이 책을 통해서 침해사고 분석에 있어서 필수적으로 수행되어야 하는 네트워크 포렌식과 새로운 영역인 클라우드에 대한 포렌식 기술과 방법에 대해서 배울 수 있을 것이다. 즉 네트워크상의 증거를 수집하고, 수집한 증거를 분석하고, 분석한 내용과 증거가 법적인 증거 능력을 갖추기 위해서 필요한 것이 무엇인지 배우게 될 것이다. 또한 네트워크 포렌식을 수행함에 있어서 겪게 되는 다양한 형태의 문제점과 고려 사항들에 대해서도 살펴볼 수 있을 것이다.

■ 핵심적인 네트워크 포렌식 기술과 도구 설명(네트워크 트래픽 캡처, 네트워크 기반의 포렌식을 위한 스노트(Snort)와 네트워크 트래픽 분석, TCP/IP 해석을 위한 넷위트니스 인베스티게이터(NetWitness Investigator)의 사용 방법
■ 네트워크 포렌식 분석 도구의 현재와 미래
■ 전형적인 네트워크 포렌식 조사의 라이프 사이클과 증거로서 인정되는 네트워크 기반 트래픽에 대한 설명

네트워크 포렌식은 일반적인 디지털 포렌식이 한 단계 진화한 것으로서 네트워크 트래픽에서 증거를 수집하고 분석한다. 이 책은 네트워크 관리자뿐만 아니라 보안이나 네트워크 포렌식 전문가들이 네트워크 기반의 범죄 사건을 조사하면서 직면하게 되는 문제점들을 이해하는 데 도움이 될 것이다. 저자는 네트워크 트래픽을 조사하는 데 사용되는 다양한 툴과 방법론을 설명한다. 네트워크 기반의 기술이 폭발적으로 성장함에 따라(예를 들면, 소셜 네트워크, 클라우드 컴퓨팅, 원격 근무) 컴퓨터 및 네트워크 포렌식 조사 분야는 가장 빠르게 성장하는 영역이 되었다. 특히, 사이버 범죄와 디지털 포렌식 분야에 대한 자격을 갖춘 전문가는 미국에서만 만 명이 넘는다.

테렌스 릴라드(Terrence V. Lillard)(Linux+, CEH, CISSP)

IT 보안 아키텍트인 동시에 사이버 범죄와 사이버 포렌식 전문가다. 또한 『CompTIA Linux+ Certification Study Guide Exam XK0-003』와 『Eleventh Hour Linux+ Exam XK0-003 Study Guide』의 공동 저자다. 국내외에서 조사, 보안 감사와 평가를 비롯해 침입, 네트워크, 스테가노그래피 사이버 범죄, 사이버 포렌식 분야에서 활발히 활동하고 있다. 미 지방 법원에서 컴퓨터 포렌식/보안 전문가로서 증언해왔으며, 여러 정부와 군, 그리고 다국적 기업들을 위한 보안 아키텍처를 설계하고 구현해왔다. 마이크로소프트 수석 컨설턴트, 컬럼비아 특별구IT 보안 팀의 IT 보안 운영 관리자, 사이버 범죄 방어 센터의 컴퓨터 조사 교육 아카데미 프로그램 강사로도 활동했다. 또한 학부와 대학원에서 IT 보안과 사이버 범죄/사이버 포렌식에 대해 강의했으며, 전기공학 학사 학위와 MBA 학위를 가지고 있다. 현재는 정보보호학 박사 과정을 밟고 있다.

클린트 개리슨(Clint P. Garrison)(MBS/MS, CISSP, CISM)

15년 이상 정보보안과 관련 법률 집행, 디지털 포렌식 분야에서 일해왔으며 현재는 「포춘」 선정 100대 온라인 기업의 엔터프라이즈 보안과 컴플라이언스 프로그램을 관리하고 피닉스 대학의 사이버 범죄 및 정보 시스템 보안을 위한 대학원 과정에서 강의하고 있다. 몇 개의 지역 워킹 그룹에서 클라우드 컴퓨팅 보안 및 컴플라이언스 향상과 포렌식 법안 발의를 위한 구성원으로 활동하고 있다. 또한 텍사스의 작은 지역 사회를 위한 경찰관 자원 봉사도 하고 있다. 마운틴 주립 대학에서 형사행정학을 전공했으며 정보통신에 대한 석사 학위와 정보 보증에 대한 MBA 학위(댈러스 대학)를 가지고 있다. 또한 CISSP(Certified Information System Security Professional)와 CISM(Certified Information Security Manager)을 취득했고, 법 집행 기준 및 교육에 대해 텍사스 위원회에서 발급하는 강사 자격증과 마스터 피스 오피서(Master Peace Officer) 자격증을 보유하고 있다.

크레이그 실러(Craig A. Schiller)(CISSP-ISSMP, ISSAP)

포틀랜드 주립 대학의 최고 정보보호 책임자 겸 보안 관리 강사, 포틀랜드 커뮤니티 칼리지의 디지털 포렌식 강사로 활동 중이며, 호크아이 시큐리티 트레이닝(Hawkeye Security Training), LLC의 사장이다. 『Botnets - The Killer Web App』(싱그레스)과 『GSSPGenerally accepted System Security Principles』의 주저자로 책을 집필했고, 몇 개의 정보보호 관리와 데이터 보안 관리 관련 안내서를 공동 집필했다. 또한 싱그레스에서 출간한 『Virtualization for Security』, 『Infosecurity 2008 Threat Analysis』, 『Combating Spyware in the Enterprise』, 『Winternals Defragmentation, Recovery, and Administration Field Guide』의 기여 저자이기도 하다. NASA 미션 운영 AIS 보안 엔지니어링 팀의 선임 보안 엔지니어였으며, 두 개의 ISSA U.S. 지역 지부(Central Plains 지부와 Texas Gulf Coast 지부)를 공동 설립했다. 오리건 주 힐스버러 경찰서의 예비 경찰 전문가다.

제임스 스틸(James ‘Jim’ Steele)(CISSP #85790, ACE, DREC, MCSE: Security, Security+)

대형 무선통신 사업자의 디지털 포렌식 부서 책임자다. 워크스테이션, 서버, PDA, 휴대폰, 네트워크에 대한 포렌식 업무를 수행하며 미국의 비밀 경찰국과 FBI 등 다양한 법률 집행기관에 대한 연락 담당 역할을 수행한다. 날마다, 사기 사건과 직원의 무결성, 침해된 시스템에 대해 조사하고 있다. 보안과 컴퓨터 포렌식, 네트워크 개발, 관리 영역에 풍부한 경험과 경력이 있으며, 18년 이상 프로젝트 관리, 시스템 관리, 네트워크 관리, 기업 보안 관리에 대해 완벽한 역할을 수행 해오고 있다. iXP에서 선임 기술 컨설턴트로서 뉴욕 경찰 E-911 센터에 배정되어 기업 보안을 위한 여러 가지 시스템을 설계하고 구현했다. 또한 2001년 911 테러와 2003년 대정전 사건 당시 현장에서 지원 작업을 수행했다. 설계 및 제안 팀의 일원으로서 런던 경시청의 C3i 프로젝트 개발과 같은 해외 프로젝트에도 참여했다. 기술 컨설턴트로 펜실베이니아 대학과 FDNY를 위해서도 일했으며 HTCC, NYECTF, InfraGard, HTCIA의 일원이다. 싱그레스에서 출간한 『Cyber Crime Investigations: Bridging the Gaps and Cisco Router Forensics』를 비롯해 여러 권의 책에 기고했다.

포렌식을 간단히 이야기하면 증거를 수집하고 수집한 증거를 분석하는 것이다. 더 나아가서는 수집하고 분석한 증거를 법정에 증거로 제출해서 소송 당사자의 주장을 뒷받침하는 것이다. 물론 그때는 포렌식 수행이 합법적으로 이루어져야 하며 제출되는 증거 데이터는 법정에서 증거로 인정되기 위한 요건을 반드시 갖춰야 한다.

이 책은 네트워크 포렌식을 위한 네트워크 트래픽 캡처 도구와 방법들, 그리고 수집한 네트워크 데이터를 분석하는 방법에 대해 다룬다. 또한 네트워크 포렌식에 사용되는 상용 애플리케이션에 대해서도 설명한다. 이 책을 통해 여러분은 네트워크상의 증거를 수집하고, 수집한 증거를 분석하고, 분석한 내용과 증거가 증거 능력을 갖추도록 하는 데 필요한 것이 무엇인지 배울 수 있다. 즉 네트워크 포렌식 방법과 절차, 법적인 내용에 대해 전반적으로 접하게 된다. 또한 네트워크 포렌식을 수행할 때 겪게 되는 다양한 형태의 문제점과 고려사항들에 대해서도 살펴볼 수 있다.

이 책에서는 다소 어려운 법률 용어나 법률적 내용들을 설명한다. 법정에서 요구하고 인정하는 네트워크 포렌식 증거 데이터와 절차는 나라마다 다르며, 각각의 소송 케이스마다 미묘하게 다를 수 있기 때문에 포렌식을 통한 법적인 대응을 고려한다면 증거 능력을 갖춘 포렌식 증거 데이터의 필요 조건과 적법한 포렌식 수행 절차에 대해서도 고민하고 준비해야 한다. 따라서 법에 관련된 부분은 반드시 짚고 넘어갈 필요가 있다.

포렌식이 적용되는 대표적인 케이스는 침해 사고 분석이다. 최근의 침해 사고는 다양한 유형을 띤다. 즉 시스템에 대한 공격뿐만 아니라 서비스 자체에 대한 공격, 그리고 공격 대상 기업의 직원에 대한 공격과 같이 그 대상이 다양해지고 있으며, 공격 방법 또한 전통적인 방법 외에 사회공학적인 공격 방법과 타깃 공격 방법도 많이 사용된다. 이러한 상황에서는 침해된 컴퓨터나 시스템을 분석하는 것만으로는 부족하기 때문에 반드시 네트워크상의 데이터를 수집하고 분석하는 포렌식 기술이 적용되어야 한다.

기업에서는 시스템 운영과 보안 관리가 기본적으로 가장 중요하지만, 발생한 침해 사고에 신속히 대응하고 피해 규모와 원인을 파악하며 좀 더 구체적인 데이터를 수집하기 위해서는 무엇보다 네트워크 포렌식이 중요하다고 할 수 있다. 따라서 기업은 나름대로 네트워크 포렌식이 가능한 인프라 구조와 기반 도구를 운영해야 한다. 침해 분석을 하려 해도 수집된 데이터가 없거나 수집을 위한 최소한의 시스템도 마련되어 있지 않고 또한 침해된 시스템에 대한 분석 자체가 여의치 않은 환경이라고 한다면 침해 사고 대응의 필수 조건인 정확한 피해 규모나 피해 대상 파악이 불가능해진다.

물론, 침해 사고를 미연에 방지하기 위해서는 먼저 시스템에 대한 위협 모델링을 수행하고, 수행 결과 발견된 취약점을 분석한 후 대응해야 하며, 잠재적인 취약점으로 분류된 것에 대해서는 시스템 레벨의 보완을 수행해야 한다. 포렌식은 위협 모델링의 STRIDE 중에서 부인Repudiation과 관계가 깊으며 부인이 가능하지 않도록 시스템을 보강하고 동시에 포렌식 도구를 고도화시키는 것이 중요하다.

기업이 클라우드를 이용하게 되면 이야기는 또 달라진다. 클라우드 환경에서는 전통적인 네트워크와 포렌식의 개념이 그대로 적용되지 않기 때문이다. 따라서 클라우드를 이용하려 한다면 클라우드 기반의 포렌식 또한 고민해야만 하며, 클라우드 서비스 제공 업체가 클라우드 환경에 맞는 포렌식을 제공하는지 여부를 확인해봐야 한다.

IT 기술이 발전하고 진화함에 따라서 포렌식 또한 그것에 발맞춰 적용 분야와 범위 그리고 개념이 진화 및 발전해 나가고 있다. 기존의 전통적인 디지털 포렌식의 개념을 넘어 네트워크 포렌식의 시대가 된 지 오래되었으며 클라우드 서비스의 등장과 성장으로 클라우드 포렌식의 필요성이 대두되었다. 앞으로는 모바일 환경으로까지 그 영역이 확대될 것이다. 이처럼 포렌식의 영역이 다양해지고 그 개념이 진화해감에 따라, 디지털 포렌식 조사관에게 요구되는 역량 또한 다양해지고 그 범위와 기술 수준 또한 엄청나게 높아지고 있다. 아무리 새로운 환경과 개념에 대한 포렌식 도구가 발전한다고 해도 포렌식 분야는 포렌식 조사관의 역량에 대한 의존도가 크기 때문에 무엇보다도 포렌식 조사관의 실력이 중요하다.

따라서 향후에 디지털 포렌식 조사관은 각 영역이나 분야별로, 그리고 포렌식 단계별로 특화될 것으로 예상된다. 그렇게 각 영역별 또는 디지털 포렌식 단계별로 포렌식 조사관이 분화된다면, 원활하고 체계적인 조사를 위한 표준 프로세스와 가이드가 마련되어야 하고, 그것을 지원할 수 있는 시스템과 도구의 개발 또한 준비되어야 할 것이다.

이 책은 디지털 포렌식 조사관뿐만 아니라 IT 부서나 보안 부서에서 근무하는 사람 또는 디지털 포렌식에 관심 있는 모든 사람에게 유용할 정보를 제공해줄 것이다.

윤근용

시스템 프로그래머로서 시스템에 대한 다양한 분야에 관심이 많으며, 특히 보안 분야에 관심이 많아 다년간 보안 업무에 종사 중이다. 바이러스 보안업체를 거쳐 현재는 네이버에서 보안 관련 프로젝트를 수행 중이다.
에이콘출판사에서 펴낸 『웹 애플리케이션 해킹 대작전』, 『실전 해킹 절대 내공』, 『루트킷』, 『리버싱』, 『파이썬 해킹 프로그래밍』, 『안드로이드 포렌식』, 『해커의 공격 기술』을 번역했다.