[디지털데일리 이민형기자] 의료계에서는 전염병 등과 같은 유행(epidemic)이 등장할 때 ‘역학조사’를 실시한다. 역학조사는 유행의 발생에 관한 정보를 모아 유행상황(환자의 발생장소, 경과, 상황, 발병률, 사망률, 연령, 직업 등)을 조사하고 원인을 탐구해 재발방지를 목적으로 하는 조사법이다.

대검찰청 사이버범죄수사단은 ‘유행’과 ‘사이버공격’이 동일한 성격을 갖고 있다고 판단해 역학조사 기법을 사이버공간으로 옮겨왔다. 사이버역학조사를 통해 보안사고의 재발을 차단할 수 있기 때문이다.

원용기 대검찰청 사이버범죄수사단 수사관은 4일 논현동 파티오나인에서 열린 해킹방지워크숍에서 사이버역학조사의 필요성과 효과를 설명했다.

원 수사관은 “악성코드를 탐지하고 차단하는 것은 일시적인 방책에 불구하다. 기존의 대응방법은 사이버위협이나 위기를 근본적으로 대응할 수 있는 방안이 될 수 없다”며 “사이버역학조사를 통해 과거에 있었던 사고를 정확히 평가할 수 있어야 재발을 막을 수 있다”고 강조했다.

사이버역학조사는 보안사고가 발생한 근본적인 원인을 분석할 수 있다. 역학조사와 동일하게 숙주(엔드포인트), 원인체(악성코드), 환경(물리적위치, 연결상태) 등을 각각 분석하고 여기서 얻은 데이터를 기반으로 영향평가를 실시하게 된다.

원 수사관은 사이버역학조사를 통해 보다 정확한 인과관계를 알 수 있게된다고 말했다. 그는 “악성코드를 탐지하고 차단하더라도 감염경로를 모른다면 언제든 재발할 수 있다”며 “각 요인들의 분석을 통해 공격의 성향, 피해량, 중요지점의 피해 등을 인지할 수 있게된다”고 설명했다.

사이버역학조사는 크게 4단계로 이뤄진다. 처음은 발생인식 단계다. 사고가 발생한 기관·기업들로부터 자료를 인계받고 이를 바탕으로 특성, 시간, 규모 등을 파악한다. 여기서 조사목적과 범위를 산정하게 된다.

이와 관련 원 수사관은 “여기서 가장 중요한 것은 인계를 받는 데이터의 진정성이다. 피해기업들은 자신에게 유리하게 데이터를 해석해서 넘겨줄 수 있기 때문”이라고 말했다.

두번째는 기술역학이다. 발생인식 단계에서 수집한 데이터 기반으로 초기 가설을 마련하고 디지털포렌식 도구를 통해 관련된 모든 데이터를 모은다. 여기서도 데이터의 무결성과 진정성은 유지돼야 한다.

원 수사관은 “여기서 얻은 데이터들이 추후 분석역학과 실험역학의 밑거름이 되기 때문에 사이버역학조사에서 가장 중요한 절차”라며 “로그파일, 웹기록, 이벤트로그, 레지스트리, 디스크, IP, 사용자 정보 등 광범위한 영역에서 수집이 이뤄진다”고 전했다.

세번째는 분석역학과 실험역학이다. 보안전문가들이 기술역학에서 수립한 가설을 검증하는 단계다. 시간 속발성, 일관성, 통계적 강도, 특이성, 재현성, 공학적 타당성 등을 검증하게 되며, 가상머신(VM)에서 이를 실험해 재현이 되는지를 확인하게 된다.

마지막은 결과보고 단계다. 지금까지 해온 역학을 정리하게 된다. 계층별 논리 전개로 결론을 도출하고 추정 정보는 모두 제외시킨다.

원 수사관은 “과학적으로 검증된 사실로만 구성해야 하며, 이론역학 제시를 통해 현안에 대한 대책을 마련하는 과정”이라고 설명했다.

지금까지 과정을 살펴보면 디지털포렌식 조사와 매우 유사하다. 일부 단계에서는 디지털포렌식 도구가 쓰이기도 한다.

두 조사간 차이점에 대해 원 수사관은 “디지털포렌식 조사는 역학조사에 근간이 되는 기술로 조사 대상의 내용을 기술(記述)하는 것이 초점이지만, 사이버역학조사는 모든 데이터와 환경까지 조사영역에 넣기 때문에 더 포괄적인 조사와 분석이 가능하다”고 강조했다.

원 수사관은 사이버역학조사를 통해 기업이 알고싶지 않은 사실을 마주하게 될 수 있다고 설명했다. 기업이 인지하지 못하는 취약점이나 문제들이 대거 나타날 수 있기 때문이다.

그는 “사이버역학조사가 만능은 아니다. 결과에 대해 끊임없이 의심해봐야 하며 물리적인 한계도 인정해야 한다”며 “그럼에도 불구하고 가장 정확한 분석이 가능한 방법이며, 그 결과 기업들은 알고싶지 않은 사실을 마주할 수도 있을 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr