네트워크 포렌식 분석을 통한 사이버 행위 파악과 증명 \r\n

\r\n

현대 사회에서 많은 사람들이 스스로 잘 인식하지 못하지만 또, 하나의 나눠진 공간에서 살고 있다. 바로 사이버 공간이다. 최근에는 스마트폰, 태블릿 PC 등의 급격한 보급과 함께, 사이버 공간에 대한 활용성 역시 증가하는 추세를 보이고 있다. 이러한 추세의 변화는 기업의 업무형태도 변화시키는 결과를 가져왔으며, 스마트 오피스 문화를 확장시켜, 정해진 장소에서만 업무를 하는 것이 아닌 언제, 어디서나 업무처리가 가능하게 됐으며, 이에 대한 중요성도 더욱 높아지고 있다.

\r\n

\r\n

이 영 진┃와일드패킷 한국지사장(ylee@wildpackets.com)

\r\n

\r\n

최근 스마트폰 및 태블릿 PC 등의 보급과 인터넷 환경의 발전은 사이버 공간에 대한 중요성을 더욱 부가시키고 있다. 때문에 사이버 공간의 통신을 위한 네트워크에 문제가 생기면 업무용 어플리케이션 서비스와 ERP 등으로 전산화돼 있는 모든 금융·제조·무역 등의 영역의 업무는 정지될 수밖에 없고 모든 공공기관과 기업에서 제공하는 서비스 역시 멈추게 된다. 이렇게 사이버 공간에 대한 중요성이 높아지면서 사이버 공간에서의 악의적인 범죄, 사기, 공격 등이 급증하고 있다.

\r\n

이러한 사이버 공간에서의 문제를 해결하기 위한 방법에 대해 생각해보면 물리적 공간과 같은 방식과 원리를 적용하면 쉽게 해결할 수 있다.

\r\n

물리적 공간에서 성공적으로 효과가 입증된 솔루션으로 급속히 확대되고 있는 CCTV 및 블랙박스 솔루션이 바로 그것이다. 이러한 CCTV 및 블랙박스 솔루션은 지난 사고 및 범죄 행위를 재현하고 결정적인 근거와 증거를 제공해주며 원인을 모르는 문제 상황에 대해 원인을 찾아내는 사실적 정보도 제시한다. 또한, 도로와 출입제한구역 등과 같은 공간에 대해 실시간 트래픽과 통행하는 사람과 차량 행위 감시를 통해 문제 상황 전 이상 징후를 미리 확인하고 신속히 조치해 사고를 방지할 수 있다.

\r\n

사이버 공간에서 이러한 CCTV 및 블랙박스 솔루션의 역할을 그대로 또는 그 이상으로 맡아줄 수 있는 것이 네트워크 전문분석기 솔루션이다.

\r\n

온라인 네트워크 상의 CCTV 및 블랙박스 솔루션을 위한 네트워크 전문분석기는 온라인 서비스 통신이 경유하는 전체 유·무선 네트워크에서 주요 길목 지점들의 트래픽 데이터(패킷)를 빠짐없이 수집해 저장하고 지난 특정 시점에 대해 원하는 데이터만 필터링해 추출한 후 그 행위와 상황을 쉽고 빠르게 파악할 수 있는 기능을 제공해야 한다. 또한, 해당 지점에서 요구되는 다양한 실시간 감시 항목에 대해 사용자가 항목을 선택하고 임계치와 실시간 알람을 설정할 수 있어야 한다.

\r\n

와일드패킷으로 대표되는 네트워크 포렌식 분석 솔루션과 다른 네트워크 관리 솔루션의 주된 용도와 각 솔루션별 핵심 개발 항목들을 비교하면 표 1과 같다.

\r\n

\r\n

\r\n\r\n\r\n

\r\n

네트워크 전문분석기 주요기능

\r\n

사이버 공간의 감시와 조사를 위한 CCTV 및 블랙박스 솔루션 역할의 네트워크 전문분석기의 세 가지 주요 기능과 각 주요 기능별 상세 필요사항은 다음과 같다.

\r\n

\r\n

1) 전체 네트워크에서 주요길목 지점들의 트래픽 데이터(패킷)를 빠짐없이 수집해 저장

\r\n

가) 10/100/1000, 1G/10G/40G 등의 모든 이더넷 구간

\r\n

트래픽을 손실없이 수집해 저장 가능

\r\n

나) 802.11a/b/g, 802.11n(3-스트림) 및 802.11ac(기가비트) 무선LAN 구간 트래픽을 무선 단말이 AP 로밍을 하는 중에도 손실없이 수집해 저장 가능

\r\n

다) 각 구간의 트래픽 양에 따른 다양한 성능과 인터페이스 및 용량의 분석기를 배치

\r\n

\r\n

2) 지난 특정시점에 대해 원하는 데이터만 필터링 해 추출한 후 그 행위와 상황을 쉽고 빠르게 파악

\r\n

가) 원하는 날짜 및 시간 간격 설정해 병합된 데이터 추출

\r\n

나) 원하는 필터 조건을 “가)”항과 함께 적용해 병합된 데이터 추출

\r\n

다) IP, IPv6, IP 그룹, MAC, TCP/UDP 포트, TCP/UDP 포트 범위, 프로토콜, 텍스트·ASCII 패턴, 패킷 디코드의 필드값, 무선 RSSI Signal dBm 값 등의 다양한 필터 조건을 ‘나)’항에서 적용 가능

\r\n

라) 마우스 클릭만으로 특정 IP, MAC, 포트, 세션(Flow), 프로토콜, 이상징후 이벤트 별로 패킷과 분석결과를 동시에 격리해, 행위와 상황을 수분에서 수 십분 이내에 파악

\r\n

\r\n

3) 다양한 실시간 감시항목에 대해 사용자가 항목을 선택하고 임계치와 실시간 알람을 설정

\r\n

가) 요구되는 트래픽 항목별 임계치 및 실시간 알람 설정

\r\n

나) 요구되는 이상징후 이벤트 별 임계치 및 실시간 알람 설정

\r\n

다) 요구되는 특정 IP, MAC 별 트래픽 임계치 및 실시간 알람 설정

\r\n

라) 요구되는 특정 텍스트/ASCII 패턴, 패킷 디코드의 필드값 발생시 실시간 알람 설정

\r\n

마) 필요시, 무선 사용자와 유선 사용자를 구분해 상기의 임계치 및 실시간 알람 설정

\r\n

\r\n

\r\n\r\n\r\n분석효율 위해 고급 분석 기능 지원돼야

\r\n

위에서 말한 네트워크 전문분석기의 세 가지의 주요 기능 중 두 번째 항목의 경우 유의해야 할 부분이 있다. 간혹 엔지니어가 아닌 일부 사람들이 분석이 아닌 다른 특정 목적의 네트워크 관리 솔루션을 소개할 때, 전체 패킷이 모두 저장되거나 제한된 일부 조건의 패킷을 추출하는 기능만으로 마치 분석은 누구나 어떠한 무상 패킷 분석 툴로도 다 할 수 있기 때문에 이 솔루션은 과거의 모든 사이버 행위에 대한 분석까지 모두 지원되는 것처럼 설명하는 경우가 있다.

\r\n

이러한 주장은 실무 경험을 바탕으로 하지 않은 현실적이지 않은 잘못된 것이다. 무상 패킷 분석 툴을 이용해 일일이 패킷만으로 분석한다는 것은 매우 적은 트래픽의 Lab 환경에서만 일부 목적에 대해 가능할 수 있으며, 초당 수천에서 수만 개 또는 수십만 개 이상의 패킷이 유입되는 기업 네트워크가 일반적인 상황이기에 최소 10분에 대해 조사한다고 해도 수백만 개에서 수천만 개 이상의 패킷을 확인해야 하기에, 마치 건초더미에서 건초를 하나씩 펼치면서 바늘을 찾는 것과 같이 돼 결국 실제로 수행이 불가능하거나 업무 담당자의 생산성이 바닥을 칠 것이다.

\r\n

또한, 많은 TMS(Traffic Management System) 솔루션 제품이 중장기의 트래픽 통계를 1분 또는, 그 이상의 시간 간격에 대한 Top 20~50 IP 주소만을 데이터베이스에 저장해 제공하고 있음에도 불구하고 이러한 솔루션이 영업적으로 홍보될 때 네트워크에 있는 모든 IP의 트래픽 이용량 그래프가 제공되는 것처럼 잘못 알려지는 경우가 매우 많다. 중간 규모 이상의 고객사 네트워크에서 분당 수백에서 수천 개 이상의 새로운 IP가 발생될 수 있는 것을 감안해 본다면, Top 20 IP만 확인할 수 있다는 것은 실제적으로 많아야 10% 이내 적으면 1% 이내가 될 수 있을 만큼 매우 작은 부분의 통계만 보게 되는 것이다.

\r\n

따라서 어떠한 IP에 대해서도 전문적인 다양한 통계 및 분석 화면과 각 항목별 결과 값에서 해당되는 패킷과 통계·행위분석 결과를 격리해 추출하는 과정을 연속적으로 수행할 수 있는 고급 분석 기능이 제공돼야 실질적으로 모든 IP에 대한 사이버 행위 조사를 수억 개의 패킷에 대해서도 수분에서 수십 분 내에 수행할 수 있는 것이다.

\r\n

\r\n

\r\n\r\n\r\n물리적 솔루션과 같이 효율 UP 기대

\r\n

사이버 공간의 사용자 행위에 대한 조사와 관련해 현재 대부분의 온라인 어플리케이션 서비스가 HTTP 접속 방식을 이용하고 있기 때문에 접속 이후 TCP 또는 UDP로 대량의 데이터를 바이너리 형태로 전달하더라도 HTTP 접속 시, 패킷이 수집된다면 어떠한 목적의 통신을 했는지 확인할 수 있다.

\r\n

그림 4를 보면 특정 IP 사용자가 클릭 또는 입력한 인터넷 주소(URL), 접속 연결된 인터넷 서버 이름, 업로드 또는 다운로드한 데이터 형식과 내용 등의 정보가 수집된 패킷을 분석해 표시되며, 우리는 이러한 정보를 이용해 행적을 파악하고 데이터 내용을 재현함으로써 사이버 공간에서의 정확한 행위를 추적할 수 있다.

\r\n

그림 5에서는 누가 무슨 용도로 특정 시점의 피크 또는 예외적 트래픽을 유발했는지 클릭 한 번, 드래그 한 번으로 즉시 확인할 수 있기 때문에 트래픽 이용량 분석 화면의 완결판이라고 볼 수 있다. 또한, 이러한 그래프에서 원하는 시점과 원하는 프로토콜 또는 IP 주소 등으로 필요한 패킷들만 손쉽게 필터링하고, 그 필터링 돼 격리된 패킷들의 분석은 다시 모든 통계·분석 화면을 활용해 수행함으로써, 해당 조건 내에서 특정 IP가 이용한 서비스 종류와 내용, 접속한 목적지 IP주소 목록 등의 행위 내역과 과정을 정확하게 파악한다.

\r\n

결과적으로, 이미 물리적 공간에서 그 효과가 입증된 CCTV 및 블랙박스 솔루션을 사이버 공간에 대해 같은 원리로 적용하는 것이기에 그 결과는 당연히 효과적일 것이다.

\r\n

특히, 국내에 기업과 개인의 모바일 및 클라우드 서비스 이용자가 급증함에 따라서, 기존의 유선 네트워크를 이용한 해킹과 공격뿐만이 아니라 무선 네트워크를 이용한 해킹과 공격도 더욱 빈번하게 발생하고 있다. 따라서 네트워크 포렌식 분석 솔루션을 활용해 과학적 사실 기반으로 보안을 관리하고 수사하는 방법이 요구되고 있다.

\r\n

이러한 가운데 사이버 공격의 피해 또는, 관리 부실에 의한 오류 발생시, 추정만으로 논쟁하거나 목소리 큰 사람이 이기는 비논리적이고 전근대적인 행태는 더 이상 통용되지 못할 것이며, 사실 중심의 과학적 업무 처리 방식으로 IT 보안 관리가 모든 곳에서 이뤄질 것으로 보인다.

\r\n

\r\n

[월간 시큐리티월드 통권 제199호(sw@infothe.com)]

\r\n

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>