핵심을 찾아내는 침해사고 분석

보안 분석가로서 업무를 수행하기 위해 필요한 기본적인 지식과 실습을 통해 침해사고분석 훈련을 진행하는 실습 중심의 강의입니다. 기업 침입대응 및 분석 업무에 필요한 실무 관점의 침해사고 분석 방법을 함께 살펴봅니다.

(4.4) 수강평 22개

수강생 356명

BIGROOT SECURITY

Forensic

초급자를 위해 준비한
[보안] 강의입니다.

이런 걸
배워요!

침해사고 발생 원인을 분석하는 방법을 알게 됩니다.
사이버 보안 위협 대응을 위한 보안 솔루션에 대해 알게 됩니다.
침해사고 분석 과정을 실습할 수 있습니다.

프로 보안 분석가 실무의 꽃!
침해사고 분석, 실습으로 익혀보세요.

보안 분석가의 기본 역량,
침해사고 분석!

💡 침해사고란?

정보통신망법 제2조 제1항 제7호에 따르면 ‘‘침해사고’’란 ‘‘해킹, 컴퓨터바이러스. 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태’’를 의미 합니다.
정보 자산 관련 시스템에서 발생하는 침해사고는 시스템 및 애플리케이션에서 비정상 동작이 발생하거나, 관리자가 의도하지 않은 현상(삭제, 수정, 유출 등)이 공격자에 의해 발생하는 경우를 의미합니다.

사이버침해사고가 발생하면 기업은 신속하게 피해 범위를 파악하고, 사고 수습을 통해 비지니스 영향을 최소화해야 합니다. 산업에서 요구하는 법규 또는 규정 준수를 위해 필요한 활동이 누락될 경우 관련 법규나 규정에 의한 처벌이나 추가 이행 항목이 발생할 수 있습니다. 비지니스 영향을 최소화하기 위해 기업의 보안팀과 홍보팀, 법무팀 등 전사적으로 사고대응에 집중을 합니다. 기업에서는 보안사고가 발생할 경우 대응하기 위해 필요한 필수 활동을 모의 훈련을 통해서 연간 또는 분기별 훈련을 수행 합니다.

보안 분석가는 기업이나 조직에 침해사고가 발생하거나 법적인 이슈가 발생할 경우 사고 분석 업무를 수행합니다. 다양한 원인으로 발생되는 시스템 이상 현상의 원인을 파악하기 위해서는 이러한 문제 상황을 구분할 수 있는 역량이 필요합니다. 특히, 외부인의 침입이나 내부 임직원에 의한 침해사고가 발생할 경우 사고 분석을 통해 시스템의 피해 상황 및 침해 원인 분석 업무를 수행해야 하는 게 보안 분석가의 역할입니다.

기업의 사고 피해를 분석하고, 사고가 재발하지 않도록 대응 방안을 도출하기 위해서는 정확한 사고 원인을 분석하는 게 가장 중요합니다. 하지만 실제로 사고 분석 과정을 경험하는 경우는 굉장히 드물고 어려운 일이기도 합니다.

“Big Root” 용어는 일반적으로 문제나 상황의 복잡성을 강조할 때 사용됩니다. “Big Root”는 문제의 뿌리가 크고 복잡하다는 것을 의미합니다. 이는 문제가 단순한 원인이나 요인에만 국한되지 않고 다양한 요인들이 복잡하게 얽혀 있음을 나타냅니다.

고도화된 사이버 공격에 의한 침해사고 역시 표면에 드러난 시스템 분석으로 사고 원인에 대한 문제 해결이 어렵습니다. 고도화된 공격으로 사고가 반복적으로 재발하고 기업의 비지니스에 지속적인 피해를 입히게 됩니다. 기업 보안팀은 보안사고의 핵심 원인 (root cause)과 침입 경로 (vector)를 식별하기 위해 분석 과정에서 다양한 시스템과 솔루션의 정보를 확인해야 합니다.

강의를 통해 침해사고대응 절차에 대해서 설명하고, 기업에 심각한 피해를 발생하는 사이버보안 사고의 유형과 원인에 대해서 학습 합니다. 해킹 사고의 원인이 되는 보안 취약점을 근본적으로 해결하기 위해 필요한 역량을 학습 합니다.

개념부터 실무까지
침해사고 분석의 기본기.

실무 사례와 유사한 침해사고 분석 훈련을 통해
사고 분석 역량 향상을 기를 수 있습니다.

보안 분석가로서 업무를 수행하기 위한 기본적인 지식을 갖추고 분석 도구를 실습해 봅니다.
네트워크 통신과 애플리케이션에 대한 이해를 바탕으로 사이버 보안 사고 원인을 찾아냅니다.
다양한 보안 장비에서 발생되는 위협 로그를 분석해 침입을 시도하는 공격자를 찾아낼 수 있습니다.
기업 침입 대응 및 분석 업무 수행에 필요한 실무 관점의 침해사고 분석 방법을 학습합니다.

이 강의에서는 기업에서 침입대응 및 분석 업무 수행에 필요한 실무 관점의 침해사고 분석 방법을 같이 살펴볼 것입니다. 네트워크 기반의 침입탐지 로그 또는 네트워크 패킷 분석 업무를 수행하는 실무자들에게 보안 분석가가 분석 시 필요한 지식과 분석툴을 다루는 노하우를 제공하며, 분석을 통해서 어떤 결과를 찾아야 하는지 설명합니다.

특히, 보안 분석 업무를 수행하다 보면 다양한 로그와 분석 툴을 사용하게 됩니다. 침입탐지시스템 로그 분석, 웹 서버 로그, 네트워크 패킷 분석 업무를 하고 싶어하는 분을 위해 위협 분석 기초 개념과 실무 기술을 설명하고자 합니다. 기본 개념 및 기술과 저자가 업무에서 습득한 노하우도 함께 설명함으로써 수강생들에게 업무 수행 능력을 향상시킬 수 있도록 도움이 되고자 합니다.

사고 분석을 위해 분석하는 정보는 대표적으로 웹로그, IDS/IPS 로그, 네트워크 패킷 로그가 있습니다. 실제 보안 사고가 발생했던 시스템의 로그를 분석하면서 사고 대응 훈련을 수행할 예정입니다. 끝으로, 직업 경력 관리 관점에서 앞으로 어떻게 경력을 가져갈지에 대해서도 함께 공유할 예정입니다.

효율적인 분석 학습을
도와드립니다.

_{침입대응/분석
실무에 필요한
정보 수집 방법}

_{침해대응/분석
실무자가 사용하는
분석 도구 및 사용법}

_{침해대응/분석
사례를 통한
실무 노하우}

1) 침해대응/분석 실무자가 사용하는 분석 도구 및 방법 기술을 학습합니다.

침해사고 분석 경험이 많지 않을 경우 사고 조사 시 어디서부터 분석을 시작할 지 막막할 수 있습니다. 본 강의를 통해 분석가가 빠르게 사고 원인을 찾고, 공격 경로를 식별할 수 있도록 유형별 사고 사례를 실습하게 됩니다. 실습을 통해 보안 로그를 분석할 때 침해사고 발생에 대한 흔적을 찾기 위해 무엇에 집중하고, 어떻게 하면 효율적으로 분석하는지 알게 됩니다.

✅ 정상 로그 구분 기준 사례 학습
✅ 대량 로그 분석 프로그램 사용 실습
✅ 침해 사고 유형 학습

2) 해킹 기법에 종속되지 않는 분석 방법을 통해 다양한 상황에 적용 및 응용이 가능합니다.

공격자들은 다양한 방법으로 시스템에 침입을 시도합니다. 특정 공격 툴이나 공격 방법에 종속되지 않고, 취약점을 악용하는 원리를 이해함으로써 다양한 보안 공격 시도에 응용해서 분석을 수행할 수 있게 됩니다.

훈련을 위한 보안 분석 실습.

IDS 로그 분석 훈련

상용 보안 제품에서 탐지된 공격 행위 로그 일부를 필터하여 실습을 위해 제공합니다. 공격 이벤트명, 공격 시간, 기타 정보는 실제 사고 사례와 동일하게 구성되어 있습니다.

웹 로그 분석 훈련

웹 서버를 대상으로 이뤄졌던 공격 기법과 공격 대상 서버에 남은 로그를 직접 분석합니다. 분석을 통해 웹 서버의 취약한 설정을 파악하고 사고 원인을 식별합니다.

네트워크 패킷 분석

사이버 보안 사고 사례를 랩 환경에서 동일한 조건으로 재현하였고, 공격자의 시각에서 시스템을 공격하는 과정을 재현해 네트워크 트래픽을 캡쳐합니다. 캡처한 패킷을 분석하여 공격 대상과 피해 범위를 분석합니다.

📣 수강 전 확인해주세요!

실습에 사용될 로그에서 공격자 IP 및 공격 대상 IP는 실습을 위해 수정되어 있습니다.

학습 내용 📚

각각의 실습 사례를 통해 침해사고 분석을 실습하며 분석 과정을 학습할 수 있습니다. 분석 과정을 통해 학습하기 전에 먼저 직접 분석을 수행해본 뒤, 직접 분석한 과정과 분석 가이드의 내용을 비교해 봅니다.

섹션 1 - 사전 학습

실습에 앞서 분석에 필요한 방법론에 대해서 살펴봅니다. 특정 패턴을 기반으로 공격 행위를 식별하는 방법과 행위 기반으로 임계치를 설정하고 위협을 식별하는 방법으로 구분해서 분석하는 방법을 학습한 다음, 영화 속 이상 행위 식별 사례를 통해 보안 사고 사례에 적용하는 방법을 같이 살펴봅니다.

_{영화 속 이상 행위 식별 사례 참고 영상 (클릭)}

섹션 2 - 침해사고대응분석 실습 1: IDS 이벤트 분석

특정 기간 동안 탐지된 침입탐지 솔루션 이벤트를 분석해 대규모 네트워크 장애를 유발시킨 원인을 분석합니다. 다음 표는 침입탐지시스템에서 추출한 침입탐지 이벤트입니다.

탐지항목	탐지정보
이벤트 수집 기간	3개월
탐지 시그니처 이름	TCP_Invalid_SACK
출발지 IP	10.0.0.1
출발지 포트	랜덤
도착지 IP	랜덤
도착지 포트	랜덤
총합	1441 건

TCP_Invalid_SACK라는 침입탐지시스템 시그니처는 비정상 SYN 패킷과 ACK 패킷에 의해 발생되며, 일반적으로 TCP 통신은 프로토콜에 정해진 방법으로 필요한 통신 패킷을 주고받습니다. 하지만 통신에 사용되는 프로그램이나 네트워크 특성에 따라 정해진 프로토콜과 다른 방식으로 통신하는 현상이 발생합니다. TCP_Invalid_SACK 시그니처는 이러한 현상을 기록합니다.

이러한 이유로 공격자가 비표준 방식의 프로그램을 사용할 때도 통신 내역이 탐지됩니다. 물론 탐지된 정보에는 공격자의 통신만 기록되진 않습니다. 탐지된 1441건의 이벤트에 공격자가 통신한 횟수는 소수일 것입니다. 보안 분석가는 이벤트 분석을 통해 소수의 공격 탐지 건수를 찾아야 합니다.

실습 로그 파일을 가지고 직접 분석하는 과정을 통해 사고 원인을 추적합니다. 사고 원인에 대한 분석 결과는 분석 가이드 섹션에서 설명합니다. 앞서 강조했지만 사고 분석 과정을 직접 먼저 분석하고 분석 가이드 섹션 내용을 참고해서 직접 분석한 내용과 비교하면서 사고 분석 훈련을 수행하게 됩니다.

섹션 3 - 침해사고대응분석 실습 2: 어플리케이션 로그 분석

웹 로그 분석을 통해 침해사고 발생 시스템의 사고 경위를 분석합니다. 로그 가공 작업은 분석되지 않거나 불필요한 정보를 치워서 좀더 효율적으로 이벤트를 분석하기 위한 작업입니다. 하지만 이러한 트래픽은 짚더미처럼 수 없이 많습니다. 짚더미에 숨어 있는 바늘 같은 공격 트래픽을 찾는 일은 결코 쉬운 일이 아닙니다.

두번째 실습에서는 웹 로그를 이용해 짚더미를 치우는 방법을 같이 살펴보게 됩니다. 스플렁크, 로그파서, 엘라스틱서치를 설치하고 윈도우 웹서버 로그 분석 과정을 실습해봅시다.

섹션 4 - 침해사고대응분석 실습 3: 네트워크 패킷 분석

파일 확장자 제한을 우회한 공격자는 게시판에 어플리케이션 실행 파일(ASP 확장파일)을 업로드 하고 시스템을 장악합니다. 네트워크 통신을 통해 이뤄진 웹 쉘 공격을 분석해 봅시다. 패킷분석 과정은 분석할 대상 통신이나 서버의 분석 범위를 선정하는 작업만으로도 상당히 침해분석을 효율적으로 수행할 수 있게끔 합니다. 웹쉘 통신 패킷을 분석하기 위해 분석 시 사용하는 필터 구문들을 활용해 효율적으로 패킷을 분석해보게 됩니다.

분석 과정에서 실제 네트워크 통신을 통해 실행된 백도어 파일을 추출해 보고, 어떤 통신이 이뤄졌고 서버에 어떤 피해를 주었는지 재현을 통해 추적해 봅시다.

Q&A 💬

Q. 학습하기 위해 필요한 선행 지식은 무엇인가요?

본 강의는 실습 위주로 구성되어 있습니다. 사이버 보안에 대한 기본적인 개념이나 이론은 포함되어 있지 않습니다. 본 강의의 실습을 수행하기 위해서는 IDS에 대해서 이해하고 있고, 웹 어플리케이션 설정과 웹 서버 응답코드에 대해서 이해가 필요합니다. 선수 지식은 필요하지만 해킹을 해본 적이 없어도 침해사고분석을 할 수 있습니다.

Q. 다른 보안 강의와 무엇이 다른가요?

보안 사고 분석 기법이나 노하우에 대한 실무 경험을 중심으로 강의 컨텐츠를 구성하였습니다. 3가지 침해사고분석 사례는 모두 실제 사고 사례를 각색하였기 때문에 보안사고분석 경험을 향상시킬 수 있습니다. 다만, 디스크 이미지를 수집하는 법적인 의미의 포렌식 과정은 다루지 않을 것입니다.

Q. 수강 관련 참고 사항이 있나요?

실습은 공개툴(MS Log Parser Studio, Wireshark)과 프리 트라이얼 보안 제품, Microsoft EXCEL을 사용 합니다. 실습 내용에는 분석 제품을 설치하는 과정은 생략하였습니다. 각 제품별 제조사의 설치 안내 링크를 참고하여 수강생이 개별 설치를 진행해야 합니다.

이 강의의 지식공유자는 ✒️

빅루트시큐리티

CERT팀 침해사고대응전문가와 외국계 보안 기업의 솔루션 엔지니어로 18년째 활동 하고 있습니다.한국 IBM 에서 SOC 구축 프로젝트와 운영 프로젝트 PM을 담당 했습니다. 보안 인프라에 대한 설계와 구축/운영 프로세스 개발 업무를 수행 했습니다. 안랩 CERT팀에서 민간기업과 공공기관의 보안 침해사고 분석&대응 업무를 수행 했습니다. 3.20 다크서울(DarkSeoul) 캠페인 발생 당시 국내 방송사 시스템 점검을 수행했으며, 네이트 개인정보 유출사건 당시 사고 유출 시스템에 대한 점검을 지원 하였습니다.

주요 경력사항

보안컨설턴트: 보안 인프라 컨설팅을 통해 보안 강화 전략 설계/구축/운영
보안관제컨설팅: SOC 구축 컨설팅 및 운영 업무 수행
보안서비스상품개발: 차세대보안관제 솔루션&서비스 개발
침해사고 대응: 군/공공/민간 기업 등 다수
2014 KISA K-Shield 보안 수료 강사 (안랩 네트워크 포렌식 교육 담당 강사)
2016 개인정보보호 PIS(Personal Information Security) FAIR / 발표 주제 ‘Security Intelligence’

_{사이버 침해사고 분석 전략 (에이콘출판사, 2016) 저}

_{해킹, 침해사고분석 (지앤선, 2009:
2009 문화체육관광부 우수학술도서) 저}

이런 분들께
추천드려요!

학습 대상은
누구일까요?

SOC 보안 분석가
기업 IT 보안 실무 담당자
침해사고분석팀(블루팀)
보안관제 업무 인력
보안 컨설턴트
기타 침해대응분석 실무자

선수 지식,
필요할까요?

사이버 보안에 대한 기본적인 이해
IDS 및 웹 애플리케이션 설정, 웹 서버 응답 코드에 대한 이해

안녕하세요
BIGROOT SECURITY입니다.

CERT팀 침해사고대응전문가와 외국계 보안 기업의 솔루션 엔지니어로 18년째 활동 하고 있습니다.

한국 IBM 에서 SOC 구축 프로젝트와 운영 프로젝트 PM을 담당 했습니다. 보안 인프라에 대한 설계와 구축/운영 프로세스 개발 업무를 수행했습니다.

시스코(CISCO) 코리아에서 보안 솔루션에 대한 기술 전문가로서 보안 아키텍처 구성 및 위협 대응 사례에 대한 지식을 갖춘 전문가로 고객 현황 진단 및 개선을 조언 하였습니다.

안랩 CERT팀에서 민간기업과 공공기관의 보안 침해사고 분석&대응 업무를 수행 했습니다. 3.20 다크서울(DarkSeoul) 캠페인 발생 당시 국내 방송사 시스템 점검을 수행했으며, 네이트 개인정보 유출사건 당시 사고 유출 시스템에 대한 점검을 지원 하였습니다. 민간 기업 및 공공 기업을 대상으로 발생한 다양한 침해사고 조사 업무를 수행했습니다.

<주요 경력사항>

• 보안컨설턴트: 보안 인프라 컨설팅을 통해 보안 강화 전략 설계/구축/운영

• 보안관제컨설팅: SOC 구축 컨설팅 및 운영 업무 수행

• 보안서비스상품개발: 차세대보안관제 솔루션&서비스 개발

• 침해사고 대응: 군/공공/민간 기업 등 다수

커리큘럼

전체

63개 ∙ (6시간 34분)

수업 자료

가 제공되는 강의입니다.

섹션 1. Intro

1개

보안분석가 업무 소개

섹션 2. 강의 소개

2개 ∙ (10분)

강의 내용 살펴보기
05:46
정보보안 대응 역량
04:47

섹션 3. 사이버 보안 사고 대응 절차

4개 ∙ (15분)

KISA 사이버보안 사고 대응 가이드 소개
04:30
기업 침해사고 대응 프로세스 소개
04:31
3.20 다크서울(DarkSeoul) 캠페인 사고 사례
침해사고대응 프로세스
06:09

섹션 4. 침해사고분석 솔루션

12개 ∙ (1시간 31분)

섹션 5. 보안 이벤트 이해하기

8개 ∙ (1시간 1분)

섹션 6. 핵심 이벤트 분석

12개 ∙ (1시간 35분)

섹션 7. 침해사고대응 체크리스트

5개 ∙ (31분)

섹션 8. 네트워크 패킷 분석하기

6개 ∙ (45분)

섹션 9. 침해사고대응 실습하기

5개 ∙ (16분)

섹션 10. PHP 인젝션 취약 시스템 재현하기

6개 ∙ (25분)

섹션 11. 수업 마무리

2개 ∙ (1분)

강의 게시일:

마지막 업데이트일:

수강평

아직 충분한 평가를 받지 못한 강의입니다.

모두에게 도움이 되는 수강평의 주인공이 되어주세요!