DFIR(Digital Forensics & Incident Response) 컨퍼런스 중 대표적인 컨퍼런스는 "Techno Security & Digital Forensics", "SANS DFIR Summit & Tranning, FIRST Conference가 있다. 이 중 Techno Security & Digital Forensics Conference 가 가장 크게 운영되는 DFIR 컨퍼런스이며, 2021년까지 연 1회로 진행되다가 2022년부터 연 2회(6월, 9월) 진행되고 있다. 지난 9월에 미국 로스앤젤레스에서 진행된 Techno Security & Digital Forensics Conference 2023 (이하, Techno 컨퍼런스) 컨퍼런스에 대해 내용을 공유하고자 한다.

컨퍼런스 소개

Techno Security & Digital Forensics Conference는 Conference Program과 Expo Hall이 같이 운영되며, 주로 다음과 같은 주제/분야로 진행된다.

Conference Program

• Forensics
• Cyber Security
• eDiscovery
• Investigations
• Sponser Demo

Expo Hall

• Forensic (Digital, Mobile, Vehicle, Drone)
• Incident Response
• eDiscovery
• BlockChain
• Threat Hunting

컨퍼런스 후기

9월에 진행된 컨퍼런스는 전반적으로 세션 주제나 전시 부스에서 Incident Response나 Security보다는 Forensics와 Investigations에 조금 더 초점을 맞춘 것 같았다. 하루 한 번 모닝커피와 네트워크 브레이킹 시간에 간단한 다과를 제공하고, 브레이크 시간은 전시장 뒤편에서 진행되었다.

행사장은 컨퍼런스를 참여한 사람 외에 출입이 불가하도록 통제되었고, 들어가면 리셉션이 바로 있어 간단한 인증 절차(여권 등 제시) 후 명찰을 받을 수 있었다.

Conference Program (세션 발표)

세션 장소는 Room이 A~H까지 구분되었고, 하나의 Room에 최소 50 ~ 100여 명 정도가 앉을 수 있어 쾌적했다.

3일에 걸쳐 진행된 세션은 총 64개이며, 이 중 10개의 세션이 DFIR과 관련된 세션이었다. 들었던 세션 중 가장 인상 깊었던 세션에 대해 공유하고자 한다.

Case Management & Integrated Quality Management: Why Is this Important for Future of Digital Forensics?

ISO 17025를 기반으로 포렌식 프로세스 표준 및 디지털 포렌식에 어떻게 적용할 수 있을지에 대한 방법을 공유하고 논의하는 시간이었다.

해당 세션에는 주로 Forensic QMS(Quality Management System)에 대해 진행되었고, 이를 고려해 BlackRainbow 회사에서 제작한 Case Management 도구 소개도 같이 진행되었다. 생각보다 많은 참석자가 Case Management를 업무하면서 사용하고 있었고, 협업과 관리의 효율성을 위해 QMS와 CMS를 통합해야 하는 부분과 데이터 통합에 어려움이 있는 여러 데이터 플랫폼의 통합, 분석 자동화 부재 등의 내용이 해결되어야 하는 도전 과제로 논의되었다.

OSINT Tools and More

데이터 검증의 중요성과 다양한 OSINT 도구 소개와 구글을 통해 검색했을 때 유용한 팁을 설명하는 시간이었다.

언급된 OSINT 도구는 Google, DuckDuckGo, LinkedIn, Shodan 등이 언급되었으며, 구글을 통한 검색 시 유용한 팁으로는 아래와 같이 언급되었다.

• 따옴표(")를 사용한 구문 검색
• 물결 연산자(~)를 사용한 동의어 검색
• 빼기 연산자(-)를 사용한 특정 제외 단어 검색
• "site: "키워드를 사용해 특정 사이트의 결과만 검색
• "filetype: "키워드를 사용해 특정 파일 확장자 검색

Cloud and Network-based Evidence Sources for Malicious Insider Investigations

내부자에 의해 정보가 유출될 수 있는 가능성에 대해 설명하고 클라우드 및 네트워크를 통한 정보 유출 시 "Zeek" 도구를 통해 탐지하고 분석할 수 있는 방법에 대해 공유하는 시간이었다.

내부자에 의해 정보가 유출될 수 있는 가능성으로 아래와 같이 언급되었다.

• SaaS형 클라우드 (구글 드라이브 등)
• USB/외장 저장매체
• FTP, AirDrop, Bluetooth
• 회사 이메일, 웹 메일
• 원격 접근 도구

Forensics Threat Hunting with Digital Evidence

침해사고가 발생했을 때 신속하게 탐지 및 분석하는 방법과 도구에 대해 설명하는 시간이었다. 메모리 덤프로부터 얻을 수 있는 아티팩트(프로세스 리스트, DLL, Socket, 네트워키 기기, 서비스 정보, Handle 정보)와 기타 아티팩트 리스트(EventLog, AmCache, ShimCache, JumpList, Lnk, Prefetch)가 언급되었다. 해당 세션에서 언급된 공격 지표로 활용할 수 있는 증거 목록은 다음과 같다.

• 미사용 계정을 사용한 로그인 행위
• 사용자 권한 상승
• 애플리케이션 설치
• 신규 서비스나 프로세스 생성
• 알 수 없는 지역에 대한 네트워크 트래픽 양 증가
• 레지스트리 생성, 수정, 삭제

The Dark Web and Why it's Important to Your Investigation

다크웹의 원리와 간단한 특징, 분석에 대한 아티팩트 정보를 공유하는 시간이었다. 이때 설명된 다크웹은 총 4개 (Tor, I2P, Hyphanet, Lokinet)이 언급되었고, 언급된 아티팩트 정보는 다음과 같다.

• Tor Browser - bookmarks.html, Compatibility.ini, Prefs.js, Search.json.mozlzt
• I2P - 설치 파일 및 설정
• Hyphanet(Freenet) - 설치 파일 및 설정
• Lokinet - 설치 파일 및 설정

Introductory Linux Digital Forensics/Incident Response for IT Security and Enterprise Defenders

리눅스 포렌식에 필요한 분석 기술과 준비 사항을 공유하는 시간이었다. 본 세션에서는 다음과 같이 라이브 상태의 리눅스 서버에서 데이터를 수집하는 방법과 리눅스 포렌식에 필요한 준비사항이 언급되었다.

• [수집] 프로세스 목록, Open Files, 네트워크 연결, 명령 History 등 활성 데이터 우선 수집
• [수집] 드라이브 암호화 유무 확인을 위한 mount 상태 확인 (blkid 명령 활용)
• [수집] 동적 디스크 저장소(LVM)의 사용 유무 확인
• [수집] 엔드포인트 단 네트워크 트리팩 수집 유무 결정
• [준비] 시스템에 설치된 모든 패키지의 무결성 확인
• [준비] 가상 하드 디스크(VHD)를 Linux에 마운트하는 방법

Expo Hall (전시 세션)

전시장은 제한된 시간에만 둘러볼 수 있었고, 이번 컨퍼런스에는 DFIR 도구, 포렌식 장비 및 도구(Digital, Mobile, Drone, Vehicle), 암호화폐 추적 등 분야로 총 47개 업체에서 전시 부스를 운영했다.

전시 부스 운영은 스폰서 등급(Diamond, Platinum, Gold, Silver) 기준으로 규모가 나뉘는데, 스폰서 등급에 따라 관련 분야에 대한 영향력을 알 수 있었다. 하지만, 참석자 대부분이 관련 분야에 종사하다 보니 잘 알려지고 이미 영향력 있게 사용하는 도구/장비보다는 새롭게 선보이는 장비/도구에 더 관심을 가졌다. 아무래도 새롭게 출시된 포렌식 장비나 도구를 사용해 볼 기회가 흔치 않아서 더 관심을 가질 수밖에 없다 보니 전시 부스의 규모가 참석자의 관심도와는 비례하지 않는 점도 알 수 있었다.

글을 마치며

지난 9월에 개최된 Techno 컨퍼런스를 참여하며 느낀 좋았던 점과 아쉬웠던 점을 얘기해 보려고 한다.

좋았던 점

가장 인상 남았던 부분은 원활한 행사 진행을 위해 컨퍼런스 전용 앱을 활용했다는 점이다. 앱에서 사용 가능한 기능은 다음과 같다.

• 컨퍼런스 일정, 컨퍼런스 관련 공지 진행
• 동의한 참석자에 한 해 참석자 정보 공개(이름, 회사, 국가)
• 참석자 간 채팅
• 세션 주제와 소개, 각 세션에 대한 메모 기능과 발표 자료 다운로드
• 참석자가 관심 있는 세션을 즐겨찾기 하면 컨퍼런스 일정을 커스텀하게 확인 가능

Conference Program에서는 모든 발표자가 무선 마이크를 연결해 넓은 Room에서도 선명한 목소리로 발표를 들을 수 있었다. 참석자 대부분이 기업 또는 정부 기관의 관련 종사자여서 발표가 일방적인 내용 전달보다는 서로 다른 관점을 의논하면서 세션이 운영되는 게 굉장히 인상적이었다.

전시 부스에서는 새롭게 출시된 도구/장비의 시연과 직접 사용해 보며 기존에 사용하고 있는 도구/장비와의 차이를 한눈에 볼 수 있어서 좋았다.

아쉬웠던 점

하나의 세션 시간에 최대 6개 세션이 동시에 진행되었고 발표 자료가 극 일부만 공개되었다는 점에서 동시에 진행되는 세션 중 관심 있는 다른 세션의 내용을 확인하기가 어렵다는 아쉬움이 있었다.

6월에 진행된 컨퍼런스는 세션 주제에 대해 다양성이 있었다면, 9월은 Forensics와 Investigation에 집중해 Incident Response와 관련된 내용이 많지 않았다는 부분도 아쉬웠다. 그리고 생각보다 기술적인 내용보다는 솔루션 위주의 발표 내용이 더 많았고, 기술적인 내용도 깊은 내용이 아니었기 때문에 기술적인 내용을 듣고 싶었던 입장에서 이부분이 더 아쉬웠다.

하루에 한 번 Networking Break 시간에 다과를 제공했다. 참석자 수에 비해 적게 비치 되어 오픈런을 해야 먹을 수 있어 컨퍼런스가 진행된 3일 중 하루만 먹을 수 있었다.