핵심을 찾아내는 침해사고 분석

프로 보안 분석가 실무의 꽃! 
침해사고 분석, 실습으로 익혀보세요. 

보안 분석가의 기본 역량, 
침해사고 분석!

사이버침해사고가 발생하면 기업은 신속하게 피해 범위를 파악하고, 사고 수습을 통해 비지니스 영향을 최소화해야 합니다. 산업에서 요구하는 법규 또는 규정 준수를 위해 필요한 활동이 누락될 경우 관련 법규나 규정에 의한 처벌이나 추가 이행 항목이 발생할 수 있습니다. 비지니스 영향을 최소화하기 위해 기업의 보안팀과 홍보팀, 법무팀 등 전사적으로 사고대응에 집중을 합니다. 기업에서는 보안사고가 발생할 경우 대응하기 위해 필요한 필수 활동을 모의 훈련을 통해서 연간 또는 분기별 훈련을 수행 합니다. 

보안 분석가는 기업이나 조직에 침해사고가 발생하거나 법적인 이슈가 발생할 경우 사고 분석 업무를 수행합니다. 다양한 원인으로 발생되는 시스템 이상 현상의 원인을 파악하기 위해서는 이러한 문제 상황을 구분할 수 있는 역량이 필요합니다. 특히, 외부인의 침입이나 내부 임직원에 의한 침해사고가 발생할 경우 사고 분석을 통해 시스템의 피해 상황 및 침해 원인 분석 업무를 수행해야 하는 게 보안 분석가의 역할입니다.

기업의 사고 피해를 분석하고, 사고가 재발하지 않도록 대응 방안을 도출하기 위해서는 정확한 사고 원인을 분석하는 게 가장 중요합니다. 하지만 실제로 사고 분석 과정을 경험하는 경우는 굉장히 드물고 어려운 일이기도 합니다. 

“Big Root” 용어는 일반적으로 문제나 상황의 복잡성을 강조할 때 사용됩니다. “Big Root”는 문제의 뿌리가 크고 복잡하다는 것을 의미합니다. 이는 문제가 단순한 원인이나 요인에만 국한되지 않고 다양한 요인들이 복잡하게 얽혀 있음을 나타냅니다.

고도화된 사이버 공격에 의한 침해사고 역시 표면에 드러난 시스템 분석으로 사고 원인에 대한 문제 해결이 어렵습니다. 고도화된 공격으로 사고가 반복적으로 재발하고 기업의 비지니스에 지속적인 피해를 입히게 됩니다. 기업 보안팀은 보안사고의 핵심 원인 (root cause)과 침입 경로 (vector)를 식별하기 위해 분석 과정에서 다양한 시스템과 솔루션의 정보를 확인해야 합니다.

강의를 통해 침해사고대응 절차에 대해서 설명하고, 기업에 심각한 피해를 발생하는 사이버보안 사고의 유형과 원인에 대해서 학습 합니다. 해킹 사고의 원인이 되는 보안 취약점을 근본적으로 해결하기 위해 필요한 역량을 학습 합니다.

개념부터 실무까지 
침해사고 분석의 기본기.

실무 사례와 유사한 침해사고 분석 훈련을 통해
사고 분석 역량 향상을 기를 수 있습니다.

• 보안 분석가로서 업무를 수행하기 위한 기본적인 지식을 갖추고 분석 도구를 실습해 봅니다.
• 네트워크 통신과 애플리케이션에 대한 이해를 바탕으로 사이버 보안 사고 원인을 찾아냅니다.
• 다양한 보안 장비에서 발생되는 위협 로그를 분석해 침입을 시도하는 공격자를 찾아낼 수 있습니다.
• 기업 침입 대응 및 분석 업무 수행에 필요한 실무 관점의 침해사고 분석 방법을 학습합니다.

이 강의에서는 기업에서 침입대응 및 분석 업무 수행에 필요한 실무 관점의 침해사고 분석 방법을 같이 살펴볼 것입니다. 네트워크 기반의 침입탐지 로그 또는 네트워크 패킷 분석 업무를 수행하는 실무자들에게 보안 분석가가 분석 시 필요한 지식과 분석툴을 다루는 노하우를 제공하며, 분석을 통해서 어떤 결과를 찾아야 하는지 설명합니다.

특히, 보안 분석 업무를 수행하다 보면 다양한 로그와 분석 툴을 사용하게 됩니다. 침입탐지시스템 로그 분석, 웹 서버 로그, 네트워크 패킷 분석 업무를 하고 싶어하는 분을 위해 위협 분석 기초 개념과 실무 기술을 설명하고자 합니다. 기본 개념 및 기술과 저자가 업무에서 습득한 노하우도 함께 설명함으로써 수강생들에게 업무 수행 능력을 향상시킬 수 있도록 도움이 되고자 합니다. 

사고 분석을 위해 분석하는 정보는 대표적으로 웹로그, IDS/IPS 로그, 네트워크 패킷 로그가 있습니다. 실제 보안 사고가 발생했던 시스템의 로그를 분석하면서 사고 대응 훈련을 수행할 예정입니다. 끝으로, 직업 경력 관리 관점에서 앞으로 어떻게 경력을 가져갈지에 대해서도 함께 공유할 예정입니다.

효율적인 분석 학습을 
도와드립니다.

_{침입대응/분석 
실무에 필요한 
정보 수집 방법} 

_{침해대응/분석 
실무자가 사용하는 
분석 도구 및 사용법}

_{침해대응/분석 
사례를 통한 
실무 노하우} 

1) 침해대응/분석 실무자가 사용하는 분석 도구 및 방법 기술을 학습합니다.

침해사고 분석 경험이 많지 않을 경우 사고 조사 시 어디서부터 분석을 시작할 지 막막할 수 있습니다. 본 강의를 통해 분석가가 빠르게 사고 원인을 찾고, 공격 경로를 식별할 수 있도록 유형별 사고 사례를 실습하게 됩니다. 실습을 통해 보안 로그를 분석할 때 침해사고 발생에 대한 흔적을 찾기 위해 무엇에 집중하고, 어떻게 하면 효율적으로 분석하는지 알게 됩니다.

• ✅ 정상 로그 구분 기준 사례 학습
• ✅ 대량 로그 분석 프로그램 사용 실습
• ✅ 침해 사고 유형 학습

2) 해킹 기법에 종속되지 않는 분석 방법을 통해 다양한 상황에 적용 및 응용이 가능합니다.

공격자들은 다양한 방법으로 시스템에 침입을 시도합니다. 특정 공격 툴이나 공격 방법에 종속되지 않고, 취약점을 악용하는 원리를 이해함으로써 다양한 보안 공격 시도에 응용해서 분석을 수행할 수 있게 됩니다.

훈련을 위한 보안 분석 실습.

IDS 로그 분석 훈련

상용 보안 제품에서 탐지된 공격 행위 로그 일부를 필터하여 실습을 위해 제공합니다. 공격 이벤트명, 공격 시간, 기타 정보는 실제 사고 사례와 동일하게 구성되어 있습니다.

웹 로그 분석 훈련

웹 서버를 대상으로 이뤄졌던 공격 기법과 공격 대상 서버에 남은 로그를 직접 분석합니다. 분석을 통해 웹 서버의 취약한 설정을 파악하고 사고 원인을 식별합니다.

네트워크 패킷 분석

사이버 보안 사고 사례를 랩 환경에서 동일한 조건으로 재현하였고, 공격자의 시각에서 시스템을 공격하는 과정을 재현해 네트워크 트래픽을 캡쳐합니다. 캡처한 패킷을 분석하여 공격 대상과 피해 범위를 분석합니다.

학습 내용 📚

각각의 실습 사례를 통해 침해사고 분석을 실습하며 분석 과정을 학습할 수 있습니다. 분석 과정을 통해 학습하기 전에 먼저 직접 분석을 수행해본 뒤, 직접 분석한 과정과 분석 가이드의 내용을 비교해 봅니다.

Q&A 💬

이 강의의 지식공유자는 ✒️

주요 경력사항

• 보안컨설턴트: 보안 인프라 컨설팅을 통해 보안 강화 전략 설계/구축/운영
• 보안관제컨설팅: SOC 구축 컨설팅 및 운영 업무 수행
• 보안서비스상품개발: 차세대보안관제 솔루션&서비스 개발
• 침해사고 대응: 군/공공/민간 기업 등 다수
• 2014 KISA K-Shield 보안 수료 강사 (안랩 네트워크 포렌식 교육 담당 강사)
• 2016 개인정보보호 PIS(Personal Information Security) FAIR / 발표 주제 ‘Security Intelligence’

_{사이버 침해사고 분석 전략 (에이콘출판사, 2016) 저}

_{해킹, 침해사고분석 (지앤선, 2009: 
2009 문화체육관광부 우수학술도서) 저}