마에스트로포렌식, 맥 증거수집·침해분석 기능 소개
마에스트로포렌식은 지난 1일 서울 독산동 인섹시큐리티 교육센터에서 열린 ‘마에스트로 위즈덤 맥 포렌식 세미나’에서 맥 운영체제의 디지털 증거 수집·분석 기능과 침해사고 대응 사례를 소개했다고 2일 밝혔다.
회사는 인공지능(AI) 기반 디지털 포렌식·악성코드 분석 플랫폼 ‘마에스트로 위즈덤(MAESTRO WiSDOM)’을 활용한 맥OS 환경의 증거 수집과 삭제 데이터 복구, 공격 경로 분석 방법을 시연했다.
마에스트로 위즈덤은 맥OS와 윈도우, 리눅스, 모바일 기기에서 수집한 증거를 하나의 사건 단위로 분석하는 플랫폼이다. 회사는 ‘포렌식 가속기(Forensic Accelerator)’ 기술을 적용해 증거 식별과 분석, 데이터 선별 추출 속도를 기존 제품보다 5배 이상 높였다고 설명했다.
운영체제에 포함된 정상 도구를 공격에 악용하는 ‘리빙 오프 더 랜드(LotL)’와 파일을 저장하지 않고 메모리에서 악성코드를 실행하는 파일리스 공격도 분석한다. 단말 위협 탐지·대응(EDR) 솔루션을 무력화하는 공격 흔적도 추적할 수 있다.
마에스트로포렌식은 약 1000개 이상의 디지털 아티팩트를 연계해 분석한다고 밝혔다. 디지털 아티팩트는 계정 정보와 프로그램 실행 기록, 파일 사용 내역 등 운영체제와 애플리케이션에 남은 디지털 흔적을 뜻한다.
세미나에서는 맥 증거수집 솔루션 ‘마에스트로 위즈덤 포렌식 크레인(MAESTRO WiSDOM Forensic Crane)’도 소개했다. 이 솔루션은 작동 중인 맥OS 환경에서 250개 이상의 디지털 아티팩트를 자동으로 수집한다. 저장장치를 복제하는 디스크 이미징과 필요한 데이터만 추출하는 기능도 제공한다.
회사는 애플 실리콘(Apple silicon) M1부터 M5 칩을 탑재한 기기와 맥OS 타호 26(macOS Tahoe 26)을 지원한다고 설명했다. 수집한 데이터의 해시값을 계산해 증거가 변경되지 않았는지 확인하는 기능도 제공한다.
참가자들은 계정 정보와 파일 검색 기록, 애플리케이션 실행·사용자 활동 기록을 분석했다. 메모리와 실행 중인 프로그램, 시스템 동작 기록을 종합해 공격자의 침투부터 악성 행위까지 이어지는 경로를 추적하는 실습도 진행했다.
지난 2월 발표한 킬린(Qilin) 랜섬웨어 침해사고 분석 사례도 공유했다. 마에스트로포렌식은 당시 2테라바이트(TB) 용량의 디스크를 4시간 안에 1차 분석하고 삭제된 이벤트 기록을 복구해 3일 안에 공격 원인을 규명하고 차단했다고 설명했다.
김종광 대표는 “최근 침해사고는 랜섬웨어와 운영체제 기본 도구 악용, 파일리스 공격이 결합돼 기존 보안 솔루션만으로 원인을 규명하기 어려운 경우가 많다”며 “현업 분석가가 다양한 운영체제에서 공격 흔적을 추적할 수 있도록 교육을 지속하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



