그렇다면 네트워크상에서 일어난 범죄에 대한 증거는 어떻게 수집할 수 있을까? 네트워크상의 모든 접속상황과 전송데이터를 기록, 저장, 분석 그리고 당시의 상황을 그대로 재현할 수 있는 ‘포렌직(forensic) 솔루션’을 사용하면 된다. 포렌직 솔루션은 네트워크상에서 일어나는 악의적인 공격으로부터 네트워크를 지킬 수 있는 기틀을 마련해줄 수 있어 최근 관심이 집중되고 있다.
현재 국내 출시된 한국컴퓨터어쏘시에이츠, 한국네트워크어쏘시에이츠, 에이쓰리컨설팅 등의 포렌직 제품을 통해 포렌직 솔루션이란 무엇이며 어떤 방향으로 활용할 수 있는지 알아본다.
포렌직(forensic)은 ‘법의학’이란 뜻을 가진 용어로 어떤 사건이 발생했을 때 남아있는 증거들을 토대로 사건의 원인을 규명하는 것을 의미하는 것이다.
컴퓨터 포렌직, 사이버 포렌직이란 이름으로 범죄학을 컴퓨터에 어떻게 적용시킬 것인가에 대한 고민에서 포렌직 솔루션은 시작됐다. 포렌직 솔루션은 컴퓨터 관련 사건 수사를 지원하며 각종 디지털 자료가 법적 자료를 갖도록 하는 과학적/논리적 절차와 방법을 연구한다. MS 도스, 메인프레임 시절에는 대부분의 데이터가 플로피에 있었고 이에 따라 플로피 디스크를 포맷하는 식으로 초기 포렌직은 시작됐다. 하지만 이제 방대한 데이터들은 더 이상 플로피에 머물지 않으며, 데이터를 복구하는 차원을 넘어 분석하는 일이 더욱 중요하게 떠오르고 있다.
즉 분석이 하나의 도구, 솔루션이 되어가고 있다는 것이다. 또한 예전에는 사건이 하나의 컴퓨터안에서 일어났지만 이제 사이버 범죄는 단일 컴퓨터상에서 일어나지 않는다. 사이버 범죄는 네트워크상의 문제이며 전 세계 네트워크가 연동돼 단일 생활권이 되어가고 있는 현재, 네트워크하에서의 범죄의 증거를 포착하고 분석하는 일은 더욱 중요해지고 있다. 포렌직은 네트워크상의 모든 원시 데이터 및 타 보안시스템의 로그 데이터를 수집, 과학적인 분석을 통해 네트워크에서 일어나는 모든 범죄의 징후들을 실시간으로 연동한다.
이처럼 포렌직은 네트워크 남용, 내부 자료 도난, 보안 혹은 인력 정책 위반이 기업 자산에 어떤 영향을 미치는지 보여주는 효과적인 솔루션이다. 포렌직 솔루션은 방화벽, 침입탐지시스템, 네트워크 탐지기와 같은 다양한 소스로부터 정보를 통합하고 분석해 보안 관리 절차를 단순화시키고, 직원들의 네트워크 및 컴퓨터 자원 오/남용을 예방할 수 있다.
기업 네트워크 ‘무언의 목격자’
그렇다면 여기서 전사적인 차원의 일관된 정책을 가지고 통합적으로 보안 관제 및 운영/관리 업무를 수행함으로 보안관리의 효율성, 보안성을 향상시킨다는 ESM(Enterprise Security Management) 솔루션과 포렌직은 어떤 차이가 있을까? 기능적으로 포렌직과 ESM은 유사하지만, 실제로는 기능과 용도에서 큰 차이가 있다.
포렌직과 ESM은 서버, 방화벽, IDS, 네트워크 매니지먼트 툴 등을 상호 유기적으로 연관시켜 개별 장비에서 발생하는 로그들을 마이닝, 캡처 등의 처리를 통해 연동, 분석한다는 측면에서는 유사하다. 하지만 포렌직은 단순 데이터 상호연관분석 외에 네트워크 성능 분석, 트래픽 및 기록 분석, 위험 평가, 지적재산권 보호와 같은 다양한 기능을 갖고 있으며, 무엇보다 단순 로그 관리가 아닌 당시 상황을 재연할 수 있어 법적 증빙자료로도 사용이 가능하다.
ESM 솔루션이 보안 관리자가 스스로 오판하거나, 초기에 기능적으로 잘못 세팅할 경우, 그리고 관리자 임의로 수정 및 변경했을 경우 발생할 수 있는 문제에 대해 효과적인 답변을 할 수 없는 반면, 포렌직 솔루션은 이러한 문제를 사전에 차단할 수 있다.
따라서 로그를 통한 사후 분석 성향이 강한 ESM과는 달리 실시간으로 네트워크 현황을 파악할 수 있어 오히려 취약성 분석 솔루션과 유사하다. 시장조사 전문업체인 IDC도 이 솔루션을 별도의 시장으로 구분하기보다는 취약성 분석 솔루션 분야에 포함시키는 형편이다.
그럼 여기서 또 하나의 의문이 생길 수 있다. ESM과 포렌직의 차이가 단순 로그관리가 아닌 당시 상황을 재연할 수 있고 사전에 문제를 차단할 수 있는 보다 능동적인 솔루션이라는 측면이라고 하자. 그러나 둘다 로그를 활용하는 측면에서는 같아 보인다. 네트워크상의 패킷의 흐름, 데이터의 운용기록을 나타내는 로그분석기와 포렌직은 무엇이 다를까? 일견 기능상의 관점에서 본다면 로그분석기와 포렌직이 별반 차이가 없어 보인다. 흔히 로그(log)라고 불리는 데이터 운용기록을 바탕으로 로그를 탐지, 수집하고 분석함으로써 네트워크상에 해커가 침입한 기록 등을 찾아낼 수 있지만 실시간으로 로그를 수집하고 분석한다는 것은 쉬운 일이 아니다.
또 로그는 기본적으로 정책기반이라 알려지지 않은 공격에는 취약하다. 로그 외적인 네트워크상의 침입 등에 대한 연관관계는 어떻게 나타낼 것인가? 사이버 범죄자들이 반드시 로그대로 행동한다는 보장은 없다. 따라서 로그 외적인 침입까지도 아우를 수 있는 정확한 네트워크 경로사의 모든 데이터의 흐름 등을 그대로 재현할 수 있는, 마치 CCTV나 테이프레코드 같은 기능을 제공해야 완벽한 증거분석을 위한 기반을 마련할 수 있는 것이다.
포렌직은 CCTV, 비행기의 블랙박스처럼 네트워크 경로상의 모든 흐름을 지속적으로 모니터링하며 데이터로 저장한다.
그렇다면 네트워크상의 모든 행위들을 그대로 저장하기 위해서는 어떤 방법을 써야할까? CA의 경우 TCP 덤프(Dump) 파일을 사용해 네트워크 트래픽에 대한 전체적인 내용을 포함한다. CA의 이트러스트 네트워크 포렌직은 선택적으로 전체적인 트래픽을 받거나 아니면 트래픽 중 페이로드를 제외한 세션 정보만 저장하거나 프로토콜별로 선택적으로 저장방법을 달리할 수 있도록 유연성(flexible)있게 작동한다.
CA의 관계자는 “TCP 덤프파일이 없다고 할지라도 물론 세션 정보와 기타장비에서 발생한 로그로 사건의 추측은 할 수 있다”며 “그러나 완벽한 사건의 재구성은 불가능하다. 완전한 사건의 재구성을 하기 위해 덤프 파일을 받는다고 생각하면 된다”고 언급한다. 한편 네트워크어쏘시에이츠 ‘인피니스트림 시큐리티 포렌직’의 경우는 데이터 저장방식으로 스트림(stream)을 사용한다. 데이터의 헤더부분만을 분석하는 로그분석기와 달리 스트림은 페이로드와 헤더부분을 동시에 저장, 네트워크상의 불법적인 행위들을 그대로 모니터링할 수 있다. NAI의 관계자는 “포렌직 기능은 현재의 문제를 확인하기 위해 과거에 저장된 데이터를 분석해서 문제의 원인을 밝히는 툴이기 때문에 트래픽 저장 기능을 제공하지 않는 포렌직 툴은 의미가 없다”며 “로그 분석기는 이런 데이터 저장 기능이 없기 때문에 포렌직 툴이라고 이야기하기에는 부족하다”고 언급한다.
즉 포렌직은 살인사건의 증거가 되는 발자국, 지문 등처럼 네트워크상의 문제가 생겼던 시점의 모든 것을 저장해두고 CCTV처럼 당시의 상황을 되돌려 범죄가 일어났던 상황을 재연하는 기능을 포함해야 포렌직 솔루션이라고 규정할 수 있다는 것이다. 로그분석기는 헤더만을 따로 떼어두기 때문에 상황재연은 불가능하다. 여기서 단순 로그분석기가 포렌직처럼 법적증거로 사용될 수 없는 완벽성의 차이가 나타나는 것이다.
보안사고는 언제 발생할지 알 수 없다. 따라서 사고가 일어난 이후에 어떤 공격이 어떤 방식으로 행해졌는지 보안침해시의 상황을 그대로 재현해 볼 수 있는 포렌직은 이런 측면에서 유용하게 활용될 수 있는 것이다.
내부 사용자 모니터링으로 내부범죄 색출에도 유용
또한 기존 보안제품들이 외부로부터의 공격에 치중했던 반면 포렌직은 내부자 공격까지 확인 가능하는 것이 큰 장점이다. 방화벽 등의 보안제품이 인터넷과 내부 네트워크의 관문에 놓여 외부 침입자를 차단하는 반면 포렌직 솔루션의 하드웨어 타입은 서버 앞단에 놓을 수 있어 기업 내부의 사용자들의 FTP 접속상황, 전송데이터, 인터넷 연결 기록 등까지 모두 확인, 재현이 가능하기 때문에 내부 사용자로부터의 기밀 유출 등도 방지할 수 있다. 물론 소프트웨어적인 제품들도 이런 기능이 모두 구현 가능하다.
포렌직은 소스/목적지, 사용자 ID, 콘텐츠 타입, 시간 등에 기초한 철저한 데이터 분석이 가능하다. 따라서 보안상의 허점이 되는 원천 및 패턴을 결론짓기 위한 내부 사건조사의 실행에 활용될 수 있다. 예를 들어 업무시간 이후의 과도한 사용이라던가 바이러스나 웜 등의 확산이 일어날 경우 특별한 자산 또는 사용자에 대해 상호작용 맵(Map)을 작성해 비즈니스 관점의 보안에 관한 오용을 탐지할 수 있다. 즉 내부 개인 사용자에 의해 발생한 비정상적인 사용예와 패턴분석을 통해 내부 사용자의 기밀유출을 적발해낼 수 있고 개인적인 이메일 ID에 의해 발생한 민감한 데이터 흐름에서 탐지된 콘텐츠 분석 등으로 바이러스, 웜 등의 확산의 진원지를 검출해낼 수 있다.
또한 범죄패턴을 재구축하고 이벤트를 재실행함으로써 의심스러운 활동에 대한 시각적 표현 및 보고서를 작성, 네트워크 파라미터 및 보안의 키에 대한 보고서 작성 등으로 보안의 허점에 대한 향상된 관리와 재발을 억제시킬 수 있어 포렌직은 사이버 범죄 색출 등의 사후 조사만이 아니라 사후 예방적인 측면의 이점도 안겨줄 수 있다.
오늘날 기업 연속성을 위한 최고의 대안은 해킹으로 인한 개인정보 유출이라든가 내·외부공격으로 인한 네트워크 중단처럼 비즈니스에 치명적인 문제가 발생했을 때 얼마나 빠르게, 그리고 정확하게 문제를 파악, 피해를 줄일 수 있는 가이다. 더 나아가서 평소에 네트워크에 대한 보다 심도 깊은 이해와 분석은 잠재적인 네트워크 보안 문제를 방지할 수 있는 기반을 마련해준다.
기존에 출시되었던 네트워크 보안 제품들은 다양한 보안 문제에 대한 통제 기능은 제공하지만, 통합적인 보안기능과 완벽한 네트워크 커버리지까지 동시에 제공하지는 못하는 단점이 있었다. 예를 들어 방화벽이 모든 악의적인 트래픽을 차단하지는 못하고, 침입탐지시스템(IDS)은 최신 버전으로 업데이트되지 않았을 경우 새로운 서명 패턴에 대처할 수가 없다. 일부 네트워크 보안제품의 경우는 모든 바이트를 검사하는 대신 부분적으로 네트워크 샘플만 추출해 패턴을 찾아 네트워크 전체에 대한 시각이 부족할 수 있다.
하지만 포렌직은 다르다. 비행 관련 자료와 조종사의 대화 내용을 남기는 항공기 기록 장치인 ‘블랙박스’처럼 네트워크상의 모든 접속 상황과 전송 데이터를 기록/저장/분석한다. 이를 통해 기업 고객들은 문제 발생시 신속한 원인 파악과 대처는 물론 사전에 수상한 데이터 흐름이나 접속 기록을 분석해 문제를 예방하는데 최고의 대안이 되어줄 것이다.
CA, 3D 비주얼 툴 ‘한눈에 파악’
이렇게 증가하는 사이버상의 범죄와 해킹, 내부자 기밀 유출 등에 유용한 포렌직 솔루션이지만 아직 초기단계라 시중에 출시되어 있는 제품은 손에 꼽는다. 한국컴퓨터어쏘시에이츠의 ‘이트러스트 네트워크 포렌직(eTrust Network Forensics)’, 한국네트워크어쏘시에이츠의 ‘인피니스트림 시큐리티 포렌직(InfiniStream Security Forensics)’ 그리고 국내 업체로는 에이쓰리시큐리티 컨설팅의 ‘A3 오토워치(AutoWatch)’ 등으로 포렌직 솔루션의 인지도를 높이기 위해 애쓰고 있다.
먼저 지난해 5월 포렌직 솔루션 전문업체인 사일런트러너를 인수한 한국네트워크어쏘시에이츠(대표 지일상)는 최근 사일런트러너의 포렌직 제품군에 일부 기능을 추가한 신규 버전인 ‘이트러스트 네트워크 포렌직’와 ‘이트러스트 네트워크 포렌직 모바일 에디션’을 국내 시장에도 새롭게 선보였다.
지난 4월 국내 관계자들을 대상으로 ‘CA 사이버 포렌직 세미나’를 개최하는 등 발빠르게 국내 시장에 대응하고 있는 한국네트워크어쏘시에이츠(대표 지일상)는 최근 공정거래위원회가 인터넷 가입자 정보보안사고에 대한 보험회사의 입증책임 관련 약관을 승인하는 등 보안사고에 있어 법적 증거력이 이슈로 부상하고 있다고 판단, 정부기관을 비롯해 정보보호의 필요성이 높은 연구소, 금융기관 등을 대상으로 적극적인 마케팅 및 영업 활동을 펼친다는 계획이다. 또 전 세계적으로 보유하고 있는 100여개 이상의 고객사가 주로 정부기관, 제조업체 및 R&D 기관인 만큼, 국내 시장에서도 금융, 반도체, 자동차의 첨단 제조업체 및 텔레콤, R&D 기관을 우선적으로 공략한다는 계획이다. 여기에 지적 재산을 중시하는 게임회사, 반도체 등 민감한 기밀을 다루는 회사들도 CA의 주 타깃이다.
CA의 포렌직 제품군은 네트워크 사용 패턴, 비정상 현상, 심지어는 특이한 이벤트까지도 신속하게 발견해 시각적으로 보여줌으로써 네트워크 관리자가 문제의 근본 원인을 재빨리 파악할 수 있도록 하며, 최상의 네트워크 아키텍처를 적극적으로 유지할 수 있도록 함으로써 조직의 목표와 비즈니스 목적을 달성할 수 있도록 해 준다. 특히 ‘이트러스트 네트워크 포렌직 모바일 에디션’은 ‘이트러스트 네트워크 포렌직’상의 솔루션을 모바일 형태로 만든 모바일 솔루션으로, 포렌직 조사 및 네트워크 문제 해결 요구에 신속하게 대응할 수 있다. 이트러스트 네트워크 포렌직는 로그 컬렉팅, 분석툴, 비주얼 툴의 3가지로 구성되는데 최첨단 3D 비주얼과 OSI 7계층으로부터 네트워크 데이터 분석 및 증거자료 제공 등의 기능을 제공하는 것이 장점이다. 네트워크 다이어그램 분석을 통해 언어에 관계없는 자료제공과 한눈에 네트워크 트래픽 경로를 파악하고 문제점을 파악하게 해준다. 또 법적 증거자료로 사용될 수 있는 TCP 덤프 파일로 데이터를 저장, 네트워크상의 모든 데이터 흐름을 그대로 저장하고 재현할 수 있게 해준다.
한국CA의 신한성 대리는 “CA는 서버 보안 제품인 ‘이트러스트 액세스 컨트롤’과 연계해서 통합계정관리를 위한 ‘이트러스트 어드민’과 ‘이트러스트 포렌직’을 주력 제품화할 것이다. 특히 ‘이트러스트 포렌직’의 경우 CA의 온 디맨드 컴퓨팅 전략과 가장 잘 어우러진 제품이라 그 기대가 크다”라고 언급했다.
