사이버 범죄 행위가 나날이 확산되고 있고, 그 규모 및 복잡도는 상상할 수 없을 만큼 거대해져 가고 있으며. 그와 동시에 공격의 원리와 세부 행위를 분석하는 디지털 포렌식 분야도 발전해 가고 있다. 이 책은 그동안 조명받지 않았던 네트워크 포렌식 주제를 다룬다. 네트워크 포렌식은 수많은 어려움(수백개의 프로토콜, 엄청난 트래픽 양, 휘발성 등)을 안고 있지만, 또한 그만큼 모든 데이터에 대한 접근이 가능하고 변조되지 않은 데이터를 통한 분석의 정확성을 보장할 수 있다. 기초 주제부터 고급 주제까지 다양한 사례 연구와 경험을 바탕으로 독자들의 실력을 향상시켜 줄 것이다.

■ 증거 처리와 네트워킹, 증거 수집의 기본 개념
■ 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법 설명
■ 다양한 종류의 네트워크 장비의 증거 수집과 분석
■ 네트워크 침입 탐지와 침입 방지 시스템
■ 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사
■ 웹 프록시 증거 수집과 분석
■ 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략
■ 악성코드의 역사와 포렌식 분석에 미치는 영향

이 책은 다양한 독자가 접근할 수 있고, 네트워크 포렌식의 기본 원칙과 기술을 가르쳐주도록 설계되었다. 동일한 결과를 얻을 수 있는 상용이며 쉽게 클릭하여 실행할 수 있는 도구도 많으며, 그중 일부를 이 책에서 가볍게 다룬다. 그러나 기본적으로 자유롭게 접근할 수 있고 기본적인 기술을 설명하는 데 이용되는 도구에 초점을 맞춘다. 그리하여, 포렌식 도구가 로우 레벨에서 어떻게 작동하고, 자동화 도구를 통해 얻어진 결과물을 검증하며 조사를 위한 도구를 선택할 때 지식을 통한 선택을 하는지 이해하게 한다.

1부, ‘기초’는 증거 처리와 네트워킹, 증거 수집의 기본 개념을 다룬다. 이는 이 책의 후반부에 설명될 고급 주제에 대한 기초 지식을 다지게 한다. 이 내용 이외에, 독자들에게 TCP/IP 네트워킹을 숙지하기를 권장한다. 리차드 스티븐스(W. Richard Stevens)가 집필한 『TCP/IP Illustrated』는 참고서로 추천하는 책이다. 1부에서 다루는 내용은 다음과 같다. 1장, ‘실용적인 조사 전략’: 네트워크 포렌식 조사관에게 마주친 수많은 난관을 보여주고, 디지털 증거의 주요 개념을 소개하며, 네트워크 기반 조사에 접근하는 방법론을 제시한다. 2장, ‘기술적 원리’: 일반적인 네트워크 구성 요소와 포렌식 조사관에게 있어서의 의미에 대한 기술적인 개요를 제공하고, 네트워크 포렌식 조사에서 프로토콜과 OSI 모델의 개념을 설명한다. 3장, ‘증거 수집’: 하드웨어, 소프트웨어를 이용한 트래픽 스니핑과 네트워크 장비로부터 능동적으로 증거를 수집하는 전략을 포함한 수동적과 능동적인 증거 수집을 알아본다.

2부, ‘트래픽 분석’은 조사관이 네트워크 트래픽을 분석할 수 있는 다양한 방법을 논의한다. 우선 프로토콜 헤더 검사와 페이로드 추출과 재조합을 포함하는 패킷 분석부터 시작한다. 그리고 플로우 기록 데이터 잔류의 개념이 익숙해지고 있기 때문에, 통계적 플로우 기록 분석에 한 장을 할애한다. 그러고 나서 무선 네트워크와 802.11 프로토콜 시리즈를 심층 분석한다. 마지막으로, 트래픽을 실시간으로 분석하고, 경보를 발생하며, 상황에 따라 패킷을 캡처하도록 설계된 네트워크 침입 탐지와 침입 방지 시스템을 논의한다. 2부에서 다루는 내용은 다음과 같다. 4장, ‘패킷 분석’: 프로토콜과 패킷과 플로우, 분할 분석하는 방법의 연구를 다룬다. 5장, ‘통계적 플로우 분석’: 점점 더 중요해지는 통계적 플로우 기록 수집과, 축적, 분석을 설명한다. 6장, ‘무선: 플러그가 뽑힌 네트워크 포렌식’: IEEE 802.11 프로토콜 시리즈에 초점을 맞춘 무선 네트워크 증거 수집과 분석을 논의한다. 7장, ‘네트워크 침입 탐지와 분석’: 보안 경보와 증거를 발생하도록 설계된 네트워크 침입 방지와 탐지 시스템을 재조명한다.

3부, ‘네트워크 장비와 서버’는 다양한 종류의 네트워크 장비의 증거 수집과 분석을 다룬다. 우선 상이한 타입의 로깅 아키텍처와 관련된 난관과 혜택을 포함한 이벤트 로그 수집과 검사를 논의한다. 다음으로 네트워크의 백본을 이루는 스위치와 라우터, 방화벽의 포렌식 조사를 설명한다. 그리고 웹 프록시가 보편화되고, 때로는 중요한 증거를 제공하기 때문에, 웹 프록시 증거 수집과 분석을 세부적으로 다룬다. 3부에서 다루는 내용은 다음과 같다. 8장, ‘이벤트 로그 통합, 상관 관계, 분석’: 서버 운영체제부터 워크스테이션(윈도우, 리눅스, 유닉스), 애플리케이션, 네트워크 장비와 물리 장비를 포함하는 다양한 소스의 로그 수집과 분석을 논의한다. 9장, ‘스위치와 라우터, 방화벽’: 다양한 타입의 네트워크 장비에서 얻어지는 증거와 가용한 인터페이스와 휘발성 정도에 따라 달라지는 증거 수집 전략을 연구한다. 10장, ‘웹 프록시’: 웹 프록시의 폭발적인 증가와 웹 서핑 기록, 캐시된 웹 오브젝트 복사본을 수집하기 위해 조사관이 이 장비를 사용하는 방법을 검토한다.

4부, ‘고급 주제’는 네트워크 포렌식에서 가장 매력적인 두 주제인 ‘네트워크 터널링과 악성 코드’를 포함한다. 우리는 합법적이고 은밀한 네트워크 터널과 다양한 타입의 터널을 다루는 조사 전략을 논의한다. 마지막으로 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협(APT)을 포함하는 악성코드의 역사와 포렌식 분석에 미치는 영향을 돌아본다. 4부에서 다루는 내용은 다음과 같다. 11장, ‘네트워크 터널링’: 합법적이고 은밀한 네트워크 터널과 터널을 인지하는 방법, 터널링된 트래픽으로부터 증거를 복구하는 전략을 논의한다. 12장, ‘악성코드 포렌식’: 커맨드 앤 컨트롤 채널과 봇넷, IDS/IPS 회피, 고도화된 지속적 위협을 포함하는 악성코드 발전 역사를 축약한다. 또한 악성코드가 어떻게 변화했고 포렌식 조사에 의해 변경되었는지 논의한다.

나의 증조부는 가구공이었다. 지금 나는 증조부의 의자에 앉아 증조부의 탁자에서 이 글을 쓰고 있다. 증조부의 삶은 실용적인 직업을 통해 실천을 하는 공예와 같았다. 증조부가 노년 시절에 만든 가구는 젊은 시절에 만든 것과 동일한 찬사를 받았지만, 자세히 보면 더 발전했다는 것을 알 수 있다.

사이버 보안의 특징은 꾸준하게 증가하거나, 간헐적으로 벌어지는 변화의 속도에 있다. 수학 용어로 보면, 사이버 보안의 워크 팩터는 임펄스(impulse)로 구두점을 찍는 계단 함수의 빠른 선류의 적분값이라고 할 수 있다. 증조부는 월넛, 금속, 아마씨 등 소재를 변경하지 않고 공예 기술을 개선했다. 사이버 보안의 기술 개선 역시 쉽지 않다.

포렌식은 과거를 설명하는 단순한 노력의 과정, 즉 애펙테이션(affectation)으로 보일 수도 있다. 그러나 실제로는 그렇지 않으며 그 이유는 복잡성 때문이다. 내가 처음부터 언급하듯이, 복잡성이 누적되어 최소한의 네트워크에 대해서도 알 수 없는 상태가 된다. 포렌식의 목표는 기존에 알려지지 않았던 네트워크와 기반 시설에 존재하는 사실(FACT)을 찾아내는 것이다. 이러한 사실을 확인해야만 차후의 조치 방안을 마련할 수 있다.

포렌식은 공예와 같다. 성실함으로 실전 능력을 향상시킬 수 있다. 포렌식 발견 과정은 검증되지 않은 이벤트에 대한 잠재적인 설명을 제거하는 방식으로 이루어진다. 돌을 깎아 코끼리 모양을 만드는 조각과 같이 포렌식은 일어나지 않은 이벤트를 제거해 나간다. EF 슈마허(Schumacher)로 인해 널리 알려진 말로 사이버 보안은 문제를 확산해 가는 데 비해, 포렌식은 수렴해 나가는 과정이다. 다시 말해, 포렌식을 할수록 해답은 일반적인 사이버 보안 문제에서 나올 수 없는 한 가지 결과로 수렴된다.

아마 포렌식은 보안 규율이 아니라 오히려 비보안 규율에 가깝다고 볼 수 있다. 피터 번스타인이 정의한 “Risk is simply that more things can happen than will”라는 말처럼 보안에 있어서 잠재 이벤트는 중요하다. 포렌식은 누적된 복잡성에 의해 일어날 수 있는 모든 가능성에 대해 관여하기보다는 식별 가능한 일부분을 추론해 가는 과정이다. 일반적으로 사이버 보안에는 공격이 구조상 주가 되지만, 포렌식에서는 방어가 우위를 점한다.

포렌식이 공예와 같고 선천적으로 전략적 장점을 가지고 있다는 사실은 일반적으로 인정되고 있다. 현재 혹은 미래의 포렌식 종사자들에게 관건은 전략적 장점을 갖기 위해 이 공예를 이론뿐이 아닌 실전상으로 얼마나 연마하는지에 달려 있다. 이러한 이유 때문에 이 책이 필요하다.

스승의 의무는 제자들이 자신을 능가하게 하는 것이며, 제자들의 의무 또한 스승을 뛰어넘는 것이다. 이 책은 스승으로서 굉장히 좋은 책이며, 이 책을 뛰어넘는 것은 쉽지 않을 것이다. 결국 우리는 도구 상자의 어떤 면이 불변하며, 어떤 부분이 시간에 따라 변할 수밖에 없는지에 대한 판단을 가져야만 한다. 이 책이 그 과정에 유용할 것이다.

모든 포렌식 조사 과정이 원칙적으로 다르기 때문에, 사례별로 필요한 도구 또한 다르다. 최고의 기계공은 필요에 따른 특수 도구를 지니고 있지만, 일부 도구를 다른 것보다 자주 사용한다. 도구들은 단지 그 자체가 도구의 모음일 뿐이고 매 주 사용될 필요는 없다. 니콜라스 탈렙은 움베르토 에코의 도서관을 “...(도서관은) 재정적 수단, 주택 담보 대출 금리, 부동산 시장처럼 당신이 알 수 없는 분야를 습득하게 할만큼 많은 내용을 가지고 있다.”라는 말처럼 반-도서관으로 묘사한다.

이 책을 통해 독자들은 포렌식의 반-도서관을 지니게 되었다. 감사한 마음으로 열심히 공부하기 바란다.

- 다니엘 E 기어, 주니어. Sc.D(이학박사)

인터넷을 떠도는 데이터는 전 세계의 모래알 개수보다 많다. 고고학자처럼, 네트워크 포렌식 조사관은 거대한 환경을 탐색한다. 우리는 모래의 패턴을 분석하고, 낱알을 분석한다. 묻힌 무언가를 찾고 큰 그림을 이해하기 위한 일을 할 수 있다.

네트워크 포렌식은 넓은 범위의 주제를 아우르며, 많은 이유로 수행되곤 한다. 인터넷의 출현과 함께, 인류는 우리 중 누구도 이해하기 바랄 수조차 없이 복잡하고 새로운 환경을 만들어 냈다. 게다가 이 환경은 새롭고, 시간이 갈수록 새로운 차원을 더해갈 것이다.

현재 환경에서, 네트워크 포렌식은 일반적으로 ‘공격자’와 ‘방어자’ 간 다툼을 분석하는 것으로 인식된다. 가끔 조사관은 웜의 발생을 막고, 침입을 조사하며, 법정에서 사용될 증거를 수집한다. 네트워크 포렌식 조사관이 갖춰야 할 기술은 많고 수준이 높다; 동일 조사관이 웹 프록시에 캐시된 익스플로잇을 복구하거나 의심 행위를 특정하기 위한 무선 트래픽을 수동적으로 감청해야 할 수도 있다.

시간이 지나면, 네트워크 포렌식은 역사적인 조사 활동까지 포함하도록 진화할 것이다. 현재 하고 있는 패킷 캡처는 지금으로부터 오랜 시간 동안 분석될 것이며, 미래 연구가들에게 우리의 삶을 ‘커뮤니케이션 방법에서 사회적 믿음과 분쟁, 해결, 사진, 음악, 기술적인 발전과 소프트웨어 언어, 네트워크 아키텍처, 인터넷 거버넌스와 그 이상까지’ 들여다보게 할 것이다.

이 책에서, 우리는 현재 네트워크 포렌식에서 중요한 주제들을 전체적으로 제공하려 했다. 각 장은 네트워크 환경의 다른 면모를 강조하고 네트워크 포렌식 분석가가 세부 분석을 위해 이용할 수 있는 도구와 기술을 논의했다. 각 주제별로 한 권의 책이 구성될 수도 있었다. 대신, 그 주제들은 추가적인 교육을 위한 시작점으로 제공되게 했다.

우리는 이 책이 네트워크 포렌식 분야에서 계속하여 발전하도록 도움을 주기를 바란다. 필요한 도구는 당신의 손 안에 있다. 유비쿼터스 시대에, 분석할 네트워크는 사방에 널려 있다.

조너선 햄(Jonathan Ham)

정책과 프로시저부터 확장 가능한 방지와 탐지, 대응 기술에 이르는 대규모 기업 보안 이슈 분야의 전문가다. 스노트(Snort) 사용법을 NCIS 조사관에게 가르쳤고, 2,000피트 지하의 시설에서 패킷 분석을 했으며, NSA에서 침입 분석을 강의하고, 미국에서 가장 큰 민간 연방 에이전시를 위해 CIRT를 인가하고 훈련시켰다. 15년 동안 고객의 성공을 이끌어 왔으며, SANS 기관의 인가 받은 강사이며, 정기적으로 네트워크 보안 강좌를 강의한다.

셰리 다비도프(Sherri Davidoff)

10년 이상의 정보 보호 전문 경력이 있으며, 모의 해킹과 포렌식, 소셜 엔지니어링, 웹애플리케이션 평가 분야에 전문성이 있다. 은행과 보험, 건강보험, 교통, 제조, 교육, 정부를 포함한 다양한 산업에 컨설팅을 해왔다. SANS 기관의 강의 저자이며, 개인 정보와 보안을 다룬 많은 기사를 작성했다. GIAC-인증을 받은 포렌식 검사관(GCFA)이며 모의 해커(GPEN)였고, MIT로부터 컴퓨터 공학과 전기 엔지니어링 학위를 취득했다.

셰리와 조너선은 보안 컨설팅 회사인 LMG 시큐리티를 운영한다. 그들은 결혼 후 TCP/IP에 대한 농담을 나누고 두 명의 아름다운 딸, 찰리(Chalie)와 바이올렛(Violet)을 키우며 몬타나에서 살고 있다.

7.7 디도스 공격, 3.20 방송사 금융기관 전산마비, 개인정보 유출 등 보안 사고는 이미 우리에게 익숙한 단어가 되었다. 이와 더불어 사고를 분석하고 법적 증거물을 제공하기 위한 ‘디지털 포렌식’이란 단어도 언론을 통해 자주 접하게 되었고, 학문으로서의 인기도 점점 높아지고 있다. 아마 이 책을 읽는 독자도 이러한 흐름에 관심을 가지고 네트워크 포렌식 관련 지식을 얻고자 함일 것으로 생각된다.

디지털 포렌식 분야 중 이전에는 시스템 포렌식이 주를 이루었지만, 최근에는 네트워크 포렌식도 시스템 포렌식 못지 않게 주요 조사 전략으로 인식되고 있다. 그동안 언론에 알려진 대부분의 사고를 생각해 보면 왜 네트워크 포렌식의 중요도가 높아지는지를 잘 알 수 있을 것이다. 주요 보안 사고 이슈는 네트워크를 통해 발생하고 있으며, 안티포렌식(Anti-Forensic) 기법의 사용으로 시스템에서 증거물을 찾기가 점점 어려워지고 있기 때문이다.

이 책은 네트워크의 기초 지식인 프로토콜의 개념에서부터 조사 모델, 사례 분석까지 한 권의 책으로 전반적인 네트워크 포렌식을 이해할 수 있게 구성되어 있다. 적절한 예시를 통해 어려울 수도 있는 기초 개념을 쉽게 설명하며, 저자의 경험에서 나온 사례들을 통해 체계적인 분석 방법 및 대응 기술을 알려준다. 네트워크에 대한 이해가 부족하고 어디서부터 공부해야 할지 모르는 독자들에게 나침반 역할을 할 수 있는 책이다.

김승관

웹 개발 및 시스템 운영경력이 있으며, 현재 안랩 CERT팀에서 근무하고 있다.

장윤하

2011년부터 2013년까지 안랩 CERT팀에서 침해 사고 분석 업무를 담당했고, 현재는 안랩 MSS기술팀에서 차세대 보안관제 모델을 기획하고 있다.

유형석

2011년부터 안랩 CERT팀에서 근무 중이며, 디지털 포렌식 업무를 맡고 있다. 늘 믿음을 주는 아내 주송이와 아들 경록의 도움으로 힘을 얻고 있으며, 다양한 포렌식 기법 중 네트워크 포렌식에 관심을 가지고 연구 중이다.

이충만

세종대학교 컴퓨터공학과를 졸업하고, 안랩 CERT에서 근무하고 있다. 주 업무는 서버 포렌식과 취약점 진단이며, 악성코드 분석에도 관심이 많다. 현재 CISSP 자격증을 보유하고 있다.