DFIR은 두 가지 별개의 사이버 보안 분야 즉, 주로 사이버 범죄자 소송에 필요한 디지털 증거를 수집하기 위한 사이버 위협 조사인 디지털 포렌식과 진행 중인 사이버 공격의 탐지 및 완화인 인시던트 대응을 통합한 것입니다. DFIR은 이러한 두 가지 원칙을 결합하여 보안 팀이 위협을 신속하게 차단하는 동시에, 그렇지 않으면 위협 완화의 긴급성으로 인해 손실될 수 있는 증거를 보존할 수 있도록 지원합니다.
디지털 포렌식은 멀웨어 파일 및 악성 스크립트와 같이 위협 행위자가 남긴 흔적인 디지털 증거를 수집, 분석 및 보존하여 사이버 보안 사고를 조사하고 재구성합니다. 이러한 재구성을 통해 조사관은 공격의 근본 원인을 정확히 파악하고 범인을 식별할 수 있습니다.
디지털 포렌식 조사는 증거 수집 및 처리 방법을 추적하기 위한 엄격한 보관 연속성 또는 공식 절차를 따릅니다. 보관 연속성을 통해 조사관은 증거가 변조되지 않았음을 증명할 수 있습니다. 결과적으로 디지털 포렌식 조사의 증거는 법원 사건, 보험 청구 및 규제 감사와 같은 공식적인 목적으로 사용될 수 있습니다.
NIST(National Institute of Standards and Technology)(PDF, 2.7MB)(ibm.com 외부 링크)는 디지털 포렌식 조사를 위한 4단계를 간략하게 설명합니다.
위반 후 포렌식 조사관은 운영 체제, 사용자 계정, 모바일 장치 및 위협 행위자가 액세스했을 수 있는 기타 하드웨어 및 소프트웨어 자산에서 데이터를 수집합니다. 포렌식 데이터의 일반적인 출처는 다음과 같습니다.
- 파일 시스템 포렌식: 엔드포인트에 저장된 파일 및 폴더에서 발견된 데이터입니다.
- 메모리 포렌식: 장치의 RAM(Random Access Memory)에서 발견된 데이터입니다.
- 네트워크 포렌식: 웹 브라우징 및 장치 간 통신과 같은 네트워크 활동을 검사하여 찾은 데이터입니다.
- 애플리케이션 포렌식: 앱 및 기타 소프트웨어의 로그에서 발견된 데이터입니다.
증거 무결성을 유지하기 위해 조사관은 데이터를 처리하기 전에 데이터 사본을 만듭니다. 원본이 변경되지 않도록 보호하고 나머지 조사는 복사본에 대해 수행합니다.
조사관은 피싱 이메일, 변경된 파일, 의심스러운 연결과 같은 사이버 범죄 활동의 징후를 찾기 위해 데이터를 샅샅이 뒤집니다.
조사관은 포렌식 기술을 사용하여 디지털 증거를 처리하고 연관시키고 인사이트를 추출합니다. 조사관은 독점 및 오픈 소스 위협 인텔리전스 피드를 참조하여 조사 결과를 특정 위협 행위자와 연결할 수도 있습니다.
조사관은 보안 사건 동안 무슨 일이 일어났는지 설명하고 가능하면 용의자나 범인을 식별하는 보고서를 작성합니다. 보고서에는 향후 공격을 방지하기 위한 권장사항이 포함될 수 있습니다. 법 집행 기관, 보험사, 규제 기관 및 기타 당국과 공유할 수 있습니다.
인시던트 대응은 보안 위반을 감지하고 대응하는 데 중점을 둡니다. 인시던트 대응의 목표는 공격이 발생하기 전에 예방하고 발생하는 공격으로 인한 비용 및 비즈니스 중단을 최소화하는 것입니다.
인시던트 대응 노력은 인시던트 대응 팀이 사이버 위협을 처리하는 방법을 설명하는 인시던트 대응 계획(IRP)에 따라 진행됩니다. 인시던트 대응 처리에는 6개의 표준 단계가 있습니다.
- 준비: 준비는 위험 평가, 취약성 식별 및 수정(취약점 관리), 다양한 사이버 위협에 대한 IRP 초안을 작성하는 지속적인 프로세스입니다.
- 탐지 및 분석: 인시던트 대응자는 의심스러운 활동이 있는지 네트워크를 모니터링합니다. 데이터를 분석하고 잘못된 긍정을 걸러내고 경보를 분류합니다.
- 봉쇄: 침해가 감지되면 인시던트 대응 팀은 위협이 네트워크를 통해 확산되는 것을 막기 위한 조치를 취합니다.
- 근절: 위협이 억제되면 인시던트 대응자는 예를 들어 랜섬웨어 파일을 파괴하거나 장치에서 위협 행위자를 쫒아내어 네트워크에서 위협을 제거합니다.
- 복구: 인시던트 대응자가 위협의 흔적을 모두 제거한 후에는 손상된 시스템을 정상 작동 상태로 복원합니다.
- 인시던트 사후 검토: 인시던트 대응자는 위반 사항을 검토하여 어떻게 발생했는지 파악하고 향후 위협에 대비합니다.
디지털 포렌식과 인시던트 대응을 따로 하면 서로 방해가 될 수 있습니다. 인시던트 대응자는 네트워크에서 위협을 제거하는 동안 증거를 변경하거나 파괴할 수 있으며 포렌식 조사관은 증거를 검색할 때 위협 해결을 지연시킬 수 있습니다. 이러한 팀들 사이에 정보가 흐르지 않을 수 있으므로 모든 사용자의 효율성이 저하될 수 있습니다.
DFIR은 이 두 분야를 한 팀에서 수행하는 단일 프로세스로 융합합니다. 이는 두 가지 중요한 이점을 제공합니다.
포렌식 데이터 수집과 위협 완화가 동시에 수행됩니다. DFIR 프로세스 중에 인시던트 대응자는 위협을 억제하고 제거하는 동안 포렌식 기법을 사용하여 디지털 증거를 수집하고 보존합니다. 이를 통해 보관 연속성이 준수되고 인시던트 대응 노력으로 인해 중요한 증거가 변경되거나 파괴되지 않도록 보장합니다.
인시던트 사후 검토에는 디지털 증거 조사가 포함됩니다. DFIR은 디지털 증거를 사용하여 보안 사고를 심층적으로 조사합니다. DFIR 팀은 인시던트를 처음부터 끝까지 재구성하기 위해 수집한 증거를 조사하고 분석합니다. DFIR 프로세스는 무슨 일이 일어났는지, 어떻게 발생했는지, 피해의 전체 범위 및 향후 유사한 공격을 피할 수 있는 방법에 대해 자세히 설명하는 보고서로 종료됩니다.
결과적으로 얻을 수 있는 이점은 다음과 같습니다.
- 보다 효과적으로 위협을 방지합니다. DFIR 팀은 기존의 인시던트 대응 팀보다 더 철저하게 인시던트를 조사합니다. DFIR 조사를 통해 보안 팀은 사이버 위협을 더 잘 이해하고, 보다 효과적인 인시던트 대응 플레이북을 만들고, 더 많은 공격을 사전에 차단할 수 있습니다. 또한 DFIR 조사를 통해 알려지지 않은 활성 위협의 증거를 발견하여 위협 발견을 간소화할 수 있습니다.
- 위협을 해결하는 동안 증거가 거의 또는 전혀 손실되지 않습니다. 표준 인시던트 대응 프로세스에서 인시던트 대응자는 서둘러 위협을 억제할 수 있습니다. 예를 들어, 대응자가 위협의 확산을 억제하기 위해 감염된 장치를 종료하면 장치의 RAM에 남아 있는 모든 증거가 손실됩니다. DFIR 팀은 디지털 포렌식과 인시던트 대응에 대한 교육을 모두 받았으며 인시던트를 해결하는 동시에 증거를 보존하는 데 능숙합니다.
- 향상된 소송 지원을 제공합니다. DFIR 팀은 보관 연속성을 따릅니다. 즉, DFIR 조사 결과를 법 집행 기관과 공유하고 사이버 범죄자를 기소하는 데 사용할 수 있습니다. DFIR 조사는 또한 보험금 청구 및 위반 후 규제 감사를 지원할 수 있습니다.
- 더욱 빠르고 강력한 위협 복구가 가능합니다. 포렌식 조사는 표준 인시던트 대응 조사보다 더 강력하기 때문에 DFIR 팀은 간과했을 숨겨진 멀웨어나 시스템 손상을 발견할 수 있습니다. 이를 통해 보안 팀은 위협을 제거하고 공격으로부터 더욱 철저하게 복구할 수 있습니다.
일부 회사에서는 DFIR을 내부 CSIRT(컴퓨터 보안 사고 대응 팀), CERT(컴퓨터 긴급 대응 팀)라고 부르기도 합니다. CSIRT 구성원에는 CISO(최고 정보 보안 책임자), SOC(보안 운영 센터) 및 IT 직원, 경영진 및 회사 전체의 기타 이해 관계자가 포함될 수 있습니다.
많은 기업들이 자체적으로 DFIR을 수행할 자원이 부족합니다. 이 경우 리테이너 방식으로 작업하는 타사 DFIR 서비스를 고용할 수 있습니다.
사내 및 타사 DFIR 전문가 모두 동일한 DFIR 툴을 사용하여 위협을 탐지, 조사 및 해결합니다. 예를 들면 다음과 같습니다.
보안 정보 및 이벤트 관리(SIEM): SIEM은 네트워크의 보안 툴 및 기타 장치에서 보안 이벤트 데이터를 수집하고 상호 연결합니다.
보안 오케스트레이션, 자동화 및 대응(SOAR): SUAR를 통해 DFIR 팀은 보안 데이터를 수집 및 분석하고, 인시던트 대응 워크플로우를 정의하며, 반복적이거나 낮은 수준의 보안 작업을 자동화할 수 있습니다.
엔드포인트 탐지 및 대응(EDR): EDR은 엔드포인트 보안 툴을 통합하고 실시간 분석 및 AI 기반 자동화를 사용하여 바이러스 백신 소프트웨어 및 기타 기존 엔드포인트 보안 기술을 악용하는 사이버 위협으로부터 조직을 보호합니다.
확장된 탐지 및 대응(XDR): XDR은 보안 툴을 통합하고 사용자, 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 및 데이터 등 모든 보안 계층에서 보안 작업을 통합하는 개방형 사이버 보안 아키텍처입니다. XDR은 툴 간의 가시성 차이를 제거함으로써 보안 팀이 위협을 더 빠르고 효율적으로 탐지 및 해결하고 위협으로 인한 피해를 제한할 수 있도록 지원합니다.
인시던트 대응(IR) 준비와 연중무휴 비상 IR 서비스를 통해 공격을 탐지, 방지, 복구하여 침해로 인한 영향을 최소화합니다.
심각한 위협과 취약성이 비즈니스 운영을 방해하지 않도록 식별하고 예방할 수 있습니다.
네트워크 가시성과 고급 분석을 활용하여 너무 늦기 전에 숨겨진 위협을 탐지합니다.
클라우드 보안의 최신 위협 인텔리전스 및 동향을 살펴보고 IBM Security X-Force의 인사이트로 보안 상태를 개선하는 방법을 알아봅니다.
조직화된 인시던트 대응으로 가는 길은 사람들에게 권한을 부여하고, 일관되고 반복 가능한 프로세스를 개발한 다음, 기술을 활용하여 실행하는 것으로 시작됩니다. 본 가이드에서는 강력한 인시던트 대응 기능을 구축하기 위한 주요 단계를 개략적으로 설명합니다.
공식적 인시던트 대응 계획은 보안 팀이 사이버 공격 또는 보안 침해로 인한 피해를 제한하거나 방지하도록 지원합니다.
보안 정보 및 이벤트 관리(SIEM)는 규제 준수 또는 감사 목적으로 보안 데이터를 추적하고 기록할 뿐만 아니라 이벤트를 실시간으로 모니터링 및 분석할 수 있습니다.
위협 인텔리전스란 기업을 대상으로 하는 사이버 위협을 방지하고 퇴치하는 데 쓰이는 자세하고도 실행 가능한 위협 정보를 뜻합니다.
랜섬웨어는 몸값을 지불할 때까지 피해자의 디바이스와 데이터를 인질로 잡고 있습니다. 랜섬웨어의 작동 원리, 최근 몇 년 동안 랜섬웨어가 확산된 이유, 조직에서 랜섬웨어에 대처하는 방법에 대해 알아보세요.