★ 저자 서문 ★
2008년에 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)이 출간된 이후, 악의적이고 불법적인 목적으로 개발된 프로그램의 수와 복잡도가 상당히 증가했다. 2011년에 시만텍은 인터넷 보안 위협 보고서를 통해 그 이전 연도에만 2억 8600만 개의 새로운 위협이 발생했다고 발표했다. 에프시큐어(F-Secure)를 비롯한 기타 백신 업체도 2011년에 모바일 장치와 스카다(SCADA) 시스템에 대한 공격이 증가할 것으로 예측했다
과거의 악성코드는 기능성과 공격 벡터를 기반으로 깔끔하게 분류(예, 바이러스, 웜, 트로이목마)할 수 있었지만 최근의 악성코드는 다양한 기능과 전파 수단이 혼합돼 다면적이고 모듈화된 형태로 나타나고 있다. 악성코드의 대부분은 더 조직적이고 전문적인 컴퓨터 범죄를 지원하려고 개발되는데, 실제로 범죄자들은 컴퓨터를 제어하거나 개인정보, 기밀정보, 특허를 탈취해 이익을 얻기 위해 이러한 악성코드를 광범위하게 사용하고 있다. 오퍼레이션 트라이던트 브리치(Operation Trident Breach) 사건에서는 수백 명의 개인이 제우스(ZeuS)와 같은 악성코드를 사용해 디지털 절도 행위를 벌이다가 체포되기도 했다. 오늘날 거대한 회색 시장은 악성코드가 백신 프로그램의 탐지를 회피하고 전문적으로 개발될 수 있게 도와주고 있으며, 사이버 범죄 그룹은 이를 유용하고 가치 있게 사용하고 있다.
컴퓨터를 통해 발전소나 기타 중요한 기반 시설을 방해하도록 개발된 악성코드에 대한 우려가 점점 커지고 있는데, 이는 사이버 전쟁으로 불리기도 한다. 2010년에 등장한 스턱스넷(StuxNet)은 그 강력함을 입증하는 대표적 사례다. 스턱스넷은 공격자가 대상 시스템에 연결된 프로그램 가능한(programmable) 논리 제어기에 접근해 핵 원자로와 같은 산업 시스템의 동작을 변경할 수 있는 정교한 프로그램이다. 이러한 유형의 공격은 발전소나 사회 핵심 기반 시설을 망가트려서 지역 사람들에게 잠재적으로 큰 피해를 입힐 수 있다.
외국 정부는 산업 및 군사 간첩을 지원하는 맞춤형 악성코드를 개발하려고 고도로 숙련된 해커팀에 자금을 지원하고 있다. 구글 시스템에 침입하는 일이 이런 공격자들의 고도화되고 지속적인 능력을 보여준다. 이처럼 잘 조직된 공격의 유형은 ‘지능형 지속 위협(APT)’으로 알려져 있는데, 침입 대상 조직의 네트워크에 오랜 기간 잠복해 정보를 유출하거나 첩보를 수집하는 등의 형태로 나타나며 일반적으로 산업 스파이 행위와 관련돼 있다. 이렇듯 스파이나 범죄 행위를 저지르고 사이버 공격을 수행하는 악성코드가 증가함에 따라 디지털 조사관들은 그동안 백신 업체나 보안 전문가의 고유 영역으로 간주됐던 악성코드 분석 기법과 도구에 더욱 주목할 수밖에 없게 됐다.
이 책은 컴퓨터 시스템을 대상으로 증가하고 있는 공격을 방지하는 데 필요한 핵심 지식과 기술, 도구를 실무자들에게 제공하려고 작성되었다. 또한, 디지털 조사관이 컴퓨터 시스템에서 악성코드를 발견해 악성코드의 기능과 목적을 알아낸 후, 악성코드가 대상 시스템에서 어떤 영향을 미쳤는지를 살펴보는 데 도움이 되도록 작성됐다. 포렌식 관점에서의 악성코드 분석을 더 고도화시키기 위한 구체적인 방법론을 제공하고, 법적 고려사항에 대해 알아봄으로써 신뢰할 수 있고 반복 가능한 방법으로 분석하고 철저히 문서화해 분석 결과가 법정에서 인정받을 수 있게 한다.
실질적인 사례 연구를 사용해 기술과 관련 도구를 입증하기 위해 이 책의 저자진이 저술한 『악성코드와 멀웨어 포렌식』(에이콘출판, 2012)과는 달리 이 책은 전략적이고 실용적인 면을 모두 다루고 실전에서 사용할 수 있도록 간결하게 구조화된 형식을 취하고 있다. 아울러 필요한 요소와 실전 혹은 연구 환경을 위한 온라인 자원에 대해서는 아이콘을 활용해 쉽게 참조할 수 있게 했다.
★ 역자 서문 ★
과거에는 네트워크 공격이나 취약점 익스플로잇, 잘못된 시스템 구성 등 침해사고의 원인이 비교적 다양했으나, 최근에는 대부분의 침해사고가 악성코드 감염에서부터 시작되고 있다. 그만큼 악성코드의 기능과 목적도 다양해졌으며, 이에 따라 악성코드 포렌식 방법론에 대한 연구가 활발해지고 선택할 수 있는 분석 도구의 종류도 늘어나게 되었다.
이러한 환경에서 실제 포렌식 분석을 진행하다 보면 다양한 문제에 직면하게 된다. 분석 절차가 누락되거나 중요한 조사 관점을 놓치기도 하고, 선택한 도구가 환경에 적용되지 않아 대체할 수 있는 분석 도구에 대한 정보가 필요하기도 하며, 고려해야 할 법적 문제도 존재한다. 이는 대부분의 분석가들이 겪는 문제로, 이를 해결하려면 분석 현장에서 바로 참고할 수 있는 활용서가 필요했다.
이 책은 윈도우 환경에서 악성코드 포렌식을 수행하는 데 필요한 메모리, 파일 시스템, 네트워크 및 리버스 엔지니어링에 관한 기반 지식을 제공할 뿐만 아니라, 이러한 기술들을 활용해 효율적으로 문제를 해결할 수 있게 지침을 제시한다. 메타 데이터를 포함한 주요 데이터의 활용 방안과, 다양한 도구에 대한 실제 활용 사례를 소개하고 있는 것도 이 책의 특징 중 하나다. 모든 악성코드 포렌식 분석 과정에 필요한 내용을 점검표 형식으로 담고 있어, 실무에 유용하게 활용될 수 있을 것으로 기대된다.