지난번 '해킹사고의 재구성, 최상용 지음' 책을 리뷰한 적이 있다. 에이콘 출판에서 침해사고 대응과 관련하여 또 하나의 역작이 출간되었다. 심지어 한국저자의 작품이다. 저자 송대근님은 Ahnlab CERT 팀에서 보안 분석가로 활동하였으며 3.20 사이버 테러 등을 조사하였고 현재 시큐리티플러스 커뮤니티에서 활동하고 계시다.

도서관에 직접 희망도서를 구매신청하여 대출해서 보았는데, 이 책은 소장가치가 있는 책이어서 차라리 직접 사는게 좋았을 것 같다.
도서관에 직접 희망도서를 구매신청하여 대출해서 보았는데, 이 책은 소장가치가 있는 책이어서 차라리 직접 사는게 좋았을 것 같다.

이 책은 'PART1 : 보안 분석가'에서 분석작업을 하는 사람의 직무와 책임에 대해 설명하고, 'PART2 : 침해사고 분석'에서는 실제적으로 사이버 공격 상황을 인지하는 시점부터 공격 경로를 분석하고 피해규모를 산정하는 방법 등을 설명하고 있다.


제 1장 '위협 정보 수집'에서 2015년 4월 14일 미 보안업체 크라우드스트라이크가 '허리케인 팬더'라는 이름의 해킹그룹으로부터 공격을 받았으며, 그들의 정체는 중국의 인민해방군 장교들이었다는 흥미로운 사건을 언급한다. (참고 : 크라우드스트라이크의 中 해커부대 분석보고서, 보안뉴스)

  1. 퍼터 팬더는 중국 상해에서 활동하는 사이버스파이 그룹이다. 이 그룹은 중국인민해방군(PLA)의 제3총참모부 12국 61486부대 소속으로 보인다. 이 부대는 공간 기반 신호 정보 임무를 담당하고 있다.
  2. 12국 61486부대는 상해에 본부를 두고 있으며 중국 최고의 신호 정보 수집 및 분석기관으로 알려져 있다. 중국의 우주감시 네트워크를 보조하고 있다.
  3. 동기부여가 확실한 그룹으로 미국의 정부, 국방, 연구, 기술 분야를 노려 정보를 훔치고 있다. 특히 우주, 항공우주 산업, 통신 분야에서 활발히 활동하고 있다.
  4. 적어도 2007년부터 활동해온 것으로 보인다. 미국의 국방 분야와 유럽의 위성 및 우주항공 산업 분야를 집요하게 파고들고 있다.
  5. 이들은 컴퓨터 사용자들이 대다수 사용하고 있는 애플리케이션인 PDF 리더나 마이크로소프트 오피스를 주로 활용해 커스텀 멀웨어를 뿌렸다.
  6. 그룹 내에서 cpyy라는 이름으로 활동하고 있는 인물을 밝혀냈다. 그는 퍼터 팬더가 활동하는 데에 필요한 도메인을 조달하는 역할을 한 것으로 보인다.


한국 역시 2013년 3.20 전산망 마비사태를 겪었으며 사이버 테러로부터 안전한 상황은 아니다. 저자는 다수의 침해사고를 경험했던 경력을 정리하여 이 책을 통해 다양한 노하우를 전수한다.


특히, VirusTotal나 Snort 등은 이미 널리 알려져 있는 서비스이지만, IBM의 X-Force Exchange 와 Bro-IDS 신선한 정보들을 얻을 수 있었다.


일반적으로 보안 서적들은 '네트워크'라던지 '악성코드' 등 특정 분야에 한정하여 자세히 설명을 전개한다. 그러나 이 책은 '침해사고'가 주제이다보니, 서술할 영역 자체가 워낙 방대하다. 네트워크 IDS 장비 로그분석부터 시작해서 실제 호스트 컴퓨터에 어떤 변화가 있었는지(레지스트리, 프리페치) 등을 모두 살펴보아야 한다. 뿐만 아니라 리눅스 시스템과 윈도우즈 운영체제는 각각 점검해야할 항목이나 방법이 다르다. 때문에 저자는 이 모든 내용을 각 챕터로 분리하여 서술하고, 필요한 부분은 친절하게 그림형태로 삽입하여 보여주고 있다.

3장에서는 통계학적인 관점에서 접근하여 로그분석을 통해 보안 위협 이벤트를 분석하는 내용을 다루고 있다. 여기에서는 엑셀을 사용하여 데이터 분석하는 것(132page)을 소개했는데, 최근 유행하는 데이터 과학 등의 기법을 사용하여 R언어나 파이썬 Jupyter Notebook으로 자동화하는 스크립트를 작성해보는 것은 어떨까.. 향후에 연구해볼 좋은 인사이트를 얻었다.

하지만 침해사고 분석에서 결국에는 분석가가 산출물을 잘 정리하여 '보고서 작성'을 통해 상대방을 설득할 수 있어야하는데, 이 책에서는 언급만 되어있고 실제 보고서 양식 샘플등은 제공하지 않고 있어서 다소 아쉬웠다. 또 한가지 아쉬웠던 점이 있다면, 각 주제별로 몇가지 모의 훈련을 할 수 있는 패킷이 저자의 블로그를 통해 제공되긴 하지만(저자 블로그 : http://blog.naver.com/biggunsong) 실제 악성코드 등에 의한 침해상황을 시뮬레이션하여 직접 처음 네트워크 로그분석 시점부터 악성코드를 찾아내고 행위를 파악하여 차단하는 최종단계까지 분석해나가는 일련의 시나리오가 마지막에 한 단원정도 추가되었으면 정말 완벽했을 것이라는 생각이 든다. 어쩌면 그런 내용을 따로 정리하여 새로운 책을 다음에 출간하시지 않을까 기대도 하고 있다.


(찾아보니 저자분께서 간혹 유료강의를 통해 실습과정을 제공하시기도 하는 듯 하니 블로그에 공지되는 사항을 모니터링하는 것도 좋을 것 같다.)


끝으로 이 책을 읽으며 '침해사고 대응' 분야에서는 근래 가장 최고의 역작이라고 표현하고 싶다. 애정어린 마음으로 읽다보니 간혹 몇개의 오타가 보여서 출판사에 제보하였더니 정오표에 반영되었다는 연락이 친절하게 도착했다. 이런 좋은 책의 품질을 높이는 일에 기여하고 싶다. 그리고 언젠가 나도 이런 멋진 저서를 꼭 쓰는 날이 왔으면 좋겠다.

CPUU님의 창작활동을 응원하고 싶으세요?