Top

해킹사고의 재구성 [사이버 침해사고의 사례별 해킹흔적 수집과 분석을 통한 기업 완벽 보안 가이드]

  • 지은이최상용
  • ISBN : 9788960773363
  • 25,000원
  • 2012년 08월 29일 펴냄
  • 페이퍼백 | 360쪽 | 188*245mm
  • 시리즈 : 해킹과 보안

책 소개

2013년 문화체육관광부 우수학술도서 기술과학분야 선정도서

이 책은 해킹사고 대응을 다년간 수행한 저자의 경험을 바탕으로, 해킹사고 대응 이론을 실무에 적용하는 방법과 실무적으로 가장 빠른 접근이 가능한 사고분석의 실체를 다룬다. 이 책을 통해 독자들은 해킹사고 시 해킹흔적 분석/조합을 통한 해커의 행동 추적기법과, 사이버침해사고 실제사례를 통한 기업을 위한 최적의 대응모델에 대한 지식과 기술을 빠르고 완벽하게 습득하게 될 것이다.


[ 소개 ]

기업 보안관제와 보안관리 실무자, 정보보안 입문자를 위한 최고의 지침서!

이 책에서는 해킹사고에 대한 일반적인 대응절차와 해킹사고를 분석하기 위한 다양한 로그와 분석방법에 대해 설명한다. 그리고 실제 해킹사고를 접하지 못한 독자에게 해킹사고에 대한 분석 예시를 통해 간접적인 사고분석에 대한 경험을 접할 수 있게 한다.

이 책에서는 해킹사고 대응절차에 대해 이론을 먼저 설명하고, 다양한 시스템에서 남아있는 사고의 흔적을 찾는 방법 그리고 조합하는 방법에 대해 순차적으로 다룸으로써 책이 한 장 한 장 넘어갈 때마다 독자들이 자연스럽게 해킹사고 분석가로서의 자질을 체득할 수 있게 될 것이다.


[ 이 책에서 다루는 내용 ]

■ 보안관제와 해킹사고 분석의 개념과 처리 절차
■ 보안관제와 해킹사고 분석에 주로 사용되는 정보 보호 시스템
■ 해킹사고의 흔적을 찾는 방법
■ 해킹사고의 흔적을 조립해 해커의 행위를 재구성하는 기술
■ (웹 해킹을 중심으로) 사이버 침해 대응 모델과 실제 해킹사고 분석 사례


[ 이 책의 특징 ]

■ 해킹대응의 노하우에 대한 세부적이고 명쾌한 설명
■ 해킹사고 분석사례를 통한 해킹사고 분석의 간접 경험
■ 사이버침해 대응체계를 구축하고자 하는 관리자가 참고할 수 있는 모델 제시


[ 이 책의 대상 독자 ]

보안관제요원 및 보안관리 실무자, CSO(Chief Security Officer)의 필독서

이 책은 사이버 해킹에 대한 관제 업무를 수행하고 있는 보안관제요원과 사고대응 업무를 수행하는 보안담당자를 주요 대상독자로 삼는다. 보안관제요원에게는 탐지된 이벤트에 대한 빠른 상황판단 능력을 심어줄 것이며, 보안담당자에게는 실제 해킹사고가 발생했을 때 정확한 사고분석을 할 수 있는 지침서가 될 것이다.

또한, 장기적으로 정보보안 전문가가 되기를 희망하는 정보보안 입문자(초급자) 및 회사의 보안을 책임지는 보안관리자(CSO)를 대상으로 한다. 이 책에서 설명하는 정보보호 시스템에 대한 설명 및 로그에 대한 설명은 실제 정보보호 업무에 많은 경험이 없는 초급자나 입문자에게는 정보보호 시스템에 대한 이해를 돕기 위한 다양한 정보를 제공할 것이며, 보안관리자에게는 실제 보안을 위해 어떤 로그를 남겨야 하는지, 사고를 방지하기 위해 어떠한 체계를 구축해 나가야 하는지에 대한 다양한 기술을 제공할 것이다.


[ 이 책의 구성 ]

1장 보안관제와 해킹사고 분석: 보안관제와 사고 분석의 정의 및 둘의 공통점과 차이점을 알아보고, 보안관제와 사고 분석의 각 단계가 지닌 의미를 살펴봄으로써 분석가로서 갖춰야 할 기본 자세를 살펴본다.

2장 해킹의 증거: 해킹사고 분석은 발생한 또는 발생 가능한 해킹사고의 원인을 분석하는 것이다. 원인을 분석하기 위해서는 우선 정보 보호 시스템의 종류 및 정보 보호 시스템이 남기는 흔적(로그)의 형태와 그 의미 그리고 해킹사고의 종류를 알아야 한다. 항상 사고 현장에는 증거가 남게 되며 사이버 침해 사고의 증거는 바로 로그다. 일반적인 사건 현장에서 범인의 행동 경로상의 CCTV, 주변인 탐문 등을 통해 범인을 추적하듯이 해킹사고의 현장에서도 외부로부터 내부 시스템까지의 접근 경로상의 각종 로그를 확인해 사고를 추적하게 된다. 2장에서는 이러한 내용을 주로 다룬다.

3장 증거와의 소통: 해킹사고를 분석하기 위해 사고와 관련된 증거를 다양한 각도에서 살펴보고, 집중적으로 파고들어, 증거와 쉴 새 없이 소통할 수 있는 방법을 설명한다. 이와 같은 소통을 위해서는 증거를 수집하는 방법을 잘 알고 증거를 보는 눈을 길러야 하며, 결정적으로 특정 해킹사고에 대해 수집해야 하는 증거의 범위를 결정할 줄 알아야 한다. 3장에서는 또한 수집된 증거를 조합해 해킹사고를 재구성할 수 있는 방법도 설명한다.

4장 웹 해킹사고 분석 사례: 웹 해킹과 DDoS 공격의 실제 사례를 중심으로 해킹사고를 분석하는 전체 과정을 설명한다. 독자들은 4장을 통해 실제로 접해보기 힘든 해킹사고를 간접적으로 경험함으로써 이 책에서 설명하고자 하는 핵심적인 내용을 좀 더 쉽게 이해할 수 있으리라 기대한다.

5장 사이버 침해 대응 모델: 5장에서는 해킹사고를 방지하고 해킹사고가 발생했을 때 효과적으로 대응하기를 원하는 보안 관리자가 반드시 알아야 할 이론과 실제의 차이를 설명하고, 실제적인 환경을 이론에 반영하는 방법 및 가장 효과적인 사이버 침해 대응 모델을 설명한다.


[ 추천의 글 ]

<사이버보안>의 카테고리를 활동시점에 따라 ‘예방’ 및 ‘탐지(대응)’ 단계, ‘사후분석(복구)’, ‘추적(역탐지)’ 단계로 분류해볼 때, 예방 단계에서부터 추적(역탐지)까지 전체 사이클의 모든 단계가 중요하다. 그러나 최초 ‘예방’ 단계에서부터 잘 대처하는 것이 무엇보다 중요하다는 사실을 부정할 수 없다. ‘예방’을 완벽하게 잘하려면 ‘대응’과 ‘사후분석’ 단계에서 나타난 문제점과 한계점을 철저하게 분석해 적용해야 한다. 이러한 측면에서 이 책은 ‘예방’에서부터 ‘대응’과 ‘사후분석’, ‘추적’ 전체 사이클의 각 단계에 대한 광범위하고 전반적인 지식을 다룬다.

저자 최상용 박사는 수년간의 사이버 보안 신기술 개발업체와 주요 국가기관에서의 현장 근무를 통해 직접 체득한 노하우를 이 책에서 독자들에게 전수해준다. 저자가 현장에서 경험한 사이버 보안 전 분야의 대응체계를 실무에 적용하기 쉽도록 잘 정리했다는 점이 이 책의 가치를 높게 평가하는 이유 중 하나다.

특히 보안관제 프로세싱, 사고 분석 절차, 전반적인 정보 보호 시스템과 로그의 종류 등 최근 이슈가 되고 있는 제반 이론과 기술을 포함함으로써, 각 기관/조직의 사이버 보안 분야 근무자에게는 짧은 기간에 효과적인 전문성을 습득할 수 있는 꼭 필요한 ‘현업 지침서’가 되리라 확신한다.

또한 마지막 부분에 기술되어 있는 해킹사고 분석 사례는 해킹사고를 접하지 못한 독자들에게는 반드시 필요한, 사막의 오아시스와도 같은 좋은 경험이 될 것임에 틀림없다. 독자들은 이 책을 통해 사이버 보안의 최전선인 보안관제 분야의 폭넓은 지식과 실무기술을 익힐 수 있을 것이며, 이러한 과정을 통해 국가 사이버 분야 근무자들의 전문성 제고에 크게 기여하리라 기대한다.

마지막으로, 최상용 박사가 이 책을 집필한다는 말을 들었을 때부터 기대했던 완성본이 저자의 열정과 노력으로 드디어 세상에 나오게 된 것을 다시 한 번 축하하며, 오늘날 국가적인 사이버 위기시대에 발간된 이 책이 대한민국 사이버 안보 수준 향상에 크게 기여할 것으로 기대한다. 아울러, 정보 보안 분야에 근무하는 분들과 관심 있는 모든 공학도와 입문자에게 이 책을 기쁜 마음으로 추천한다.

- 주대준 / KAIST 부총장 겸 KAIST 사이버보안연구센터 소장

저자/역자 소개

[ 저자 서문 ]

정보 보안에 몸담은 지 10년이 흘렀다. 지난 10년간 보안관제, 보안 시스템 구축과 운영, 사고 대응 등 다양한 경험을 했으며, 관제센터를 구축할 때 밤을 지새웠던 기억, 해킹사고 대응이라는 임무가 처음 주어졌을 때 당황했던 기억 그리고 임무에 조금 익숙해졌을 때쯤 분석을 위한 기술에 목말랐던 그런 느낌들을 기억한다.

일반적으로 사고 분석이라는 용어를 들으면, 대부분의 사람은 사이버 포렌식을 이야기한다. 틀린 이야기는 아니다. 하지만 실무에서 사이버 포렌식으로 접근하기에는 시간이라는 제약이 항상 따른다. 사고가 발생했을 때 얼마나 빨리 대응하는지에 따라 피해 확산을 얼마나 막을 수 있느냐에 대한 결정적인 요소로 작용한다. 이런 이유 때문에 포렌식 같은 전문적인 툴을 사용하기에는 많은 제약이 따르고, 그 결과가 나오는 동안 긴급 조치 같은 중간 단계의 대응과 분석이 필요한 것이 현실이다.

이 책에서는 이러한 중간 단계의 분석을 ‘해킹사고 분석’이라 표현한다. 해킹사고 분석에 가장 중요한 건 ‘로그를 보는 눈’이라고 생각한다. 이는 로그 분석과는 다르다. 사고 분석을 위해 로그를 보는 눈은 같은 로그를 보더라도 해커의 입장에서 해커가 어떤 행위를 어디를 대상으로 했느냐에 따라 그 결과가 달라지는데, 이는 해킹사고 분석의 가장 큰 부분을 차지한다. 해킹사고 분석에서 필요한 결정적인 요소는 ‘분석의 범위를 정하기 위한 결정력’이라고 생각된다. 대규모 사이트에서 사고가 발생한 경우 시간을 투자해서 전체를 볼 것인가, 아니면 시간 투자에 대한 비용 효과를 최대화하기 위해 검토해야 하는 범위를 좁힐 것인가를 생각할 때, 해킹사고 분석에서는 두말할 나위 없이 두 번째의 접근 방향을 생각해야 한다. 바로 ‘시간’이라는 제약조건 때문이다.

나는 이러한 두 가지의 노력을 ‘고민’이라 표현했다. 고민하지 않는 자는 분석을 하면 안 된다고 이야기했던 이유 중의 하나다. 이 책은 이와 같은 ‘로그를 보는 눈’과 ‘분석의 범위를 정하기 위한 결정력’을 중심으로 기술되어 있다. 사고 대응 업무를 해오면서, 분석가에게 반드시 필요한 부분이라 판단했기 때문이다.

책을 집필하는 내내 나에게 과연 이 책을 쓸 자격이 있는지 수없이 고민했다. 내가 알고 있는 것과, 알고 있는 것을 표현하는 능력은 비례하는 게 아니기 때문에 더욱 그러했다. 하지만 해킹사고 분석을 먼저 접한 자로서, 이제 해킹사고를 접하는 사람이나 보안에 입문하는 사람에게 조금이나마 도움을 주고자 하는 생각에 책을 완성할 수 있었다. 독자들이 이 책을 통해 해킹사고를 쉽게 이해하고, 좀 더 확실하게 분석에 접근할 수 있는 길을 찾을 수 있길 바랄 뿐이다.


[ 저자 소개 ]

최상용
민간보안회사 및 공공기관 보안담당자를 거쳤으며, 보안관제, 침해 대응, 사고 분석 및 개인정보 보호 담당 등으로 근무해 해킹사고 분석 기술에 관심이 많다. 특히, 보안관제센터 초기 구축부터 운영 단계인 관제, 관제 시스템 운영, 해킹사고 원인 분석 등 해킹사고 대응의 전 과정을 경험했다. 현재는 카이스트 사이버보안연구센터 내 악성코드 분석실에서 근무하면서 새로운 악성코드의 동향을 분석하고 이로 인한 피해 예방을 위한 대책 연구를 수행하고 있다.

목차

목차
  • 1장 보안관제와 해킹사고 분석
    • 1.1 정의
    • 1.2 공통점과 차이점
    • 1.3 보안관제 절차
      • 1.2.1 보안관제: 이벤트 탐지
      • 1.2.2 보안관제: 초기 분석
      • 1.2.3 보안관제: 긴급 대응
      • 1.2.4 보안관제: 사고 전파
    • 1.4 해킹사고 분석 절차
      • 1.4.1 해킹사고 분석: 접수
      • 1.4.2 해킹사고 분석: 분석
      • 1.4.3 해킹사고 분석: 피해 복구
      • 1.4.4 해킹사고 분석: 신고 및 보고
    • 1.5 정리
  • 2장 해킹의 증거
    • 2.1 정보 보호 시스템 개요
    • 2.2 로그
    • 2.3 해킹사고의 분류와 그 흔적
    • 2.4 IDS/IPS
      • 2.4.1 침입 탐지의 방법
      • 2.4.2 IDS의 구성 형태
      • 2.4.3 IDS의 로그
    • 2.5 방화벽
      • 2.5.1 방화벽의 주요 기능
      • 2.5.2 방화벽의 구성 형태
      • 2.5.3 방화벽의 로그
    • 2.6 안티 DDoS
      • 2.6.1 안티 DDoS 시스템의 차단 기능
      • 2.6.2 안티 DDoS 시스템의 로그
    • 2.7 WAF
      • 2.7.1 WAF의 종류와 기능
      • 2.7.2 WAF의 로그
    • 2.8 웹 접근 로그
      • 2.8.1 접근 로그
      • 2.8.2 에러 로그
    • 2.9 운영체제 로그
      • 2.9.1 유닉스 계열 로그
      • 2.9.2 윈도우 시스템 로그
    • 2.10 그 외의 흔적
      • 2.10.1 ESM 로그
      • 2.10.2 DBMS 로그
    • 2.11 정리
  • 3장 증거와의 소통
    • 3.1 해킹사고의 증상과 취약점
      • 3.1.1 위/변조 사고
      • 3.1.2 정보 유출 사고
      • 3.1.3 DDoS 공격
    • 3.2 증거 추적
      • 3.2.1 변조(삭제, 추가)
      • 3.2.2 시스템 변조
      • 3.2.3 접속 시 특정 프로그램 설치 유도
      • 3.2.4 클릭 후 이상동작
      • 3.2.5 정보 유출 신고 접수
      • 3.2.6 서비스가 안 되거나 느리고 시스템 부하가 가중됨
    • 3.3 증거를 보는 눈 그리고 증거를 조합한 사고의 재구성
      • 3.3.1 피해 시스템 식별
      • 3.3.2 피해 증상 파악
      • 3.3.3 피해 시스템 환경 확인
      • 3.3.4 증거 수집
      • 3.3.5 증거 추출과 해커 식별
      • 3.3.6 해커의 행위 추론과 보고서 작성
    • 3.4 정리
  • 4장 웹 해킹사고 분석 사례
    • 4.1 홈페이지 변조를 통한 악성코드 유포 시도
      • 4.1.1 확인과 증상
      • 4.1.2 환경 분석과 로그 수집
      • 4.1.3 해킹사고 분석
      • 4.1.4 해킹사고 분석 보고서
    • 4.2 애플리케이션 환경 설정 실수로 인한 웹셸 업로드
      • 4.2.1 확인과 증상
      • 4.2.2 환경 분석과 로그 수집
      • 4.2.3 해킹사고 분석
      • 4.2.4 해킹사고 분석 보고서
    • 4.3 DDoS
      • 4.3.1 확인과 증상
      • 4.3.2 환경 분석과 로그 수집
      • 4.3.3 해킹사고 분석
    • 4.4 SQL 인젝션
      • 4.4.1 확인과 증상
      • 4.4.2 환경 분석과 로그 수집
      • 4.4.3 해킹사고 분석
      • 4.4.4 해킹사고 분석 보고서
    • 4.5 정리
  • 5장 사이버 침해 대응 모델
    • 5.1 이론과 실제의 차이
      • 5.1.1 보안 시스템이 모든 해킹을 탐지하고 차단할 것이다
      • 5.1.2 모든 시스템은 이상적인 최적의 상태로 운영할 것이다
    • 5.2 사이버 침해 대응 모델
      • 5.2.1 현재 사이버 침해 대응 시스템 구성
      • 5.2.2 현재 사이버 침해 대응 시스템의 한계
      • 5.2.3 사이버 침해 대응 모델

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안

정오표

정오표

2016. 11. 2 수정사항

[p.182: 11행]
Ubunto 시스템의
->
Ubuntu 시스템의

[p.197: 아래에서 2행]
passwd, shadows 등 중요 파일을
->
passwd, shadow 등 중요 파일을

[p.204: 4행]
증거 회손을
->
증거 훼손을