최근 사이버 범죄가 조직화 및 사업화됐다. 이에 따라 사이버 공격자는 금전적 이득을 극대화하기 위해 보안전문가의 대응을 예측하고 탐지회피 기술을 조사하고 학습하며 훈련한 뒤 공격을 전개하도록 지능화됐다. 따라서 사이버보안 전문가도 지능적 방어자가 돼 선제적 위협탐지로 적극적 방어를 수행하도록 요구되고 있다. 수록된 도구와 기법은 초급 전문가에게는 새로운 지식을 제공하고 고급 전문가에게는 최신 기법을 전파함으로써 안티포렌식, 자원활용 자력형 기법, 타임스톰핑 같은 기술을 사용하는 고도로 훈련된 공격자에 대응하는 새로운 접근방식을 제공한다.

◆ 효과적인 침해사고대응을 위한 환경 준비
◆ 적극적 네트워크 방어를 위한 MITRE ATT&CK 및 위협 인텔리전스 활용
◆ 파워쉘, WMIC, 오픈 소스 도구를 이용한 로컬 및 원격 시스템의 선별진단
◆ 로컬 또는 원격으로 RAM 및 디스크 이미지 수집
◆ Volatility 및 Rekall로 RAM 분석
◆ 오픈 소스 또는 상용 도구를 이용한 시스템 드라이브 심층 분석
◆ 네트워크 보안 모니터링을 위한 Security Onion과 Elastic Stack 활용
◆ 로그 분석 및 고 가치 로그 집계를 위한 기법
◆ YARA 규칙, FLARE VM, Cuckoo Sandbox로 멀웨어의 정적 및 동적 분석
◆ Pass-the-hash, pass-the-ticket, Kerberoasting, 파워쉘의 악의적 사용 등을 포함해 내부망 이동 기법에 대한 탐지와 대응
◆ 효과적인 위협 헌팅 기법
◆ Atomic Red Team으로 공격자 모방
◆ 예방 및 탐지 통제 개선

침해사고대응 분야로 지식을 넓히려는 IT 전문가나 이 분야를 처음 배우는 학생, 빠른 참조가이드를 찾아 헤매는 사이버 전선의 전문가 모두를 대상으로 한다.

1장, ‘위협 동향’에서는 지난 10년간 조직적 범죄의 주요 수입원이면서 동시에 국가 간 스파이 활동의 주요 방법이자 신종 전쟁 무기가 된 사이버 공격에 대해 설명한다.
2장, ‘침해사고대응 준비’에서는 효과적인 대응을 위해 네트워크, 팀, 프로세스를 준비하는 데 필요한 도구를 알려준다.
3장, ‘원격 선별진단’에서는 우리의 환경에서 공격자를 찾는 데 필요한 지식을 제공한다.
4장, ‘원격 선별진단 도구’에서는 네트워크 전반에서 시스템 정보를 수집하고 침해 가능성이 있는 시스템을 파악해 피해를 억제하고 경감하는 기법과 도구를 알려준다.
5장, ‘메모리 수집’에서는 포렌식 기법으로 로컬 또는 원격 시스템에서 메모리를 수집하는 다양한 방법과 도구를 살펴본다.
6장 ‘디스크 이미징’에서는 로컬 시스템과 원격 시스템에서 포렌식 이미지를 취득하는 도구와 기법을 다룬다.
7장, ‘네트워크 보안 모니터링’에서는 침해사고대응 프로세스를 위해 네트워크에서 수집한 텔레메트리(telemetry)를 엔드포인트 데이터와 결합시켜 네트워크 활동의 더 완벽한 그림을 그리는 방법을 알아본다.
8장, ‘이벤트 로그 분석’에서는 중요한 증거를 이해하고 해석하는 데 필요한 기술을 알려준다.
9장, ‘메모리 분석’에서는 이미 수집해둔 RAM 덤프나 운영 중인 시스템에서 수집한 휘발성 메모리를 분석하거나 시스템 활동을 자세히 이해하기 위해 RAM의 데이터 구조를 분석하는 능력을 배운다.
10장, ‘멀웨어 분석’에서는 정적 및 동적 접근 방식으로 멀웨어를 분석하는 실용 기술을 알려준다.
11장, ‘디스크 포렌식’에서는 침해된 시스템을 포렌식 기법으로 자세히 분석하는 기술을 다룬다.
12장, ‘내부망 이동 분석’에서는 공격자가 침해 환경에서 이동하는 기술과 그에 맞서 대응 전문가가 취해야 하는 단계를 설명한다.
13장, ‘지속적 개선’에서는 침해사고를 경감하는 데 도움을 주는 보안 통제, 텔레메트리, 절차, 보안 교육을 이해한다.
14장, ‘예방 활동’에서는 우리 팀이 공격자보다 한수 위가 되도록 끊임없이 노력하는 방법을 알아본다.

이 책을 어떻게 활용하느냐는 각자의 숙련도에 달렸다. 네트워킹 기본 지식을 요구하기 때문에 포트, 프로토콜, IP 주소 같은 기본 네트워킹 개념이 없다면 이 책을 통해 침해사고대응 분야로 진입하기는 쉽지 않다.
그러나 IT 기초지식을 기반으로 IT 보안을 시작하려는 학생이라면 언제든 환영이다. 수업이나 독학으로 이 분야의 자세한 개요를 얻고 더 상세한 연구를 위해 흥미로운 침해사고대응 분야를 확인할 기회를 얻을 것이다.
네트워크 방어 요건은 순전한 방어적 접근에서 예방, 탐지, 대응 조합으로 변했다. 오늘날의 공격자는 집요하면서 유능하고 노력을 아끼지 않아 어디든 침투할 수 있다. 관리자 입장에서는 침해사고를 어떻게 인지하고 억제하며 대응해야 하는지 알아야 한다. IT 실무자는 핵심 대응 기술을 습득하면 시스템을 잘 운영하고 네트워크를 안전하게 방어할 수 있다. 책 전체를 훑어보며 가장 관심 있는 부분에 집중하고 나중에 나머지 부분을 통해 심화 학습하는 것을 추천한다.
이미 침해사고대응 전문가라면 직무를 수행하기 위해 계속해서 다양한 기술을 습득하는 게 쉽지 않다는 사실을 잘 알 것이다. 최신 기법을 배우거나 아직은 수월하지 않은 분야에서 실력을 키우고 이벤트 ID나 레지스트리 키, 파워셸 커맨드릿, 또는 다른 기술적 어려움에 대한 중요한 참조가 필요할 때 이 책이 도움이 될 것이다. 여러 유용한 팁과 요령뿐만 아니라 더 효율적이며 효과적인 전문가가 되는 법을 배울 수 있을 것이다.

스티브 앤슨(Steve Anson)

전직 미 연방 요원으로 FBI 사이버 범죄 태스크 포스와 미 국방 범죄 조사국에서 다양한 사이버 관련 사건을 다뤘다. FBI 아카데미에서 컴퓨터 침해 조사를 가르쳤으며 미 국무부 테러방지지원 프로그램의 계약자로서 여러 나라의 경찰기관과 협력해 지속적으로 잘 정비된 디지털 포렌식 및 사이버 수사 역량 개발을 돕고 있다. IT 보안 선도 기업인 포워드 디펜스(Forward Defense)의 공동 설립자로서 전 세계 정부 및 민간 기업에 보안 컨설팅을 제공하며, SANS 인스티튜트의 공인강사로 네트워크 환경을 보호하고 방어하는 내용을 가르치고 있다.

사이버 보안 전문가로서 이 책을 번역하며 크게 절감한 부분은 최근의 사이버 공격이 예전에 비해 더 정교하고 치밀해졌다는 사실이다. 최근의 사이버 범죄가 조직화 및 사업화돼감에 따라 사이버 공격자는 금전적 이득을 극대화하기 위해 보안 전문가의 대응을 예측하고 탐지 회피 기술을 조사하고 학습하며 훈련한 뒤 공격을 전개하도록 지능화됐다. 따라서 사이버 보안 전문가도 지능적 방어자가 되어 선제적 위협 탐지를 통해 적극적 방어를 수행하도록 요구되고 있다. 이 책에 수록된 도구와 기법은 초급 전문가에게는 새로운 지식을 제공하고 고급 전문가에게는 최신 기법을 전파함으로써 안티포렌식, 리소스 활용 자력형 기법, 타임스톰핑 같은 기술을 사용하는 고도로 훈련된 공격자에 대응하는 새로운 접근 방식을 제공한다. 현업에 종사하면서 여러 가지 기술서적을 참고하지만 대부분 이론 중심이라 막상 실무에 적용할 정보를 찾기란 쉽지 않다. 결국 전문가의 블로그 포스팅과 콘퍼런스 자료 같은 실무 경험을 바탕으로 한 자료를 검색해야 쓸 만한 정보를 찾을 수 있는데, 이 또한 당장의 업무 처리로 쉽지 않은 것이 현실이다. 이 책은 이러한 고충을 해결한다. 사고대응 분석을 진행함에 따라 데이터 수집, 처리, 분석을 각 단계별 실례와 함께 참고할 수 있고 최근 주목받는 도구와 기법들을 활용 방법과 함께 소개하고 있어 데스크 한쪽에 두고 필요할 때마다 찾아보기에 좋다.
이 책을 번역하기로 마음먹은 계기는 사이버 보안 강의를 하면서 학생들에게 좀 더 최신 기법을 소개해주기 위해 참고했던 책이 현업에서 나의 고충을 해결함과 동시에 실무자로서 꼭 알아야 하는 내용을 모두 담고 있기 때문이다. 이 책의 번역본이 좀 더 많은 후배에게 큰 도움이 되리라 확신한다.

임주섭

뉴욕시립대(CUNY John Jay)에서 포렌식 컴퓨팅 석사학위를 취득한 후 뉴욕 퀸즈 검찰청 컴퓨터범죄수사부 인턴을 시작으로 딜로이트, 프론테오 등 글로벌 컴퍼니에서 포렌식 전문가로 활동했으며 현재 뉴욕공과대학 NYIT 사이버 보안 석사과정 교수이자 캐나다 디지털 포렌식 컨설팅 회사에서 사이버 보안, 디지털 포렌식, 이디스커버리 전문가로 활동하고 있다.