간단하게 격식 없이 지금의 아름다운 상황을 서술합니다.
관리하는 업체중에 네트워크/서버 유지보수 해드리는 재단성격의 고객사가 있음.
근데 장비 자체에 하드웨어 백계약은 안되어 있어서 회사가 잘못하면 독박쓰는 상황임.
1. 해당 기관의 퍼블릭 홈페이지가 5월 3일에 침해를 당함.
2. 6월 14일에 홈페이지 관리업체의 웹개발자 메일계정에 시청 사이버침해대응센터에서 연락이 옴.
메일 내용은 국정원 이관(지시사항)건이 발생하여 침해 원인을 분석하고저,
필요한 흔적자료를 추출 해 달라는 요청이었음.
3. 그 메일이 우리 회사로 전달되고 로그자료 수집에 착수함.
4. 요청한 자료는 방화벽 로그 일체 (6개월치 요청), 웹로그 전체, 대국민 서비스와 관련성이 없으면 서버 랜선 절체후 처리(해당안됨), 전달받은 점검스크립트 추출물 제출, 조사완료전까지 포맷 금지.
5. 다른건 다 문제가 안되는데 방화벽 로그에서 문제가 됨. A사 방화벽인데(유명장비) 2개의 장비가 LB가 되어있고, 그 방화벽 로그가 로그서버에 별도로 저장되는 상황임.
6. 로그서버 로그를 뽑아 보니 Any Source에서 침해당한 서버 Destination으로 Sort 했을 때 나오는 항목이 12시간당 2-4만건 사이로 나옴. 해당 로그는 Web UI에서 추출해서 CSV형식으로 뽑아낸 후 받아내는 방식임.
7. 12시간씩 돌리니까 한두번 뽑아내다가 로그서버가 응답이 없거나 다운로드 타임아웃이 걸림 계속 재부팅하면서 억지로 뽑아냄.
8. 주말에 스무시간 가까이 소요를 해서 요청 로그를 웹담당자에게 뽑아드림 회사메일로 전송이 안되어서 지메일로 다시 보냄. 엑셀 건수는 월당 90만건정도.
9. 월요일에 다시 연락이 옴. 침해서버 Source > Any Destination Log도 똑같이 추출해달라고 추가 요청이 옴. 외근갔다가 17시에 회사를 들어가서 그때부터 다시 추가 추출을 시작하는데 계속 타임아웃이 걸리고 잘 안뽑힘.
10. 익일 0시쯤까지 뽑아내다가 Log Server가 HTTP 500에러를 뱉어내고 더이상 반응이 없음
11. 회사- 집 거리가 60KM라서 나온거까지만 뽑아내서 보내드리고 집에 도착하니 새벽 2시가 다돼감
12. 아침에 잠깐 깨니 9시 조금 넘어서 Log Server 정상화 시켜놔달라는 요청이 와서 해당 장소로 직출함.
13. 그 뒤에 회사에와서 이 글을 쓰면서 머리를 비우고 멍때리고 있음.
국가 기관에서 찍어누르니까 미천한 엔지니어는 힘이 없네요
까라면 까고 굴러라면 굴러야 합니다.