와일드패킷코리아 이영진 지사장은 지능형 지속 공격(APT)의 대응 방법으로 ‘네트워크 포렌식 분석’ 기법을 제안했다.
네트워크 포렌식 분석이란 네트워크상에서 발생하는 모든 상황과 행위를 기록·추적·분석함으로써 불법적인 행위를 분석하고 행위자를 추적하는 기능을 말한다.
주요 패킷을 수집해 분석해 근거를 확보하고 추출된 통계를 통해 불법 행위를 추적하는 방식이다.
이 지사장은 “네트워크 포렌식 솔루션은 다른 네트워크 트래픽·성능 모니터링 시스템에는 없는 모든 인터넷 주소(IP)와 서비스·포트에 대해 추적·분석한다”고 설명했다.
이어 “사전에 미리 설정하지 않은 각종·통계·분석 항목에 대해 사후 데이터를 추출할 수 있다”고 덧붙였다.
그는 “수십만 명의 사용자에 의한 1G·10G·40G 등 대용량 트래픽 네트웤 데이터에서 단 하나의 IP 행위도 찾아낸다”며 “네트워크의 과거부터 현재까지의 상황과 행위를 재현할 수 있기 때문에 네트워크 타임머신이라고도 불린다”고 설명했다.
네트워크 포렌식 분석 방식은 상·하위 20개 정도의 IP에 대해서만 모니터링하는 타 솔루션과 달리 모든 IP와 MAC 주소에 대해 모니터링·분석·데이터 마이닝 등을 실시함으로써 불법 행위를 차단한다.
아울러 모든 프로토콜과 TCP·UDP 세션 서비스에 대해 모니터링과 분석 및 데이터 마이닝 작업을 수행한다.
또 이 솔루션은 사전에 미리 설정하지 않은 각종 통계·분석 항목에 대해 사후 데이터를 추출할 수 있다.
원하는 날짜·시간과 각종 필터 조건으로 피캣을 비롯한 통계·분석 데이터를 검색하고 추출하는 방식이다.
이 지사장은 “사용자가 생각하지 못한 통계·분석 항목도 제시함으로써 네트워크상의 불법적인 행위를 차단할 수 있다”고 강조했다.