지난 10년 동안 인터넷 사용자 수가 급증했습니다. 미국에서는 활동이나 사업 목적으로 인터넷을 사용하는 사람이 3명 중 3명입니다. 거의 매일 인터넷을 사용하는 사람들의 수가 증가하고 있으며 이는 신원 도용, 사기, 데이터 도용과 같은 불법 활동의 수도 증가한다는 것을 의미합니다. 

네트워크 포렌식에는 네트워크 패킷을 캡처, 기록 및 분석하여 보안 공격이 발생한 위치를 확인하는 작업이 포함됩니다. 네트워크 포렌식 조사에는 침입 패턴 탐지와 공격 활동 조사도 포함됩니다. 네트워크 트래픽을 분석하려면 다양한 사이트와 방화벽, 침입 탐지 시스템 등 다양한 네트워크 장비에서 데이터를 수집해야 합니다. 또한 잠재적인 공격을 모니터링, 예방 및 분석하기 위해 네트워크 포렌식을 사용할 수 있습니다.

네트워크 포렌식 조사는 네트워크에서 누출, 도난 또는 의심스러운 트래픽을 식별할 때 유용합니다. 이러한 유형의 조사는 사이버 범죄자에 의해 침해된 것으로 의심되는 네트워크의 트래픽을 식별하고 분석하는 것을 목표로 합니다.

네트워크 포렌식의 필요성

많은 조직에서는 네트워크의 장치 수를 늘리고 고속 포트를 설치했습니다. 기업 네트워크 초기에는 컴퓨터가 지배적이었습니다. 요즘에는 스마트폰과 인터넷에 연결된 장치로 인해 네트워크를 통해 예전보다 더 많은 장치를 연결할 수 있습니다. 네트워크의 장치 수가 증가하면 공격 표면도 늘어납니다. 오늘날의 위협 역시 더욱 정교하고 교묘해졌습니다. 오늘날 공격자들은 최신 공격에서 탐지를 회피하는 데 많은 시간을 소비합니다. 대부분의 경우 데이터 유출은 제한된 양으로 발생하고 암호화되기 때문에 경고를 트리거하지 않습니다. 이러한 문제로 인해 법의학 조사는 훨씬 더 어렵고 복잡하며, 공격에 대한 적절한 조사를 위해서는 훈련된 조사관과 고급 도구가 필수적입니다. 

조직은 네트워크 포렌식을 통해 트래픽이 네트워크를 통해 어떻게 흐르는지에 대한 많은 통찰력을 얻습니다. 이 경우 조사관은 네트워크를 검색하고 세부 사항을 더 자세히 조사할 수 있습니다. 일반적으로 이는 2단계 프로세스입니다. 첫 번째 단계는 데이터를 수집하는 것입니다. 다양한 검색 도구는 네트워크에서 수집된 데이터와 네트워크에서 색인화되고 추출된 메타데이터를 기반으로 특정 정보를 검색해야 합니다. 관심 있는 정보를 수집한 후 다음 단계는 데이터를 검색하는 것입니다. 

네트워크 포렌식의 중요성

네트워크를 통한 네트워크 트래픽 캡처는 이론적으로는 상대적으로 간단하지만 많은 고유 요인으로 인해 실제로는 매우 어렵습니다. 인터넷 프로토콜은 매우 복잡하며 네트워크에는 엄청난 양의 데이터 흐름이 있습니다. 네트워크 트래픽을 기록하는 프로세스는 리소스 집약적입니다. 네트워크를 통해 흐르는 데이터의 양이 많기 때문에 모든 데이터를 기록하는 것이 불가능할 수도 있습니다. 향후 분석을 위해 이러한 기록된 데이터를 무료 미디어에 백업하는 것이 필수적입니다.

기록된 데이터를 분석하는 것은 가장 중요하고 시간이 많이 소요되는 작업입니다. 법의학 목적으로 자동화된 분석 도구가 많이 있지만 완벽한 도구는 없습니다. 도구가 제대로 프로그래밍되지 않은 경우 공격자는 쉽게 악성 트래픽을 실제 트래픽으로 보이게 만들 수 있습니다. 자동화된 트래픽 분석 도구는 오탐지를 생성할 수 있으므로 인간의 판단을 사용하는 것도 필수적입니다.

공격이 어떻게 발생했는지 파악하고 그 출처를 추적하려면 네트워크에서의 포렌식이 필요합니다. 수사관은 법정에서 수사관이 획득한 증거를 제시하기 위해 적절한 조사 절차를 따라야 합니다.

네트워크 포렌식의 유형

TCP/IP: IP(인터넷 프로토콜)와 같은 네트워크 계층 프로토콜은 소스 및 대상 정보를 결합한 다음 이를 네트워크 전체의 라우터에 전달하여 네트워크(예: 인터넷)를 통해 TCP 패킷의 방향을 지정하는 역할을 합니다. IP 방법은 유사한 프로토콜을 사용하므로 GPRS와 같은 셀룰러 패킷 네트워크에도 적용 가능합니다.

인터넷: 웹 브라우징, 이메일, 뉴스그룹, 동기식 채팅, P2P 통신 등 여러 유형의 디지털 증거를 인터넷에서 얻을 수 있습니다. 웹 서버 로그를 조사하면 용의자가 범죄 관련 정보에 액세스한 사례(또는 경우)를 확인할 수 있습니다. 이메일 헤더는 쉽게 위조되고 귀중한 증거를 담을 수 있으므로 이메일 포렌식을 통해 유죄 자료의 정확한 출처를 입증하는 것이 가능합니다. 네트워크 포렌식을 통해 네트워킹 서비스의 트래픽을 기반으로 사용자 계정에 대한 정보를 추출하여 누가 특정 컴퓨터를 사용하고 있는지 확인할 수 있습니다.

이더넷: 사용자는 이 레이어의 데이터를 기반으로 이벤트를 필터링할 수 있습니다. 웹사이트 페이지, 이메일 첨부 파일, 기타 네트워크 트래픽은 전송 또는 수신 중에 암호화되지 않은 경우에만 재구성이 가능합니다. 이 수준의 데이터 수집은 데이터가 호스트에 직접 연결되기 때문에 유리합니다.

암호화된 트래픽 분석: 암호화된 트래픽 분석은 트래픽을 검사하여 일반적이지 않은 네트워크나 서버에서 발생하는 것과 같은 의심스러운 TLS 특성을 탐지하여 악성 코드나 기타 위협과 같은 악성 트래픽이 포함되어 있는지 확인합니다. 암호화된 트래픽을 분석하는 또 다른 방법은 생성된 데이터를 바탕으로 지문 데이터베이스를 만드는 것인데, 이는 해커들이 쉽게 우회할 수 있고 부정확하다는 비판을 받아왔다.

네트워크 포렌식: 시장 개요

글로벌 네트워크 포렌식 시장은 2021~2027년 예측 기간 동안 약 18.9%의 CAGR로 성장할 것으로 예상됩니다. 

지역 분석: 글로벌 네트워크 포렌식 시장

이 보고서는 북미, 유럽, 아시아 태평양(APAC), 중동 및 아프리카(MEA) 및 라틴 아메리카를 포함한 지역을 기반으로 글로벌 네트워크 포렌식 시장에 대한 지역 분석을 제공합니다. 북미와 유럽은 네트워크 포렌식 솔루션 공급업체에게 가장 많은 수익을 창출할 것으로 예상됩니다. 이는 특히 미국과 캐나다의 선진국에서 연구 개발(R&D) 및 보안 기술에 대한 전 세계적 관심의 결과입니다. 아시아 태평양 지역은 시장에서 가장 빠른 속도로 성장할 가능성이 높습니다. 이 지역의 성장을 촉진하기 위해 조직 내에서 사물 인터넷 장치 채택 및 장치 가져오기 정책의 채택이 증가하고 있습니다.

세분화 분석: 네트워크 포렌식 시장

글로벌 네트워크 포렌식 시장은 애플리케이션, 솔루션, 조직 규모, 배포 모델 및 업종을 기준으로 분류됩니다. 

솔루션 기반 세분화:

• 솔루션
• 침입탐지시스템(IDS)/침입방지시스템(IPS)
• 보안 정보 및 이벤트 관리(SIEM)
• 위협 인텔리전스
• 패킷 캡처 분석
• 해석학
• 로그 관리
• 방화벽
• 서비스
• 전문 서비스 컨설팅 서비스
• 훈련 및 교육
• 설계 및 통합
• 지원 및 유지 관리
• 사고 대응 서비스
• 관리형 서비스

응용 분야에 따른 세분화:

• 엔드포인트 보안
• 네트워크 보안
• 데이터센터 보안
• 애플리케이션 보안
• 기타(웹 보안 및 데이터베이스 보안)

배포 모드에 따른 세분화:

• 구름
• 온프레미스

조직 규모에 따른 세분화:

• 중소기업(SME)
• 대기업

업종에 따른 세분화:

• 조작
• 헬스케어
• 에너지 및 유틸리티
• 은행, 금융 서비스 및 보험(BFSI)
• 정부
• 교육
• 통신 및 IT
• 소매
• 기타(미디어 및 엔터테인먼트, 항공우주 및 방위, 숙박업)

주요 시장 참가자 및 개발: 글로벌 네트워크 포렌식 시장

글로벌 네트워크 포렌식 시장의 주요 핵심 기업과 그들의 발전은 다음과 같습니다.

주요 플레이어:

• 시스코 시스템즈
• 파이어아이
• IBM 주식회사
• 시만텍 주식회사
• 넷스카우트 시스템
• EMC RSA

이 지역의 주요 개발 사항:  

2017년 2월: Dell Technologies 계열사인 RSA 비즈니스 중심 보안 아키텍처는 고객이 사이버 위험을 관리하고 가장 귀중한 자산을 보호할 수 있는 새로운 방법을 제공합니다. 이 아키텍처와 제공되는 여러 솔루션을 사용하면 모든 규모의 조직이 위험 상황을 보다 빠르고 효율적으로 더 잘 제어할 수 있습니다. RSA 비즈니스 중심 보안 솔루션 외에도 RSA 솔루션에는 위협 탐지, 신원 확인, 소비자 사기 방지, 비즈니스 위험 관리 기능이 포함되어 있습니다.