[ 세트 구성: 전2권 ]

1) 『사이버 범죄 소탕작전 컴퓨터 포렌식 핸드북』
2) 『와이어샤크를 활용한 실전 패킷 분석: 시나리오에 따른 상황별 해킹 탐지와 네트워크 모니터링』


『사이버 범죄 소탕작전 컴퓨터 포렌식 핸드북』 소개

사이버 범죄자들이 벌인 사건해결의 단서를 어떻게 찾을 수 있을까? 범죄자가 남긴 디지털 증거를 어떻게 조사하고 분석할 수 있을까? 뉴스에서는 거의 매일처럼 사이버 범죄 사건을 접한다. 사이버 범죄는 종래의 범죄와는 성격을 달리하는 범죄로 우리에게 급격히 다가오고 있다. 사이버 범죄 사건을 해결하고 범죄자를 찾아내서 처벌하는 일이 큰 사회문제로 클로즈 업하고 있지만 범죄자들을 다스리는 데에는 한계가 있다. 민첩한 개를 쫓는 거북이에나 비할까. 사이버 범죄를 해결하기 위해서는 사이버 범죄를 예방하는 시스템을 구축하는 IT 전문가와 사이버 범죄를 수사할 책임이 있는 경찰이 서로 협력해야 한다. 이 책은 IT 전문가에게 증거 수집의 원칙을 엄격히 지켜야 하고 사이버 범죄 현장을 그대로 보존해야 하는 수사현황을 소개한다. 그리고 수사담당자에게는 사이버 범죄의 기술적 측면과 기술을 이용해서 사이버 범죄를 해결하는 방법을 알려준다.


『와이어샤크를 활용한 실전 패킷 분석』 소개

이 책에서는 와이어샤크를 이용해 패킷을 캡처하고 분석하는 방법을 익힘으로써 실제 네트워크 환경에서 발생할 수 있는 다양한 시나리오에 대한 문제를 분석하고 해결하는 방법을 배울 수 있다. 네트워크에서 오가는 패킷을 잡아내어 분석해냄으로써, 해킹을 탐지하고 미연에 방지하는 등 네트워크에서 벌어지는 다양한 상황을 모니터링할 수 있다.

[ 저자 소개 ]

Debra Littlejohn Shinder
전직 경찰이자 경찰 대학 교수로서 현재는 IT 전문가로 일하고 있다. 그녀와 그녀의 남편인 Dr. Thomas W. Shinder는 기업과 자치체에 네트웍 컨설팅 서비스를 제공했고, 대학과 기술 교육 기관에서 교육을 했으며 여러 세미나에서 발표를 했다. Deb은 전문은 네트워킹과 보안이며, 그녀와 남편인 Tom은 베스트 셀러인 Configuring ISA Server 2000(Syngress Publishing, ISBN: 1-928994-29-6)을 비롯한 여러 책을 썼다. 그리고 Deb은 Computer Networking Essentials 의 저자이기도 하다. 그리고 Deb은 TechProGuild, CNET, 8Wire, Cramsession.com과 같은 출판물과 전자 잡지에 100개 이상의 글을 썼다. Deb은 Journal of Police Crisis Negotiations 편집 위원회의 멤버이며 Eastfield College Criminal Justice Training Center의 자문을 맡고 있다.

크리스 샌더즈
켄터키에 있는 Graves Country School의 네트워크 관리자로서, 사용자가 5,000명에 육박하고 있는 20대 이상의 서버와 1,800대 이상의 워크스테이션을 관리하고 있다. 그의 웹 사이트 ChrisSanders.org에는 다양한 매뉴얼, 가이드, 기술 문서, 매우 유명한 Packet School 101에 대한 내용이 있다. WindowsNetworking.com과 WindowsDevCenter. com에서 전문적인 기고자로도 활동하고 있으며 패킷 분석을 위해 거의 매일 와이어샤크를 이용한다. 와이어샤크의 제작자인 제럴드 콤이 이 책의 기술 감수를 맡았다.


[ 역자 소개 ]

강유
대학 시절 컴퓨터 보안의 아름다움에 깊이 빠져 서울대학교 보안 동아리 ‘가디언’의 창립 멤버로 참여했고 초대 회장을 지냈다. 다양한 보안 소프트웨어와 멀티미디어 소프트웨어 개발에 참여했으며 웹 모의 해킹과 보안 체계 구축을 비롯한 여러 컨설팅을 수행한 경험이 있다. 그가 저술하고 번역한 보안 서적들은 국내의 많은 보안 전문가들을 키우고 관련 산업을 발전시키는 데 크게 기여했다. 보안 영역에서 주 관심 분야는 웹 애플리케이션 보안, 침투 테스트(PT), 네트워크 보안 시스템 설계와 구축이다. 대표적인 역서로 『실전해킹 절대내공』, 『구글 해킹』, 『조엘이 엄선한 소프트웨어 블로그 베스트 29선』 등이 있으며 저서로 『강유의 해킹 & 보안 노하우』가 있다.

김경곤
현재 세계적인 글로벌 컨설팅 펌인 삼일PwC에서 시니어 컨설턴트로 일하고 있으며, 주 업무는 IT 위험 관리, 내부 감사(ITGC), 정보 보안이다. 또한 기업, 정부기관 등 80여개의 큰 사이트에 대한 모의해킹과 보안 컨설팅을 수행했으며, 삼성SDS, 금융권, 대기업, 학교를 비롯한 여러 기관에서 보안/해킹 강의를 했다. 숭실대학교 컴퓨터학부를 졸업하고, A3 Security Consulting과 SK 인포섹에서 보안 컨설턴트로 일한 경험이 있다.
제1회 해킹방어대회에서 대상을 수상해 정보통신부 장관상을 수여받았으며, 2007년도 세계해킹컨퍼런스인 데프콘에 아시아에서 유일하게 한국 팀 멤버로 참여하기도 했다. 그 외 EBS와 중앙일보에서 보안 컨설턴트에 대해 인터뷰를 하기도 했다.
저서로는 『정보보안 개론과 실습: 인터넷 해킹과 보안』(2005)이 있다. 역서로는 『웹 해킹 & 보안 완벽 가이드』(2008, 에이콘출판사), 『윈도우 시스템 관리자를 위한 커맨드라인 활용 가이드』(2009, 에이콘출판사)가 있다.

장은경
De La Salle University에서 영어교육학을 전공하고 있으며, 2001년도에 개최한 제1회 여성해킹대회 본선에 진출한 경력을 가지고 있다. 국내 유수 보안 그룹에서 활약을 하였으며, IT 분야에 약 7년간의 경험을 가지고 있다. 역서로는 『웹 해킹 & 보안 완벽 가이드』(에이콘출판사, 2008)이 있다.

목차

• 『사이버 범죄 소탕작전 컴퓨터 포렌식 핸드북』
  
• 1. 사이버 범죄에 맞서
  • 소개
  • 위기 정량화
  • 사이버 범죄 정의
  • 일반적인 것에서 더 구체적인 것으로
  • 관할권 문제의 중요성
  • 네트워크를 사용하는 범죄/의존하는 범죄
  • 사이버 범죄 통계의 자료 수집
    • 범죄 보고 시스템 이해
    • 국가 보고 시스템의 범죄 분류
  • 사이버 범죄의 정의를 내리기 위해
    • 미국의 연방 법과 각 주(州) 법
    • 국제법: 국제연합(UN)의 사이버 범죄 정의
• 사이버 범죄 분류
  • 사이버 범죄 분류 연구
    • 폭력 가능성이 있는 사이버 범죄 분류
    • 비폭력 사이버 범죄 분류
  • 사이버 범죄 수사으 우선순위
• 사이버 범죄와의 대결
  • 누가 사이버 범죄와 싸울 것인가?
  • 사이버 범죄와 싸울 전사 교육
    • 입법자와 재판 관련 전문가에 대한 교육
    • IT전문가에 대한 교육
    • 커뮤니티를 교육시키고 참여시키기
  • 사이버 범죄와의 전쟁에서 현명하게 대처하기
    • 그룹의 멤버들간의 조언을 통한 사이버 범죄와의 대결
    • 기술을 통한 사이버 범죄와의 대결
    • 사이버 범죄로부터 자신을 보호할 새로운 방법 찾기
• 요약
• FAQs
• 참고자료
  
• 2. 사이버 범죄의 역사
• 소개
• 단독 컴퓨터 시대의 컴퓨터 범죄
  • 시간 이상의 것을 공유한다
  • 단어의 진화
• 초기 프리커 (Phreaker), 해커, 크래커 이해
  • 벨 전화회사의 네트워크 해킹
    • 유명한 프리커
    • 영국에서의 프리킹
    • 다양한 색깔의 박스
    • 프리커에서 해커로
  • LAN의 삶; 초창기 컴퓨터 네트워크 해커
  • 어떻게 BBS가 범죄 행위를 부추겼는가
• 온라인 서비스로 인해 사이버 범죄가 쉬워진 이유
• ARPANet소개; 네트워크 무법지대
  • 스푸트니크 위성으로 ARPA의 탄생
  • ARPA의 컴퓨터 기술 연구
  • 네트워크 애플리케이션의 등장
  • 인터넷의 꾸준한 확장
    • 1980년대의 ARPANet
    • 1990년대의 인터넷
    • 윔의 등장-보안이 주요 이슈로 떠오름
• 인터넷의 상업화와 함께 증가한 컴퓨터 범죄
• 최신 사이버 범죄 이야기
  • 기술이 어떻게 새로운 취약점을 만들었나
    • 왜 사이버 범죄자는 광대역(브로드밴드)을 좋아하나
    • 왜 사이버 범죄자들은 무선을 좋아하는가
    • 왜 사이버 범죄자는 모바일 컴퓨팅을 좋아하나
    • 왜 사이버 범죄자는 복잡한 웹과 이메일 기술을 좋아하는가
    • 왜 사이버 범죄자는 전자상거래와 온라인뱅킹을 좋아하는가
    • 왜 사이버 범죄자는 인스턴트 메시징을 좋아하나
    • 왜 사이버 범죄자는 새로운 운영 체계와 애플리케이션을 좋아하나
    • 왜 사이버 범죄자는 표준화를 좋아하나
  • 미래에 대한 설계: 미래의 사이버 범죄자를 막는법
• 요약
• FAQs
• 참고 자료
  
• 3. 범죄 현장의 사람들
• 소개
• 사이버 범죄자
  • 사이버 범죄자 프로파일링 / profiling
    • 프로파일링은 어떻게 동작하는가
    • 사이버 범죄자에 대한 신화와 오해 재검토
    • 전형적인 사이버 범죄자 프로파일 생성
    • 범죄자 동기 이해
    • 통계 분석의 한계 인식
  • 사이버 범죄 분류
    • 범죄 도구로 인터넷을 사용한 범죄자
    • 범죄 도중 우연히 인터넷을 사용한 범죄자
    • 실생활서는 정상/온라인서는 범죄
• 사이버 범죄 피해자
  • 사이버 범죄 피해자 분류
  • 범죄 대항 팀에 피해자 참여
• 사이버 범죄 수사자
  • 뛰어난 사이버 범죄 수사자의 특성
  • 사이버 범죄 수사자의 기술에 의한 분류
  • 사이버 수사자 고용과 교육
• 협력 증진; 범죄 현장에서 CEO의 역할

요약

FAQs

4. 컴퓨터 기본 이해

소개

컴퓨터 하드웨어

• 기계의 내부 들여다 보기
  • 디지털 컴퓨터의 구성요소
  • 머더보드의 역할
  • 프로세서와 메모리의 역할
  • 저장 매체의 역할
  • 왜 이러한 기술적인 문제가 범죄 조사자에게 중요한가

기계어

• 수의 세계 탐험
  • 어떤 진수법을 사용할 것인가?
• 2진수 시스템 이해
  • 2진수와 10진수간의 변환
  • 2진수와 16진수간의 변환
  • 텍스트를 바이너리로 변경
• 비텍스트파일 인코딩
• 왜 이러한 기술적 문제가 수사자에게 중요한가

컴퓨터 운영 체제

• 운영 체제 소프트웨어의 역할
• 멀티태스킹과 멀티프로세싱 유형 비교
  • 멀티태스킹
  • 멀티스로세싱
• 비공개 운영체제와 오픈 소스 운영 체제 비교
• 자주 쓰이는 운영체제 개관
  • DOS 이해
  • 윈도우 1.x에서 3.x까지
  • 윈도우 9x,(95, 95b, 95c, 98, 98SE, ME)
  • 윈도우 NT
  • 윈도우 2000
  • 윈도우 XP
  • Linux/UNIX
  • 기타 운영 체제
• 파일 시스템 이해
  • FAT12
  • FAT16
  • VFAT
  • FAT32
  • NTFS
  • 기타 파일 시스템

요약

FAQs

참고자료

5. 네트워크 기본 이해

소개

컴퓨터는 네트워크에서 어떻게 통신하는가

• 네트워크를 통한 비트와 바이트 전송
  • 디지털과 아날로그 신호 방식
  • 멀티플렉싱은 어떻게 동작하는가
  • 방향 요인
  • 시간 요인
  • 신호간섭
  • 패킷, 세그먼트, 데이터그램, 프레임
  • 접근 제어 방법
  • 네트워크 유형과 토플로지
  • 왜 이러한 기술적 문제가 수사자에게 중요한가
• 네트워킹 모델과 표준 이해
  • OSI 네트워킹 모델
  • DoD 네트워킹 모델
  • 물리/데이터 링크 계층 표준
  • 왜 이러한 기술적 문제가 수사자에게 중요한가
• 네트워크 하드웨어 이해
  • NIC의 역할
  • 네트워크 매체의 역할
  • 네트워크 연결 장치의 역할
  • 왜 이러한 기술적 문제가 수사자에게 중요한가
• 네트워크 소프트웨어 이해
  • 클라이언트/서버 컴퓨팅 이해
  • 서버 소프트웨어
  • 클라이언트 소프트웨어
  • 네트워크 파일 시스템과 파일 공유 프로토콜
  • 네트워크 프로토콜

인터넷에서 쓰이는 TCP/IP 프로토콜 이해

• 표준 프로토콜의 필요성
• TCP/IP의 간략한 역사
• Internet Protocol과 IP주소 지정
• 라우팅은 어떻게 동작하는가
• 전송(Transport)계층 프로토콜
• MAC주소
• 이름 변환
• 네트워크 모니터링 툴
• 왜 이 기술적 정보가 범죄 수사자에게 중요한가

요약

FAQs

참고자료

6 네트워크 침입과 공격

소개

네트워크 침입과 공격

• 침입 vs. 공격
• 직접 공격 vs. 분산 공격 파악
• 자동 공격
• 사고로 일어난 `공격
• 의도적인 내부 공격을 막는 방법
• 인가되지 않은 외부 침입 예방
  • 방화벽 실패를 대비한 계획
  • 내부에 접근한 외부 칩입자
• `공격 사실` 인식
• 공격 형태 식별과 분류

사전 공격/ pre-attack 인식

• 포트 스캔 /port scan
• 어드레스 스푸핑/address spoofing
  • IP 스푸핑298/IP Spoofing
  • ARP 스푸핑/ARP Spoofing
  • DNS 스푸핑/DSN Spoofing
• 트로이 프로그램설치
• 추적 장치와 소프트웨어 설치
• 패킷 수집, 프로토콜 분석 소프트웨어 설치
• 예방과 대응

패스워드 크래킹 이해

• 전사 공격/Brute Force
• 저장된 패스워드 이용하기
• 패스워드 가로채기
• 패스워드 복호화 소프트웨어
• 사회공학/Social Engineering
• 예방과 대응
  • 일반적인 패스워드 보호 방법
  • 사회 공학자로부터 네트워크 보호

기술적인 익스플로잇 이해

• 프로토콜 익스플로잇
  • TCP/IP를 이용한 DoS 공격
  • 소스 라우팅(Source Routiog)공격
  • 기타 프로토콜 익스플로잇
• 응용 프로그램 익스플로잇
  • 버그(Bug) 익스플로잇
  • 메일 폭탄
  • 브라우저 익스플로잇
  • 웹 서버 익스플로잇
  • 버퍼 오버플로우/Buffer Overflows
• 운영 체제 익스플로잇
  • WinNuke Out-of Band 공격
  • 윈도우 레지스트리 공격
  • 기타 윈도우 익스플로잇
  • 유닉스 익스플로잇
  • 루트킷 공격
  • 라우터 익스플로잇
• 예방과 대응

트로이, 바이러스, 웜으로 하는 공격

• 트로이/Trojans
• 바이러스/Virus
• 웜 / Worm
• 예방과 대응

비전문가의 해킹

• 스크립트 키디 현상
  • "point and clidk" 해커
• 예방과 대응

요약

『와이어샤크를 활용한 실전 패킷 분석』

1장 패킷 분석과 네트워크 기초

• 패킷 분석이란
• 패킷 스니퍼 평가
  • 지원되는 프로토콜
  • 친 사용자 환경
  • 비용
  • 프로그램 지원
  • 운영체제 지원
• 패킷 스니퍼의 동작 방식
  • 수집
  • 변환
  • 분석
• 컴퓨터의 통신 방식
  • 네트워크 프로토콜
  • 7계층 OSI 모델
  • 프로토콜 상호 작용
  • 데이터 캡슐화
  • 프로토콜 데이터 유닛
  • 네트워크 하드웨어
  • 트래픽 분류
    

2장 네트워크와 친해지기

• 무차별 모드
• 허브상에서의 스니핑
• 스위치 환경에서의 스니핑
  • 포트 미러링
  • 허빙 아웃
  • ARP Cache Poisoning
  • Cain & Abel의 사용
• 라우터 환경에서의 스니핑
• 네트워크 지도
  

3장 와이어샤크의 소개

• 와이어샤크의 배경
• 와이어샤크의 장점
  • 지원되는 프로토콜
  • 친 사용자 환경
  • 비용
  • 프로그램 지원
  • 운영체제 지원
• 와이어샤크의 설치
  • 시스템 요구 사항
  • 윈도우 시스템에 설치
  • 리눅스 시스템에 설치
• 와이어샤크의 기초
  • 패킷의 첫 번째 캡처
  • 메인 창
  • 추가 옵션 대화상자
  • 패킷 컬러 코딩
    

4장 캡처된 패킷의 활용

• 패킷의 검색과 표시
  • 패킷의 검색
  • 패킷의 표시
• 캡처된 패킷의 저장과 내보내기
  • 캡처된 패킷을 파일로 저장
  • 캡처된 패킷 데이터를 내보내기
• 캡처된 패킷의 병합
• 패킷의 출력
• 시간 표시 형식과 참조
  • 시간 표시 형식
  • 패킷 시간 참조
• 캡처 필터와 디스플레이 필터
  • 캡처 필터
  • 디스플레이 필터
  • 필터 표현식 대화상자(쉬운 방법)
  • 필터 표현식 문법 구조(어려운 방법)
  • 필터의 저장
    

5장 와이어샤크의 고급 기능

• 이름 변환
  • 와이어샤크에 있는 이름 변환 도구의 종류
  • 이름 변환 활성화
  • 이름 변환에 대한 잠재적인 결점
• 프로토콜 정밀 분석
• TCP 스트림의 흐름
• 프로토콜 계층 통계 창
• 엔드 포인트 보기
• 대화
• IO 그래픽 창
  

6장 일반적인 프로토콜

• 주소 변환 프로토콜
• 동적 호스트 구성 프로토콜
• TCP/IP와 HTTP
  • TCP/IP
  • 세션의 성립
  • 데이터 흐름의 시작
  • HTTP 요청과 전송
  • 세션의 종료
• 도메인 이름 시스템
• 파일 전송 프로토콜
  • CWD 명령어
  • SIZE 명령어
  • RETR 명령어
• 텔넷 프로토콜
• MSN 메신저 서비스
• 인터넷 제어 메시지 프로토콜
• 마지막 고찰
  

7장 실전 네트워크상의 시나리오

• TCP 연결 두절
• 도달할 수 없는 목적지와 ICMP 코드
  • 도달할 수 없는 목적지
  • 도달할 수 없는 포트
• 분할된 패킷들
  • 패킷의 분할 여부 판단
  • 순서의 유지
• 연결 안 됨
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 인터넷 익스플로러 안의 유령
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 인바운드 FTP
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 내 잘못이 아냐!
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 악의적인 프로그램
  • 알고 있는 것
  • 유선으로 접속
  • 분석
  • 요약
• 마지막 고찰
  

8장 느린 네트워크와의 투쟁

• 느린 다운로드 속도의 분석
• 느린 경로
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 더블 비전
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 플래시를 보내는 서버
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 심하게 느리군!
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• Email Server에게 간 POP
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• Gnu에 의한 문제
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 마지막 고찰
  

9장 보안과 관련된 분석

• OS 핑거프린팅
• 간단한 포트 스캔
• 과부하된 프린터
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• FTP 공격
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 블래스터 웜
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 비밀스러운 정보
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
• 해커의 관점
  • 알고 있는 것
  • 유선으로 접근
  • 분석
  • 요약
    

10장 무선 랜 스니핑

• 한 번에 한 채널 스니핑
• 무선 신호 인터페이스
• 무선 카드의 다양한 모드
• 윈도우에서의 무선 스니핑
  • AirPcap 설정
  • AirPcap을 이용한 트래픽 캡처
• 리눅스에서의 무선 스니핑
• 802.11 패킷에 추가된 부분
  • 802.11 Flags
  • Beacon Frame
• 무선 패킷 분석에서 볼 수 있는 추가 칼럼
• 구체적인 무선 필터
  • 특정한 BSS Id에 대한 트래픽의 필터링
  • 특정한 무선 패킷 타입에 대한 필터링
  • 특정 데이터 타입에 대한 필터링
• 잘못된 연결 시도
  • 알고 있는 것
  • 무선으로 접근
  • 분석
  • 요약
• 마지막 고찰
  

11장 참고 자료