메모리 포렌식 기초

메모리 포렌식 기초

메모리 포렌식 개념 및 필요성

메모리 포렌식은 휘발성 정보인 메모리를 수집한 뒤, 이를 분석하여 증거를 확보하는 과정을 의미한다.
휘발성 메모리에서 정보를 추출하고 분석함으로써 시스템의 상태, 실행 중인 프로세스, 네트워크 연결, 파일 핸들링 등 다양한 데이터를 확인할 수 있다. 이러한 과정을 통해 악성 행위를 탐지하거나 시스템에서 발생한 이벤트를 파악할 수 있다. 최근에는 디스크에 흔적을 남기지 않고 메모리에서만 동작하는 악성코드가 증가하고 있어, 메모리 포렌식의 중요성도 점차 커지고 있다.
휘발성 메모리에서 정보 수집이 가능한 이유는 RAM에 프로세스 정보, 악성코드 관련 데이터, 시스템 데이터 구조, 사용자 활동 정보 등이 일시적으로 저장되기 때문이다. CPU가 연산을 수행하기 위해서는 모든 소프트웨어의 코드와 데이터가 RAM에 적재되어야 하며, 이러한 특성으로 인해 메모리 포렌식을 통해 다양한 정보를 분석할 수 있다.

Fuzzing의 개념과 역사

Fuzzing의 기본 원리

Fuzzing의 정의

Fuzzing(퍼징) 또는 Fuzz Testing은 보안 취약점을 찾기 위한 자동화된 테스트 기술로 시스템에 의도적으로 잘못된 데이터나 무작위 데이터를 입력하여 비정상적인 동작(크래시, 무한 루프, 예외, 메모리 누수 등)이 발생하는지 확인하는 기술이다. 프로그램이이 복잡할수록 많은 버그와 attack surface가 생기는데 이에 대해 수동 테스트보다 퍼징은 입력을 자동으로 생성 및 변형하여 대규모의 테스트를 수행한다는 점에서 더 효율적일 수 있다.

Linux Kernel 이론

개요

최근 IoT 및 임베디드 시스템 환경의 확산과 함께 USB 장치는 단순한 주변기기 연결 수단을 넘어, 보안 위협이 유입되는 주요 공격 벡터로도 활용되고 있다. 이에 따라 커널 수준에서 USB 장치의 연결과 제거를 실시간으로 감지하고 이를 적절히 처리하는 메커니즘을 이해하는 것은 단순한 시스템 관리 역량을 넘어, 보안 관점에서도 중요한 기술적 기반이 된다.

본 프로젝트에서는 커널 내 핵심 구조체인 usb_device와 이벤트 처리 메커니즘인 uevent를 중심으로, USB 장치가 연결될 때 어떤 과정을 거쳐 커널이 이를 인식하고 사용자 공간까지 전달하는지를 분석하였다. 이후 실습 단계에서는 실제로 USB 장치 이벤트를 감지하고 로그를 출력하는 커널 모듈(LKM)을 구현하며, 리눅스의 디바이스 모델, 인터럽트 처리, 그리고 사용자 공간과의 연동까지 포괄적인 관점을 체험한다.

서론

연계 포렌식의 필요성

최근 디지털 환경에서 발생하는 보안 사고는 단순히 로컬 컴퓨터에 국한되지 않고 클라우드 서비스까지 확산되는 양상을 보인다. 1990년대 부터 2000년대 초반, 대부분의 데이터를 PC 하드디스크, 외장하드, USB 등 로컬 기기에 저장했던 과거와 달리 2010년대 초반 이후 Apple iCloud,Google Drive, Microsoft OneDrive 서비스가 본격적으로 대중화되면서 스마트폰 + PC 간 동기화가 자연스러워졌다. 특히 코로나 19 팬데믹 사태 이후 기업 및 개인 사용자 모두 파일 동기화, 원격 저장, 협업 도구를 일상적으로 사용하면서 악성코드 감염이 로컬에 머무르지 않고 클라우드 자원까지 영향을 미치는 사례가 늘어나고 있다. 즉, 이제는 로컬과 클라우드의 로그 및 아티팩트를 종합적으로 분석해야만 공격자의 시나리오를 재구성할 수 있다는 것이다. 이러한 상황에서 ‘Forensic Investigation, Challenges, and Issues of Cloud Data: A Systematic Literature Review(2024)’ 논문에서는 클라우드 환경의 역동적인 특성으로 인해 증거의 수집과 보존 과정에서 복잡성을 내포함을 지적한다.

1. 서론

가. 칼럼 작성 배경

최근 APT(Advanced Persistent Threat) 공격은 국가·기업을 가리지 않고 꾸준히 발생하고 있다. 안랩을 비롯한 여러 보안 업체의 최신 보고서에서 확인되었듯, 공격자들은 다양한 악성코드를 활용해 윈도우 환경을 중심으로 장기간 은밀하게 침투하고 있다. 이러한 APT 공격에는 합법적 프로세스에 악성 행위를 숨기는 “프로세스 인젝션” 기법이 탐지 우회 효과를 위해 주요 수단으로 사용되고 있으며, 날이 갈수록 그 기술이 고도화되고 있다.

IoT 침입 탐지 개론과 트래픽 수집 및 이상 행위 탐지 기준 설정

IoT 보안 위협과 침입 탐지 개론

IDS란?

IDS(침입 탐지 시스템)은 Intrusion Detection System의 약자로, 네트워크나 시스템에서 발생하는 비정상적인 활동을 탐지하는 보안 시스템이다. 이 보안 시스템의 주요 목적은 비정상적인 행위를 직접적으로 차단하는 것보다 비정상적인 행위에 대한 탐지 내용을 사용자에게 알려 대처하도록 하는 것이다.

주 목적에 맞게 침입에 대한 탐지가 핵심적인 기능으로, 네트워크 트래픽이나 시스템 로그를 모니터링하여 비정상적인 행위를 탐지한다. 또한 탐지 내용에 대한 신속한 대응을 위해 침입이 의심된다면 관리자에게 실시간으로 경고나 알림을 보내거나 로그를 기록해 대응할 수 있도록 알림 기능이 포함되어 있는 경우가 많다. 향후 보안 정책에 탐지 결과와 관련된 내용을 반영하기 위해 탐지된 이벤트를 기록하고 분석하는 기능도 사용된다.

서론

IoT 기기 Token 인증의 필요성

사물인터넷의 급속한 발전은 우리 생활과 산업에 혁신적인 변화를 가져왔다. 수많은 기기들이 끊임없이 연결되며 새로운 가능성을 열어가지만, 그 이면에는 해결해야 할 중요한 과제가 있다. 바로 ‘보안’ 문제이다. IoT 기기들이 네트워크에 연결되기 전에 반드시 자신의 신분을 증명하지 않는다면, 누군가가 악의적으로 접근해 중요한 정보를 빼내거나 시스템을 마비시키는 심각한 위협에 노출될 수 있다.

Insecure Output Handling 취약점 개요

Insecure Output Handling(부적절한 출력 처리) 취약점은 OWASP Top 10 for LLM Applications(오픈 웹 애플리케이션 보안 프로젝트 for LLM Applications)에서 명시된 취약점 중 하나이며, 대규모 언어 모델이 생성한 출력을 다른 구성 요소와 시스템에 전달하기 전에 충분한 검증, 정제 및 처리가 이루어지지 않는 것을 일컫는다. LLM 출력이 검토 없이 사용될 때 발생할 수 있으며, 웹 브라우저에서 크로스 사이트 스크립팅 및 크로스 사이트 리퀘스트 변조(Cross Site Request Forgery, CSRF)를 비롯한 여러 보안 취약점을 유발하거나 백엔드 시스템에서 SSRF(Server-Side Request Forgery) 권한 상승 또는 원격 코드 실행을 발생시킬 수 있다.

Vector and Embedding Poisoning

벡터 및 임베딩 취약점이라고도 부르며, LLM과 RAG를 활용하는 시스템에서 치명적인 보안 위험을 불러온다. 이 취약점을 이용하면 RAG이나 벡터 DB 파이프라인에서 임베딩을 생성, 저장, 검색하는 과정에 악성(혹은 결함이 있는) 데이터/벡터를 주입해서 LLM의 출력, 행동을 조작하는 공격이 발생할 수 있다. 임베딩 자체의 벡터값을 바꾸거나, 악의적인 콘텐츠를 인젝션하거나, 메타데이터를 위조하는 행위도 모두 이를 이용한 공격에 포함된다.

생성형 AI란?

생성형 AI 기술의 발전과 잠재적 보안 위협

2022년, ChatGPT가 등장하면서 생성형 AI에 관한 관심이 뜨거워졌다. 생성형 AI란 이용자의 특정 요구에 따라 결과를 능동적으로 생성해 내는 인공지능 기술을 의미한다. 기존까지의 딥러닝 기반 AI 기술이 단순히 기존 데이터를 기반으로 예측하거나 분류하는 정도였다면, 생성형 AI는 이용자가 요구한 질문이나 과제를 해결하기 위해 스스로 데이터를 찾아서 학습하여 이를 토대로 능동적으로 데이터나 콘텐츠 등 결과물을 제시하는 한 단계 더 진화한 AI 기술이다. 마치 사람과 대화하는 것처럼 맥락을 이해하며 답을 제공하는 생성형 AI는 이용자에게 이전과 차원이 다른 정보 검색 서비스를 체감하게 하면서 폭발적인 인기를 끌었다.

하지만 그에 따른 부작용과 다양한 보안 이슈 또한 동시에 발생하고 있다. 생성형 AI가 잘못된 정보를 생성하거나, 악의적으로 AI 모델을 이용하여 생성한 코드를 기반으로 가짜 사이트에 접속을 유도하고, 훈련 데이터나 대화 기록 등의 데이터 유출이 발생할 수 있고, 생성형 AI의 기능 확장을 위한 플러그인, 확장 프로그램, API 등이 오히려 해커가 생성형 AI 모델을 공격할 수 있는 공격 포인트가 되기도 한다.