그림 설명으로 한번에 이해 할 수 있는 보안의 기본 (제 3장)

(1) 샌드박스

샌드박스란, 수상한 소프트웨어를 자신의 환경에서 실행할 때 영향 범위를 한정하기 위한 장치이다.

샌드박스의 예로 가상머신환경을 들수있다.

외부환경에 영향을 주지도 않고 가상머신안에서 다양한 소프트웨어를 실행하여 모습을 관찰할 수 있는게 특징이다.

(2) 동적해석, 정적해석

동적해석이란 멀웨어(악의적인 소프트웨어)를 실제로 작동시켜 그 움직임을 따라감으로써 멀웨어가 어떤 나쁜 행위를 하는지 해석하는 방법이다.

동적해석은 주로 샌드박스 안에서 수행하는 경우가 많다.

동적해석의 장점 : 멀웨어의 행동을 쉽게 파악하고, 해석결과를 빨리 얻을 수 있다는 점이있다.

동적해석의 단점 : 작동시킬 멀웨어가 없으면 힘들다, 멀웨어 중에는 자신이 가상환경에서 작동하고 있다는 것을 감지한 멀웨어가 있어서 멀웨어가 대책을 세우기 쉽다.

동적해석의 장점 : 멀웨어를 해석 환경에서 작동시켜 멀웨어의 행동을 쉽게 파악하고, 해석 결과를 빨리 얻을 수 있다는 장점이있다.

정적해석이란 멀웨어를 실행시키지 않고 실제로 피해를 입은 컴퓨터에 남겨진 파일이나 메모리에 잔존하는 멀웨어 관련 정보등의 내용을 보고 해석하는 방법이다.

정적해석의 단점 : 시간이 걸리고, 상대적으로 방대한 지식이 필요하고, 해석대상 프로그램에 기술되어 있는 것 이상의 것은 알수 없다.

정적해석에는 역 어셈블러와 같은 기술과 지식이 필요하다.

• 역 어셈블러 : 프로그래밍 언어로 기술된 프로그램을 컴퓨터가 실행할 수 있는 형태로 바꾸는 기술을 어셈블러라고 한다. 역 어셈블러는 반대의 과정이라고 생각하면 된다.

(3) 포렌식

포렌식이란 컴퓨터에 잔존하는 정보를 수집하여 해당 컴퓨터에서 무슨일이 일어났는지를 나타내는 정보를 특정하고, 그 내용을 조사하는 작업이다.

포렌식에서 가장 중요한 것은 컴퓨터의 보전이다.

보전이란 피해를 입은 컴퓨터의 전원을 끄고 피해가 발생했을 때의 상태 그대로 놓아두고 만지지 않는 것이다.

포렌식에서는 컴퓨터의 하드디스크나 메모리, 네트워크의 통신 내용으로부터 정보를 수집하여 실제로 무슨 일이 일어났는지를 자세히 조사한다.

(4) 패킷 캡처

패킷 캡처란 말 그대로 패킷을 캡처하는 작업을 말한다. 여기서 말하는 패킷은 네트워크를 흐르는 데이터를 가리키는 경우가 많다.

취득할 수 있는 패킷으로는 툴이 작동하고 있는 컴퓨터가 수신할 수 있는 통신 데이터만으로 제한된다.

또한 VPN통신과 같이 암호화 통신의 경우는 데이터가 암호화되기 때문에 패킷 캡처로 통신 데이터를 취득은 할 수 있어도 그 내용을 해독할 수는 있다.

(5) SIEM

SIEM은 각종 로그를 총동원하여 해석하고, 보안상 위험이 되는 사건을 감지하는 장치이다. SIEM은 SIM과 SEM부분을 합친 말이다.

SIM부분은 정보의 수집 및 관리를 하고, SEM은 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.

(6) 허니팟과 허니넷

허니팟이란 공격 대상으로 보이게 한 미끼 컴퓨터 라는 뜻으로 사용된다.

허니넷이란 네트워크에 침입한 공격자의 움직임을 관측하기 위한 장치이다.

허니팟과 허니넷 모두 공격자가 자신의 환경을 자유롭게 조정할 수 있다는 뜻이기 때문에 주의가 필요하다.