것이기 때문이다.
이 때문에 보안업체와 수사기관의 악성코드 분석은 비슷하면서도 다르다. 예를 들면, 보안업체는 백신 에이전트나 보안장비, 바이러스 토탈 등에서 악성코드를 수집한다면, 수사기관은 좀비PC나 제보, 수사에서 수집한다. 또한, 보안업체가 악성코드를 분석해 백신에 반영하고 공격을 차단하는 데 목적을 둔다면, 수사기관은 수사단서 확보와 범죄증거 확보를 우선한다. 무엇보다 보안업체는 백신의 업그레이드와 위협 인텔리전스 생성이 최종 목적이라면, 수사기관은 범죄자 검거와 원인 규명 등 사건 해결이 최종 목적이다.
사이버 수사에서 수사관은 악성코드 분석을 통해 범죄 증거, 즉 악성기능의 여부를 판별하는데 주력하고, 범죄자 추적의 단서는 주로 2차 명령제어(C&C) 서버를 찾는데 중점을 준다. 특히, 수사관은 수집·분석 기술은 물론 관련 법률지식도 필요하며, 구체적인 정적 분석보다 빠른 동적 분석을 선호하는 것으로 알려졌다.
한편, 사이버 수사를 담당하는 수사관은 약 1,400여명으로 수사관 1인당 연간 약 300건의 사건을 담당하기 때문에 인력이 매우 부족한 편이다. 이에 경찰은 개인 스스로가 사이버 위협으로부터 자신을 보호하고, 예방할 수 있도록 주의를 기울여 달라고 당부하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
