싸니까 믿으니까 인터파크도서


책내용

★ 이 책에서 다루는 내용 ★ ■ 조직 내에서 사고 대응 기능의 구축 및 배치 ■ 적절한 증거 수집 및 처리 절차 수행 ■ 수집된 증거 분석 및 보안 사고의 근본 원인 파악 ■ 메모리 및 로그 분석 ■ 디지털 포렌식 기법과 절차를 전반적인 사고 대응 절차에 통합 ■ 다양한 위협 사냥 기법 ■ 분석의 주요 결과를 문서화하는 효과적인 사고 보고서 작성 ★ 이 책의 대상 독자 ★ 정보 보호 전문가, 디지털 포렌식 실무자, 소프트웨어 애플리케이션 및 기본 명령행 사용에 대한 지식과 경험이 있는 독자를 대상으로 한다. 또한 조직 내에서 사고 대응, 디지털 포렌식, 위협 사냥 임무를 처음 접하는 정보 보호 전문가에게 도움이 될 것이다. ★ 이 책의 구성 ★ 1장, ‘사고 대응의 이해’에서는 사고 대응의 절차와 기업 내부적으로 사고 대응에 대한 프레임워크를 수립하는 방법을 다룬다. 이 프레임워크를 통해 사고의 근본 원인을 구체적이며 체계적으로 조사할 수 있고, 사고를 억제하고 충격을 줄일 수 있으며, 피해를 복구해 기업을 평시의 상태로 되돌릴 수 있다. 2장, ‘사이버 사고 관리’에서는 사고 대응을 위한 전략적 구성 개념을 제공하는 사고 관리 프레임 워크를 논하며, 사고 관리 방법의 가이드를 제시한다. 사고 에스컬레이션, 사고 워룸(war room)의 구성, 위기 커뮤니케이션, 조직을 평시로 되돌리기 위한 기법 등과 같은 전략적 수준의 이슈를 다룬다. 3장, ‘디지털 포렌식 기본 원리’에서는 디지털 포렌식의 기초를 배운다. 디지털 포렌식의 주요 역사와 과학 수사의 기본 요소, 디지털 포렌식 기법과 사고 대응 프레임워크의 통합 방법을 다룬다. 4장, ‘네트워크 증거 수집’에서는 네트워크 기반 증거의 획득에 중점을 둔다. 방화벽, 라우터, 스위치, 프록시 서버, 그 밖의 네트워크 레이어 장비와 같은 네트워크 장비의 로그 파일들을 다룬다. 그 밖에 패킷 캡처와 같은 증거 유형도 탐색해본다. 5장, ‘호스트 기반 증거 확보’에서는 손상된 호스트가 많은 경우 직접적으로 또는 네트워크의 다른 영역에 대한 피벗 포인트로써 공격의 대상이 된다는 점을 설명한다. 이러한 시스템들의 증거는 사고의 근본 원인을 파악하는 핵심이다. 휘발성 메모리, 로그 파일, 기타 관련 증거를 캡처하는 데 사용되는 도구와 기법을 중점적으로 다룬다. 6장, ‘포렌식 이미징’에서는 손상된 시스템의 물리적 디스크 드라이브가 중요한 증거 소스가 된다는 점을 설명한다. 이 증거가 손상되지 않게 하려면 증거를 적절하게 확보해야 한다. 이 장에서는 의심스러운 하드 디스크 드라이브(HDD)를 올바르게 이미징하는 방법에 집중한다. 7장, ‘네트워크 증거 분석’에서는 tcpdump, Wireshark, Moloch와 같은 오픈소스 도구를 사용하는 방법을 알아본다. 명령 및 제어 채널이나 데이터 추출을 식별하기 위한 네트워크 증거 분석 가이드를 제시한다. 이러한 증거는 네트워크 프록시나 방화벽 로그, 패킷 캡처와 같은 다른 네트워크 증거와 깊이 연관된다. 8장, ‘시스템 메모리 분석’에서는 산업 표준 도구들을 활용해 시스템 메모리 안에 포함된 악성 활동들을 식별하는 다양한 방법을 살펴본다. 악성 프로세스, 네트워크 연결, 감염된 시스템에서 실행되는 악성 코드와 관련된 지표들의 식별 방법을 소개한다. 9장, ‘시스템 스토리지 분석’에서는 앞서 이미징한 HDD로부터 증거를 추출하는 데 사용할 수 있는 도구와 기법을 소개한다. 시스템 스토리지를 검사하는 데 사용할 수 있는 방법들을 다루지만, 9장에서는 특정 측면만 중점적으로 다룬다. 10장, ‘로그 파일 분석’에서는 정당한 동작과 적대적인 동작 중에 생성되는 다양한 윈도우 OS 로그를 탐색한다. 오픈소스 도구를 사용해 로그 파일을 분석함으로써 보안, 시스템 또는 애플리케이션 이벤트 로그를 검사하고, 잠재적인 침해 지표를 식별하는 방법을 알아본다. 11장, ‘사고 보고서 작성’에서는 조사 자체만큼 중요한, 사고 대응자의 조치와 분석을 캡처한 서면 문서의 작성을 논한다. 잠재적인 법인을 포함해 주요 내부 및 외부의 이해관계자를 대상으로 한 보고서 작성에 초점을 둔다. 법정에서의 철저한 검토에 부합하는 보고서를 준비하는 것이 최종 목표다. 12장, ‘악성 코드 분석’에서는 악성 코드를 검사할 때 배포되는 도구 및 기법을 개관한다. 여기에서는 주요 지표를 식별하는 정적 분석 기법과 악성 코드의 동작을 탐색하는 동적 분석을 다룬다. 13장, ‘위협 인텔리전스 활용’에서는 위협 인텔리전스가 적대적인 전술, 기법, 절차의 광범위한 내용에 대한 세부 정보를 제공함에 따라 사고 대응에서 점점 더 중요해지고 있다는 점을 설명한다. 더불어 위협 인텔리전스를 이해하고 이를 사고 대응 절차에 적용하는 방법을 다룬다 14장, ‘위협 사냥’에서는 디지털 포렌식 도구 및 기법을 위협 인텔리전스와 통합해 네트워크가 침해됐는지 확인하는 방법을 소개한다. 또한 위협 사냥 가설 및 사냥을 위한 지표의 작성을 통해서 위협 사냥의 방법과 함께 위협 인텔리전스가 어떻게 사냥을 촉진할 수 있는지 알아본다. 15장, ‘부록’에서는 보안 및 사고 조사에 관련된 가장 중요한 이벤트가 포함돼 있으며 이는 참고용으로 제공됐다. IT 및 보안 전문가들이 활용할 수 있는 상당한 수의 Windows Event Log의 유형을 제시했다. ★ 옮긴이의 말 ★ 오늘날 사이버 공격 기법은 인터넷 환경 및 IT 기술의 발달과 더불어 매우 정교하고 빠른 속도로 진화해 우리를 교묘하게 괴롭히고 있다. 마치 세렝게티 초원의 배고픈 사자처럼 타깃을 꾸준히 감시하고 은밀하게 침투하며 공격시점을 엿보는 APT 형태의 사이버 공격은 결국 전산망을 마비시키거나 정보를 탈취해 해당 조직을 위기 상황에 몰아넣는다. 이와 같은 사이버 공격에 있어서 사고 대응의 성공 여부를 판가름하는 척도는 크게 두 가지다. 먼저 얼마나 빨리 이상징후를 탐지할 수 있는가? 그리고 탐지된 위협에 얼마나 신속하게 조치하는가? 이러한 일련의 사고 대응의 성공 확률을 높여줄 열쇠는 바로 사고 대응 팀의 경험과 지식에 기반한 통찰력과 열정에 있다고 해도 과언이 아니다. 이번 개정판을 준비하던 시기는 랜섬웨어의 시대라 할 정도로 세계 곳곳에서 표적형 랜섬웨어가 폭발적으로 기승을 부려 대규모 피해가 발생했다는 뉴스가 자주 보도됐다. 과거 스팸메일로 악성 코드를 무차별 살포하던 때와 달리 최근에는 정교한 방법과 고도의 코드를 사용해 장기적으로 표적을 공격하는 양상을 보이고 있다. 잘 알려진 글로벌 보안업체가 제공하는 보안솔루션에서 제로데이 취약점이 발견됐고, 취약점이 발견되기 전에 이미 악용돼 피해가 발생했다는 것은 시사하는 바가 크다. 개정판에 추가된 사이버 사고 관리, 메모리 및 로그 분석, 위협 사냥 등 다양하고 실용적인 예는 시의적절하게 디지털 포렌식 활동 및 사고 대응을 수행하는 데 필요한 정보를 제공한다. 더불어 각 장을 마칠 때마다 핵심적인 사항의 이해를 돕는 문제와 더 읽어볼 거리가 제공돼 교육용으로 활용하기에도 좋다. 이 책의 저자는 『손자병법』의 손무가 강조했던 ‘지피지기(知彼知己)’ 사상의 전략적 개념을 언급하며, 이것이 사이버 침해사고에서도 상통될 수 있음을 필력하고 있다. 『손자병법』 제6편에 보면 다음과 같은 말이 있다. “선전자, 치인이불치어인(善戰者, 致人而不致於人)” 적보다 먼저 전쟁터에 도착해 적을 기다리는 군대는 편안하고, 적보다 늦게 전쟁터에 도착해 갑자기 전투에 투입되는 군대는 좋은 거점을 놓쳐 피동적으로 적에게 끌려간다는 말이다. 이것은 사이버 공격에 대응하는 우리의 자세가 어떠해야 하는지를 되새기게 한다. 보이지 않는 적의 공격에 대한 철저한 준비의 자세는 아무리 강조해도 지나치지 않다. 이 책의 저자 역시 ‘준비에 실패하는 것은 실패를 준비하는 것’이라는 벤자민 프랭클린의 말을 인용하며 사이버 공격에 대비한 철저한 준비를 다시 한 번 강조한다. 손무는 ‘전쟁에서 승리는 인위적으로 만드는 것’이라고 했다. 따라서 독자들이 칼이나 총이 아닌 최신 해킹 기술과 도구를 무기로 사용하는 사이버 공격의 대응 전략을 터득하게 되길 바란다. 사이버 공격의 위험을 완전히 제거하는 것은 불가능하다. 다만 체계적이고 효율적인 방법으로 침해사고에 대응하는 능력을 적절하게 갖춘다면 잠재적인 사이버 공격의 피해를 줄이고 관련된 피해를 신속히 복구함으로써 조직의 위험을 최소화할 수 있을 것이다. 그리고 근본적인 사고 원인의 분석을 통해 사고 대응 계획을 개선하는 과정을 거친다면 향후 유사한 사고가 발생할 위험을 줄일 수 있을 것이다. 또한 이 책에서 제시된 문서화의 과정을 올바르게 수행한다면 만일 사고가 법정에서 다뤄지더라도 증거가 누락되는 일은 쉽게 일어나지 않을 것이다. 더불어 사고 대응 분석자는 이와 관련한 법적 절차와 판례의 동향을 숙지해야 한다. 최근 대법원은 형사절차상 전자적 정보의 수집과 분석에 관한 새로운 판례를 많이 내어 놓고 있으며 전자적 정보의 수집과 분석 과정, 증거 능력의 인정에 관해 엄격한 입장을 취하고 있다. 민사소송에서는 자유심증주의를 채택하고 있어 원칙적으로 증거 수집 방법이나 증거 능력의 제한은 없으나 객관적 증명의 개연성과 법관의 주관적인 확신이 있을 것을 요구하고 있다. 따라서 관련 법규와 최근 판례의 동향을 분석해 디지털 포렌식 역량을 쌓아간다면 조직의 정보보호 전략의 수립 및 사고 대응 시 과학적 조사 기술의 타당성 증명에 자신감을 얻게 될 것이다. 사이버 전쟁에서 ‘전략’과 ‘전술’은 사고 대응의 중요한 요소다. 이 책은 이러한 전략과 전술에 대한 저자의 경험과 내공이 묻어난다. 이에 독자들은 각 장의 세심한 구성과 실제의 예시들을 따라가며 비교적 쉽게 사고 대응의 흐름을 이해할 수 있을 것이다. 이 책이 사이버 보안 전문가에게는 사고 대응 역량을 향상시키고, 디지털 포렌식 입문자에게는 이 분야의 체계적인 소양을 기르기 위한 더 없이 훌륭한 셰르파(Sherpa)가 되리라 생각한다.

목차

1부. 사고 대응과 디지털 포렌식 기초 1장. 사고 대응의 이해 __사고 대응 절차 ____디지털 포렌식의 역할 __사고 대응 프레임워크 ____사고 대응 헌장 ____컴퓨터 보안 사고 대응팀 ______CSIRT 핵심팀 ______기술 지원 인력 ______조직 지원 인력 ______외부 리소스 __사고 대응 계획 ____사고 분류 __사고 대응 플레이북 ____단계적 확대 절차 __사고 대응 프레임워크 테스트 __요약 __문제 __더 읽어볼 거리 2장. 사이버 사고 관리 __사고 대응팀 참여시키기 ____CSIRT 모델 ______SOC 에스컬레이션 ______SOC와 CSIRT의 연합 ______CSIRT 융합 센터 ____워룸 ____의사소통 ____직원 교대 __위기 커뮤니케이션 통합 ____내부 커뮤니케이션 ____외부 커뮤니케이션 ____공시 __사고 조사 __봉쇄 전략 통합 __정상으로 복귀 - 근절 및 복구 ____근절 전략 ____복구 전략 __요약 __질문 __더 읽어 볼 거리 3장. 디지털 포렌식 기본 원리 __법적 측면 ____법률 및 규정 ______증거 규칙 __디지털 포렌식 기본 원리 ____연혁 ____디지털 포렌식 절차 ______식별 ______보존 ______수집 ________적절한 증거의 취급 ________관리 연속성 ______조사 ______분석 ______제출 ____디지털 포렌식 연구실 ______물리적 보안 ______도구 ________하드웨어 ________소프트웨어 ________리눅스 포렌식 도구 ________점프 키트 __요약 __질문 __더 읽어 볼 거리 2부. 증거 수집 4장. 네트워크 증거 수집 __네트워크 증거 개관 ____준비 ____네트워크 다이어그램 ____구성 __방화벽과 프록시 로그 ____방화벽 ____웹 프록시 서버 __NetFlow __패킷 캡처 ____tcpdump ____WinPcap 및 RawCap __Wireshark __증거 수집 __요약 __질문 __더 읽어 볼 거리 5장. 호스트 기반 증거 확보 __준비 __휘발성 순위 __증거 확보 ____증거 수집 절차 __휘발성 메모리 확보 ____로컬 확보 ______FTK Imager ______WinPmem ______RAM Capturer ____원격 획득 ______WinPmem ______가상머신 __비휘발성 증거 확보 ____CyLR.exe ____암호화 확인 __요약 __질문 __더 읽어 볼 거리 6장. 포렌식 이미징 이해 __포렌식 이미징 이해 __이미징 도구 __스테이지 드라이브 준비하기 __Digital __쓰기 방지 장치의 사용 __이미징 기법 ____데드 이미징 ______FTK Imager로 이미징하기 ____라이브 이미징 ____원격 메모리 획득 ______WinPmem ______F-Response ____가상머신 ______리눅스 이미징 __요약 __질문 __더 읽어 볼 거리 3부. 증거 분석 7장. 네트워크 증거 분석 __네트워크 증거의 개요 __방화벽 및 프록시 로그 분석 ____DNS 블랙리스트 ____SIEM 도구들 ____Elastic Stack __NetFlow 분석 __패킷 캡처 분석 ____명령행 도구 ____Moloch ____Wireshark __요약 __질문 __더 읽어 볼 거리 8장. 시스템 메모리 분석 __메모리 분석 개요 __메모리 분석 방법론 ____SANS 6 단계 방법론 ____네트워크 연결 방법론 ____메모리 분석 도구 __Redline 메모리 분석 ____Redline 분석 프로세스 ____Redline 프로세스 분석 __Volatility 메모리 분석 ____Volatility 설치 ____Volatility 다루기 ____Volatility 이미지 정보 ____Volatility 프로세스 분석 ______프로세스 목록 ______프로세스 검사 ______프로세스 트리 ______DLL 리스트 ______handles 플러그인 ______LDR 모듈 ______프로세스 xview ____Volatility 네트워크 분석 ______connscan ____Volatility 증거 추출 ______메모리 덤프 ______DLL 파일 덤프 ______실행 파일 덤프 __Strings 메모리 분석 ____Strings 설치 ____IP 주소 검색 ____HTTP 검색 __요약 __질문 __더 읽어 볼 거리 9장. 시스템 스토리지 분석 __포렌식 플랫폼 __Autopsy ____Autopsy 설치 ____Case 열기 ____Autopsy 탐색 ____Case 조사 ______웹 아티팩트 ______이메일 ______연결 장치 ______삭제 파일 ______키워드 검색 ______타임라인 분석 __MFT 분석 __레지스트리 분석 __요약 __질문 __더 읽어 볼 거리 10장. 로그 파일 분석 __로그 및 로그 관리 __이벤트 관리 시스템의 작업 ____Security Onion ____Elastic Stack __윈도우 로그의 이해 __윈도우 이벤트 로그 분석 ____획득 ____선별 ____분석 ______Event Log Explorer ______Skadi 로그 분석 __요약 __질문 __더 읽어 볼 거리 11장. 사고 보고서 작성 __문서 작성 개요 ____문서 작성 대상 ____문서 작성 유형 ____출처 ____독자 __사고 추적 ____신속 사고 대응 __서면 보고 ____핵심 요약 ____사고 보고서 ____포렌식 보고서 __요약 __질문 __더 읽어 볼 거리 4부. 전문 주제 12장. 사고 대응을 위한 악성 코드 분석 __악성 코드 분류 __악성 코드 분석 개요 ____정적 분석 ____동적 분석 __악성 코드 분석 ____정적 분석 ______ClamAV ______Pestudio ______REMnux ______YARA __동적 분석 ____악성 코드 샌드박스 ____Process Explorer ______Process Spawn Control ____Cuckoo Sandbox __요약 __질문 __더 읽어 볼 거리 13장. 위협 인텔리전스 활용 __위협 인텔리전스 이해 ____위협 인텔리전스 유형 ____고통의 피라미드 __위협 인텔리전스 방법론 ____위협 인텔리전스 지휘 ______킬 체인 ______다이아몬드 모델 __위협 인텔리전스 소스 ____내부 개발 소스 ____상업적 소스 ____오픈소스 __위협 인텔리전스 플랫폼 ____MISP 위협 공유 __위협 인텔리전스의 사용 ____예방적 위협 인텔리전스 ____사후적 위협 인텔리전스 ______Autopsy ______Redline에 IOCs 추가 ______Yara와 Loki __요약 __질문 __더 읽어 볼 거리 14장. 위협 사냥 __위협 사냥 성숙도 모델 __위협 사냥 주기 ____이벤트 착수 ____작업 가설 생성 ____위협 인텔리전스 활용 ____포렌식 기법 적용 ____새로운 지표 식별 ____기존 가설 강화 __MITRE ATT&CK __위협 사냥 계획 __위협 사냥 보고 __요약 __질문 __더 읽어 볼 거리