네트워크 포렌식이란?
네트워크 포렌식은 네트워크 트래픽을 캡처·분석하여 침해 사고의 원인과 경로를 규명하는 디지털 포렌식의 한 분야입니다. 정보보안기사 시험에서는 증거 수집 절차, 패킷 분석 도구, 법적 효력 요건이 자주 출제됩니다.
디지털 증거 수집 원칙
1. 무결성(Integrity)
수집된 증거는 원본과 동일해야 합니다. 해시값(MD5, SHA-256)으로 원본과 사본이 일치함을 증명합니다.
- 해시 검증: 수집 전·후 해시값을 기록하여 위·변조 여부를 확인
- 쓰기 방지 장치: Write Blocker를 사용해 원본 데이터 변경 방지
2. 연속성(Chain of Custody)
증거가 수집된 순간부터 법정 제출까지 누가, 언제, 어떻게 다뤘는지 기록을 유지해야 합니다.
3. 재현성(Reproducibility)
동일한 분석 절차를 반복하면 동일한 결과가 나와야 합니다. 이는 법정에서 증거의 신뢰성을 뒷받침합니다.
패킷 캡처 및 분석
주요 캡처 도구
- tcpdump: 리눅스 CLI 기반 패킷 캡처 도구.
tcpdump -i eth0 -w capture.pcap으로 파일 저장 - Wireshark: GUI 기반 패킷 분석 도구. 필터 문법으로 원하는 트래픽만 추출
- NetworkMiner: 패킷에서 파일, 이미지, 세션 정보를 자동 추출
Wireshark 필터 예시
- 특정 IP 필터: ip.addr == 192.168.1.100
- HTTP만 보기: http
- 포트 필터: tcp.port == 443
- SYN 패킷: tcp.flags.syn == 1 and tcp.flags.ack == 0
주요 공격 패턴과 패킷 특징
포트 스캔 탐지
짧은 시간 내에 동일 출발지에서 다수의 포트로 SYN 패킷이 전송되면 포트 스캔을 의심합니다. Nmap의 SYN 스캔은 응답 없이 RST를 반환하므로 세션이 완성되지 않는 패턴으로 식별합니다.
DNS 터널링
DNS 쿼리를 이용해 데이터를 은밀하게 외부로 전송하는 기법입니다. 비정상적으로 긴 DNS 쿼리나 높은 DNS 쿼리 빈도로 탐지합니다.
ARP 스푸핑
ARP Reply를 위조해 MAC 주소 테이블을 오염시키는 공격입니다. 패킷에서 동일 IP에 대해 다른 MAC이 반복 응답하면 의심합니다.
시험 빈출 핵심 정리
- 포렌식 3원칙: 무결성, 연속성, 재현성
- pcap 파일: 패킷 캡처 표준 포맷
- tcpdump -r: 저장된 pcap 파일 읽기
- Wireshark Follow TCP Stream: 세션 전체 내용 재조합
- 증거 수집 시 원본은 절대 직접 분석하지 않음(사본 분석 원칙)
마무리
네트워크 포렌식은 사고 발생 후 원인 규명의 핵심입니다. 특히 증거 무결성 보장 방법과 Wireshark 필터 문법은 실기 시험에서도 자주 출제되므로 반드시 숙지하세요.