본 도서는 2012년에 당시 카이스트 사이버보안 연구센터에 근무하셨던 최상용 연구원님 (16년 현재 한국폴리텍대학 서울강서캠퍼스 정보보안과 교수로 재직)께서 집필하신 "해킹사고의 재구성"이다. 아무래도 한국 저자이다보니, 용어에 대한 설명에서도 저자 특유의 독자적인 표현을 사용하고, 정의도 직접 내린다. 이는 저자의 실무경력에서 몸으로 체득된 경험이 글로 녹여진 것이기에 가능한 것이다.

저자 관련기사 : [보안뉴스] 지능형 상황관제 체계로 최신 보안위협 대응해야

에이콘 출판 링크 : http://www.acornpub.co.kr/book/hacking-analysis


이 책은 보통 많이 들어본 '침해사고 대응'(incident response)이라는 단어를 쓰지 않고, '해킹사고'로 표현한다. 그리고 그것을 분석하여 사실을 기반으로 한 논리적인 추론을 내리는 것을 '재구성'이라고 정의하였다.

사이버 침해대응 관점의 해킹사고 분석은 디지털 포렌식(Digital Forensics)과는 차이가 있다. 디지털 포렌식에서는 법적 증거 확보와 범인 추적이 주요 목적이지만, 침해사고 대응은 초기대응에 초점을 맞추어서 사고로 인한 피해 확산을 최소하화고, 향후 디지털 포렌식을 위해 증거 훼손을 최소화하려는 것을 목적으로 한다.
(중략)
따라서 디지털 포렌식에서는 증거확보와 정밀한 분석을 목적으로 하기 때문에 모든 데이터를 손실 없이 법적인 절차에 입각하여 수집을 한다. 하지만 침해사고 대응에서는 전체 데이터를 수집하지 않고, 반드시 필요한 최소한의 정보만을 바탕으로 선별 수집하여 빠른 결론을 내는데 주력한다. 때문에 증거 수집에서도 범위를 한정한다.

- p. 204 ~ 206(요약인용)

저자는 분석가로써의 자세를 언급한다. 특히 "선입견은 잘못된 판단을 초래한다."는 것이 인상적이었다. 직접 보지 않은 것은 보고서에 언급해서는 안된다. 분명하다고 생각되는 원인이 있더라도, 직접적인 증거를 찾기 전까지는 추론에 불과하다. 증거를 찾으면 이를 조합해 원인을 규명하고 공격자의 행위를 분석함으로써 반드시 일목요연한 논리가 수반되어야 하므로 항상 고민해야 한다.


또한, 침해사고는 대응이 속도전이 생명이다. 일명 골든 타임이 존재하며, 그 시간안에 빠르게 대응하지 못하면 해커가 증거를 훼손하고 종적을 감출 위험이 있다.


해커가 최초 공격을 위해 수행한 '정보 수집'단계부터, 실제 해킹 시도 행위 및 그 행위의 결과 등을 판단하고, 정확한 근거 데이터에 기반하여 해커의 행위를 시간순으로 논리적으로 조합하여 최종적으로 복기하는 것이 해킹사고 분석의 목표이자 산출물이라 할 수 있다. 논리적 복기를 완료한 다음에는 사고 발생 인지의 경위와 분석을 수행하게 된 배경과 목적, 그리고 사고의 원인, 로그 분석 결과 등을 포함한 보고서를 작성해야 한다. 해당 보고서만 읽더라도 사건을 완벽하게 이해할 수 있을정도로 만드는 것이 좋으며, 아래 그림과 같은 사항들을 포함시키는 것이 좋다.

보고서 작성 요령(p. 213 참고)
보고서 작성 요령(p. 213 참고)

책의 4단원에서는 저자의 실제 경험이었던 "웹 해킹사고 분석사례"가 실려있는데, 이 부분이 가장 핵심적인 내용이라해도 과언이 아니다. 홈페이지 변조, 웹셸 업로드 상황, DDoS, SQL 인젝션 상황에 대한 분석과정이 시간 순서로, 또한 논리전개 흐름을 따라 서술되어 있다.

항상 분석에는 이론과는 다른 변수가 존재한다는 것이 여러번 강조된다. 이론적으로는 웹 접근 로그와 IDS의 로그를 분석하면 모든 데이터가 명확하게 나타나야 하나, 실제로 IDS에는 알려진 해킹 시도만을 탐지할 수 있는 시그니처만 존재할 뿐인 상황 등이다. 이와 같은 완전하지 않은 로그로 인해 불필요했던 27대의 시스템 로그까지 모두 점검하느라 수 주의 시간을 허비할 수밖에 없었던 상황이 소개되었다. 이처럼 현실에서는 항상 이와 같은 변수가 존재하고, 이 때문에 분석에 상당한 지장을 주는 것이 현실이다. 분석가는 항상 이러한 다양한 가능성을 염두에 두고, 불완전한 증거들을 조합해 논리적으로 납득이 가능한 공격을 재현해야 한다는 어려움이 상존한다는 사실을 명심해야 할 것이다.

"이와 같은 단순한 결론을 도출하는 데 약 2주 이상의 시간이 소요됐다. 결론적으로만 보면 너무나 간단하게 정리가 되는 부분이지만 서두에 이야기했듯이 분석가는 직접 눈으로 보지 못한 내용을 보고서에 담지 말고, 모든 정황을 논리적으로 전개해 결론을 도출해야 하기 때문에 방대한 양의 로그를 일일이 확인하고 추론하는 데 그만큼의 시간이 필요했던 것이다."

- p. 269

약간의 아쉬움이 있다면, 아무래도 책이 출판된 연도가 2012년이다 보니, 그사이에 새롭게 출시된 다양한 장비(SIEM 등)가 대중화되었음에도 불구하고 이 책은 IDS, IPS 로그 분석에 초점이 맞추어져 있으니 독자들이 이를 감안하고 읽어야 할 것이다. 또한, 4단원의 SQL 인젝션 분석사례 보고서에서 거의 30page에 달하는 (책전체가 300 정도이므로 10%나 차지함. 결코 적은 양이 아님) 부분을 로그를 그냥 붙여넣어서 설명하고 있기 때문에 잘 모르는 사람은 이게 무슨 상황이고 왜 문제가 되는지를 이해하기 어려울 것이다. 약간의 자세한 성명이나 볼드체 표기 등으로 중요한 부분을 체크해주셨으면 좋았을 것 같다. 


어쨌든 이 책은 기업 보안관제와 보안관리 실무제, 정보보안 입문자에게 아주 적절한 입문서가 된 것 같다.

책의 마지막은 다음과 같은 명언으로 마무리 된다.

"언제나 해커는 시간을 지배하고, 방어하는 쪽은 시간에 쫓기는데, 보호해야 할 시스템이 너무 많기 때문이다." - p. 318

"보안은 무엇인가?"라는 질문에 나는 늘 "보안은 절차이고, 사이버 침해 대응은 사람이 하는 것이다"라고 대답한다. - p. 324

CPUU님의 창작활동을 응원하고 싶으세요?