실시간 뉴스



'포렌식' 더 이상 경찰만 사용하는 기술이 아냐


기업 보안 사고 퍼즐 맞추며 침해사고 사건일지 작성 역할

[김국배기자] 사이버 범죄 드라마 '유령' 속 사이버수사대는 노트북 하드디스크를 분석해 피해자가 죽기 전 어떤 파일을 열어봤고 인터넷으로 어떤 단어를 검색했는지 (로그)기록을 샅샅이 살펴본다. 바로 포렌식이란 기술을 통해서다.

당시 '유령'의 대본 검수를 담당했던 안랩 ASD실 김지훈 클라우드분석 팀장은 지난 2011년 6월 조직한 디지털포렌식 전문조직 '에이 퍼스트(A-First)'의 총괄로서 '사건의 퍼즐을 맞추고 판을 짜주는 기술'이라고 포렌식 기술을 요약했다.

"일종의 타임라인(timeline)이라고 할 수 있죠. PC가 감염됐다면 감염된 시기는 언제인지 공격자는 어떤 악성코드를 사용해 공격했는지 전반적인 사건 일지를 기록해 주는 겁니다. 보통 약 2주 정도의 시간이 소요되는데 조금 더 상세하게 들어가야 하는 경우 한 달까지도 걸려요. 지워진 흔적을 얼마나 잘 복원시켜 퍼즐 구성의 완성도를 높이느냐가 기술력의 관건이죠."

"경찰의 목적은 범죄자를 찾고 구속하는 수사에 있지만 우리는 공격자를 밝혀내는 데 크게 관심이 없습니다. 정보 중 하나일 뿐이죠. 실제 포렌식 서비스를 제공하는 이유는 침해사고 발생시 원인을 빠르게 규명하고 재발 방지를 위해 정확한 사실(fact)을 전달하는 데 있습니다. 같은 도구를 다르게 사용하는 셈이죠."

아직까지 매출은 많이 발생하고 있지 않지만 포렌식 서비스의 형태는 사후예방적 성격으로 기업 환경 내 침해사고에 대응하는 데 초점이 맞춰져 있다. 포렌식 서비스가 없다면 최근 늘고 있는 지능형지속위협(APT) 공격을 파악하는 건 현실적으로 어렵다는 게 전문가들의 평가다.

"APT 공격이란 장기간에 걸쳐 기업을 충분히 이해한 공격자가 공격을 시도해 나가는 것입니다. PC에 의심되는 정황이 포착될 경우 되짚어 보면 3~6개월 이상의 시간을 갖고 진행한 경우가 분명 있어요. 이런 경우 포렌식을 써야만 과거부터 어떤 일이 있었는지에 대한 분석이 가능합니다."

기업 고객들이 포렌식 서비스를 통해 요구하는 것은 뭘까? 답은 크게 두 가지다. 감염 경로를 확인하고 해당 공격으로 인한 정보 유출 등의 피해 범위를 명확히 아는 것이다. 그는 포렌식 서비스로 모든 것을 확인할 순 없지만 일련의 사건을 풀어 헤칠 밑그림을 그리는 주요한 기술이라고 강조했다.

그는 앞으로는 사후 예방을 넘어 포렌식 준비도(Forensic Readiness or Forensic Preparedness)처럼 사전 예방에 포렌식 서비스를 활용하는 쪽으로 나아갈 것이라고 설명했다. 포렌식 준비도는 기업 내 포렌식 장비를 미리 설치해 놓고 사고가 발생했을 경우 관련 증거를 신속히 확보해 빠르게 원인을 분석하며 대응해 나가는 것을 말한다.

"요즘 해커들은 파일삭제나 디스크파괴 등 안티포렌식 기술로 추적할 수 있는 정보들을 지우고 나오는 경우가 많아 사고 분석에 어려움을 겪을 때가 많아요. 그렇기 때문에 포렌식 정보들이 안전하게 남겨질 수 있도록 준비를 해두어야 합니다. 정보를 많이 축적하고 있는 회사가 사고가 났을 때도 다양한 근거자료를 갖고 확인할 수 있기에 '퍼즐'을 더 잘 맞출 수 있는 것이죠."

요즘에는 기업 보안 담당자들도 포렌식 기술에 대한 이해도가 높아지면서 요구가 늘었다고 한다. 과거 정보유출 기능 등 악성코드 행위에 대해 초점을 뒀다면 최근엔 포렌식 서비스로 관점이 옮겨오면서 사고가 터지기 전에도 서비스 의뢰가 들어오기도 한다.

"사고가 터진 후가 아니라 지금 진행중인 미심쩍은 정황을 두고 포렌식 서비스로 확대해 대응하는 담당자도 늘고 있어요. 의심스러운 단계에서 요청하는 게 피해를 최소화할 수 있는 접근이라는 측면에서 더 현명한거죠."

그는 "기업 내에서 자체적으로 포렌식 서비스에 대한 요구사항을 만족시키기 위해 전담팀을 구축하거나 보안전문가 양성에 포렌식 전문가 과정이 만들어지는 일도 증가하고 있어 포렌식 서비스에 대한 요구가 늘어나는 것을 실감한다"고도 했다.

이러한 포렌식 서비스가 보안의 영역만은 아니다. 해외에서는 기업 간 법률 분쟁이 일어났을 경우 계약서, 이메일 등 송수신 자료에 따른 기업 간 계약 관계를 증명하는 전자증거제시제도(e-discovery)를 보완하는 기술로 포렌식이 활용되고 있다.

"과거에는 디지털 정보가 쉽게 지워질 수 있고 변조가 가능하다는 이유로 재판에서 쉽게 받아 들여지지 않았어요. 그러나 최근엔 적벌한 절차로 안전하게 관리될 수 있다는 것만 보증하면 법적 증거물로 제출할 수 있어 기업 간 법정 다툼이 많은 해외에선 시장이 커지고 있어요. 국내도 활성화 단계는 아니지만 조금씩 기지개를 켜고 있습니다."

김국배기자 [email protected]




주요뉴스



alert

댓글 쓰기 제목 '포렌식' 더 이상 경찰만 사용하는 기술이 아냐

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스