[보안뉴스 김태형] 일반적으로 전염병이 발생하면 그 발생원인과 발생지역 집단의 특성을 밝혀 원인체를 찾아내거나 환경의 영향평가와 대책을 수립하기 위해서 질병 역학조사를 진행한다.

이러한 역학조사를 대검찰청 사이버범죄수사단에서도 대규모 사이버 범죄나 정보보보안 사고에도 적극 활용한다. 즉 ‘사이버 역학조사’를 통해 사이버 사고에 대한 발생 및 감염 경로와 원인체를 파악하고, 영향을 평가하며 향후 대책 수립에 활용하고 있다는 것.

이에 대해 대검찰청 사이버범죄수사단 원용기 수사관은 해킹방지워크샵 강연에서 “이처럼 사이버 역학조사를 하지 않으면 악성코드 발견 시 감염경로를 파악하지 않고 치료만 하게 된다. 그러면 다시 재발할 수 있고 이를 통한 영향평가가 이루어지지 않으면 위협관리도 불가능하다”면서 “사이버 역학조사를 하게 되면 정확한 사건의 인과관계를 파악하고 위협관리와 예측대비가 가능하며 의사결정의 근거가 될 수 있다”고 사이버 역학조사의 이점에 대해 설명했다.

이와 같은 사이버 역학조사는 동일공격, 반복피해, 집중적·악의적, 상당량의 피해, 중요지점(사장님 PC, 파일서버, 인증서버, 관리자·개발자 PC)의 피해 발생 시 진행된다. 이러한 큰 사고는 자체 보안팀이나 보안인력만으로는 해결할 수 없기 때문이다.

이렇게 사이버 역학조사를 착수하고 역학조사반을 구성한다. 역학조사반은 내부전산·보안팀과 외부감사, 국가기관의 협업이 필요하다. 그리고 역학조사의 목적에 따라 조사대상과 범위를 판단해 알고 싶은 것이 무엇인지, 표본의 위치가 어디인지를 정하고 숙주(PC나 서버, 스마트폰, 속성값 도메인 IP 등), 원인체(바이러스, 악성코드, 사용자), 환경(연결상태, 권한·통제상태, 물리적 위치)등을 파악한다.

원 수사관은 “사이버 역학조사 수행 방법은 ‘발생인식-기술역학-분석역학-실험역학-결과보고’ 등으로 진행된다. 발생인식 단계에서는 초기 대응팀에서 자료를 인계받고 탐지·분석된 특성, 시간, 규모 등을 파악하고 조사목적과 범위 등을 산정한 다음 수집이 필요한 자료를 산정한다”고 말했다.

이어서 그는 “기술역학(수집, 정규화-파싱, 통합)에서는 초기 가설을 마련하고 디지털 포렌식 기법 등을 통해 수집한다. 그리고 분석역학(전문 판단)을 통해 가설의 검증, 수정을 거쳐 실험역학(검증)을 통해 실험으로 가설과 상태를 검증하고 반드시 결과를 보존한다. 실험은 가상환경을 통해 진행한다”고 덧붙였다. 

사이버 역학조사의 최종 단계는 결과보고(종결)이다. 마지막 단계에서는 계층별 논리 전개로 결론을 도출하고 추론이나 추정은 제외한다. 또 과학적으로 검증된 사실로만 구성하고 이를 통해 현안 대책을 마련한다.

원 수사관은 “이와 같은 사이버 역학조사가 완벽한 것은 아니다. 결과에 대해 끊임없이 의심을 해야 하고 아무리 잘해도 실패할 수 있고 잘하기는 더 어렵다. 또 물리적 한계도 있고 모든 단계의 진정성도 확보해야 한다”면서 “때로는 알고 싶지 않은 사실을 마주할 수도 있다. 즉 기업이 인지하지 못하고 있던 취약점이 나타날 수도 있어 이에 대한 대비도 필요하다”고 강조했다.

이러한 사이버 역학조사에서는 빅데이터 분석과 디지털 포렌식 조사 방법이 사용되기도 한다. 빅데이터 분석은 수집채널의 진정성 확보 여부를 알 수 있으며 디지털 포렌식 조사는 역학조사의 근간이 되는 기법으로 사이버 자원에 대한 조사 가능 여부를 알 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>