윈도우 시스템의 포렌식 분석 기법에 관한 다수의 책을 출간한 할랜 카비의 새로운 책이다. 이 책에서는 인터넷상에 공개된 다양한 유형의 침해 윈도우 이미지를 분석가가 분석 목표와 계획을 수립하고, 이를 분석해 가는 과정을 기술하고 있다. 침해 시스템을 분석하는 전반적 과정과 상황에 맞게 적용해야 할 분석 기술 등 할랜 카비의 숙련된 노하우를 얻을 수 있을 것이다. 악성코드 찾기, 해킹 행위 분석하기, 데이터 유출 분석하기, 사용자 행위 분석하기, 침해 웹 서버 분석하기 등 주요 침해 유형을 고루 다룬다.

■ 자세한 분석 절차와 단계별 분석 방향 결정 방법을 제공해 주요 발견이 어떻게 이뤄지는지 이해할 수 있다.
■ 악성코드 탐지, 사용자 활동, 웹 서버 침해 분석 및 테스트 환경 설정
■ 윈도우 XP, 윈도우 2008, 윈도우 7, 윈도우 10과 같은 윈도우 플랫폼 포함
■ 디지털 포렌식 분석과 침해사고 대응 분야에 종사하는 독자 대상를 대상으로 하는 초/중급서

이 책은 분석 업무에 대한 기본 지식이 전혀 없는 초보 분석가를 대상으로 쓴 책은 아니다. 이 책은 다양한 데이터 소스에 대해 기본적으로 이해하고 있거나 자신의 분석 경험을 통해 얻은 지식의 부족함을 메우려는 사람을 대상으로 한다. 이 책을 최대한 활용하기 위해서는 최소한의 이해와 경험을 필요로 한다.
이 책의 독자들은 $MFT 레코드의 기본적인 구성 요소를 이해하고 있고, 그들이 궁금한 점이 있다면 브라이언 캐리어(Brian Carrier)의 『파일 시스템 포렌식 분석(File System Forensic Analysis)』 책을 살펴보거나, 블로그, 멘토 등을 통해 이해가 가지 않는 부분을 해결할 수 있을 거라 가정한다.
또한 독자들은 이미 타임라인을 생성해야 하는 이유와 그 방법을 이해하고 있다고 가정한다. 독자들이 이 책을 읽는 동안 실제로 타임라인을 만드는 것이 중요한 것은 아니지만, 그 방법을 이해하고 있다고 가정할 것이다.
이 책에 수록된 분석 예제 중 타임라인을 전부 제공하는 것은 적절하지 않아 발췌해 수록했다. 타임라인은 재현하기 쉬운 만큼 보는 데 문제가 없을 것이다.
추가로 이 책에서는 많은 무료 도구와 오픈소스 도구들을 사용한다. 경우에 따라서는 요구에 맞게 코드를 개발하거나 수정하고, 코드에 대한 설명을 제공하기도 한다.

1장, ‘분석 절차’에서는 분석 절차와 그 의미에 대해 논의를 시작한다. 내 경험에 따르면 대부분의 분석가는 분석을 반복적으로 처리할 뿐 절차로 생각하지 않는다. 1장에서 이것이 무엇을 의미하는지를 확인하고, 사건 노트를 통해 분석을 문서화하는 필요성에 관해 이야기한다.
2장, ‘악성코드 찾기’에서는 윈도우 시스템 이미지에서 악성코드를 찾는 방법을 알아본다. 하지만 악성코드의 역공학 분석에 대해서는 다루지 않는다. 이미 이 분야에는 내가 다룰 수 있는 것보다 훨씬 더 자세히 다루고 있는 책과 자료들이 많기 때문이다. 다양한 버전의 윈도우 운영체제에서 악성코드를 찾는 예를 제공하는 것에 초점 두고 설명한다.
3장, ‘사용자 행위’에서는 몇 가지 윈도우 시스템에서 사용자 행위에 대해 살펴본다. 다양한 윈도우 버전에 훌륭하게 구성된 데이터들을 제공하고, 데이터를 어떻게 분석에 적용할 수 있는지도 살펴본다.
4장, ‘웹 서버 침해’에서는 웹 서버 침입 분석에 대해 다룬다. 알리 하디(Ali Hadi, 트위터 계정 @binary0ne)는 웹 서버가 동작 중인 윈도우 2008 시스템을 기반으로 잘 만들어진 분석 챌린지 문제를 제공했다. 이 분석 연습은 서버로부터 획득한 디스크 이미지보다 더 많은 것을 포함하고 있다. 챌린지 문제에는 메모리 덤프와 그 이미지 자체에 웹 서버 로그를 포함하고 있다. 따라서 단순히 수집된 이미지보다 훨씬 더 많은 통합 분석을 할 수 있다.
5장, ‘테스트 환경 구성’에서는 테스트 환경의 설정을 다룬다. 그리고 이 환경을 이용해 개념과 테스트 이론을 확인하는 방법을 설명한다. 테스트된 개념은 요즘 인기 있고 현란한 최신의 것일 필요는 없다. 특히 전문적인 공격자를 추적하는 분야에서는 파일과 운영체제 기능의 기본을 이해하는 것이 훨씬 중요하다.
예를 들면 시스템에서 파일이 어떻게 사라지는지에 대해 이론화하는 것이다. 어느 한 시점에 시스템에 존재했지만, 파일이 삭제됐을 때 무슨 일이 있었는지를 이해하지 못한다면 그것을 어떻게 증명할 수 있는가? 또한 NTFS 파일 시스템 내의 파일이 ‘resident’하다는 것은 무슨 의미인가? 여러분은 이 질문에 대해 책에 기술된 답변을 외울 수 있는가? 또는 그러한 상황을 경험했을 뿐만 아니라 적극적으로 연구하고 증명을 통해 알고 있는가? 이제, 이에 대해서 알아보자.

나는 전문가가 아니다. 특히 윈도우 시스템을 분석하는 데 있어서 전문가라고 주장한 적이 없다. 전에도 그랬듯이 블로그 게시물, 각종 문서, 심지어 수첩이나 종잇조각에 내가 작성한 자료들을 둘러보니 어느 정도 임계치에 다다랐음을 알았다. 일단 내용을 정리하고 나니 이를 블로그나 트위터에 올리기에는 내용이 너무 많다고 생각돼 책으로 내게 됐다.
뒤돌아보면 이 책을 써야겠다고 결심한 이유가 몇 가지 있다. 첫째, 이전에 썼던 책은 다양한 데이터 소스를 분석하기 위한 도구와 분석해야 할 아티팩트 목록에 대한 내용을 담고 있지만, 실제 분석을 위한 분석가의 사고 과정과 분석 방법 선택에 대한 내용은 거의 포함돼 있지 않았다. 이 책에 소개되는 사고 과정은 수집된 이미지를 처리할 때 내가 매번 따르는 방법이다. 이 방법이 누군가에게는 유용할 거라 생각한다. 또한 다음과 같은 이유도 있다. 교육 과정이나 콘퍼런스 발표자로 참석했을 때 많이 질문했던 것은 “왜 그 지점을 분석하기로 결정했나요?”였다. 내가 그런 궁금증을 가졌듯이 다른 사람들도 같거나 비슷한 질문을 했을 것이라고 생각했다. 분석 경험의 차이가 분석 방법 선택의 차이를 가져오는 것일까? 나는 서로 교류하고 다른 관점을 이해함으로써 우리는 분석이라는 영역에서 다 같이 성장하고 발전하며 더 나아질 거라 생각한다.
이 책을 쓰기로 한 또 다른 이유는 이미 데이터 소스 분석에 대해서는 오픈 소스 및 무료 도구 사용법을 설명하는 온라인 사이트들이 많기 때문이다. 나는 도구를 나열하고 어떻게 사용하는지를 설명하는 것보다 분석 예제를 처음부터 끝까지 분석해보고 어떤 도구를 왜 사용해야 하는지, 또 도구의 산출물을 어떻게 해석해야 하는지에 관한 사고 과정과 분석 방향 결정 등에 대해 다루는 것이 더 좋다고 생각했다. 이 책에서는 분석가들이 인터넷에 공개해 준 포렌식 챌린지 목적의 윈도우 시스템 이미지를 활용했다.
이미지를 공유해준 분석가들에게 감사하다. 온라인 챌린지들은 여러 분석가들이 다루지만, 분석가들은 그것을 ‘왜’ 분석했는지, 왜 그 지점에서 분석을 시작했는지, 왜 그 방향 또는 그 데이터를 선택했는지 등에 관해서는 종종 누락되곤 한다.
이 책을 통해 몇 가지 기본 개념에 충실하려고 노력했으며, 책에서 다룬 모든 이미지는 온라인에서 이용할 수 있다. 사용된 이미지와 챌린지의 원래 의도와 관계없이 분석 시나리오들을 내 경험에 맞게 좀 더 맞춰 표현하려고 노력했다. 그리고 포렌식 챌린지를 개발하고 공유해준 일부 관대한 사람들의 노력 덕분에 나는 다양한 버전의 윈도우에 대한 분석을 설명할 수 있었다. 이는 매우 가치 있는 것으로, 다양한 버전 사이의 중요한 차이점이 있다는 것을 설명할 수 있게 해주기 때문이다. 이 차이점을 인지하고 이해하는 것은 윈도우 시스템 분석을 훨씬 더 효과적으로 분석할 수 있게 해준다.

할랜 카비(Harlan Carvey)

거의 30년 동안 정보 보호 분야에서 일한 경력이 있다. 미군에서 통신 장교로 근무 후, 민간 영역으로 옮겨 취약점 평가 업무를 수행했다. 이후 침해 사고 대응과 디지털 포렌식 분석을 맡았으며, 통상 ‘APT’라 부르는 표적형 위협 공격 수행자를 추적하고 대응하는 데 상당한 경험이 있다.
저술가이며 발표자, 오픈소스 도구 개발자다. 집에서 맥주 만들기, 말타기, 구스넥 말 트레일러를 좁은 주차 공간에 후진하는 것이 취미다. 영화 대사를 인용해 질문에 답변하는 것을 즐기는데, 가장 좋아하는 영화는 <어>과 <데드풀>이다.
버지니아 군사 학교에서 전기공학 학사 학위를 받았으며, 해군 대학원에서 같은 전공으로 석사 학위를 받았다. 버지니아에 살고 있으며, 시리우스 XM에서 Hair Nation 채널을 즐겨 듣는다.

대부분의 보안 분야가 그렇듯 디지털 포렌식은 이미 존재하는 소프트웨어나 하드웨어의 기술을 후행한다. 즉, 기존 기술에 의존적인 분야다. 디스크, 메모리, 네트워크, 운영체제, 파일 시스템, 애플리케이션 등에 따라 각각의 포렌식 기술이 존재하며, 새로운 제품이나 기술이 등장하면 그에 따른 새로운 분석 기술이 필요하다. 따라서 포렌식 분석 기술은 매우 다양하며, 계속해서 그 수와 범위가 늘어난다. 윈도우 시스템과 관련된 포렌식 기술만 하더라도 수십, 수백 가지다.
그렇다면 포렌식 분석할 때 어떤 기술을 언제 어떻게 사용해야 할까? 포렌식 분야 서적을 통해 배운 A부터 Z까지의 분석 기술을 순서대로 적용하면 될까? 실제로 그런 식으로 분석을 진행한다면 몇 년간 분석해도 끝나지 않을 수도 있다.
대부분의 포렌식 분석은 제한된 시간 내에 제한된 리소스를 가지고 수행해야 하기 때문에 분석가는 분석 대상 시스템, 아티팩트, 분석 기법 등을 선별(triage)해야 한다. 이를 위해서는 분석 목표를 뚜렷하게 세워야 한다. 그리고 분석 목표에 맞는 분석 계획을 세우고, 최대한 계획에 따라 분석을 진행해야 한다. 그렇지 않으면 분석 중에 길을 잃기 십상이다. 분석 계획이 있더라도 프로그램 개발하듯이 순서대로 진행하기 쉽지 않은데, 분석 계획도 없이 무턱대고 분석을 시작하면 본문에 언급된 것처럼 바로 토끼굴 행이다. 포렌식 분석을 실제 해본 사람은 이와 같은 경험이 있을 것이다. 그래서 포렌식 분야는 기술적 지식도 중요하지만 체득된 경험이 중요한 분야인 것 같다.
이 책에서는 악성코드 찾기, 해킹 행위 분석하기, 데이터 유출 분석하기, 사용자 행위 분석하기, 침해 웹 서버 분석하기 등 주요 침해 유형을 고루 다루고 있다. 분석 테크닉 외에도 왜 그 타이밍에 그 아티팩트를 분석했는지와 같은 분석 흐름에 집중하면, 특히 글로 포렌식을 배운 경험이 부족한 초보 분석가에게 도움이 될 것이다.
이 책에 녹아있는 저자의 생각과 분석 경험은 나 역시 평소에 포렌식 분석 업무를 수행하면서 고민해왔던 주제였기 때문에 자식을 낳아 길러봐야 부모의 마음을 조금이나마 헤아릴 수 있다는 말처럼, 이 책을 번역하는 도중 여러 번 무릎을 치며 저자의 말에 공감할 수 있었다. 포렌식 공부를 시작한 2006년경 국내에는 국내 서적뿐만 아니라 번역서조차 없었다. 그래서 영어 원서나 인터넷을 통해 포렌식 기술을 접할 수밖에 없었는데, 당시에 윈도우 포렌식을 공부하기 위해 열심히 읽었던 책이 바로 『Windows Forensic Analysis DVD Toolkit』(Syngress, 2007)이었다. 그리고 그 책의 저자는 할랜 카비였다. 할랜 카비의 서적을 번역하게 돼 마치 스승님의 책을 번역하는 듯한 신기한 감정이 든다.
이 책을 통해 많은 분석가가 분석하면서 토끼굴로 내려가지 않고 분석의 방향을 잃지 않게 되기를 바란다.
포렌식 분야를 시작하면서 항상 마음에 새기고 있는 문구를 소개하며 마친다.
“As you can see as much as you know(아는 만큼 보인다)”

이명수

1999년, 군에서 개발 업무를 하면서 IT 분야의 일을 시작했으며, 2006년부터 보안 교육센터와 군경, 공공기관, 민간기업 등을 대상으로 리버스 엔지니어링, 익스플로잇 개발/패치 분석, 웹 해킹, 네트워크 해킹, 포렌식, 리눅스 프로그래밍 등의 보안 관련 강의 및 보안 프로젝트 등을 수행했다. 2011년, 안랩에 입사해 A-FIRST(AhnLab Forensics & Incident Response Service Team)에서 현재까지 침해 사고 분석가로 근무 중이다. 고려대학교 정보보호대학원에서 정보보호학 석사 학위를 받았다. 취미로 악기 연주를 즐겨하며, 최근 몇 년간 바이올린 연주에 푹 빠져있다. 언젠간 강연 오프닝 때 바이올린 연주를 하는 것을 목표로 하고 있다.