http://www.boannews.com/media/view.asp?idx=58292&page=2&mkind=1&kind=1
2017-11-29 11:31
디지털 포렌식, 보안 분야를 총망라 해...보안 전문가의 필수 코스
주어진 디지털 증거 분석하는 걸 넘어, 스스로 증거 찾을 줄 알아야
[보안뉴스 문가용 기자] 조지아공과대학에서의 일상은 ‘문제 풀기’로 가득하다. 필자가 속해 있는 사이버 포렌식 연구소에서는 ‘문제’가 ‘범죄’와 동의어가 된다. 문제를 풀기 위해 각종 수사 및 분석 기술들이 동원된다. 특히 컴퓨터에 남아있는 범죄의 증거를 수집하고 보존하는 것이 핵심인데, 여기서 말하는 ‘증거’는 법정에 제출이 가능한 것들을 말한다. 범죄 현장에서 발견된 기기들을 가지고 최대한 많은 ‘법적 증거’를 찾고 제시하면 수사에 큰 도움이 된다.
[이미지 = iclickart]
필자가 조지아공과대학에 왔을 때도 이러한 디지털 수사 기술에 대한 연구가 계속해서 진행 중이었다. 실제 범죄를 해결하기 위한 포렌식 기술 개발 및 향상이 우리에게 있어서 멀웨어 연구나 사이버 공격 분석보다 더 중요했다. 누군가 은행을 털다가 전화기를 떨어트렸다면, 그걸 최대한 활용할 수 있도록 하는 게 우리의 할 일이었다.
그 중에서도 필자가 주력했던 분야는 ‘메모리 이미지 포렌식’이었다. 기기 내 RAM으로부터 증거 자료를 획득하는 기술을 말한다. 노력이 헛되지는 않았는지 최근 레트로스코프(RetroScope)라고 불리는 사이버 포렌식 기술을 개발하는 데 성공했다. 이는 기기 내 암호화된 정보를 복구시키는 기술이다. 레트로스코프의 원리는 그리 어렵지 않다. RAM 데이터의 복제본을 활용해 텍스트나 이메일과 같은 정보를 다시 생성하는 것이기 때문이다. 또한 이 기술을 활용하면 사용자가 가장 최근 접속했던 앱들의 목록을 수사관이 열람할 수 있다.
테러리스트들은 텔레그램이라는 메시징 앱을 선호하는 것으로 잘 알려져 있다. 텔레그램의 암호화 기술이 강력하기 때문이다. 하지만 레트로스코프 기술을 발휘하면 전화기 내 데이터를 다시 생성해 경찰이나 사법당국에 제출하는 게 가능해진다. 수사 기관은 범인이 범행 직전 혹은 범행 도중에 어떤 대화를 주고받았는지 정확하게 확인할 수 있다. 메모리 내에 남아있는 데이터라면 그 어떤 것이라도 추출하고 재사용할 수 있다.
최근에는 한 식당 고객이 신용카드 정보를 도난당하는 사건이 있었다. 이 때도 사이버 포렌식 기술이 활용됐다. 물론 수사당국이 포렌식 전문가를 초청하자마자 모든 수수께끼가 풀린 건 아니다. 그래서 더 많은 고객들의 카드 정보가 도난당했다. 고객들은 분노했고, 식당을 고발했다. 그러자 식당 측은 더 쓸 만한 포렌식 전문가를 초빙했다. 전문가는 시스템을 검사했고 POS 시스템에서 멀웨어를 발견했다. 카드가 긁힐 때마다 정보를 다른 곳으로 전송하는 멀웨어였다. 공격자는 RAM의 짧은 주기에 기대어 멀웨어를 숨기고 있었다.
첫 번째로 사건을 분석했던 포렌식 전문가는 컴퓨터 디스크 내에 있던 파일들만을 조사 대상으로 여겼고, 그래서 이 멀웨어를 놓친 것이다. 당시로서는 RAM에 멀웨어를 숨긴다는 발상이 어렵기도 했다. 하지만 필자와 같이 디지털 포렌식만을 전문으로 하는 부류들이라면 그러한 신식 공격법에 대해 잘 알고 있다. 보안에도 여러 분야가 존재하고, ‘보안 전문가’라고 해서 모든 세부 분야를 해박하게 알고 있지는 못하다. 내가 초빙되었다면 어땠을까? 다행히 RAM을 연구하고 있기에 해당 공격을 파헤칠 수 있었겠지만, 멀웨어들을 연구하고 있었다면 마찬가지로 놓쳤을 수도 있다.
디지털 기기들과 관련된 범죄 수사 행위에 있어서 아직까지 ‘포렌식스러운’ 접근법을 누구나 잘 알고 있지 못하다. 그래서 같은 기기를 놓고도 포렌식 전문가의 전문분야에 따라 증거를 놓치기도 하고 살리기도 한다. 그리고 그 결과는 실생활에서 큰 차이를 만든다. 보안 전문가가 다 포렌식 전문가일 필요는 없었다고 여태까지 믿어왔지만, 포렌식에 집중하다보니 이 생각이 틀렸다고 감히 말할 수 있게 되었다. 포렌식 전문가는 보안의 모든 분야를 광범위하게 알아야 할 수밖에 없다. 보다 ‘총체적인’ 시각을 갖추게 되고, 그에 맞는 기술도 익히게 된다. 그렇기에 보안 전문가라면 다 포렌식 전문가가 되는 미래를 바라봐야 한다고 생각한다.
보안 전문가는 누군가 찾아놓은 증거물을 그때 그때 분석하는 역할을 뛰어넘어야 한다. 우리가 남들이 못 보는 증거를 찾아내고, 분석까지도 해야 한다. 그것이 디지털 범죄가 물리적 범죄를 넘어서고 있는 시대의 부름이다.
글 : 브렌든 살타포마지오(Brendan Saltaformaggio), 조지아공과대학
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
'가상머신 환경 세팅 > 보안 관련 뉴스' 카테고리의 다른 글
| 2017년 최악의 보안사고 7선 (0) | 2017.12.16 |
|---|---|
| 꼭 봐야할 2018년 보안위협 동향 5가지 (0) | 2017.11.16 |
| 2017년을 강타한 주요 보안이슈 5가지는? (0) | 2017.11.16 |
| “올해 말까지 블록체인 프로젝트 90% 실패할 것” (0) | 2017.11.15 |
| 워너크라이에 가려졌던 2분기...익스플로잇 심각성은 역대 최고 (0) | 2017.11.15 |