사건대처 정책 만들어야 … ‘인력·프로세스·조사 툴’ 중요

지적 자산 절도 사건이 있다고 하자. 한 직원이 매우 중요하고 민감한 문서를 경쟁 회사로 누출시켰다. 어떤 일이 발생했는지를 분석한 다음, 연루된 자들을 기소하는 프로세스를 갖고 있는가? 독자 설문조사에 응답한 사람의 절반이 아니라고 답했다. 본고에서는 사건 대응 정책을 마련하고, 보안 위협이 발생하기 이전에 미리 전담 팀을 둠으로서 회사의 자산과 명성을 보호할 수 있는 방법을 소개한다.

정보보안 사건은 총결산에 영향을 미친다. 회사에서 지역, 혹은 연방 범죄수사에 연관될 경우 부정적인 PR만으로도 돌이키기 힘든 결과를 가져올 수 있다. 한편 위반 그 자체 비용은 차치하고라도 피해대책과 법적 대응에만 수억 달러가 들어갈 수 있다. 사실 494명의 컴퓨터 보안 관련자들을 대상으로 한 2004년 CSI/FBI 컴퓨터 범죄 및 보안 설문조사에 따르면, 정보자산 절도로 인해 발생하는 평균 손실액이 270만달러에 이른다고 한다.
사건대처 정책을 개발하고 시행함으로서 돈을 아끼고 위험을 최소화할 수 있다. 성공적인 사건대처 정책은 사람들(잘 훈련된 팀), 프로세스(사건이 발견됐을 때에 대비한 행동 계획) 및 제품이 혼합돼 있으며, 다양한 툴에 대해서는 제 2부에서 언급하기로 한다. 1부에서는 팀을 만들고 계획을 짤 때 무엇을 고려해야 하는지를 알아보기로 하자.

정보보안, 누가 하나
성공적인 사건 처리는 적절히 훈련된 팀으로 시작된다. 정보보안 부서는 아마 많은 역할을 수행하는 몇 명의 훈련된 개인들로 구성될 것이며, 가끔씩 이를 ‘한 사람에 모자 1천 개가 있는 인프라’라고도 한다. 어쨌든 정보보안 대처 가이드라인에서는 각 사업단위의 책임을 명확하게 규정해야 한다. 임원급에서부터 평사원에 이르는 모든 사람이 각자 해야 할 의무가 있다. 다음은 조직에서 충족돼야 할 임무와 이들의 직무에 대한 분석이다:

>> 정보보안 경영위원회(Infosec Executive Steering Committee)에서는 정보보안 부서의 방향을 전체적으로 설정한다. 전체적인 비즈니스의 위험이 평가되고, 정보보안 정책 배치에 포함이 되는 장소가 바로 이 곳이다. 큰 그림에 대한 결정을 내리는 이 위원회는 예를 들어 사업 단위에서 보안 정책을 준수하고 있든 아니든 관계없이 조직을 보호하도록 만들어진 창안들의 진행 상황과 준수 여부를 검토한다. 이 위원회는 보통 비용이윤 분석을 수행하고, 그 결과를 기반으로 방향을 제시할 수 있는 상부 관리자들로 구성돼 있다. 예를 들어 토큰으로 제공되는 별도의 보안이 과연 하드웨어와 헬프데스크 비용을 충당할 만한 가치가 있는 것인가? 대부분의 보안 지지자들은 그렇다고 하겠지만, 엔드유저 지원을 책임진 사람이라면 아니라고 할 수도 있다.

>> 정보보안 부서에서는 전체적인 사건대처 프로세스를 포함해 모든 정책과 표준을 관리한다. 이 팀은 보고된 사건들의 조사를 포함해, 정기적인 감사와 평가를 수행한다. 내부와 외부 네트워크 프레전스 및 인프라 모두로의 변화나 추가를 포함한 모든 신규 프로젝트의 개발은 이 부서에서 평가 및 승인돼야 한다. 예를 들어 HR에서 전체 회사로 액세스가 가능한 전 직원의 주소록 정보 데이터베이스를 만들고자 한다면, 처리 이전에 정보보안 부서의 승인을 받아야 한다.

>> 기업 보안팀과 HR에서는 조사가 보증되면 언제든지 함께 작업을 한다. 보안팀에서는 손실을 가져올 수 있는 부정행위와 정책 위반을 조사하며, 이러한 위반들 가운데 하나에 정보 자산이 포함돼 있을 경우에는 언제든 정보보안 부서와 밀접하게 작업을 한다. 기업보안팀과 HR은 신상 조사를 실시하고, 물리적인 보안 정책 및 프로세스를 관리한다.

>> 네트워크 운영자들은 정보보안 부서에서 만든 정책을 직접 실행한다. 이들은 네트워크와 시스템을 안전하게 유지하며, 새로운 개발 창안들을 이행한다. 인케이스 엔터프라이즈(EnCase Enterprise)와 같은 포렌직 툴을 설치하기로 했다면 생산 시스템에 클라이언트 서브릿을 설치하기 위해 네트워크 운영자의 도움을 받아야 할 것이다. 모든 운영자들은 보통 처음으로 이상 현상을 알아채는 사람들이기 때문에 최초의 대응자들로서 교육을 받아야 한다.

>> 엔드유저들은 정보보안 부서와 로컬 네트워크 운영자들에게 이상하고 비정상적인 행동을 보고하도록 훈련받아야 한다. 사용자는 의심스런 사건들의 보고 등과 같은 기업의 보안 정책을 따라야 하는데, 이는 말처럼 그리 쉽지만은 않다. 여기서 할 수 있는 가장 좋은 조언은 방향을 위쪽으로 잡으라는 것이다. 즉 보안 정책을 위반하는 사용자를 보면, 관리자에게 통보하라. 힘든 전투이긴 하지만 치를만한 가치가 있다.

정보보안 정책 개발 및 프로세스를 문서화하고, 할당하고, 관리할 때는 이러한 임무를 늘 염두에 두어야 한다. 물론 각 팀이 참여하는 수준은 사건의 종류와 심각성에 따라 달라질 것이다. 일반적으로 정보보안 팀에서는 기술에 관련된 모든 조사를 수행하고, 사건에 영향을 받는 사람들과 함께 작업해 정보를 수집한다. 조사 과정에서 행해지는 모든 과정은 법적인 문제가 생겼을 때 증거자료로서 사용될 수 있도록 문서화가 돼 있어야 한다.
여기서는 두 가지 확실한 개념들에 대해 언급하고 넘어가야 할 것 같다. 우선 알려진 사실만을 문서화하는 게 매우 중요하다. 근거 없는 정보는 법정에서도 효력이 없기 때문이다. 관련된 모든 이메일과 음성 메일의 카피들은 반드시 저장해서 어떠한 사건 보고서에도 적절히 넣을 수 있어야 한다. 둘째, 당신이 만든 사건대처 계획을 고문 변호사에게 검토하도록 하고, 조금이라도 법적 소송의 가능성이 있으면 회사 법률 팀의 충고와 지시를 확보하도록 하라.

정책 개발의 단계
정책을 개발할 때는 사건대처가 분석, 조정/처리, 해결 등 세 단계로 구성된다는 것을 명심하라.
분석 기간 동안에서는 사건과 관련된 모든 증거 자료들을 수집한다. 증거는 조사 중인 주 시스템뿐만 아니라 몇 개의 소스로부터도 확보될 수 있다는 사실을 명심하라. 예를 들어 문서가 이메일이나 대안 수단을 통해 네트워크에서 불법적으로 전달이 되었다면, 네트워크 트래픽이나 접속 로그는 포함된 연루자뿐만 아니라 관련 날짜나 시간을 식별하는 데도 도움이 되지 못할 수 있다. 정보보안 정책은 IDS 로그, 프록시 로그, 시스템 방화벽 로그 및 SMTP나 메일 서버 로그 등을 포함하되, 여기에 한정되지 않으면서 전체 네트워크에서의 트래픽 로깅과 아카이빙을 지시해야 한다.
네트워크 상의 모든 시스템은 이들의 무결성이 검증될 수 있을 때까지는 의심스러운 것으로 간주돼야 한다. 이는 즉 입증될 때까지의 범죄는 무죄라는 얘기다. 첫 분석은 의심스러운 모든 시스템을 점검함으로써 사건의 범위를 파악하는 것으로 이뤄진다. 검토 작업에는 신뢰할 수 있는 툴만 사용함으로써 루트키트(rootkit)와 같이 변경된 시스템 유틸리티에 의한 사기 행위를 피하는 게 매우 중요하다. 이러한 프로세스는 의심나는 기계에 대한 책임을 맡고 있는 네트워크 운영자와 협동해 정보보안팀에서 관리해야 한다.
처음 조사에서 사건의 범위와 심각성을 판단하고 나면, 조정 및 처리 작업이 시작된다. 상부에서는 알려진 모든 세부 사항들에 대해 통보를 받아야 하며, 여기서부터 어디까지 올라가느냐는 사건의 심각한 정도에 따라 달라질 것이다. 예를 들어 사건이 수용 가능한 이용 정책 위반이라면, 직속 상관만 포함되면 될 것이다. 하지만 사건이 고객 관계나 재정 데이터에 영향을 미친다면, CIO나 그 이상으로의 에스컬레이션이 필요할 것이다.
전략의 개발 및 처리 전략에 있어서 주된 걱정거리는 바로 봉쇄(containment)다. 네트워크 보안 사건에서 봉쇄란 곧 공격자가 데이터를 훼손할 수 있는 별도의 액세스를 확보할 수 없게 한다는 것을 의미한다. 일종의 내부 정책위반 사건의 경우에도 마찬가지다. 조사받는 직원들은 훼손된 데이터로 액세스를 계속하는 것이 허용되어서는 안 된다. 간단히 말해 손실규모를 제한하기 위해 모래를 모래통 안에 넣어두라는 얘기다.
만약 범죄자의 신원이 밝혀지지 않았다면, 문을 즉시 닫을 것인지, 아니면 추적과 증거 수집을 위해 액세스를 계속 허용할 것인지 여부를 결정하라. 고소의 가능성이 있을 경우에는 물질적인 증거가 필수다. 액세스를 개방시켜두기로 했다면, 상부의 승인이 반드시 필요하다.

대처전략
증거를 법정에서 제시할 때는 사건 처리에 반드시 포렌직 수준의 대처 전략이 포함돼 있어야 한다. 타당한 모든 사실은 문서화가 돼야 하며, CoC(Chain-of-Custody) 프로토콜이 관찰돼야 한다. 법 집행으로 결코 보고되지 않는 사건들이 많긴 하지만, 부분적으로는 회사의 명성에 손상이 가는 사태를 막기 위해 마치 법정에서 배심원들에게 증거를 제시해야 할 일이 있는 것처럼, 모든 조사에 접근해야 한다. 이것이 바로 정확한 문서화와 명확히 규정된 임무 및 책임들이 시간, 돈, 그리고 잠재적으로는 고소 자체를 덜어줄 수 있는 길이다.
포렌직 대처에는 어떠한 부착 시스템에서는 하드 드라이브의 정확한 비트스트림 카피를 만드는 일이 수반된다. 명확한 근거를 위해 이 단계는 백업/복구 절차 실행에 앞서 이루어져야 한다. 포렌직 증거로서 확보되는 이미지는 즉시 광 매체로 백업을 시켜 보존해야 한다. 파일을 연다고 해도 액세스 시간을 변경하게 된다는 사실을 기억하라. 시스템이 의심스럽다면, 어떤 것이든 건드리기 이전에 카피를 만들어라.
일단 포함된 모든 시스템에서 증거가 수집이 되면, 레절루션(resolution: 재감염의 기회 없이 시스템을 다시 가동시키는 것) 작업이 수집된 증거의 지속적인 분석과 나란히 시작될 수 있다. 레절루션에는 단순히 시스템을 최근 백업으로 복구하는 것보다 훨씬 더 많은 것들이 함축돼 있다. 백업은 처음의 위반이 계속 존재하도록 허용하는 취약성으로 인해 허가받지 않은 액세스가 계속될 위험을 없애주지 못한다.
사건의 유형에 따라, 취약성은 기존의 네트워크 서비스 버전과 연관이 되거나, 혹은 공유 디렉토리에 특권을 부적절하게 설정할 것이다. 수집된 증거를 조사하는 팀은 반드시 위반 시스템의 복구 및 보안 작업을 담당하는 팀과 긴밀한 커뮤니케이션을 유지해야 한다.
사건에 네트워크 침투가 포함돼 있을 경우, 조사자들은 근본 원인을 파악해야 한다. 여기서 실패하는 경우가 많은데, 이는 증거가 공격의 소스를 파악하기 위해 서두르는 동안에 증거가 변경되거나 파괴되기 때문이다. 침입이 일어난 후 아침에 IT 부서에서 이상 현상을 목격한 사람이면 누구든 이것을 입증할 수 있어야 한다.
잘 훈련받은 팀이라면 수상쩍은 시스템을 잠깐 들여다보기만 할 때도 조사 정책을 쓸 수 있다. 이러한 정책에는 사용 가능한 모든 네트워크 서비스의 현재 버전 점검 및 서비스 오용의 증거 확보를 위한 로그 파일 확인 등이 포함된다. 기존의 파일과 서비스의 해시는 오용 시스템에서 돌아가는 어떠한 불량 프로그램이나 프로세스를 탐지하는 데 쓰이는 보조물처럼 같은 파일과 서비스의 알려져 있는 좋은 버전들과 비교될 수 있다. 트립와이어(Tripwire)의 트립와이어는 가장 유명한 툴 가운데 하나며, 가이던스 소프트웨어(Guidance Software)의 인케이스 엔터프라이즈 에디션(EnCase Enterprise Edition)은 심지어 이것을 자동으로 수행해 준다.
오용된 시스템에서 로그와 파일 액세스 시간별로 기록된 데 따라, 오용 시간과 소스 어드레스를 상호연관시키기 위해 방화벽이나 VPN 로그 등 네트워크 서버로부터 수집되는 별도의 로그 파일들을 검토해 봐야 한다.
일단 사건의 근본 원인이 밝혀지면, 시스템이 또 다시 피해를 보지 않도록 확실히 해야 한다. 이는 곧 특정 네트워크 서비스의 새 패치 버전으로 업그레이드를 하거나, 혹은 기존의 방화벽 소프트웨어나 규정 세트를 검토해서 변경, 혹은 업데이트를 해야 한다는 얘기다.

내부 소행시
사건이 내부적인 정책 위반을 포함하고 있다면, 외부의 누군가가 시스템을 한층 더 괴롭히는 것보다는 덜 위험하기 때문에 복구가 그만큼 중요하지 않으며, 이보다는 사건과 손해의 규모를 평가하는 일이 더 중요하다. 예를 들어 직원이 R&D 데이터나 고객 목록과 같은 지적 자산을 훔쳐서 이것을 개인적인 이익을 위해 사용했다면, 정확히 무엇을 도난당했으며, 가능한 경우에는 이것이 어디로 전달됐는지를 알아야 밝혀낼 수 있다. 시스템의 비트스트림 카피가 확보돼야 하겠지만, 내부적 범죄에 이용된 시스템은 이미징과 조사를 위해 안전한 위치로 옮겨져야 한다.
재판시 증거의 무결정을 입증할 수 있도록 포렌직 증거를 수집하기 위한 모든 규정도 또한 있어야 한다. 정보 보안팀은 HR 부서와 긴밀한 관계를 유지하면서 연관된 모든 사람들을 가려내고 처리해야 한다. 나아가 이 팀의 팀원들은 사건에 대해 엄중하게 기밀로 유지해야 한다. 조란 사람이 R&D 계획을 예전 고용주에게 넘겨줬다는 사실이 공공연하게 입에 오르내리면 문제가 된다.

모드 증거 추적·보관해야
CoC 기록에에서는 첫 번째 대처에서부터 모든 시도에서의 모든 증거를 추적해야 한다. 의심스런 시스템에 취해진 모든 행동을 누가 언제 취했는지에 대한 로그는 잘못된 진술을 하게 되는 일을 막기 위해 반드시 보관돼야 한다. 각각의 증거 조각에는 태그가 표시된 채로 기록돼야 한다. 우리는 부정확하고 불완전한 CoC 문서로 인해 실패한 소송을 본 적이 있다. 이것은 사이버 범죄의 속성 때문인데, 살인 소송에서 쓰이는 칼과 달리, 전자적 증거는 범죄가 발생하고 증거가 수집된 뒤로 시간이 지나면 감염되고 파괴되거나 변경될 수 있다.
기록에는 증거 전달에 연루된 모든 사람들의 이름이 이들의 서명과 함께 포함돼야 한다. 로케이션 어드레스와 정확한 전송 시간을 제공하라. 태깅된 모든 증거는 하나의 문서에서 상세하게 설명돼야 하며, 가능한 한 많은 정보가 포함돼야 한다. 이 문서는 처음에는 마이크로소프트 워드 파일 하나 정도로 간단할 수 있지만, 무결성을 위해 언제나 하드 카피로 보관돼야 한다. 일단 증거가 태깅 및 문서화되면, 보다 많은 조사를 위해 보안 로케이션으로 전송될 수 있다.
전자 포렌직 분석에 앞서 하드웨어를 물리적으로 검토해 보라. 시스템에 포스트잇을 붙여두기만 해도 단서를 제공하게 될 수 있다. 한번은 한 정부 관료가 자신의 재량권을 벗어나 운영상의 정보를 수집했다는 혐의를 받은 바가 있었다. 분류된 문서를 전달했다는 사실을 인정하는 써드 파티들이 등장했지만, 그의 하드드라이브 조사팀에서는 유죄 사실을 입증할 만한 어떠한 단서도 제시할 수가 없었다. 하나의 재고 차원에서 컴퓨터 뚜껑이 열리자, 증명이 될 만한 모든 문서가 들어 있는 제 2의 하드드라이브가 연결되지 않은 채로 발견됐다. 한 사람을 기소하기에 충분한 양이었다.

기병대를 불러라
써드파티를 언제 포함시킬 것인지를 아는 것도 중요하다. 사건이 공개적인 이미지와 고객의 프라이버시에 심각한 영향을 미칠 정도로, 혹은 재판을 해야 할 정도로 심각하다면, 컴퓨터 포렌직 전문가에게 조사를 의뢰하는 것도 고려해 보라. 포렌직 조사관을 이용할 경우, 독립 회계사가 감사의 위험을 줄여줄 수 있는 것과 마찬가지로 증거물 손상의 비난을 받게 될 가능성도 줄어든다. 선의의 마음을 가진 IT 직원이 유죄를 입증하기 위해 시도한 것이라 할지라도, 잘못할 경우 조사 발견물을 손상시킬 수 있다.
최근 부당 종료된 한 사건을 예로 들자면, 포춘지 500대 회사의 한 직원이 인터넷을 이용해서 회사 정책을 위반되는 매우 부적절한 콘텐츠를 보았다는 이유로 해고 당했다. 조사 과정에서 IT 직원들은 연방 밥정까지 기소를 할 수 있을 범죄의 ‘증거’를 발견하고, 그 증거물들을 검증하기 위해 조사관을 고용했다.
결국 이 ‘증거물’은 실제로 훈련받지 않은 IT 직원들의 조사 과정에서 만들어진 것으로 밝혀졌다. 이들은 라이브 시스템의 인터넷 히스토리 파일을 열어 콘텐츠를 확인했는데, 여기에는 인터넷 팝업과 웹사이트용의 새로운 캐시들이 만들어져 있었으며, 이들을 확실한 증거물로 간주할 수는 없는 일이었다. 따라서 사실 전 직원을 고소하기 위해 사용했던 증거는 사건을 조사하기 위한 책임을 맡은 사람들이 만든 것이었다.
의심스러울 때는 전문가에게 들고 가라. 이 예만 보더라도 부적절한 프로시저는 거의 대부분 잘못된 연방 고소로 이어진다.

기본에 충실해야
상식적인 네트워크 관리 정책 및 정보 보안 지침들을 당연히 일관성 있게 따라야 한다. 일일 프로시저로 하루 일과가 빡빡하다면, 사건에 대처하기가 매우 힘들 수 있다.
예를 들어 정기적인 시스템 백업이 수행되지 않을 경우 오용된 시스템을 데이터 손실이 없이 신뢰할 수 있는 상태로 복구시키는 데는 많은 돈과 시간이 들어갈 수 있다. 로그 파일은 네트워크 전체에서 보관이 돼야 하는데, 그 이유는 어디서 어떻게 사건이 발생했는지를 파악하는 데 있어 이들이 매우 중요하기 때문이다.
이번 설문조사에 응한 많은 독자들이 로그 파일이 보다 포괄적이었다면 보다 성공적인 조사를 할 수 있었을 것이라고 얘기한 바 있다. 한 응답자는 서로 다른 로그 메커니즘과 로케이션(방화벽, DMZ, IDS, 서버 등)들 사이의 상호운용성 부족으로 하나의 완전한 그림으로 조각을 맞추기가 힘들었다고 말하기도 했다.
사건이 발생하기 전까지 정보보안 정책을 만들지 않는 회사들이 많다. 이것은 사고가 있고 나서야 안전벨트를 떠올리는 것과 마찬가지다. 기업에서는 고객을 지원하기 위한 시스템과 서비스가 마련돼 있지 않으면 정상적인 운영이 되지가 않는다. 마찬가지로, 이러한 시스템과 서비스를 보호하는 데 필요한 지식과 툴이 없이도 운영이 되지 않을 것이다.

Executive Summary

네트워크 포렌직

정보보안 사건조사 정책을 제정 및 시행하고, 전 직원이 회사의 고객 목록을 경쟁사로 가져갔다는 사실을 알기 이전에 이러한 사고를 전담할 팀을 지정하라. 설문조사 응답자의 불과 1/3만이 법률집행기관과 관계를 유지한다고 답했지만, 사실상 모든 조직들은 내부적으로 조사를 실시하고, 법정에 제시할 만한 증거를 만들어낼 수 있는 능력이 있어야 한다.
이를 위해서는 사람과 프로세스, 그리고 조사 툴이 필요하다. 제1부에서는 파트너십을 맺음으로써 자산과 명성에 손상이 가지 않도록 유지하는 방법을 설명했다. 정보보안 부서와 IT 부서, 기업보안 및 인력자원, 네트워크 운영자, 그리고 엔드유저들을 포함해, 임원진에서부터 평사원까지 모두에게는 자신의 역할이 있다. 조사 프로세스에는 보통 3단계 계획이 따르는데, 초기 분석과 이에 따른 연루된 것들 사이에서의 조정 작업이 그 첫 단계고, 어떻게 진행해야 할지에 대한 결정이 두 번째, 그리고 영향을 받은 시스템을 생산 상태로 안전하게 되돌려 놓는 게 마지막 단계다.
제 2부에서는 완전한 사양의 원격 이미지 확보에서부터 텍스트나 메일 저장소를 깊게 파들어갈 수 있는 전문 애플리케이션에 이르기까지 다양한 조사 툴들을 실었다. 여기서는 에디터즈 초이스를 선정하기보다 폭넓은 포렌직 제품을 다루는 데 주력했다.

교육 프로그램

포렌직 보안사건 대처 책임을 맡은 IT와 정보보안 인력 훈련에는 4년제 학위를 따는 데서부터 기본적인 사항들에 대한 하룻동안의 세미나에 참석하는 것까지 다양한 방안들이 있을 수 있다. 많은 회사들이 일부, 혹은 전체 IT/IS 직원을 최소한 한 두 차례 세미나나 컨퍼런스에 참가시켜서 정보 보안과 포렌직 업계 동향을 파악하도록 하고 있다. 문제는 나와 있는 수천 개의 교육과정들 가운데 어떤 것이 가장 잘 맞을지를 찾는 일이다.
좋은 출발점은 SANS(SysAdmin, Audit, Network, Security) 인스티튜트로, 이 곳은 컴퓨터 보안 교육 및 연구 과정으로 명망이 높은 유명한 곳으로, 몇 단계의 자격증을 제공하고 있다. SANS는 또한 보안 전문가들을 위해 1주일간의 컨퍼런스를 연간으로 개최하고 있기도 하다.
가장 기본적인 CCE(Certified Computer Examiner) 자격증은 기반이 되는 포렌직 개념을 소개함으로써 조사의 변방에서 일하는 사람들에게 도움이 된다. 단 조사 작업을 주도하는 사람을 위한 주 교육 과정으로는 추천하기 힘들다.
많은 대학들이 보다 심도깊은 교육을 위해 디지털 포렌직 학위를 제공하고 있다. 예를 들어 챔플레인 콜리지 온라인(Champlin College Online)에서는 2년 및 4년제 컴퓨터 및 디지털 포렌직 학위를 부여하고 있으며, 자격증 프로그램도 제공한다. 컴퓨터 포렌직 부문의 교과과정과 학위를 제공하는 전문대 및 종합대 목록은 www.evidence.info/education.html에서 구할 수 있다.
업체들도 또한 교육과정을 제공하고 있다. 가이던스 소프트웨어의 과정은 인케이스 제품 라인을 위해 준비된 것인 한편, ASR 데이터에서는 리눅스 기반 포렌직 대처에 대한 교육을 제공하고 있다.

FYI
대부분의 조직에서는 컴퓨터 보안 범죄와의 전쟁에서 법률집행기관의 역할이 중요하다는 사실을 잘 알고 있지만, 많은 사건들이 보고되지 않은 채 지나가고 있다. 그 이유로 52%의 응답자들은 부정적인 언론 보도가 주가와 이미지에 손상을 주기 때문이라고 답했으며, 35%는 경쟁자들이 이 정보를 악용하게 될지 모르기 때문이라고 답했다.

수치로 보는 정보

82%의 조직들이 보안 감사 실시
지적 자산 절도를 통한 손실액 1천146만 달러
43%의 응답자가 조사와 법적 문제들에 대한 인지 교육이 중요하다고 생각