디지털 포렌식을 사이버 보안 사고에 대한 전반적인 대응과 통합하는 방법을 이해하는 것은 공격으로부터 조직의 인프라를 보호하는 데 중요하다. 개정판에서는 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예를 추가하고, 보안 및 사고 조사에 관련된 중요한 이벤트 유형을 부록으로 추가해 최첨단 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리는 이 책을 강의용으로 활용하는 데에도 유용할 것이다.
사고 대응과 디지털 포렌식의 기초를 다진 후, 사고 대응 절차, 포렌식 원칙, 사고 관리와 같은 기본 요소를 살펴보는 것으로부터 시작한다. 보안 사고에 대한 중요성을 이해하는 것에서부터 보안 사고에 신속하고 효과적으로 대응하는 데 도움이 되는 유용한 사례를 통해 안내한다. 그 다음, 증거 수집과 휘발성 메모리 조사부터 하드 드라이브 조사와 네트워크 기반 증거에 이르기까지 디지털 포렌식 기술을 익히게 된다. 이를 통해 위협 인텔리전스가 사고 대응 절차에서 어떤 역할을 하는지 알게 될 것이다. 또한 분석 결과를 문서화하는 사고 대응 보고서를 작성 방법도 배우게 된다. 마지막으로, 다양한 사고 대응 활동 외에도 악성코드 분석을 다루고 위협 사냥에서 디지털 포렌식 기술을 능동적으로 사용할 수 있는 방법을 보여준다. 이 책을 다 읽고 나면 조직에서 원치 않는 보안 침해 및 사고를 효과적으로 조사하고 보고하는 방법을 알게 될 것이다.

■ 조직 내에서 사고 대응 기능의 구축 및 배치
■ 적절한 증거 수집 및 처리 절차 수행
■ 수집된 증거 분석 및 보안 사고의 근본 원인 파악
■ 메모리 및 로그 분석
■ 디지털 포렌식 기법과 절차를 전반적인 사고 대응 절차에 통합
■ 다양한 위협 사냥 기법
■ 분석의 주요 결과를 문서화하는 효과적인 사고 보고서 작성

정보 보호 전문가, 디지털 포렌식 실무자, 소프트웨어 애플리케이션 및 기본 명령행 사용에 대한 지식과 경험이 있는 독자를 대상으로 한다. 또한 조직 내에서 사고 대응, 디지털 포렌식, 위협 사냥 임무를 처음 접하는 정보 보호 전문가에게 도움이 될 것이다.

1장, ‘사고 대응의 이해’에서는 사고 대응의 절차와 기업 내부적으로 사고 대응에 대한 프레임워크를 수립하는 방법을 다룬다. 이 프레임워크를 통해 사고의 근본 원인을 구체적이며 체계적으로 조사할 수 있고, 사고를 억제하고 충격을 줄일 수 있으며, 피해를 복구해 기업을 평시의 상태로 되돌릴 수 있다.
2장, ‘사이버 사고 관리’에서는 사고 대응을 위한 전략적 구성 개념을 제공하는 사고 관리 프레임 워크를 논하며, 사고 관리 방법의 가이드를 제시한다. 사고 에스컬레이션, 사고 워룸(war room)의 구성, 위기 커뮤니케이션, 조직을 평시로 되돌리기 위한 기법 등과 같은 전략적 수준의 이슈를 다룬다.
3장, ‘디지털 포렌식 기본 원리’에서는 디지털 포렌식의 기초를 배운다. 디지털 포렌식의 주요 역사와 과학 수사의 기본 요소, 디지털 포렌식 기법과 사고 대응 프레임워크의 통합 방법을 다룬다.
4장, ‘네트워크 증거 수집’에서는 네트워크 기반 증거의 획득에 중점을 둔다. 방화벽, 라우터, 스위치, 프록시 서버, 그 밖의 네트워크 레이어 장비와 같은 네트워크 장비의 로그 파일들을 다룬다. 그 밖에 패킷 캡처와 같은 증거 유형도 탐색해본다.
5장, ‘호스트 기반 증거 확보’에서는 손상된 호스트가 많은 경우 직접적으로 또는 네트워크의 다른 영역에 대한 피벗 포인트로써 공격의 대상이 된다는 점을 설명한다. 이러한 시스템들의 증거는 사고의 근본 원인을 파악하는 핵심이다. 휘발성 메모리, 로그 파일, 기타 관련 증거를 캡처하는 데 사용되는 도구와 기법을 중점적으로 다룬다.
6장, ‘포렌식 이미징’에서는 손상된 시스템의 물리적 디스크 드라이브가 중요한 증거 소스가 된다는 점을 설명한다. 이 증거가 손상되지 않게 하려면 증거를 적절하게 확보해야 한다. 이 장에서는 의심스러운 하드 디스크 드라이브(HDD)를 올바르게 이미징하는 방법에 집중한다.
7장, ‘네트워크 증거 분석’에서는 tcpdump, Wireshark, Moloch와 같은 오픈소스 도구를 사용하는 방법을 알아본다. 명령 및 제어 채널이나 데이터 추출을 식별하기 위한 네트워크 증거 분석 가이드를 제시한다. 이러한 증거는 네트워크 프록시나 방화벽 로그, 패킷 캡처와 같은 다른 네트워크 증거와 깊이 연관된다.
8장, ‘시스템 메모리 분석’에서는 산업 표준 도구들을 활용해 시스템 메모리 안에 포함된 악성 활동들을 식별하는 다양한 방법을 살펴본다. 악성 프로세스, 네트워크 연결, 감염된 시스템에서 실행되는 악성 코드와 관련된 지표들의 식별 방법을 소개한다.
9장, ‘시스템 스토리지 분석’에서는 앞서 이미징한 HDD로부터 증거를 추출하는 데 사용할 수 있는 도구와 기법을 소개한다. 시스템 스토리지를 검사하는 데 사용할 수 있는 방법들을 다루지만, 9장에서는 특정 측면만 중점적으로 다룬다.
10장, ‘로그 파일 분석’에서는 정당한 동작과 적대적인 동작 중에 생성되는 다양한 윈도우 OS 로그를 탐색한다. 오픈소스 도구를 사용해 로그 파일을 분석함으로써 보안, 시스템 또는 애플리케이션 이벤트 로그를 검사하고, 잠재적인 침해 지표를 식별하는 방법을 알아본다.
11장, ‘사고 보고서 작성’에서는 조사 자체만큼 중요한, 사고 대응자의 조치와 분석을 캡처한 서면 문서의 작성을 논한다. 잠재적인 법인을 포함해 주요 내부 및 외부의 이해관계자를 대상으로 한 보고서 작성에 초점을 둔다. 법정에서의 철저한 검토에 부합하는 보고서를 준비하는 것이 최종 목표다.
12장, ‘악성 코드 분석’에서는 악성 코드를 검사할 때 배포되는 도구 및 기법을 개관한다. 여기에서는 주요 지표를 식별하는 정적 분석 기법과 악성 코드의 동작을 탐색하는 동적 분석을 다룬다.
13장, ‘위협 인텔리전스 활용’에서는 위협 인텔리전스가 적대적인 전술, 기법, 절차의 광범위한 내용에 대한 세부 정보를 제공함에 따라 사고 대응에서 점점 더 중요해지고 있다는 점을 설명한다. 더불어 위협 인텔리전스를 이해하고 이를 사고 대응 절차에 적용하는 방법을 다룬다.
14장, ‘위협 사냥’에서는 디지털 포렌식 도구 및 기법을 위협 인텔리전스와 통합해 네트워크가 침해됐는지 확인하는 방법을 소개한다. 또한 위협 사냥 가설 및 사냥을 위한 지표의 작성을 통해서 위협 사냥의 방법과 함께 위협 인텔리전스가 어떻게 사냥을 촉진할 수 있는지 알아본다.
15장, ‘부록’에서는 보안 및 사고 조사에 관련된 가장 중요한 이벤트가 포함돼 있으며 이는 참고용으로 제공됐다. IT 및 보안 전문가들이 활용할 수 있는 상당한 수의 Windows Event Log의 유형을 제시했다.

사고 대응과 디지털 포렌식을 둘러싼 기술적이며 운용적인 측면에 관한 다양한 주제를 개관적으로 설명한다. 먼저 조직이 사고에 대비할 수 있도록 예방적 조치들을 검토하는 것으로부터 시작한다. 디지털 포렌식의 개념과 기법들을 통합적으로 다루며, 이들이 사고 대응과 어떻게 관련되는지를 살펴본다. 개념에서 실제 기법으로 나아가 디스크, 메모리, 네트워크를 포함한 다양한 소스에서 어떻게 증거를 수집하는지 보게 될 것이다. 그리고 침해나 공격의 지표에 대한 증거의 출처를 검사하는 과정을 따라간다. 이후에는 결과의 보고가 하는 역할의 논의와 함께 사고의 이해를 요구하는 여러 기관을 대상으로 보고서 작성 방법을 살펴본다. 이 기법들을 상세히 설명하고자 악성 코드 분석, 위협 인텔리전스 및 위협 사냥의 역할도 다룬다. 이 책이 끝날 무렵 포렌식 기법과 사고 대응 방법의 기초가 견고해지고, 여러분의 조직이 잠재적 보안 사고를 효과적으로 대비하는 기법들을 도입하는 데 필요한 경험을 쌓게 될 것이다.

제라드 요한센(Gerard Johansen)

침투 테스트, 취약성 관리, 위협 평가 모델링, 사고 대응 분야에서 15년 이상의 경험을 가진 정보 보안 전문가다. 사이버 범죄 수사관으로 정보 보안 직종에 입문했고, 의료 및 금융 분야의 고객과 조직을 대상으로 컨설턴트와 보안 분석가로 일하면서 경험을 쌓았다. 노위치 대학교(Norwich University) 정보 보호 석사 학위를 받았고, 공인 정보 시스템 보안 전문가(CISSP) 자격을 취득했다. 현재는 사고 탐지, 대응, 위협 인텔리전스 통합에 주력하는 대형 기술 회사에서 고위급 사고 대응 컨설턴트로 일하고 있다.

오늘날 사이버 공격 기법은 인터넷 환경 및 IT 기술의 발달과 더불어 매우 정교하고 빠른 속도로 진화해 우리를 교묘하게 괴롭히고 있다. 마치 세렝게티 초원의 배고픈 사자처럼 타깃을 꾸준히 감시하고 은밀하게 침투하며 공격시점을 엿보는 APT 형태의 사이버 공격은 결국 전산망을 마비시키거나 정보를 탈취해 해당 조직을 위기 상황에 몰아넣는다. 이와 같은 사이버 공격에 있어서 사고 대응의 성공 여부를 판가름하는 척도는 크게 두 가지다. 먼저 얼마나 빨리 이상징후를 탐지할 수 있는가? 그리고 탐지된 위협에 얼마나 신속하게 조치하는가? 이러한 일련의 사고 대응의 성공 확률을 높여줄 열쇠는 바로 사고 대응 팀의 경험과 지식에 기반한 통찰력과 열정에 있다고 해도 과언이 아니다.
이번 개정판을 준비하던 시기는 랜섬웨어의 시대라 할 정도로 세계 곳곳에서 표적형 랜섬웨어가 폭발적으로 기승을 부려 대규모 피해가 발생했다는 뉴스가 자주 보도됐다. 과거 스팸메일로 악성 코드를 무차별 살포하던 때와 달리 최근에는 정교한 방법과 고도의 코드를 사용해 장기적으로 표적을 공격하는 양상을 보이고 있다. 잘 알려진 글로벌 보안업체가 제공하는 보안솔루션에서 제로데이 취약점이 발견됐고, 취약점이 발견되기 전에 이미 악용돼 피해가 발생했다는 것은 시사하는 바가 크다. 개정판에 추가된 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예는 시의적절하게 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리가 제공돼 교육용으로 활용하기에도 좋다.
이 책의 저자는 『손자병법』의 손무가 강조했던 ‘지피지기(知彼知己)’ 사상의 전략적 개념을 언급하며, 이것이 사이버 침해사고에서도 상통될 수 있음을 필력하고 있다. 『손자병법』 제6편에 보면 다음과 같은 말이 있다.
“선전자, 치인이불치어인(善戰者, 致人而不致於人)”
적보다 먼저 전쟁터에 도착해 적을 기다리는 군대는 편안하고, 적보다 늦게 전쟁터에 도착해 갑자기 전투에 투입되는 군대는 좋은 거점을 놓쳐 피동적으로 적에게 끌려간다는 말이다. 이것은 사이버 공격에 대응하는 우리의 자세가 어떠해야 하는지를 되새기게 한다. 보이지 않는 적의 공격에 대한 철저한 준비의 자세는 아무리 강조해도 지나치지 않다. 이 책의 저자 역시 ‘준비에 실패하는 것은 실패를 준비하는 것’이라는 벤자민 프랭클린의 말을 인용하며 사이버 공격에 대비한 철저한 준비를 다시 한 번 강조한다. 손무는 ‘전쟁에서 승리는 인위적으로 만드는 것’이라고 했다. 따라서 독자들이 칼이나 총이 아닌 최신 해킹 기술과 도구를 무기로 사용하는 사이버 공격의 대응 전략을 터득하게 되길 바란다.
사이버 공격의 위험을 완전히 제거하는 것은 불가능하다. 다만 체계적이고 효율적인 방법으로 침해사고에 대응하는 능력을 적절하게 갖춘다면 잠재적인 사이버 공격의 피해를 줄이고 관련된 피해를 신속히 복구함으로써 조직의 위험을 최소화할 수 있을 것이다. 그리고 근본적인 사고 원인의 분석을 통해 사고 대응 계획을 개선하는 과정을 거친다면 향후 유사한 사고가 발생할 위험을 줄일 수 있을 것이다. 또한 이 책에서 제시된 문서화의 과정을 올바르게 수행한다면 만일 사고가 법정에서 다뤄지더라도 증거가 누락되는 일은 쉽게 일어나지 않을 것이다.
더불어 사고 대응 분석자는 이와 관련한 법적 절차와 판례의 동향을 숙지해야 한다. 최근 대법원은 형사절차상 전자적 정보의 수집과 분석에 관한 새로운 판례를 많이 내어 놓고 있으며 전자적 정보의 수집과 분석 과정, 증거 능력의 인정에 관해 엄격한 입장을 취하고 있다. 민사소송에서는 자유심증주의를 채택하고 있어 원칙적으로 증거 수집 방법이나 증거 능력의 제한은 없으나 객관적 증명의 개연성과 법관의 주관적인 확신이 있을 것을 요구하고 있다. 따라서 관련 법규와 최근 판례의 동향을 분석해 디지털 포렌식 역량을 쌓아간다면 조직의 정보보호 전략의 수립 및 사고 대응 시 과학적 조사 기술의 타당성 증명에 자신감을 얻게 될 것이다.
사이버 전쟁에서 ‘전략’과 ‘전술’은 사고 대응의 중요한 요소다. 이 책은 이러한 전략과 전술에 대한 저자의 경험과 내공이 묻어난다. 이에 독자들은 각 장의 세심한 구성과 실제의 예시들을 따라가며 비교적 쉽게 사고 대응의 흐름을 이해할 수 있을 것이다. 이 책이 사이버 보안 전문가에게는 사고 대응 역량을 향상시키고, 디지털 포렌식 입문자에게는 이 분야의 체계적인 소양을 기르기 위한 더 없이 훌륭한 셰르파(Sherpa)가 되리라 생각한다.

백명훈

경찰청 사이버테러대응센터 기법개발실 연구원, 사이버범죄수사관, 김앤장 법률사무소 전문위원을 거쳐 한국포렌식학회 운영위원, 한국디지털포렌식학회 학술이사, 방송통신위원회 민·관합동조사단 전문가, KISA 사이버보안전문단, ISMS-P 인증 심사원, 금융감독원 블록체인 발전포럼 자문위원, 경찰청 사이버테러범죄 전문가그룹 위원 등의 활동을 하고 있다. 저서(공저)로는 『디지털 포렌식』(고시계사, 2015) 등이 있으며, 현재 ㈜스트리미의 정보보호 최고책임자(CISO)다. EnCE, CISA, CISM, CRISC, CISSP, SIS 1급 등의 자격증을 보유하고 있다.

이규옥

성균관대학교 법학과를 졸업하고 이화여자대학교에서 법학석사, 성균관대학교 법학전문 대학원에서 법학박사 학위를 받았다. 역서로는 『디지털 포렌식과 사고 대응』(에이콘, 2018), 『암호화폐 수사』(에이콘, 2019), 『암호화폐와 블록체인 기술 규제』(에이콘, 2020), 저서(공저)로는 『블록체인과 법』(박영사, 2019) 등이 있다.