사고 대응에 관한 모든 것을 망라한 안내서다. 우선 사고 대응 계획을 수립하고 조직 내부의 디지털 포렌식 역량을 창출하는 것으로부터 시작한다. 그 다음 증거 수집, 휘발성 메모리 검사, 하드 드라이브 평가 및 네트워크 기반 증거와 같은 디지털 포렌식 기법에 대한 세부적인 조사를 하게 될 것이다. 또한 위협 인텔리전스가 사고 대응 절차에서 수행하는 역할을 탐색해 볼 것이다. 마지막으로 보고서 준비를 위한 세부 절은 조직의 내부 또는 법정에서 사용하게 될 서면 보고서를 준비하는 데 도움을 줄 것이다. 이 책을 다 읽고 나면 포렌식 기법과 사고 대응 방법을 숙달하게 되고, 사고 조사 역량을 향상시킬 수 있는 견고한 토대를 마련하게 될 것이다.

■ 조직 내부의 사고 대응 기능의 창출 및 배포
■ 향후 분석을 위한 적절한 증거 확보 및 처리를 위한 견고한 토대 구축
■ 수집된 증거의 분석과 보안 사고의 근본 원인 파악
■ 디지털 포렌식 기법 및 절차를 전체 사고 대응 절차에 통합하는 방법 학습
■ 디지털 증거 분석에 위협 인텔리전스 통합
■ 내부에서 사용하게 될 문서 또는 규제 당국이나 법 집행 기관과 같은 외부 기관과 함께 사용하기 위한 서면자료 준비

정보 보호 전문가, 포렌식 실무자, 소프트웨어 애플리케이션 및 기본 명령행 환경 사용에 대한 지식과 경험이 있는 독자를 대상으로 한다. 또한 조직 내에서 사고 대응/디지털 포렌식 임무를 처음 접하는 전문가에게 도움이 될 것이다.

1장, ‘사고 대응’에서는 사고 대응 프로세스 및 기업 내부용 사고 대응 프레임워크를 수립 하는 방법을 다룬다. 이를 통해 사이버 보안 사고를 체계적으로 조사하고 문제를 해결할 수 있다.
2장, ‘포렌식 기초’에서는 디지털 포렌식의 기본적 측면에 중점을 둔다. 디지털 포렌식의 주요 역사, 과학 수사의 기본 요소 및 디지털 포렌식 기술과 사고 대응 프레임 워크의 통합을 다룬다.
3장, ‘네트워크 증거 수집’에서는 네트워크 기반 증거에 중점을 둔다. 방화벽, 라우터, 프록시 서버, 기타 레이어 2 및 레이어 3 장비와 같은 네트워크 장비의 로그를 다룬다. 또한 이와 같은 소스에서 네트워크 기반의 증거를 수집하는 데 중점을 둔다.
4장, ‘호스트 기반 증거’ 손상된 호스트에는 법적으로 가치 있는 다량의 정보가 포함돼 있다. 무료 도구를 사용해 휘발성 메모리, 로그 파일 및 실행 중인 시스템의 기타 증거를 수집하는 절차를 소개한다.
5장, ‘포렌식 이미징의 이해’ 손상된 시스템의 하드 디스크 드라이브에는 다량의 증거가 담겨 있을 수 있다. 게다가 사기 또는 기타 사이버 범죄의 경우, 가치가 있는 대부분의 증거는 HDD로부터 얻게 된다. 결과적으로 이러한 증거의 적절한 수집이 중요하다. 이를 위해 포렌식적으로 적절한 절차가 필요하다. 의심되는 HDD를 올바르게 이미지화하는 데 필요한 단계를 상세히 설명한다. 이러한 분석 절차는 명령 및 제어 트래픽 혹은 데이터 추출과 같은 증거를 식별하도록 한다. 또한 방화벽과 프록시 로그를 패킷 캡처와 상호 연관시킬 수 있다.
6장, ‘네트워크 증거 분석’에서는 tcpdump 및 Wireshark와 같은 무료 도구를 사용해 명령 및 제어 트래픽이나 데이터 추출과 같은 증거를 식별하는 분석 절차를 안내한다. 또한 방화벽 및 프록시 로그를 패킷 캡처와 상호 연관시켜 분석하는 과정도 안내한다.
7장, ‘시스템 메모리 분석’에서는 시스템 메모리를 분석해 손상된 시스템의 메모리에 존재 하는 잠재적인 악성 코드를 찾아내는 방법을 살펴본다. 분석 절차, 네트워크 연결 및 잠재적 악성 소프트웨어와 관련된 레지스트리 키 설정을 식별하는 경우에 이용 가능한 도구 및 방법을 소개한다.
8장, ‘시스템 스토리지 분석’에서는 이전에 이미지화된 HDD로부터 잠재적인 증거를 추출하는 데 사용할 수 있는 몇 가지 도구 및 방법을 소개한다. 그러나 이와 같은 도구 및 방법에 대한 조사는 디지털 포렌식 조사의 복잡성과 깊이로 인해 특정 영역을 강조 표시하는 데에만 기여했다는 점에 주의해야 한다.
9장, ‘포렌식 보고서 작성’ 어떤 사고로부터 발견한 결과물을 보고하는 것은 매우 중요한 작업지만, 종종 간과되기 쉽다. 내부의 이해관계자 및 잠재적인 외부 법인이 사용할 보고서를 준비하는 방법을 터득하게 된다. 최종 목표는 이 보고서가 법원에서 채택될 수 있도록 하는 것이다.
10장, ‘악성 코드 분석’에서는 악성 코드를 조사하기 위해 샌드 박스 환경에서 배포될 수 있는 분석 방법에 관한 개요를 설명한다. 이는 사고 대응자에게 리버스 엔지니어링 기술을 제공해 조사를 위해 의심되는 악성 코드를 배포할 수 있는 환경을 제공한다.
11장, ‘위협 인텔리전스’ 위협 인텔리전스는 정보 보호 영역, 특히 사고 대응 분야에서 비교적 새로운 개념이다. 위협 인텔리전스가 무엇인지 전반적으로 살펴보고, 이를 사고 대응 프레임워크 및 절차로 통합하는 방법에 대해 설명한다.

사고 대응에 관한 모든 것을 망라한 안내서다. 우선 사고 대응 계획을 수립하고 조직 내부의 디지털 포렌식 역량을 창출하는 것에서부터 시작한다. 그리고 증거 수집, 휘발성 메모리 검사, 하드 드라이브 평가 및 네트워크 기반 증거와 같은 디지털 포렌식 기법에 대한 세부적 조사를 하게 될 것이다. 또한 위협 인텔리전스가 사고 대응 절차에서 수행하는 역할을 탐색해볼 것이다. 마지막으로 보고서 준비를 위한 세부 절에서는 조직의 내부 또는 법정에서 사용하게 될 서면 보고서를 준비하는 데 도움을 줄 것이다.

제라드 요한센(Gerard Johansen)

모의 해킹, 취약성 관리, 위협 평가 모델링 및 사고 대응과 같은 분야에서 10년 이상의 경험을 가진 정보 보안 전문가다. 사이버 범죄 수사관으로 일하는 동안 정보 보안 분야에 입문했고, 의료 분야에서 금융 분야에 이르는 고객 및 조직에서 컨설턴트와 보안 분석가로 근무하면서 경험을 쌓았다. 노위치 대학교(Norwich University) 정보 보증 과학 석사 과정을 졸업했고, 공인 정보 시스템 보안 전문가(CISSP)다.
사고 탐지, 대응 및 위협 인텔리전스 통합에 중점을 둔 대규모 소매업체에서 기업 보안 관리자로 근무하고 있다. 모의 해킹과 관련한 다양한 측면에 중점을 둔 여러 편의 온라인 출판물에도 기여했다.

오늘 날 사이버 공격 기법은 인터넷 환경 및 IT 기술의 발달과 더불어 매우 정교하고 빠른 속도로 진화해 우리를 교묘히 괴롭히고 있다. 마치 세렝게티 초원의 배고픈 사자처럼 타깃을 꾸준히 감시하고 은밀하게 침투하며 공격 시점을 엿보는 APT 형태의 사이버 공격은 결국 전산망을 마비시키거나 정보 탈취를 통해 해당 조직을 위기상황으로 몰아넣는다. 이와 같은 사이버 공격에 있어서 사고 대응의 성공 여부를 판가름하는 척도는 크게 두 가지로 압축된다. 먼저 얼마나 빨리 이상 징후를 탐지할 수 있는가? 그리고 탐지된 위협에 얼마나 신속하게 조치하는가? 그런데 이러한 일련의 사고 대응의 성공 확률을 높여줄 열쇠는 바로 사고 대응 팀의 경험과 지식에 기반한 통찰력 그리고 열정에 있다고 해도 과언이 아니다. 이는 ‘아는 만큼 보이고 보이는 만큼 느낀다’는 말이 실감되는 이유다.
이 책의 저자는 손자병법의 손무가 강조했던 ‘지피지기(知彼知己)’ 사상의 전략적 개념을 언급하며, 이것이 사이버 침해사고에서도 상통될 수 있음을 필력하고 있다. 손자병법 제6편에 보면 다음과 같은 말이 있다.

“선전자, 치인이불치어인(善戰者, 致人而不致於人)”

‘적보다 먼저 전쟁터에 도착해 적을 기다리는 군대는 편안하고, 적보다 늦게 전쟁터에 도착해 갑자기 전투에 투입되는 군대는 좋은 거점을 놓쳐 피동적으로 적에게 끌려간다’라는 말이다. 이것은 사이버 공격에 대응하는 우리의 자세가 어떠해야 하는지를 되새기게 한다. 보이지 않는 적의 공격에 대한 철저한 준비의 자세는 아무리 강조해도 지나치지 않다. 이 책의 저자 역시 ‘준비에 실패하는 것은 실패를 준비하는 것’이라는 벤자민 프랭클린의 말을 인용하며, 사이버 공격에 대비한 철저한 준비를 다시 한번 강조하고 있다. 손무는 ‘전쟁에서 승리는 인위적으로 만드는 것’이라고 했다. 따라서 이 책을 손에 집어 든 독자들이라면 칼이나 총이 아닌 최신 해킹 기술과 도구를 무기로 사용하는 사이버 공격의 대응 전략을 터득하게 되길 바란다.
사이버 공격의 위험을 완전히 제거하는 것은 불가능하다. 대신 체계적이고 효율적인 방법으로 침해 사고에 대응하는 능력을 적절하게 갖춘다면, 잠재적인 사이버 공격의 피해를 줄이고 관련된 피해를 신속히 복구함으로써 조직의 위험을 최소화할 수 있을 것이다. 또한 근본적인 사고 원인의 분석을 통해 사고 대응 계획을 개선하는 과정을 거친다면 향후 유사한 사고가 발생할 위험을 줄일 수 있을 것이다. 또한 이 책에서 제시된 문서화의 과정을 올바르게 수행한다면, 만일 사고가 법정에서 다뤄지더라도 증거의 누락이 발생하는 일은 쉽게 일어나지 않을 것이다.
더불어 사고 대응 분석자는 이와 관련한 법적 절차와 판례의 동향을 숙지할 필요성이 있다. 최근 대법원은 형사절차상 전자적 정보의 수집과 분석에 관한 새로운 판례를 많이 내놓고 있으며, 전자적 정보의 수집과 분석 과정, 증거 능력의 인정에 관해 엄격한 입장을 취하고 있다. 민사 소송에서는 자유 심증 주의를 채택하고 있어 원칙적으로 증거 수집 방법이나 증거 능력의 제한은 없으나 객관적 증명의 개연성과 법관의 주관적인 확신이 있을 것을 요구하고 있다. 따라서 관련 법규와 최근 판례의 동향을 분석해 디지털 포렌식 역량을 쌓아 나간다면 조직의 정보 보호 전략 수립 및 사고 대응 시 과학적 조사 기술의 타당성 증명에 있어서 자신감을 얻게 될 것이다.
사이버 전쟁에서 '전략'과 ‘전술’은 사고 대응의 중요한 요소다. 이 책은 이러한 전략과 전술에 대한 저자의 경험과 내공이 묻어난다. 이에 독자들은 각 장의 세심한 구성과 실제 예시들을 따라가며 비교적 쉽게 사고 대응의 흐름을 이해할 수 있을 것이다. 이 책이 사이버 보안 전문가들에게는 사고 대응 역량의 향상을 위한, 디지털 포렌식 입문자에게는 이 분야의 체계적인 소양을 기르기 위한 더 없이 훌륭한 셰르파(Sherpa)가 되리라 생각한다.

백명훈

경찰청 사이버테러대응센터 기법개발실 연구원, 사이버범죄수사관, 김앤장 법률사무소 전문 위원을 거쳐, 한국포렌식학회 운영위원회, 한국디지털포렌식학회 학술이사, KISA 사이버보안전문단, 정보보호관리체계 인증 심사원 등의 활동을 하고 있다. 저서(공저)로는 『디지털포렌식』(고시계사, 2015) 등이 있으며, 현재 (주)스트리미의 정보보호 최고책임자(CISO)다. EnCE, CISA, CISM, CRISC, CISSP, SIS 1급 등의 자격증을 보유하고 있다.

이규옥

성균관대학교 법학과를 졸업하고, 동 대학원 법학 박사 과정을 수료했으며, 자본 시장 및 전자 금융 거래에 관심이 많다. 청와대, 국회 사무처, 국회 도서관, 국회의원실 등에서 사회 초년의 경험을 두루 쌓았다. 현재 노벨상 수상자 양성을 위한 정부 사업인 Global Ph.D Fellowship에 선정돼 블록체인 활용 분야에서 법률과 기술의 융합 연구를 하고 있다.