박호진 A-퍼스트 책임연구원, `안랩 코어 2011`서 발표
최근 연이어 발생한 대규모 보안 침해사고의 원인은 어떻게 밝혀내고 어떻게 추적해야 할까.
박호진 안철수연구소 A-퍼스트 책임연구원은 해킹 등 보안 침해사고의 원인을 분석하고 재발생을 막으려면 시간 정보를 이용한 `타임라인` 분석 기법을 활용할 수 있다고 설명한다.
박 연구원은 25일 오전 10시부터 서울 양재동 엘타워에서 안철수연구소 주최로 열리는 `안랩 코어 2011`에서 `타임라인 기법을 이용한 침해사고 분석 기술`을 주제로 발표한다.
그에 따르면 보안 침해사고 역시 일반적인 사건·사고와 마찬가지로 과학수사(Forensic)의 기본 방침을 지켜야 한다.
곧 `모든 접촉은 흔적을 남긴다`는 원리에 따라 네트워크에 남은 수정 흔적을 찾아야 한다는 것이다.
의심스러운 파일이 발견되면 일단 컴퓨터의 `등기소`에 해당하는 레지스트리가 수정된 흔적을 찾고, 다음으로 부팅을 하거나 프로그램을 실행할 때 필요한 목록인 `프리패치` 파일의 생성·수정·최종접근 시간을 검토하면 된다.
그 밖에 각각의 프로그램이 참조하는 파일도 각각의 시간 정보를 가지고 있으며, 삭제된 경우 `휴지통`에서 관련된 내용을 복구할 수 있다.
또 윈도가 기본적으로 제공하는 복원 기능과 최근 가장 접속한 웹사이트의 IP 주소를 보여주는 방화벽 기능을 이용해서도 타임라인 분석이 가능하다.
이처럼 시스템·파일·네트워크 등을 차례로 분석하는 타임라인 분석 기법을 이용하면 범인이 증거를 인멸한 경우에도 흔적과 실마리를 찾을 수 있다는 것이 박 연구원의 설명이다.
박 연구원에 이어 김일용 게임보안팀 선임연구원은 해킹이 가장 빈번히 일어나는 온라인 게임 분야에서 해킹에 대응하는 방법을, 정관진 분석2팀 선임연구원은 갈수록 복잡해지는 보안 위협을 탐지·분석하기 위한 방법으로 `네트워크 포렌식`을 각각 소개한다.
그에 앞서 오후 첫 순서에서 이상철 분석1팀 팀장은 악성코드 분석 기술 설명과 미래 전망을 맡아 발표하고, 김건우 엔진개발팀 책임연구원은 악성코드 진단·치료 엔진의 구조를 소개한다.
이날 행사에는 해킹 대회인 `아-차(A-Cha; AhnLab core Challenge)`도 열린다. `아-차`는 토너먼트 형식으로 진행되며 누구나 참여할 수 있다.
[연합뉴스]
