"포렌식을 보다 효율적으로 도입하려면 라이브(Live) 포렌식을 적극 활용하고, 상시 모니터링을 통해 '골든 타임'을 준수하라."

포렌식 전문기업인 플레인비트의 김진국 대표는 지난 22일 열린 '포렌식 인사이트 컨퍼런스(FICON)2016' 행사에서 최근의 포렌식 기술동향에 대해 설명하며, 포렌식을 무력화시킬 수 있는 '안티포렌식'에 효율적으로 대응하기 위한 방안을 이같이 제시했다.

김대표는 "디스크 포렌식의 경우 삭제된 흔적이나 알려지지 않은 흔적을 파악하고, 키워드나 패턴검색 같은 최후의 스킬을 사용할 수 있는 장점이 있지만, 디스크 이미징을 위한 시간과 분석시간이 오래 걸리는 데다 파일리스(Fileless) 악성코드도 등장하고 있다"고 말하고 "식별만 빠르게 된다면 빠른 분석을 위해 라이브 포렌식이 바람직하다"고 밝혔다.

라이브 포렌식은 휴대폰이나 기업의 서버처럼 정지시키기 어려운 경우, 가동되고 있는 상태에서 포렌식을 수행하는 것으로, 비즈니스 연속성에 영향을 미치지 않으며 빠른 데이터 수집이 가능하다는 점에서 최근 활용이 증가하고 있다는 것.

김대표는 삼성전자의 휴대폰에 적용된 보안 플랫폼 '녹스'를 예로 들며 "삼성전자 녹스는 데이터 수집도 어렵지만, 물리적으로 수집할 경우 워런티 비트가 깨지고, 그럴 경우 삼성페이가 작동하지 않기 때문에 향후 모바일도 라이브 포렌식을 연구해야 할 것"이라고 소개하고, "임직원 감사 차원에서 물리적 포렌식을 한다면 매번 단말기를 새로 사줘야 할 것"이라고 말했다.

김대표는 또, '포렌식'을 어렵게 하는 '안티포렌식'으로 인해 포렌식은 점점 어려워지고 있다며, 이를 위한 대응방안으로 라이브 포렌식과 함께 은닉탐지, 통합분석, 데이터 복구 등의 방안을 제시했다. 하지만, 사후 대응을 한다고 해도 여전히 한계는 있기 때문에 상시 모니터링을 강화하고 대응절차를 고도화함으로써 정보 수집의 '골든타임'을 놓치지 않도록 하는 것이 가장 중요하다고 김대표는 강조했다. 박영하 기자 (yhpark@nextdaily.co.kr)