[심화] "분석 끝난 줄 알았지?" 🕵️‍♂️ AI가 알려주는 '놓친 증거' 찾는 법 (의도 기반 아티팩트 추천)

안녕하세요, 끝까지 의심하는 보안 연구원 여러분! 🔍

지난 시간, 우리는 AI를 통해 공격자의 '의도(Intent)'와 '목적(Objective)'을 파악했습니다. "아하! 이 녀석은 우리 회사의 설계도를 훔쳐서 경쟁사에 팔아넘기려는 '정보 탈취(Infostealer)'가 목적이었구나!"

자, 범인의 목적을 알았으니 수사 종료일까요? 절대 아닙니다. 🙅‍♂️ 오히려 진짜 수사는 지금부터입니다. 목적을 알았다는 것은 "범인이 어디를 뒤졌고, 무엇을 건드렸을지" 예측할 수 있다는 뜻이기 때문입니다.

• 정보 탈취가 목적이라면? 👉 브라우저 기록이나 FTP 접속 로그를 뒤져야겠죠.
• 랜섬웨어가 목적이라면? 👉 백업 삭제 로그나 파일 서버 접속 기록을 봐야 합니다.

하지만 윈도우에는 수천 가지의 아티팩트(Artifact, 증거 흔적)가 있습니다. 이걸 다 뒤질 순 없죠. 그래서 오늘은 "AI야, 범인의 의도가 '이것'이니, 내가 추가로 뒤져봐야 할 증거가 뭐야?" 라고 물어보는 심화 실습을 진행하겠습니다.

여러분의 분석 범위를 파일 하나에서 시스템 전체로 확장하는 결정적인 단계입니다! 🚀

 

---

1. 🧩 왜 '추가 아티팩트'를 조사해야 하나요?

악성코드 파일 하나만 분석해서는 전체 공격의 10%밖에 보지 못합니다. 악성코드는 실행된 후 시스템 곳곳에 '발자국'을 남깁니다.

• 파일은 지워졌지만... 프리패치(Prefetch)에는 실행 기록이 남아있을 수 있습니다.
• 통신은 끊겼지만... DNS 캐시에는 접속했던 해커 서버 주소가 남아있을 수 있습니다.
• 로그인은 실패했지만... 보안 이벤트 로그(4625)에는 무차별 대입 공격 시도가 남아있을 수 있습니다.

우리는 AI에게 "이 발자국이 어디 찍혀있을지 좌표를 찍어줘"라고 요청할 것입니다.

---

2. 🧠 [실습] AI를 '포렌식 수사관'으로 전직시키기

우리가 지난 시간에 파악한 '공격 의도'가 입력값이 됩니다. 가장 흔한 두 가지 시나리오(랜섬웨어, 정보 탈취)를 예로 들어보겠습니다.

📝 시나리오 A: 정보 탈취 (Information Theft)

공격자가 브라우저에 저장된 패스워드나 중요 문서를 노리는 상황입니다.

[프롬프트 입력]

[역할] 당신은 디지털 포렌식 전문가입니다.

[상황] 분석 결과, 해당 악성코드는 '브라우저 계정 정보 및 문서 파일 탈취(Infostealer)'를 주 목적으로 하는 것으로 파악되었습니다.

[요청 사항] 이 공격 의도를 기반으로, 분석가가 반드시 추가로 조사해야 할 윈도우 아티팩트(Artifacts) 5가지를 추천해 주세요. 각 아티팩트별로 '확인해야 할 구체적인 경로/파일명'과 '예상되는 흔적'을 상세히 설명하세요.

[AI의 추천 결과] 🤖

🕵️‍♂️ 정보 탈취 대응 추가 조사 리스트

1. 웹 브라우저 아티팩트 (Web Browser Forensics)
   • 경로: %LocalAppData%\Google\Chrome\User Data\Default\History (및 Login Data)
   • 이유: 악성코드가 이 파일들에 접근한 시간(Access Time)이 악성 행위 시간대와 일치하는지 확인해야 합니다.
2. 최근 문서 접근 기록 (LNK Files & Jumplists)
   • 경로: %AppData%\Microsoft\Windows\Recent\
   • 이유: 공격자가 탈취하기 위해 열어본 중요 문서(설계도.pdf, 비밀번호.xlsx) 목록이 남아있을 수 있습니다.
3. Shellbags (폴더 접근 기록)

경로: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

1. • 이유: 공격자가 파일 탐색기로 특정 폴더(예: "재무팀 공유폴더")를 조회했다면 흔적이 남습니다.

---

📝 시나리오 B: 랜섬웨어 & 파괴 (Ransomware & Destruction)

공격자가 시스템을 암호화하고 복구를 방해하려는 상황입니다.

[프롬프트 입력]

[상황] 분석 결과, 공격자는 '랜섬웨어 감염 및 시스템 복구 무력화'를 시도했습니다.

[요청 사항] 암호화 시점과 복구 무력화 시도를 증명하기 위해 확인해야 할 시스템 로그 및 아티팩트를 추천해 주세요.

[AI의 추천 결과] 🤖

🕵️‍♂️ 랜섬웨어 대응 추가 조사 리스트

1. Windows Security Event Log (이벤트 뷰어)

ID: 4663 (개체 접근) 또는 4688 (프로세스 생성)

1. • 이유: 대량의 파일에 대해 Write/Delete 권한을 요청한 기록이나, vssadmin.exe 실행 기록을 찾아야 합니다.
2. NTFS $MFT (Master File Table)
   • 분석 포인트: 파일의 $STANDARD_INFORMATION 속성 시간이 아주 짧은 간격으로 대량 변경되었는지 확인합니다. (암호화 시 파일 수정 시간이 일괄 변경됨)
3. 레지스트리 런 키 (Persistence)
   • 경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • 이유: 재부팅 후에도 랜섬노트를 띄우기 위해 등록된 값이 있는지 확인합니다.

---

3. 🔦 [심화] "그래서 도구는 뭐 쓰라고?"

AI가 "프리패치를 보세요"라고 했는데, 메모장으로 열 수는 없잖아요? AI에게 분석 도구까지 추천받으세요.

[추가 질문] "방금 추천해 준 'Shellbags'와 'Prefetch'를 분석하기 위해 사용할 수 있는 무료 포렌식 도구는 무엇이 있어? 사용법도 간단히 알려줘."

[AI 답변 예시]

• Shellbags: ShellBags Explorer (Eric Zimmerman tools)를 추천합니다. GUI로 쉽게 폴더 탐색 이력을 볼 수 있습니다.
• Prefetch: PECmd 또는 WinPrefetchView를 사용하세요. 실행 횟수와 마지막 실행 시간을 알 수 있습니다.

---

4. 💡 분석가의 인사이트: AI는 '지도', 걷는 건 '나'

이 실습이 중요한 이유는 '터널 시야(Tunnel Vision)'를 방지해주기 때문입니다. 분석가들은 종종 눈앞의 악성코드 파일 하나에만 너무 집중해서, 옆방에 열려있는 백도어를 놓치곤 합니다.

AI는 "잠깐, 이 놈이 도둑이라면 창문도 깨졌는지 확인해야지!" 라고 옆에서 조언해주는 베테랑 수사 파트너 역할을 합니다.

---

🎉 마치며: 빈틈없는 수사망 완성!

이제 여러분은 단순히 악성코드를 분석하는 것을 넘어, 시스템 전체를 아우르는 포렌식 조사를 수행할 수 있게 되었습니다.

1. 악성코드 분석: 범인의 몽타주 확보 (완료)
2. 의도 파악: 범행 동기 확보 (완료)
3. 추가 아티팩트 조사: 범행 현장의 숨겨진 지문 확보 (오늘 완료!)

이제 정말 빠져나갈 구멍이 없군요. 😎 다음 시간은 이 긴 여정의 진정한 피날레! "[최종] AI로 전문가급 악성코드 분석 보고서(PDF) 자동 생성하기"를 통해 여러분의 노력을 멋진 결과물로 만들어보겠습니다.

여러분의 분석이 완벽해지는 그날까지! 화이팅! 🔍📂

---