보안

성공적인 디지털 포렌식 프로그램을 실행하기 위한 요건 8가지

David Strom | CSO 2018.11.23
IT 및 보안 관리자는 디지털 포렌식에 대한 이해를 높여야 한다. 디지털 포렌식(digital forensics)이란 네트워크 침입, 랜섬웨어와 같은 익스플로잇, 또는 허가받지 않은 사람이 네트워크에 액세스해 데이터를 훔치거나 피해를 입히는 사고의 근원을 추적할 수 있는 역량을 의미한다.



디지털 포렌식은 다양한 기술의 결합체다. 이 가운데에는 법 집행에 관한 배경 지식이 있거나, 최소한 소송 또는 형사 고발에 따라 법정에 제출해야 하는 증거 수집과 보존 절차를 이해하는 "CSI" 스타일의 조사관도 포함된다.

이 증거는 규정 준수 위반에 대한 추가적인 법적 조사의 발판이 될 수 있다. 디지털 포렌식의 목표는 침해를 조사하고 발생한 사건에 대한 필수 문서를 생산하는 동시에 사이버 공격과 사이버 기반 사기를 차단하는 데 있다.

침해의 가능성이 지속적으로 높아져 거의 필연적인 수준에 이르고, 조직이 소송이나 기타 침해 이후 이어지는 사태에 더욱 철저히 대비해야 하는 상황이 닥치면서 디지털 포렌식의 중요성은 더욱 커졌다.

디지털 조사관이자 포렌식 컨설턴트인 데이빈 테오는 홍콩에서 열린 2015 TedX 연설에서 "디지털 포렌식은 TV 드라마의 CSI와는 다르다"며, "1시간 만에 사건이 해결되는 경우는 드물다"고 말했다. 2000년부터 이 분야에서 활동해 온 테오는 "예전에는 디지털 포렌식을 가르치는 교육 과정이 없었고 디지털 카메라조차 귀했다"고 말했다. 물론 그 이후 시간이 지나면서 툴과 위협, 두 가지 모두 더욱 정교해졌다. 예를 들어 테오가 지금 다루는 사건에는 이메일을 통한 익명의 살해 위협, 사기성 금융 거래도 있다.

디지털 포렌식, 사고 대응(Digital forensics, incident response, DFIR)은 악성코드를 리버스 엔지니어링하고 악성파일을 찾고 컴퓨터 메모리와 디지털 문서에서 감염 및 위협을 검색하는 등 많은 보안 툴과 접근 방법을 결합한다.

이런 툴은 침해 이전과 이후 모두 유용한데, EDR(Endpoint Detection and Response), Security Information and Event Management, SIEM), 로그 분석기, 위협 인텔리전스 데이터베이스, 침투 및 애플리케이션 테스트 툴, 방화벽, 침입 탐지 제품 등이 포함될 수 있다.

디지털 포렌식과 사고 대응은 동전의 양면과도 같지만 둘이 연계되는 경우가 많다. 오랜 시간 포렌식 분석가로 활동해 온 브렛 셰이버스는 "디지털 포렌식은 건물에 불이 나 소실된 상황이라면 사고 대응은 형사가 화재의 원인을 찾는 것과 같다"고 말했다.

이러한 분석가들은 미묘한 차이를 보는 눈을 가져야 한다. 테오는 연설에서 "분석가는 치밀하고 독립적이어야 한다"고 말했다.

성공적인 디지털 포렌식 프로그램을 실행하기 위한 요건은 다음과 같다.
 

적절한 시점에 디지털 포렌식 프로그램 시작

포렌식 분석가의 채용 형태는 일반적으로 두 가지다. 하나는 침해 전부터 자문 서비스 형태로 이용하는 경우, 다른 하나는 침해 발생 직후 문제를 해결하고 근본 원인을 찾기 위해 채용하는 경우다.

타이밍이 무엇보다 중요하다. 기업에서 구매 주문을 준비하고 포렌식 공급업체를 승인하는 과정에서 지연이 발생하면 치명적일 수 있기 때문이다. 또한 시간이 지체되는 경우 범인을 잡기 위한 핵심 증거를 놓칠 위험도 있다. 포레스터에서 포렌식에 관한 보고서를 다수 작성한 조쉬 젤로니스는 "공격자가 뒷정리를 하며 흔적을 지우기 전에 필요한 정보를 확보해야 한다"고 말했다.

뉴욕 시에 위치한 에이온 사이버 솔루션스(Aon Cyber Solutions) 수석 부사장 제임스 트레이너는 "많은 기업이 침입 발생 시 필요한만큼 신속하게 대처하지 못한다"고 지적했다. 트레이너는 FBI 사이버 수사국에서 국장보로 근무하다 2016년 은퇴했다.

대응이 빠를수록, 침해 사실 공개와 익스플로잇에 대한 정보 공유가 투명할수록 더 나은 결과를 얻을 수 있다. 트레이너는 "이와 반대로 하는 기업(느리게 대응하고 조사에 협조하지 않는 기업)은 회사와 고객, 스스로의 평판에 더 큰 손상을 입게 된다"고 말했다.

침해 발생 시 현지 법에 따른 처분 파악
이와 관련해 해당 법을 잘 아는 컨설턴트를 고용하는 경우가 많다. 젤로니스는 "이 컨설턴트의 업무는 누군가를 기소하는 것이 아니라 주주 소송 또는 정부 기관의 조치로 인해 발생할 수 있는 다른 법적 소송에 대처하는 것이다. 미국 각 주마다 50명의 검사들이 데이터가 유출된 조직을 철저히 조사하므로 전문적인 대처가 필요하다"고 말했다.

특히 올해 초 EU의 일반 데이터 보호 규정(GDPR)이 발효되면서 이 부분은 더욱 민감해졌다. 젤로니스는 "EU에서는 적절한 의뢰인 간 비밀유지특권을 설정하려면 현지 변호인이 필요하다"고 말했다.

최근 여러 규정으로 인해 침해 후 통지 시한이 더욱 촉박해졌다는 점과 관련해서도 현지 법을 잘 알아야 한다. EU에서는 72시간 보고 시한이 적용된다. 즉, 침해가 발생한 기업은 규제 기관에 72시간 내에 보고해야 하며 그렇지 않을 경우 벌금을 물 수 있다. 이런 상황은 특히 수개월이 지날 때까지 침해 사실을 인지하지 못하는 기업에 문제가 될 수 있다. 미국 캘리포니아 주 역시 침해 알림에 대해 매우 구체적인 요구 사항을 두고 있다.

사전에 침해 대응 팀을 적절히 준비
침해가 발생하기 전에 플레이북과 워크플로우를 테스트하고 검증해야 한다. 젤로니스는 "팀 내에서 각자의 역할에 대해 분란이 발생한다면 효과적으로 사고에 대응할 수 없다"고 말했다.

레드 팀(red team) 툴을 도입하고 다양한 시뮬레이션을 사용하는 것도 이런 준비 프로세스에 포함된다. 미국 세인트루이스에 소재한 보안 컨설팅 업체 NTP의 보안 운영 개발 관리자인 맥스 지아크는 "이를 통해 기업은 침해 후 대응 단계를 실습하면서 주의가 필요한 부분을 살펴볼 수 있다"면서, "다양한 역할과 책임을 이해해야 하며 대응을 능률화할 수 있어야 한다. 간단한 경우라면 몇 가지 시나리오를 검토하고 데이터가 저장되는 위치와 중대한 사고 시 누가 어떤 일을 하는지에 대해 모든 주요 이해당사자로부터 동의를 받는 정도로 된다"고 말했다.

사전에 자문 서비스를 이용하는 방안 고려
젤로니스는 <실패에 대비한 계획. 침해를 극복하는 방법>'이라는 포레스터 보고서에서 "자문 서비스는 침해 대응에 필수적이며, 사고 대응 자문을 확보하는 것은 효율적인 적시 대응을 보장하기 위한 최선의 방법"이라고 말했다. 포레스터에서 설문한 기업 가운데 58%는 현재 자문 서비스를 이용 중이며 17%는 내년부터 이용할 계획이라고 답했다. 이 보고서는 잠재적 공급업체를 평가하는 데 필요한 척도로 구현 로드맵 개발, 비즈니스 요구 사항 이해, 적절한 위협 대응 및 차단 제품 선택 등을 제시했다.

침해 후 모든 이해 당사자의 협조
최선의 길은 디지털 포렌식 계획 수립에 IT, 법무, HR 부서가 모두 참여하는 것이다. 세 부서 모두 침해 후 복구에서 중요한 역할을 하기 때문이다. 미국 인디애나폴리스 주에 소재한 폰듀런스(Pondurance)의 보안 컨설턴트인 커티스 브래젤은 "HR 부서는 디바이스 확보를 지원하고, IT 부서는 프로세스를 유지하고(예를 들어 휘발성 증거를 보존하기 위해 디바이스를 그대로 두기 등), 법무 팀은 조사를 지원해야 한다"고 말했다.

법무 팀이 이 활동의 장애물이 아닌 중요한 요소임을 인식하는 것도 이런 협조의 일부분이다. 젤로니스는 "곤란한 상황을 모면하게 해주는 사람은 결국 변호사들"이라고 말했다. 지아크는 법과 관련된 적절한 인력을 채용해야 하는 또 다른 이유로 현지 법과 함께 증거법상의 적절한 관리 연속성 요건을 이해해야 한다는 점을 들었다.

EDR 제품 평가 및 선택
기업에 따라서는 침해 전 태세를 평가하기 위한 최적의 시점은 새로운 EDR 제품을 고려할 때다. 일부 EDR 공급업체는 제품 구입 시 무료 자문 서비스를 제공한다. 이 경우 침해가 발생하기 전에 계약상의 대응 수단을 확보하게 된다는 장점이 있다. 일부 기업은 침해 대응에 관리형 서비스 제공업체를 사용해 이런 업체는 향후 조사에서 사용되는 EDR 툴을 제안한다. 기업이 엔드포인트 보호를 업데이트할 계획이라면 향후 영구적 솔루션으로 구축할 수 있다.

사용 가능한 디지털 포렌식 툴에 대한 팀 교육 실시
시중에는 엄청난 수의 포렌식 툴이 나와 있다. 예를 들어 셰이버 웹사이트에만 수백 개의 툴이 있다. SANS도 SANS 인베스티게이티브 포렌식 툴킷(SANS Investigative Forensics Toolkit)이라는 오픈소스 포렌식 워크스테이션을 개발했다. 윈도우 10에서 다양한 툴을 설치하는 방법은 이 문서에 단계별로 자세히 나와 있다. IT 팀이 이런 툴을 사용한 증거 보존 및 관리 요건의 기본을 숙지하도록 해야 한다.

디지털 포렌식 교육 요건 이해
처음 시작할 때는 앞서 언급한 SANS 웹사이트를 방문하는 것이 좋다. 이 사이트에는 다양한 자격증을 획득할 수 있는 유료 과정과 여러 주제에 관한 수많은 팩트 시트가 정리되어 있다. 트레이너는 "SANS 프로그램은 아주 좋다. 나는 여기서 3년 동안 3개의 자격증을 획득했다"면서, "지속적인 교육은 최신 기술과 위협 상황에 보조를 맞춰야 하는 IT 전문가에게 매우 중요하다"고 말했다.

SANS 강사의 상당수는 포렌식 커뮤니티에서 적극적으로 활동 중이므로 현업 종사자의 관점을 제공한다. 셰이버는 "특히 유료 강좌의 경우 과정을 선택하기 전에 교육이 필요한 부분을 신중히 평가해야 한다"면서, "강좌에서 정확히 어떤 내용을 배울지 확인하기 전에 무턱대고 뛰어들어서는 안 된다. 나도 강좌를 잘못 선택해 돈을 낭비한 적이 있다"고 말했다.

디지털 포렌식에 대해 읽을 자료도 풍부하다. 추천할 만한 글은 다음과 같다.
- 포레스터는 10여 가지의 툴을 평가하고 최상위 공급업체로 PwC를 선정한 디지털 포렌식에 대한 웨이브 보고서를 포함해, 다양한 포렌식 및 사고 대응 기업용 툴에 대한 유용한 비교 보고서를 제공한다. 또한 최선의 보안 아키텍처를 구축하기 위한 조언, 필연적인 침해에 대비한 계획에 도움이 되는 플레이북도 제공한다.

- 미 국무부 사법연구소는 디지털 증거를 평가, 조사, 처리하는 방법과 주요 포렌식 툴 사용 방법을 설명하는 안내서 시리즈를 발행했다. 

- 마지막으로, 로체스터 공과대학의 조세핀 울프 교수의 저서 <You'll See This Message When It Is Too Late(이 메시지를 볼 때면 이미 너무 늦었다)>가 있다. 아마존에서 주문할 만한 가치가 있는 책이다. 정보보안 책은 차고 넘치지만 필자가 아는 한 지난 10년 동안 발생한 다양한 데이터 침해를 체계적으로 최초로 분석한 책이다. 최근 발생한 총 9건의 주요 데이터 침해 사건을 살펴보고 그 이유를 해부하고 어떻게 했으면 침해를 막을 수 있었는지도 알아본다. editor@itworld.co.kr


 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.