지난 10년간 인터넷 사용자 수는 급증했습니다. 미국에서는 세 명 중 세 명이 개인적인 활동이나 사업 목적으로 인터넷을 이용하고 있습니다. 인터넷 사용자 수가 거의 매일 증가하고 있으며, 이는 신분 도용, 사기, 데이터 도용과 같은 불법 활동의 증가로 이어지고 있습니다. 

네트워크 포렌식은 보안 공격의 발신지를 파악하기 위해 네트워크 패킷을 캡처, 기록 및 분석하는 작업입니다. 네트워크 포렌식 조사에는 침입 패턴 탐지 및 공격 활동 조사도 포함됩니다. 네트워크 트래픽 분석을 위해서는 방화벽, 침입 탐지 시스템 등 다양한 네트워크 장비와 여러 사이트에서 데이터를 수집해야 합니다. 또한, 네트워크 포렌식은 잠재적 공격을 모니터링, 예방 및 분석하는 데 활용될 수 있습니다.

네트워크 포렌식 조사는 네트워크상의 정보 유출, 도난 또는 의심스러운 트래픽을 식별하는 데 유용합니다. 이러한 유형의 조사는 사이버 범죄자에 의해 침해된 것으로 의심되는 네트워크의 트래픽을 식별하고 분석하는 것을 목표로 합니다.

네트워크 포렌식의 필요성

많은 조직들이 네트워크에 연결된 기기 수를 늘리고 고속 포트를 설치했습니다. 기업 네트워크 초기에는 컴퓨터가 주를 이루었지만, 오늘날에는 스마트폰과 인터넷 연결 기기 덕분에 과거보다 훨씬 더 많은 기기를 네트워크에 연결할 수 있게 되었습니다. 네트워크 연결 기기 수가 증가함에 따라 공격 표면도 늘어납니다. 오늘날의 위협은 더욱 정교하고 교묘해졌습니다. 공격자들은 현대적인 공격에서 탐지를 피하기 위해 많은 시간을 투자합니다. 대부분의 경우 데이터 유출은 소량으로 발생하고 암호화되어 있기 때문에 경보가 울리지 않습니다. 이러한 이유로 포렌식 조사는 훨씬 더 어렵고 복잡해졌으며, 공격에 대한 적절한 조사를 위해서는 숙련된 조사관과 첨단 도구가 필수적입니다. 

네트워크 포렌식을 통해 조직은 네트워크를 통해 트래픽이 어떻게 흐르는지에 대한 상당한 통찰력을 얻을 수 있습니다. 이 경우 조사관은 네트워크를 검색하고 특정 정보를 더 자세히 분석할 수 있습니다. 일반적으로 이는 두 단계로 진행됩니다. 첫 번째 단계는 데이터를 수집하는 것입니다. 다양한 검색 도구를 사용하여 네트워크에서 수집한 데이터와 색인화 및 추출된 메타데이터를 기반으로 특정 정보를 검색합니다. 관심 있는 정보를 수집한 후에는 해당 데이터를 검색합니다. 

네트워크 포렌식의 중요성

네트워크 트래픽을 캡처하는 것은 이론적으로는 비교적 간단하지만, 여러 가지 내재적인 요인으로 인해 실제로는 매우 어렵습니다. 인터넷 프로토콜은 매우 복잡하며, 네트워크를 통해 흐르는 데이터 양도 엄청납니다. 네트워크 트래픽 기록 과정은 상당한 자원을 소모합니다. 네트워크를 통해 흐르는 데이터 양이 워낙 많기 때문에 모든 데이터를 기록하는 것이 불가능할 수도 있습니다. 따라서 기록된 데이터를 향후 분석을 위해 여유 있는 저장 매체에 백업하는 것이 필수적입니다.

기록된 데이터를 분석하는 것은 매우 중요하면서도 시간이 많이 소요되는 작업입니다. 포렌식 목적상 자동화된 분석 도구는 많지만, 완벽한 도구는 없습니다. 도구가 제대로 프로그래밍되지 않으면 공격자는 악성 트래픽을 정상적인 트래픽처럼 위장할 수 있습니다. 또한 자동화된 트래픽 분석 도구는 오탐을 발생시킬 수 있으므로 사람의 판단을 활용하는 것이 필수적입니다.

네트워크 포렌식은 공격 발생 경위를 파악하고 공격의 근원을 추적하는 데 필수적입니다. 수사관은 법정에서 증거를 제시하기 위해 적절한 수사 절차를 따라야 합니다.

네트워크 포렌식의 유형

TCP/IP: 인터넷 프로토콜(IP)과 같은 네트워크 계층 프로토콜은 출발지와 목적지 정보를 결합하여 네트워크(예: 인터넷) 전체의 라우터로 전달함으로써 TCP 패킷의 전송을 담당합니다. IP 방식은 유사한 프로토콜을 사용하기 때문에 GPRS와 같은 셀룰러 패킷 네트워크에도 적용할 수 있습니다.

인터넷: 웹 브라우징, 이메일, 뉴스그룹, 실시간 채팅, P2P 통신 등 인터넷에서 다양한 유형의 디지털 증거를 얻을 수 있습니다. 웹 서버 로그를 분석하면 용의자가 범죄와 관련된 정보에 접근한 시점(또는 접근 여부)을 파악할 수 있습니다. 이메일 헤더는 위조가 용이하기 때문에 이메일 포렌식을 통해 범죄 자료의 정확한 출처를 밝혀낼 수 있으며, 이를 통해 중요한 증거를 확보할 수 있습니다. 네트워크 포렌식을 이용하면 네트워크 서비스의 트래픽을 분석하여 특정 컴퓨터를 누가 사용하고 있는지 파악함으로써 사용자 계정 정보를 추출할 수 있습니다.

이더넷: 사용자는 이 계층의 데이터를 기반으로 이벤트를 필터링할 수 있습니다. 웹 페이지, 이메일 첨부 파일 및 기타 네트워크 트래픽은 전송 또는 수신 중에 암호화되지 않은 경우에만 재구성할 수 있습니다. 이 계층에서의 데이터 수집은 데이터가 호스트에 직접 연결되기 때문에 유리합니다.

암호화 트래픽 분석: 암호화 트래픽 분석은 트래픽을 검사하여 악성코드나 기타 위협 요소와 같은 악성 트래픽이 포함되어 있는지 여부를 판단합니다. 이는 비정상적인 네트워크나 서버에서 발생하는 트래픽과 같은 의심스러운 TLS 특성을 감지함으로써 이루어집니다. 암호화 트래픽을 분석하는 또 다른 방법은 생성된 데이터를 기반으로 지문 데이터베이스를 구축하는 것이지만, 이 방법은 해커에 의해 쉽게 우회될 수 있고 정확도가 떨어진다는 비판을 받아왔습니다.

네트워크 포렌식: 시장 개요

글로벌 네트워크 포렌식 시장은 2021년부터 2027년까지 예측 기간 동안 연평균 약 18.9%의 성장률을 보일 것으로 예상됩니다. 

지역별 분석: 글로벌 네트워크 포렌식 시장

본 보고서는 북미, 유럽, 아시아 태평양(APAC), 중동 및 아프리카(MEA), 라틴 아메리카를 포함한 지역별 글로벌 네트워크 포렌식 시장에 대한 분석을 제공합니다. 북미와 유럽은 네트워크 포렌식 솔루션 공급업체에게 가장 많은 수익을 창출할 것으로 예상됩니다. 이는 주로 미국과 캐나다와 같은 선진 경제국을 중심으로 연구 개발(R&D) 및 보안 기술에 대한 전 세계적인 관심 증가에 기인합니다. 아시아 태평양 지역은 시장에서 가장 빠른 성장세를 보일 것으로 예상됩니다. 사물 인터넷(IoT) 기기 도입 증가와 기업 내 BYOD(Bring Your Device) 정책 확산이 이 지역 성장을 견인할 것입니다.

시장 세분화 분석: 네트워크 포렌식 시장

글로벌 네트워크 포렌식 시장은 애플리케이션, 솔루션, 조직 규모, 배포 모델 및 산업 분야별로 세분화됩니다. 

솔루션 기반 세분화:

• 솔루션
• 침입 탐지 시스템(IDS)/침입 방지 시스템(IPS)
• 보안 정보 및 이벤트 관리(SIEM)
• 위협 정보
• 패킷 캡처 분석
• 해석학
• 로그 관리
• 방화벽
• 서비스
• 전문 서비스 컨설팅 서비스
• 훈련 및 교육
• 설계 및 통합
• 지원 및 유지 관리
• 사고 대응 서비스
• 관리형 서비스

적용 분야별 세분화:

• 엔드포인트 보안
• 네트워크 보안
• 데이터센터 보안
• 애플리케이션 보안
• 기타 (웹 보안 및 데이터베이스 보안)

배포 모드에 따른 세분화:

• 구름
• 구내

조직 규모에 따른 세분화:

• 중소기업(SMEs)
• 대기업

수직적 기준에 따른 세분화:

• 조작
• 의료 서비스
• 에너지 및 공공 서비스
• 은행, 금융 서비스 및 보험(BFSI)
• 정부
• 교육
• 통신 및 IT
• 소매
• 기타 (미디어 및 엔터테인먼트, 항공우주 및 방위산업, 호텔 및 관광업)

주요 시장 참여자와 그들의 발전 동향: 글로벌 네트워크 포렌식 시장

글로벌 네트워크 포렌식 시장의 주요 기업 및 그들의 발전 동향:

주요 인물:

• 시스코 시스템즈
• 파이어아이
• IBM 주식회사
• 시만텍 코퍼레이션
• 넷스카우트 시스템즈
• EMC RSA

해당 지역의 주요 개발 사항:  

2017년 2월, 델 테크놀로지스 산하의 RSA는 비즈니스 중심 보안 아키텍처를 통해 고객이 사이버 위험을 관리하고 가장 중요한 자산을 보호하는 새로운 방식을 제시했습니다. 이 아키텍처와 다양한 솔루션을 활용하면 모든 규모의 조직이 위험 상황을 더욱 신속하고 효율적으로 관리할 수 있습니다. RSA 비즈니스 중심 보안 솔루션 외에도 위협 탐지, 신원 보증, 소비자 사기 방지, 비즈니스 위험 관리 기능을 포함한 다양한 RSA 솔루션이 발표되었습니다.