맥까지 넓어진 침해사고 대응…마에스트로 포렌식, ‘마에스트로위즈덤’ 세미나 개최

맥 환경까지 넓어진 포렌식 수요…라이브 증거 수집 실습
LotL·파일리스·EDR 킬러까지 추적…아티팩트 기반 통합 분석
킬린 랜섬웨어 사례 공유…운영체제 혼재 환경 대응 강조
마에스트로 포렌식은 지난 1일 서울 독산동 인섹시큐리티 서울 독산 교육센터에서 ‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥 포렌식 세미나’를 열고, macOS 환경의 증거 수집과 침해사고 대응 절차를 공유했다고 2일 밝혔다. (사진=마에스트로 포렌식)

기업 보안 현장에서 디지털 포렌식의 범위가 넓어지고 있다. 윈도우 기반 업무 환경을 중심으로 이뤄지던 침해사고 분석은 이제 맥, 리눅스, 모바일 등 여러 운영체제가 뒤섞인 업무 환경을 함께 다뤄야 하는 단계에 들어섰다. 특히 랜섬웨어와 LotL(Living off the Land), 파일리스(Fileless) 공격처럼 정상 시스템 기능을 악용하거나 흔적을 최소화하는 공격 방식이 확산되면서, 단일 로그나 개별 이벤트만으로는 사고 원인을 파악하기 어려운 상황도 늘고 있다.

마에스트로 포렌식은 지난 1일 서울 독산동 인섹시큐리티 서울 독산 교육센터에서 ‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥 포렌식 세미나’를 열고, macOS 환경의 증거 수집과 침해사고 대응 절차를 공유했다고 2일 밝혔다.

이번 세미나는 AI 기반 자동화 디지털 포렌식 및 악성코드 분석 통합 플랫폼 ‘마에스트로 위즈덤’을 중심으로 진행됐다. 마에스트로 위즈덤은 윈도우, macOS, 리눅스, 모바일 등 다양한 운영체제와 디지털 기기를 하나의 분석 흐름에서 다룰 수 있도록 설계된 제품군이다. 회사는 이번 교육을 통해 최근 강화한 침해사고 대응(DFIR) 기능과 맥 환경 증거수집 절차를 실습 중심으로 소개했다.

핵심 기능으로는 ‘포렌식 가속기(Forensic Accelerator)’가 제시됐다. 마에스트로 포렌식에 따르면 이 기술은 기존 제품 대비 5배 이상 빠른 증거 식별과 분석, 데이터 선별 추출을 지원한다. 단순히 파일이나 로그를 확인하는 데 그치지 않고, 약 1,000개 이상의 디지털 아티팩트(Artifacts)를 상호 연관 분석해 공격 흐름과 행위 체인(Attack Chain)을 파악하도록 설계됐다.

분석 대상도 고도화된 공격 유형까지 확장됐다. 별도 악성코드를 설치하지 않고 운영체제의 정상 기능을 악용하는 LotL 공격, 파일을 남기지 않고 메모리에서 실행되는 파일리스 공격, EDR(Endpoint Detection and Response) 솔루션을 무력화하는 ‘EDR 킬러(EDR Killer)’ 유형까지 추적할 수 있다는 설명이다. 이는 공격자가 흔적을 줄이거나 보안 솔루션을 우회하는 상황에서도 여러 디지털 단서를 연결해 사고 전개 과정을 복원하는 데 초점을 둔 접근이다.

세미나에서는 macOS 라이브(Live) 환경에서 디지털 증거를 수집하고 이미징(Imaging)할 수 있는 ‘마에스트로 위즈덤 포렌식 크레인(MAESTRO WiSDOM Forensic Crane)’도 소개됐다. 이 솔루션은 250개 이상의 macOS 라이브 아티팩트를 자동 수집하고, 디스크 이미징과 컨테이너 기반 선별 추출 기능을 제공한다.

마에스트로 포렌식은 포렌식 크레인이 애플 실리콘 칩 M1부터 M5 기반 시스템은 물론 최신 macOS 26 타호(Tahoe) 환경에서도 라이브 및 전원 종료(Power Off) 이미징을 지원한다고 설명했다. 증거 데이터에 대해서는 MD5, SHA-1, SHA-256, SHA-512 해시(Hash) 값 계산을 지원해 무결성을 확보하고, ZIP, AFF4, Sparse Image, MAEFDB 등 다양한 출력 포맷을 제공한다.

교육 참가자들은 macOS 환경에서 남는 주요 디지털 흔적을 직접 분석했다. 계정 정보, 스포트라이트(Spotlight) 인덱스, knowledgeC.db, Biome 등 사용자 활동과 시스템 상태를 확인할 수 있는 아티팩트 분석 방법이 다뤄졌다. 메모리, 프로세스, 이벤트 로그를 종합해 공격자의 침투 시점부터 악성 행위 수행까지 이어지는 행위 체인을 추적하는 실습도 진행됐다.

맥 환경에만 초점을 맞추지는 않았다. 세미나에서는 윈도우 파일 시스템, 레지스트리, 이벤트 로그 분석과 함께 EXT·XFS 파일시스템을 포함한 리눅스 환경 대응도 함께 다뤄졌다. 실제 침해사고 현장에서는 여러 운영체제가 혼재하는 경우가 많기 때문에, 수집된 증거를 하나의 케이스로 묶고 타임라인 기반으로 사건 발생 시점과 확산 경로를 파악하는 절차가 강조됐다.

지난 2월 공개한 킬린(Qilin) 랜섬웨어 대응 사례도 공유됐다. 마에스트로 포렌식은 당시 LotL·파일리스 기법이 결합된 킬린 랜섬웨어 침해사고를 마에스트로 위즈덤으로 분석해 2TB 디스크를 4시간 안에 1차 분석하고, 삭제된 이벤트 로그를 복구해 3일 만에 탐지와 차단을 완료했다고 밝힌 바 있다. 회사는 통상 1~2주가 걸릴 수 있는 고난도 분석 시간을 크게 줄인 사례로 이를 제시했다.

세미나에서는 기업 내부 정보 유출 사고 조사, 해킹 및 악성코드 감염 분석, 침해사고 원인 규명, 범죄 관련 디지털 포렌식 수사 지원 등 현장에서 적용 가능한 사례도 소개됐다. 참가자들은 운영체제별 증거를 개별적으로 보는 방식이 아니라, 하나의 사건 흐름 안에서 통합 분석하는 실무 절차를 확인했다.

김종광 마에스트로 포렌식 대표는 “최근 침해사고는 랜섬웨어와 LotL, 파일리스 공격이 결합돼 기존 보안 솔루션만으로는 원인 규명이 어려운 경우가 많다”며 “이번 교육은 맥 환경을 포함한 다양한 운영체제에서 신종 위협의 흔적까지 추적할 수 있는 실무 역량을 키우는 데 목적이 있다”고 말했다.

이어 김 대표는 “앞으로도 현업 분석가들이 실제 사건 대응 과정에서 마에스트로 위즈덤을 보다 빠르고 정확하게 활용할 수 있도록 정기적인 교육 과정을 지속 운영해 나갈 계획”이라고 덧붙였다.

마에스트로 포렌식은 정보 유출 사고 포렌식 조사, 해킹 및 악성코드 분석, 범죄 사고 디지털 포렌식 수사 등 현장에서 요구되는 분석 역량 강화를 위한 교육 과정을 운영하고 있다. 주요 고객군은 정부기관, 군 정보기관, 수사기관, 법무법인, 디지털 포렌식 전문 기업 등이다.

김한수 기자

hanskim@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

세일즈포스, AI 고객서비스 ‘성과 과금’ 실험 본격화…에이전트포스 헬프 에이전트 공개

세일즈포스는 고객서비스용 AI 에이전트 구축과 운영을 지원하는 ‘에이전트포스 헬프 에이전트(Agentforce Help Agent)’를 공개했다고 2일 밝혔다.

[현장] 마스오토, 한·미 수출 물류 전 구간 자율주행 트레일러 도입한다

대형트럭 자율주행 스타트업 마스오토가 카메라 기반 엔드투엔드 AI(End-to-End AI, E2E AI)를 앞세워 한국과 미국을 잇는 화물운송 전 구간 무인화 비전을 제시했다.

앤트로픽 미토스5·페이블5, 18일 만에 수출통제 해제…오늘부터 국내 접근 재개

앤트로픽 클로드 미토스5·페이블5에 대한 미국 수출통제가 발동 18일 만에 전면 해제됐다. 아마존발 탈옥 취약점 논란부터 상무부와의 협상, 7월 국내 접근 재개까지 전 과정을 정리했다.

PFCT, 중금리 대출 부실 예측 AI 특허 등록…에어팩 기술 독창성 인정

AI 기술금융사 피에프씨테크놀로지스(PFCT)가 금융 특화 버티컬 AI 인프라 ‘에어팩(AIRPACK)’에 적용한 중금리 대출 부실 리스크 예측 기술로 특허를 등록했다. PFCT는 이번 특허 등록을 통해 에어팩의 핵심 기술 구현 방식과 독창성을 추가로 인정받았다고 30일 밝혔다.