법 집행 기관뿐만 아니라 기업에서도 사이버 범죄가 만연하면서 디지털 포렌식 범위가 크게 증가하였다. 디지털 기기의 보편화로 인해 일상적인 사건사고에도 스마트폰, 태블릿 PC, 클라우드 등 디지털 포렌식 분석 대상이 늘어나고있다.
이러한 디지털 포렌식 조사 작업은 분석 도구만으로는 사건을 해결할 수 없다.
숙련된 분석가들이 사명감을 가지고 모든 조사 수단을 동원하여 끈질기게 관련 자료의 연관성을 분석하고, 추적하여 범죄행위를 밝혀내고 있다.
오늘날의 거의 모든 사건에는 디지털 요소가 포함되어 있기 때문에 디지털 포렌식 조사관과 분석가는 한정된 시간 안에 사건을 해결하기 위해 신속하게 움직이고 있다.
사건 해결을 위해서는 무엇보다 먼저 관계자들의 비정상적인 행동을 파악하고 부정행위나 범죄 등에 연루된 정황을 찾아낸다. 퇴사한 직원이 악의적인 의도를 가지고 IP, 고객 정보, 공금횡령 등 행위가 있을 수 있으며, 내부자의 단순 실수로 인해 리소스가 오용되거나 잘못 할당될 수도 있다. 위법 행위가 범죄 기준에 부합하는 경우, 위법 행위의 증거를 식별하고 보존하는 것이 중요하다. 이를 위해 이벤트 로그, 레지스트리 파일 및 시스템 요약을 검토하고, 특히 문제가 된 사건사고(인시던트)가 발생하기 전 2주, 한 달, 두 달 동안의 행동 패턴 변화를 살펴보아야 한다. 개인 계정, 클라우드 드라이브 또는 USB 장치에 대한 대용량 업로드 또는 다운로드 또는 이메일을 확인한다. 파일 이름이나 파일 확장자를 변경하는 것 비정상적인 파일 압축 또는 암호화 역시 증거 데이터를 숨기기 위한 행위일 수 있기 때문에 반드시 확인이 필요하다.
이러한 디지털 포렌식에는 발견한 데이터를 신속하게 해석하는 능력이 가장 중요하다. 핵심 데이터를 찾을 수 있는 주요 위치와 데이터를 해석하는 방법을 파악하여 시간을 절약하고 핵심 증거를 더 빨리 확보하기 위한 분석 단계와 팁을 살펴보면 다음과 같다.
조사 분석하고자 하는 사건 타임라인을 최소로 설정한다. 일단 디지털 포렌식 업무 효율성을 높이기 위해 이벤트 타임라인을 설정해야 한다. 이 짧은 기간으로 조사를 좁혀 제한하면 정말 중요한 것에 집중할 수 있다. 한 가지 디지털 증거를 발견하면, 이를 시작으로 점점 더 많은 것을 발견할 수 있으며, 이를 사용하여 이벤트 타임라인을 확대하면 된다. 하나의 증거가 다른 증거와 연결될 가능성이 높기 때문에 이 작업은 반복적으로 이루어질 것이다. 이러한 단계를 여러 번 거치면 관련 데이터 목록의 모든 항목에 대해 누가, 무엇을, 언제, 어디서 찾았는지도 확인할 수 있다.
다음 단계로는 다양한 분석 도구를 활용하여 증거 수집 작업을 진행하여 얻은 디지털 포렌식 아티팩트(Artifact: 이용자나 애플리케이션이 운영체제와 상호작용할 때 생성되는 포렌식 증거)를 활용하여 사건(인시던트)의 타임라인을 만들어 전체적인 사건 윤곽을 종합적으로 파악해야 한다.
이 작업을 위해서는 손쉽게 사용할 수 있는 다양한 디지털 포렌식 도구를 활용하는 것이 좋다. 프리페치(Prefetch, 메모리에 각종 장치드라이버와 응용 프로그램 정보 등을 미리 불러 놓았다가 필요할 때 빠르게 호출하여 프로그램의 실행 시간을 줄여주는 기능)는 위협 행위자가 실행한 실행 파일을 나열할 수 있지만, 여기에는 무해한 다른 실행 파일도 포함될 수 있으므로 정확하게 분석해야 한다. 관리자 파워셀(PowerShell) 콘솔 기록 파일은 위협 행위자가 실행한 명령을 보여줄 수 있지만 타임스탬프는 제공하지 않으므로 침입 이전에 실행한 명령과 현재 실행한 명령을 혼동하면 안된다. 또한 작업 관리자의 시스템 리소스 사용량 모니터는 위협 행위자가 배포한 모든 네트워크 통신 또는 데이터 유출에 대한 인사이트를 제공할 수 있지만, 이는 초동 수사 관점에서는 분석 순위가 낮은 아티팩트이므로 다른 분석 스레드와 함께 접근하여 볼륨을 줄이도록 해야 한다.
이러한 분석 작업을 마쳤다면, 수집한 증거자료에 대한 확인 단계를 거치며 여기서는, 조사 작업에서 누락된 것은 없는지, 위협 행위자가 작업한 디렉터리를 제외하지는 않았는지, VPN 계정에 이중인증(2FA)가 없는 사용자가 있지는 않았는지 등을 비롯하여 다양한 관점에서 최종적으로 검토한다.
이처럼 디지털 포렌식 조사관들이 협력하여 다양한 기술과 도구를 사용하여 위협 행위자의 가능한 행동을 좀더 명확하게 식별할 수 있다.
최종 분석이 완료되면 조사 결과를 문서화하여 보고해야 한다.
조사 결과는 횡령, 데이터 유출, 네트워크 침해와 같은 불법 행위와 관련된 전체 조사 과정과 결론을 쉽게 시각화할 수 있는 방식으로 적절하게 문서화해야 한다. 이러한 보고서는 관련 기관에 제출되며 필요 시에 디지털 포렌식 조사관들은 전문가 증인으로서 발견한 증거를 요약하여 발표하고 조사 결과를 공개할 수 있다.
불법 행위의 모든 증거를 숨기는 것은 불가능하다. 디지털 포렌식은 적법한 절차를 통해 무슨 일이 일어났는지 그 원인을 파악 / 분석 / 보고서화 하는 일련의 과정이다. 사건의 유형에 따라 추가 단계가 필요할 수도 있지만, 적절한 도구와 리소스가 있다면 거의 모든 사건을 해결할 수 있다. 또한 기업은 디지털 포렌식 작업 수행을 계기로 하여, 보안 취약점을 찾아내고 새로운 안전장치와 프로세스를 갖추게 됨으로써, 보다 강력한 기업 보안 환경을 구축하는 데 도움이 될 것으로 확신한다.
[글. 인섹시큐리티 / 김종광 대표이사 / insec@insec.co.kr]
◆인섹시큐리티
인섹시큐리티는 2005년 설립 이후 해킹, 보안, 디지털포렌식 및 침해사고 조사 실무 교육을 진행해왔으며, 악성코드 탐지 보안 솔루션인 옵스왓의 ‘메타디펜더(Metadefender)’, 악성코드 분석 전용 샌드박스 ‘조 샌드박스(Joe Sandbox), 디지털 포렌식 솔루션 ‘마그넷 포렌식 엑시움(AXIOM), 오픈 텍스트 인케이스(EnCase)’, 모바일 포렌식 솔루션 '그레이시프트(GrayShift) 그레이키(GrayKey)', 가상화폐 분석조사 솔루션’, 보안 취약점 진단 및 관리, 모의해킹 솔루션 '코어임팩트프로(Core IMPACT Pro), 래피드7(Rapid7), HCL AppScan 등을 비롯한 다양한 보안 솔루션의 국내 공급 및 컨설팅 사업을 진행하고 있는 디지털 포렌식 및 보안전문업체다. 특히 해킹, 보안 및 디지털 포렌식 교육사업 분야에서는 국내 최고 수준의 강사진과 교육센터, 다양한 커리큘럼 등을 갖추고 있다. 인섹시큐리티는 현재 대기업, 공공 및 군 특수기관 등을 비롯하여 다양한 산업 분야에 도입되어 국내에서 1,000개 이상의 다수의 고객사를 보유하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
