"어느 해커나 남길 수밖에 없는 결정적 단서, '스모킹건'이 있다"

'포렌식(forensic)'이란 '법정의, 수사적인, 과학수사의' 등 의미를 가진 영단어로, 관련 용어인 디지털 포렌식은 휴대폰, PDA, PC, 서버 등에서 데이터를 수집 분석해 전자 증거물을 찾는 디지털수사과정을 뜻한다.

TV 드라마 'CSI'나 '싸인'에서 추리 기법으로 사건 및 병의 실마리를 풀어나가는 것을 떠올리면 이해가 쉽다.

그 유형 중 하나인 디지털 포렌식은 '컴퓨터 법의학'이라 불리며 작거나 보이지 않는 데이터 속 증거의 파편을 통해 원인을 추리해내는 데 도움을 준다.

때문에 포렌식은 보안 전문가들에게도 주목 받고 있다. 보안을 위한 포렌식은 진범을 찾는 것보다 피해를 최소화하고 재발되지 않도록 방어하는 것이 더 큰 목적이라는 점에서 법의학적 개념과는 다소 다르다.

IT 보안 전문 기업 안철수연구소 역시 포렌식을 활용해 'A-FIRST'라는 보안 사고 전문 팀 서비스를 제공하고 있다고 밝혔다.

지난 20일 ISF2011 세미나에서 소개한 이 서비스의 'FIRST'는 'Forensic Incident Response Service Team'의 약자다. 침해 사고에 적극 대응하고, 전문가의 조언을 제공하는 서비스인 것.

이들은 포렌식을 새로운 공격 방식 'APT(Advanced Persistent Threat)'의 대응책으로 활용하고 있다.

APT란 공격 대상의 패턴을 확인한 뒤, 소셜네트워크 등 주로 사용하는 서비스를 통해 악성코드를 심고 치명적인 정보 유출 및 시스템 파괴를 일으키는 지속적인 해킹 수단이다.

이 공격 기술은 여러 모듈로 분할돼 정상적인 수준의 네트워크 부하만을 일으켜 잘 드러나지 않으며, 일반 보안 시스템에도 잡히지 않아 더욱 위험하다.

A-FIRST의 김지훈 팀장은 "APT는 IT 기술이 고도화되면서 악성코드나 취약점, 해킹과 사회 공학 기법 등으로 IT 기술에 의해 생산되는 위협 형태"라며, "APT가 고급화된 침해유형으로 자기매김한 상태에서 포렌식은 APT의 유일한 해법이 될 것"이라고 설명한다.

APT 공격은 PDF, DOC, XLS, SWF 등 사람들이 자주 사용하는 확장자 파일로 잠입해 22, 53, 80, 443, 8080/PCT처럼 일반적인 네트워크에서 사용하는 경로로 명령 전달 및 정보 유출을 진행한다. 따라서 PC의 기록을 꼼꼼히 확인하고 작업 내역을 보다 빠르게 확인할 수 있어야 한다.

포렌식 분석을 통해 모니터링과 추적을 통해 해커가 침입한 흔적을 찾고, 의심 파일의 주요 행위를 분석해 다른 파일과의 관련성 및 유입 경로를 확인한다. 주요 행위의 연관성과 타임라인을 분석해 APT 공격자의 시나리오를 재구성, 다음 공격이나 피해 범위를 예측할 수도 있다.

즉, 포렌식은 작은 증거를 분석하고 수집해 사고 진행 기록과 유입 경로 등 중요한 사실들을 유추할 수 있게 해 준다.

또한 김지훈 팀장은 "소프트웨어 업데이트를 통해 악성코드가 침입하는 경우도 있으니, 잘 알려지지 않은 소프트웨어의 사용을 금하는 것이 좋다"고 조언했다.

[이현 기자 talysa@chosun.com] [game.chosun.com]

◆ 아이온 두번째 3.0 PvP정보유출... 호법성VS검성 영상
◆ 한게임, 위닝과 KUF2 등 대형 타이틀로 지스타에 공략
◆ 게임 카테고리 재개방 임박 "구글 마켓 10월중 열린다"
◆ 게임조선 실시간 현장 중계/블리즈컨2011 소식 한방보기

※ 도전하세요. Web APP Programming 개발자 과정 교육생 모집

ⓒ기사의 저작권은 게임조선에 있습니다. 허락없이 무단으로 기사 내용 전제 및 다운로드 링크배포를 금지합니다.