미국, 영국, 프랑스 등 주요 정보기관은 물론 국내 검찰, 경찰 등에서 범죄수사에 활용하고 있는 디지털포렌식툴을 공급해 온 가이던스 소프트웨어가 국내 기업 정보보안 시장에도 본격적으로 진출한다.
디지털데이터를 증거자료로 쓸 수 있도록 수집, 복원, 저장, 분석하는 디지털포렌식은 데이터가 언제 어느 곳에서 어떻게 활용됐는지 추적할 수 있다는 점에서 최근 발생하고 있는 개인정보유출사고, 해킹사고 등에도 대응할 수 있다.
5월부터 가이던스 소프트웨어 단독 총판을 맡고 있는 네트워크 보안솔루션 및 포렌식 전문업체 인섹시큐리티(대표 김종광)는 30일 서울 삼성동 파크하얏트 호텔에서 기자간담회를 열고, 기존 수사기관에 집중됐던 포렌식툴 활용처를 기업보안영역으로까지 확대한다는 계획을 밝혔다.
이날 참석한 가이던스 소프트웨어 아태 담당 벤자민 로우 이사에 따르면 이 회사 제품 포렌식툴인 '인케이스'는 FBI, CIA, 국토안보부, 나사 등 정부기관은 물론 포춘 500대 기업 중 40%에 해당하는 마이크로소프트(MS), 애플, IBM, 오라클, 페이스북, 이베이, 인텔, 시스코, 맥도날드, 도요타, 시티은행 등이 사내 데이터 분석을 위해 활용하고 있다.
인케이스 제품군은 본래 포렌식 기능을 담당하는 '인케이스 포렌식', 기업용 제품인 '인케이스 엔터프라이즈', '인케이스 사이버 시큐리티', '인케이스 애널리틱스'로 구분된다.
로우 이사는 기존 게이트웨이 단에서 보안분석을 수행하는 네트워크 보안 솔루션들은 많은 경고음을 울려주기는 하지만 어디서 어떻게 문제가 발생하는지에 대해서는 정확한 원인을 파악하기 힘들다고 밝혔다. 이 부분을 기존 수사기관에서 사용해 온 포렌식툴을 통해 해결할 수 있다는 설명이다.
포렌식툴과 보안취약점을 찾아내고 이에 대해 대응하는 보안솔루션은 엄밀히 말하면 서로 다른 전문성이 필요한 분야다. 인케이스는 기존 방화벽, 침입방지시스템(IPS), 백신, APT 대응 솔루션과는 다른 방식으로 기업보안에 접근하고 있다. 사전차단보다는 신속한 사후대응에 방점을 맞춘 것이다.
개인정보유출, 각종 해킹사고가 발생했을 때 내부 시스템의 하드디스크, 레지스트리, 시스템 파일 등 정보를 포렌식 기법을 동원해 빠르게 분석해 어디서 문제가 시작됐는지를 파악할 수 있게 한다.
예를 들어 개인정보유출사고가 발생했을 때 누구의 PC를 통해 언제, 어떤 방법으로 유출됐는지에 대해 빠르게 분석할 수 있도록 한 것이다. 삼성전자, LG전자와 같은 대기업들의 경우 퇴직자가 사내 PC에서 기밀을 빼간 뒤 관련 파일을 삭제했을 때 사고 조사에만 길게는 3개월 이상 걸리는 시간을 하루나 이틀 수준으로 단축시킬 수 있다는 것이다.
기존 포렌식툴은 한 명의 수사관이 한 개 시스템을 분석하는데 그쳤지만 기업용으로 적용하기 위해서는 실시간으로 수많은 사내 서버, PC 등을 분석할 수 있어야 한다. 이를 위해 인케이스는 각종 파일에 대한 해시값을 비교하는 방법을 사용했다. 원래 시스템에 대한 정보를 모두 스캔해 해시값으로 보관한 뒤 사고 이후 해당 시스템 정보에 대한 해시값은 원래 값과 비교해 이상유무를 판단하는 것이다.
관련기사
- 경찰은 저작권 침해범을 어떻게 찾아낼까?2014.07.30
- 로펌 테크앤로, 디지털포렌식 통합한 법률 서비스 공개2014.07.30
- "내부 정보 유출 방지, HDD 제대로 챙겨라"2014.07.30
- 바다에 빠진 스마트폰도 살리는 포렌식의 세계2014.07.30
이 과정을 구현하는 것이 인케이스 엔터프라이즈, 사이버 시큐리티, 애널리틱스 제품군이다.
로우 이사는 기업 보안 사고에 대해 포렌식을 통한 깊이 있는 분석을 제공하고, 빠르게 문제를 탐색하며, 기업 내 엔드포인트 시스템을 동시에 분석할 수 있는 기능을 지원한다고 말했다.
