2-1. 분석을 시작하기 전에 경찰 수사가 필요 없는 경우
해당 악성코드로 인한 피해가 발생했을 경우, 방문자(고객, 회원 등) 공지 계획을 수립하고 필요에 따라 유관기간에 신고. 삽입 코드로 인한 심각성, 피해확산 여부와 해당 시스템의 상황을 고려하여 서비스 중지 여부 결정

2-2. 분석을 시작하기 전에 경찰 수사가 필요한 경우
사안에 따라 사법기관의 수사가 필요한 경우엔 경찰 사이버테러대응센터에 신고
사법기관의 수사가 진행 될 경우, 증거의 무결성/완전성 확보를 위해 rebooting, 전원 off 를 포함한 모든 조치는 해당 기관의 안내에 따라야 한다.

3. 본격적인 분석 시작
악성 코드가 삽입된 파일을 모두 찾았다면 MAC time 을 포함한 속성정보를 기록/보존하여 차후 분석을 위한 단서로 활용
시스템 정보 및 각종 로그를 확보하여 코드를 삽입한 경위와 침입자 행위 분석
파악된 사고 원인을 상세히 분석하고 추가 피해 여부 등을 조사

4. 보완 조치 및 서비스 재개
보안코딩, 취약점 제거, 보안 업데이트 등의 조치를 취한 후 서비스 재개
“원인을 찾아서 제거하지 않고 단순히 OS 만 재설치 하게 되면, 사고의 원인도 함께 재설치 됩니다.!”

웹보안 4종 가이드 중 “웹 서버 구축 보안점검 가이드” 참조
http://nextline.net/?inc=support&html=pds_view&no=238&name=윈도우즈&home=

만약 악성코드를 찾지 못했다면 관리자가 알아보기 어렵게 인코딩한 경우도 많으므로 아래의 그림과 문서를 참고하여 확인 해 보시기 바랍니다.

escape 기능으로 인코딩한 스크립트	별도 함수를 혼용하여 인코딩한 스크립트

윈도우즈의 경우 ‘findstr’ 명령어를 이용해 웹 소스코드 내의 문자열을 검색하십시요.
예) c:\>findstr /S “찾을 문자열” c:\inetpub\wwwroot\*.

시스템 정보 수집을 위해선 OS 별로 시스템 로그, 웹 로그, 이벤트 로그, 보안 로그, DB 테이블 정보 등을 MAC time 에서 확보한 일시를 기준으로 집중 조사하셔야 합니다.

유닉스 계열의 경우 find 명령의 mtime 또는 ls 명령 활용

Find 용례: $ find /웹홈디렉토리 -mtime -3 -print // 3일 이내에 수정된 파일 검색

ls 용례: $ ls -Ralt --full-time                              // mtime 기준으로 정렬해서 출력

윈도우즈 계열의 경우 해당 파일의 속성(등록정보) 조회

(그림) 윈도우즈 파일의 MAC time 정보


OS 및 어플리케이션 계정, DB 계정 및 테이블 등을 조사하여 침입자가 생성한 것들이 남아 있는지 반드시 확인해야 합니다. 추후 취약한 소스의 보안 코딩, 윈도우즈 및 OS 커널 등의 업데이트, 웹 방화벽 등을 설치하여 보완 조치 하셔야 합니다. 서비스를 재개한 뒤에도 일정기간 모니터링 하며 재발 여부 확인이 필요합니다.