마에스트로포렌식, 리눅스 포렌식 기능 강화한 ‘마에스트로 위즈덤 리눅스’ 발표

마에스트로포렌식은 레드햇(Red Hat)·우분투(Ubuntu) 등 주요 리눅스 배포판의 파일시스템 분석 기능을 강화한 인공지능(AI) 기반 자동화 디지털 포렌식 솔루션 ‘마에스트로 위즈덤 리눅스(MAESTRO WiSDOM Linux)’를 발표했다고 24일 밝혔다.

회사는 이번 업데이트로 레드햇, 우분투, 페도라(Fedora), 센트OS(CentOS), 데비안(Debian) 계열에서 쓰이는 EXT와 XFS 파일시스템에 대한 정밀 포렌식 분석을 신규 지원한다고 설명했다. 회사는 서버·클라우드 환경에서 생성되는 디지털 증거를 파일시스템 구조 분석 단계부터 메타데이터, 삭제 파일, 변경 이력까지 추적·분석할 수 있도록 기능을 확장했다고 덧붙였다.

마에스트로포렌식은 ‘마에스트로 위즈덤 리눅스’가 디지털 아티팩트 250종 이상을 추출·분석하도록 지원한다고 밝혔다. 디지털 아티팩트는 PC·모바일·클라우드 등 디지털 기기에 남는 활동 흔적을 뜻한다. 기능으로는 리눅스 시스템 설정과 각종 로그 분석, 운영체제 핵심 흔적과 웹 서비스 기록·이메일 데이터·데이터베이스(DB) 흔적 통합 분석, DB·이메일·웹 로그·타임라인 뷰어 제공, 해시(Hash)·시그니처(Signature)·EXIF(사진 메타데이터)·헥스(Hex) 값 분석, 키워드 검색·태그·주석·히스토리 기능, 증거 선별 추출 등을 제시했다. 또 wtmp·btmp·utmp 기반 로그인·로그인 실패·권한 상승 시도 추적, SSH·SCP·rsync 접속 및 파일 전송 흔적 분석, 방화벽 설정·웹 로그 추출·웹 셸 의심 파일 탐지 기능을 포함했다고 밝혔다.

원격 시스템 침해사고 조사 기능도 내세웠다. 마에스트로포렌식은 원격 접속을 통해 실시간 파일·폴더·파티션 증거를 수집하고, 아티팩트 분석과 라이브 분석을 수행할 수 있다고 설명했다. 분석 결과는 ‘마에스트로 위즈덤’의 윈도우·맥(macOS) 제품과 위협 인텔리전스 플랫폼 ‘마에스트로 CTIP(MAESTRO CTIP)’ 등과 연계해 단일 분석 흐름으로 통합할 수 있다고 덧붙였다.

김종광 마에스트로포렌식 대표는 “최근 침해사고의 상당수가 리눅스 서버와 클라우드 환경에서 발생하고 있음에도 이를 제대로 분석할 수 있는 포렌식 도구는 많지 않다”며 “EXT·XFS 파일시스템 지원 확대와 대규모 아티팩트 분석을 통해 리눅스 포렌식 기능을 고도화해 나가겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network