마에스트로포렌식, 디지털 포렌식 국산화 선언…외산보다 3배 빠른 ‘위즈덤’ 공개

디지털포렌식 전문기업 마에스트로포렌식(대표 김종광)이 인공지능(AI) 기반 통합 포렌식 플랫폼 ‘마에스트로 위즈덤(MAESTRO WiSDOM)’ 제품군을 앞세워 “디지털 포렌식 제품을 국산화하겠다“고 선언했다.

마에스트로포렌식은 11일 인섹시큐리티 서울 독산 교육센터에서 기자간담회를 열고, 윈도우·맥·리눅스·모바일·클라우드 환경을 한 번에 다루는 포렌식 도구를 자체 기술로 고도화해 외산 위주인 국내 포렌식 시장의 구조를 바꾸겠다고 밝혔다.

김종광 마에스트로포렌식 대표는 “국내 디지털 포렌식과 침해사고 조사 현장은 여전히 외산 도구에 의존하고 있고, 독점 구조 속에서 라이선스 비용도 계속 오르고 있다”며 “역대급 해킹 사태가 지속되는 상황에서 컴퓨터와 침해사고 포렌식 분야만큼은 반드시 국산화해야 한다는 사명감으로 제품을 개발하고 있다”고 말했다. 그는 외국 벤더 제품을 유통해오면서 동시에 자체 국산 포렌식 도구를 키워온 배경을 “이익만을 위한 일이 아니라 국산 포렌식 기술에 대한 애착과 책임감에서 시작한 일”이라고 강조했다.

윈도우부터 리눅스·맥까지위즈덤으로 원스톱’ 통합 포렌식 제공

이번에 공개된 ‘마에스트로 위즈덤’은 윈도우(Window), 맥(macOS), 리눅스(Linux), 모바일(Android·iOS)까지 아우르는 통합 포렌식 플랫폼이다. 디지털 포렌식은 PC, 서버, 스마트폰 등 각종 디지털 기기에 남은 흔적을 분석해 사고 원인과 공격 경로를 복원하는 작업을 뜻한다.

제품군은 역할에 따라 세분화된다. ‘마에스트로 위즈덤 윈도우 디지털 포렌식’은 윈도우 환경에서 340여개 기능을 제공해 사용자의 로그인·프로그램 실행 이력부터 웹 브라우저 기록, 메신저·이메일 흔적까지 폭넓게 수집한다.

‘마에스트로 위즈덤 맥OS 디지털 포렌식’과 리눅스 포렌식 도구는 맥·리눅스 시스템에서 현존 도구 중 가장 많은 아티팩트(공격자나 사용자가 남긴 디지털 증거)를 추출·분석하는 것을 목표로 설계됐다. 리눅스 버전은 170개 이상 아티팩트를 지원하며, 원격 접속·파일 서버 접속 기록 등 서버 환경에서 중요한 흔적을 집중 분석한다.

현장 대응용 ‘마에스트로 위즈덤 라이브’는 운영 중인 시스템에서 전원을 끄지 않고 실시간으로 메모리·프로세스 정보를 수집한다. ‘마에스트로 위즈덤 리모트’는 지사·원격지 PC를 네트워크로 연결해 증거 이미지를 추출하고, ‘마에스트로 위즈덤 모바일’은 스마트폰 악성코드 분석과 데이터 복구에 초점을 맞췄다. 이들 제품은 ‘디지털 포렌식 및 사고 대응(DFIR) 전용 플랫폼 ‘마에스트로 위즈덤 사이버’에서 하나의 모듈처럼 통합 관리된다.

김 대표는 “글로벌 포렌식 도구와 비교했을 때 위즈덤은 지원하는 아티팩트 종류가 두 배 이상 많고, 대용량 데이터 분석 속도도 크게 개선했다”며 “윈도우·맥·리눅스·모바일을 하나의 국산 플랫폼에서 함께 다루는 것이 가장 큰 차별점”이라고 설명했다.

11일 열린 마에스트로포렌식 ‘마에스트로 위즈덤 제품군 출시’ 기자간담회 현장 (사진=마에스트로포렌식 제공)

2TB를 하루 24시간 걸리던 분석, 3배 이상 속도 높여

위즈덤의 핵심은 분석 속도와 작업 효율이다. 마에스트로포렌식은 ‘포렌식 가속기(Forensic Accelerator)’라는 기술을 적용해 수백 기가바이트(GB)에서 수 테라바이트(TB)에 이르는 디스크 이미지를 빠르게 훑어 필요한 아티팩트만 선별 추출하도록 했다.

김종광 대표는 “외산 벤더 기준으로 2TB 디스크를 분석하는 데 24시간이 걸리던 시간이 위즈덤을 쓰면 약 3분의1 수준으로 단축된다”며 “현장 조사와 사고 대응에서 시간은 곧 비용이자 책임이기 때문에 속도는 매우 중요한 경쟁력”이라고 강조했다.

마에스트로포렌식 연구팀 관계자는 “물론 아티팩트가 많다고 해서 무조건 좋은 도구인 것은 아니다”라며 “위즈덤은 단순히 목록을 늘리는 대신, 특정 카테고리에서 의미 있는 흔적을 묶어 보여주는 전용 아티팩트를 설계했다”고 설명했다.

예를 들면, 특정 사용자 계정의 로그인 기록, 프로그램 실행 이력, 네트워크 접속 흔적을 하나의 흐름으로 묶어 보여주면 분석자가 일일이 로그를 넘겨보지 않고도 사건 타임라인을 파악할 수 있다는 설명이다.

이를 위해 위즈덤에는 ‘타임라인 뷰어’ 기능이 탑재돼 있다. 포렌식 대상 컴퓨터에서 발생한 주요 이벤트를 시간순으로 배열하고, 화면 전환마다 태그 형식으로 표시해 “사용자가 언제 파일을 열고, 어떤 프로그램을 실행했는지, 시스템이 언제 종료됐는지”를 한눈에 볼 수 있게 설계했다. 김 대표는 “컴퓨터의 종료 시각까지 자동으로 잡아내 사건 발생 전후 흐름을 복원할 수 있다”고 말했다. 전문성이 깊지 않는 담당자도 포렌식 작업을 수월하게 할 수 있게 설계한 것이 핵심이다.

이벤트 로그·비밀번호 복구까지외산 도구엔 없는 현장 친화성

위즈덤은 윈도우 이벤트 로그(운영체제가 남기는 시스템 기록) 분석 기능도 제품 안에 기본 탑재했다. 많은 포렌식 도구가 이벤트 로그를 보려면 별도의 서드파티 뷰어를 구매해야 하지만, 위즈덤은 로그 수집·분류·검색까지 동일 화면에서 처리한다.

김 대표는 “침해사고에서는 공격자가 흔적을 지우는 경우가 많지만, 이벤트 로그에는 여전히 접속·권한 변경 같은 기록이 남는다”며 “이벤트 ID마다 의미가 모두 다른데, 공공기관이나 군처럼 담당자가 자주 바뀌는 곳에서는 그 아이디(ID)를 모두 외우기 어렵다”고 했다.

이어 “실제 경찰청 등 공공기관에서는 새로 부임한 담당자들이 이벤트 로그를 가장 어려워하는데, 위즈덤은 클릭 몇 번만으로 침해와 관련된 이벤트를 묶어 보여주기 때문에 초보자도 빠르게 적응할 수 있다”고 덧붙였다.

암호화된 파일 분석을 위한 비밀번호 복구 도구도 내장돼 있다. 암호가 걸린 문서·압축 파일을 자동으로 찾아 여러 공격 기법을 통해 비밀번호를 추정하는 방식이다. 마에스트로포렌식 측은 “먼저 시스템 안에 저장된 암호 잠금 설정 파일을 찾아낸 뒤, 이를 바탕으로 비밀번호를 복구하는 구조”라고 설명했다.

또한 위즈덤은 악성코드 유포 서버의 IP 주소와 접속 URL을 자동으로 추출하는 기능을 제공한다.

김 대표는 “실무에서는 ‘어떤 서버에서 악성코드를 내려받았는지’ 확인하는 일이 쉽지 않다”며 “고객사의 요청을 반영해 IP·URL 추적 기능을 넣었고, 물리보안 업체를 포함한 여러 고객사에서 ‘이제 하나의 도구로 필요한 정보를 모두 얻을 수 있다’는 피드백을 받았다”고 전했다.

파일리스·LOTL·웹셸까지, 최근 해킹 패턴 겨냥한 통합 DFIR

마에스트로포렌식은 최근 카드사 해킹 사고에서 악용된 오라클 웹로직 서버 취약점 기반 공격을 실제로 재현하고, 위즈덤으로 공격 전 과정을 복원하는 시연을 진행한 바 있다. 웹 애플리케이션 취약점을 파고든 웹셸(WebShell·웹 서버에 심는 원격 제어용 악성 스크립트), 운영체제나 시스템 자체의 내장 도구만을 악용하는 파일리스(Fileless)·LOTL(Living Off The Land) 공격, 코발트스트라이크와 같은 모의해킹 도구 악용까지 결합된 복합 공격을 한 플랫폼에서 분석하는 방식이다.

김 대표는 “요즘 공격은 단순한 악성 파일 한 개로 끝나지 않는다”며 “초기 침투 이후 권한 탈취, 내부 확산, 데이터 접근까지 이어지는 전 과정을 하나의 DFIR 플랫폼에서 다뤄야 제대로 된 대응이 가능하다”고 강조했다.

위즈덤은 메모리 분석, 삭제 파일 복구, 데이터 카빙(파편화된 데이터 복원), 데이터베이스(DB)·이벤트 로그·애플리케이션 로그 분석을 모두 단일 화면에서 처리하도록 만들었다.

엔드포인트 위협 탐지·대응 솔루션인 엔드포인트 탐지 대응(EDR) 기술과의 차이도 분명히 했다. 김 대표는 “엔드포인트 탐지 대응 솔루션(EDR)은 악성 행위 탐지와 격리에 초점을 맞춘 도구라 삭제된 파일 복구나 공격 전후 맥락을 보는 데는 한계가 있다”며 “위즈덤은 EDR이 잡은 경보를 출발점으로 삼아 ‘공격자가 어느 서버에서 악성코드를 내려받았는지, 이후 어떤 명령을 실행했는지’를 시간순으로 보여주는 포렌식 도구”라고 말했다.

AI 기반 공격·휴머노이드 시대까지국산 포렌식 기술로 대응해야

마에스트로포렌식은 앞으로 AI 기반 공격과 새로운 디지털 환경을 겨냥한 기능도 추가할 계획이다. 김 대표는 “앞으로는 AI를 이용한 사이버 공격량이 지금과 비교할 수 없을 정도로 많아질 것”이라며 “사람을 대신해 사고를 조사하는 휴머노이드 로봇이 등장하면, 로봇이 (이상행동을 해) 사람을 다치게 한 이유를 분석하는 ‘휴머노이드 포렌식’도 필요해질 것”이라고 전망했다.

이를 위해 회사는 위즈덤에 제미나이, 클로드 등 범용 AI 모델을 사용해 분석·보고서를 자동으로 생성하는 기능을 탑재하는 작업을 진행 중이다. 방대한 아티팩트를 AI가 먼저 분류하고, 공격 경로를 정리한 뒤 조사자가 검토·보완하는 구조를 목표로 한다.

김 대표는 “공격 패턴이 계속 바뀌기 때문에 포렌식 도구도 꾸준히 패턴을 추가하고 고도화해야 한다”며 “전통적인 제조사들이 따라가지 못하는 부분을 국산 포렌식 도구가 채우고 싶다”고 말했다.

공공··수사기관으로 확산, 교육·자격증으로 생태계도 확장

마에스트로포렌식은 위즈덤 제품군을 공공기관, 군 정보기관, 수사기관, 금융·대기업, 디지털 포렌식 전문기업 등에 공급하며 레퍼런스를 넓히고 있다. 특히 여러 운영체제가 섞여 있는 환경에서 동일한 분석 경험을 제공한다는 점이 공공·대기업 고객에게 강점으로 작용하고 있다는 설명이다.

교육과 자격증 과정도 함께 운영한다. 서울 독산 교육센터와 제주 함덕 디지털포렌식 자격증 교육센터에서 ‘취약점 진단·악성코드 탐지·침해사고 대응·디지털포렌식 실무’ 교육을 상시 진행하며, 5일 과정 워크숍을 통해 초심자부터 전문가까지 단계별 커리큘럼을 제공한다. 고객사에는 제품 도입 이후에도 최신 기능 업데이트와 기술지원을 결합한 사후 서비스를 제공해 포렌식 실무 역량을 꾸준히 높이겠다는 계획이다.

김종광 대표는 “디지털 포렌식은 앞으로 사이버 수사와 기업 침해사고 대응의 ‘기본 도구’가 될 것”이라며 “외산 중심 시장에서 국산 포렌식 플랫폼이 당당히 경쟁할 수 있도록 기술 고도화와 인력 양성에 투자를 이어가겠다”고 말했다.

마에스트로포렌식은 인섹시큐리티의 자회사로, 디지털 포렌식·취약점 진단·악성코드 분석 기술을 기반으로 공공·군·수사기관과 기업에 솔루션과 교육을 제공하고 있다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.