과거:

• 분석 대상: 서버 (Web, DB, Mail, FTP)
• 사고 유형
  • 서버 해킹
    • SQL injection, FileUpload, XSS 등
    • 원격 Exploit에 의한 해킹은 로그 분석만으로는 분석이 어려울 수 있다.
• 탐지 난이도
  • 방향: Inbound
    • 방화벽에 의해 서비스 되지 않는 포트는 차단됨-
    • 패킷의 목적지는 해당 '서버'이므로 패킷 내용 확인-
• 로그 여부
  • 각 서비스별 로그
  • 시스템 로그
• 분석 방법
  • 네트워크 장비 및 서버의 로그 조사
    • 로깅 수준
    • 안전하게 보관되고 있는가

현재:

• 분석 대상: 클라이언트 PC (Windows 계열)
• 사고 유형
  • 거의 모든 공격에 악성 코드가 사용됨
  • 메일을 통한 악성 코드 유입
  • 웹 사이트를 통한 악성 코드 감염
  • 내부 망을 통한 악성 코드 감염
• 탐지 난이도
  • 방향: OutBound
    • 방화벽에 의해 차단되지 않음
    • 다양한 애플리케이션의 사용
    • 암호화 패킷
    • 백신이 홀로 고군분투하는 경우가 많음
• 로그 여부
  • 기본적인 감사 로그 수준이 낮음
  • 쉽게 삭제 가능 (Anti-forensic)
• 분석 방법
  • 로그 분석만으로 사건을 해결할 수 없음
  • 삭제된 데이터의 복구
  • 로그 분석 이외에 다양한 흔적 분석 필요