침해 사고 대응 및 악성코드 트리아지
본 과정은 침해된 증거와 실제 사고 시나리오를 바탕으로 구성된 챌린지 전용 과정으로, 디지털 포렌식, 침해 사고 대응 (Incident Response), 악성코드 트리아지 (Malware Triage) 를 종합적으로 다룹니다. 가이드가 제공되는 일반적인 실습과 달리, 보존된 디스크 아티팩트, 라이브 메모리 단서, 악성코드 행위 재구성을 하나의 연결된 DFIR 워크플로우로 직접 수행하게 됩니다.
왜 중요한가요?
실제 침해 사고 대응 과정에서 분석가는 맥락을 잃지 않으면서 여러 증거 소스를 넘나들어야 합니다. 디스크 아티팩트, 휘발성 메모리, 악성코드 행위는 각각 서로 다른 질문에 대한 답을 제공하며, 이들을 유기적으로 연결할 때 비로소 유의미한 결론을 도출할 수 있습니다. 본 과정은 이러한 폭넓은 조사 워크플로우를 검증할 수 있도록 설계되었습니다.
본 과정은 프로젝트 중심의 학습이므로 분석가의 판단력과 증거 간의 상관관계 분석을 강조합니다. 학습자는 단서를 추출하고, 결과를 검증하며, 이를 다양한 포렌식 및 악성코드 분석 챌린지 전반에 걸쳐 어떻게 활용할지 스스로 결정해야 합니다.
학습 내용
- 침해된 디스크 증거를 검토하고 유용한 포렌식 맥락을 보존합니다.
- 라이브 메모리 아티팩트를 트리아지하여 의심스러운 프로세스와 연결 상태를 식별합니다.
- 정적 및 동적 지표를 바탕으로 악성코드의 행위를 재구성합니다.
- 디스크, 메모리, 실행 파일 행위 전반에 걸쳐 증거를 상호 연관시킵니다.
- DFIR 조사에 필요한 엔드투엔드 (End-to-End) 사고방식을 훈련합니다.
과정 로드맵
- 침해된 디스크 증거 검토: 침해된 시스템에서 파일 시스템 증거를 복구하고 분석합니다.
- 라이브 메모리 사고 트리아지: 휘발성 메모리 단서를 활용하여 활성 상태이거나 최근 발생한 악성 활동을 식별합니다.
- 악성코드 행위 재구성: 관찰된 증거를 바탕으로 의심스러운 바이너리가 수행하는 작업을 설명합니다.
수강 대상
- DFIR 및 악성코드 분석 과정을 완료하고 실무적인 복습 프로젝트를 원하는 학습자.
- 증거 간 조사 워크플로우를 연습하고자 하는 침해 사고 대응 담당자.
- 디스크, 메모리, 악성코드 분석 결과를 유기적으로 연결하는 습관을 기르고자 하는 보안 분석가.
학습 성과
본 과정을 마치면 학습자는 침해 사고를 단편적인 사건이 아닌 하나의 연결된 조사 과정으로 접근할 수 있게 됩니다. 보존된 아티팩트에서 휘발성 증거, 그리고 악성코드 행위 분석으로 이어지는 흐름을 통해 공격자의 활동에 대해 더욱 명확한 결론을 도출할 수 있는 역량을 갖추게 될 것입니다.
