보안 전문업체인 주식회사 마에스트로 포렌식(대표 김종광)은 오늘, 레드햇과 우분투 파일 시스템 분석을 강화한 AI 기반 자동화 디지털 포렌식 솔루션 '마에스트로 위즈덤 리눅스(MAESTRO WiSDOM Linux)'를 발표했다.
이번 업데이트를 통해 레드햇(Red Hat), 우분투(Ubuntu), Fedora, CentOS, Debian 계열 등 주요 리눅스 배포판에서 사용되는 EXT 및 XFS 파일시스템에 대한 정밀 포렌식 분석이 새롭게 가능해졌으며, 서버 및 클라우드 환경에서 사용되는 리눅스 파일시스템에 대한 포렌식 분석 범위가 대폭 확대됐다.
최근 랜섬웨어, 웹 서버 침해, 공급망 공격, 내부자 위협 등 고도화된 사이버 공격이 리눅스 기반 서버와 클라우드 인프라를 주요 타깃으로 삼으면서, 리눅스 환경에 대한 정확한 디지털 포렌식 분석의 필요성이 빠르게 증가하고 있다. 그러나 기존 리눅스 포렌식 도구들은 지원 가능한 디지털 아티팩트가 제한적이거나 특정 배포판 및 파일시스템에 의존하는 구조를 가지고 있어, 로그나 파일 단편 위주의 분석에 그치는 경우가 많았다. 이로 인해 실제 수사 및 침해사고 대응 현장에서는 시스템 전반을 아우르는 종합적인 분석이 어렵다는 지적이 지속적으로 제기돼 왔다.
마에스트로 포렌식은 이러한 한계를 해결하기 위해, WiSDOM Linux를 단순한 리눅스 분석 도구가 아닌 DFIR 관점의 통합 리눅스 포렌식 플랫폼으로 지속적으로 고도화해 왔다.
마에스트로 위즈덤 리눅스는 EXT 계열(EXT2·EXT3·EXT4)과 XFS 파일시스템에 대한 포렌식 분석을 지원하여, 대형 리눅스 서버와 스토리지 환경은 물론, 클라우드 및 가상화 인프라, 고성능 파일 서버와 로그 서버 등에서 생성되는 디지털 증거를 파일시스템 구조 분석 단계부터 메타데이터, 삭제 파일, 변경 이력까지 정밀하게 분석할 수 있다.
특히 XFS 파일시스템은 대용량·고성능 환경에서 널리 사용되고 있음에도 불구하고 기존 포렌식 도구에서는 분석이 제한적이었던 영역으로, 이번 지원을 통해 기업과 공공기관의 실무 분석 범위가 크게 확대될 것으로 기대된다.
MAESTRO WiSDOM Linux는 현재 출시된 리눅스 포렌식 도구 가운데 전세계적으로 가장 많은 250종 이상의 디지털 아티팩트(PC·모바일·클라우드 등의 디지털 기기에 남은 활동 흔적) 추출·분석을 지원하는 것으로 평가받고 있아, 실제 수사와 사고 대응 환경에 특화된 분석 기능을 폭넓게 제공한다.
특히 공공·수사기관을 비롯해 디지털포렌식 전문 기업과 대기업 보안 관제 및 사고 대응 조직을 중심으로 서버 침해사고 및 리눅스 기반 사고 분석을 위한 핵심 도구로 도입 검토가 확대되고 있다.
마에스트로 위즈덤 리눅스의 주요 기능은 다음과 같다.
△시스템 설정 및 로그 분석: 리눅스 시스템 설정 파일과 커널 및 서비스 설정, 각종 시스템 로그를 종합적으로 분석해 침해 발생 시점과 시스템 변경 이력을 체계적으로 추적할 수 있다.
△파일시스템·운영체제·인터넷·이메일·DB 분석: 파일시스템 구조 분석을 기반으로 운영체제 핵심 아티팩트는 물론 웹 서비스 기록, 이메일 데이터, 데이터베이스 흔적까지 통합 분석함으로써 사고 전후의 전체 행위를 입체적으로 파악할 수 있다.
△다양한 전용 뷰어 제공: DB 뷰어, 이메일 뷰어, 웹 로그 뷰어, 타임라인 뷰어 등을 제공해 대량의 분석 데이터를 직관적으로 확인하고 효율적인 분석이 가능하도록 지원한다.
△정밀 데이터 분석 기능: 해시(Hash), 시그니처(Signature), EXIF 정보, Hex 값 분석 기능을 통해 파일 위·변조 여부와 악성 행위 여부를 정밀하게 식별할 수 있다.
△분석 효율을 높이는 조사 기능: 키워드 검색, 태그, 주석, 히스토리 기능을 제공해 대규모 사건에서도 분석 흐름을 체계적으로 관리하고 조사 효율을 극대화할 수 있다.
△증거 선별 추출 기능: 불필요한 데이터를 배제하고 핵심 증거만을 선별해 추출함으로써 분석 효율성과 증거의 신뢰성을 동시에 확보할 수 있다.
△사용자 활동 내역 제공: wtmp, btmp, utmp 등의 로그를 기반으로 로그인 및 로그인 실패 기록, 권한 상승 시도 등 사용자 활동 내역을 추적할 수 있다.
△원격 접속 및 파일 서버 접속 흔적 분석: SSH, SCP, rsync 등을 통한 원격 접속 기록과 파일 전송 이력을 분석해 침입 경로를 규명할 수 있다.
△방화벽 설정, 웹 로그 추출, 웹 쉘 의심 파일 탐지: 웹 서버 침해 여부를 정밀하게 식별함으로써 웹 서버 해킹, 내부자 위협, 장기 잠복형 공격(APT)에 이르기까지 폭넓은 분석이 가능하다.
△원격 시스템 침해사고 포렌식: 악성코드, 해킹사고 등의 침해사고 조사를 위한 원격시스템 접속 기능 제공, 랜섬웨어, 웹셀, 해킹 공격등의 조사를 위한 실시간 파일, 폴더, 파티션 증거 수집, 아티팩트 분석, 실시간 라이브 분석 수행이 가능하다
이렇게 마에스트로 위즈덤 리눅스으로 수행한 분석 결과를 마에스트로 위즈덤의 윈도우, 맥, 위협인텔리전스(CTIP) 등과 연계하여 디지털 포렌식 업무에 자연스럽게 통합할 수 있다. 이를 통해 침입 초기 단계부터 공격 확산과 행위 분석, 유사 공격 사례 비교, 분석 결과 기반 대응 및 보고까지의 전 과정을 통합적으로 단일 분석 플랫폼에서 수행할 수 있다.
마에스트로 위즈덤(MAESTRO WISDOM) 제품군은 윈도우, 맥(macOS), 리눅스(Linux), 모바일(Android·iOS), 클라우드 환경까지 아우르는 원스톱 침해사고 분석 및 대응 플랫폼으로, 기존 대비 5배 이상 빠른 증거 식별과 분석을 가능하게 하는 '포렌식 가속기(Forensic Accelerator)' 기술을 내장하고 있다. 특히 단일 로그나 단편적 이벤트 중심 분석이 아닌, 약 1000개 이상의 디지털 아티팩트를 상호 연관 분석해 공격 흐름과 행위 체인을 한눈에 파악할 수 있도록 설계됐다.
마에스트로 위즈덤은 현장 조사용 '마에스트로 위즈덤 라이브', 원격 침해사고 대응을 위한 '마에스트로 위즈덤 리모트', 모바일 악성코드 분석용 '마에스트로 위즈덤 모바일' 등으로 구성돼 있으며, 위협 인텔리전스 플랫폼 '마에스트로 CTIP'와 연동된다. 이를 통해 유사 공격 사례 탐색, 악성코드 기원 및 유포 경로 분석, 행위 패턴 비교가 가능하며, 글로벌 보안 솔루션과의 API 연계를 통해 분석 정확도를 한층 높였다.
마에스트로포렌식 김종광 대표는 “최근 침해사고의 상당수가 리눅스 서버와 클라우드 환경에서 발생하고 있음에도 이를 제대로 분석할 수 있는 포렌식 도구는 많지 않다. 마에스트로 위즈덤 리눅스(MAESTRO WiSDOM Linux)는 EXT·XFS 파일시스템 지원 확대와 대규모 아티팩트 분석을 통해 리눅스 포렌식의 실질적인 표준을 목표로 고도화되고 있다”며, “수사기관과 현업의 실전 테스트 결과를 마에스트로 위즈덤에 지속적으로 반영해 리눅스 기반 침해사고 분석과 DFIR 대응 분야에서 가장 신뢰받는 솔루션으로 발전시켜 나갈 것”이라고 말했다.
임민지 기자 minzi56@etnews.com