🔍 정보보안기사 | 침해사고분석대응 핵심 정리 (4-4편)

ESIEM · CTI · Fuzzing · Tripwire vs Nessus · CVSS · Backdoor · /proc · Shellcode · NOP · jmp esp · BaaS · Joke · Polymorphism · Packing · Black/White Box Test · Snort 액션 심화 · IE 사용 흔적 · Windows 레지스트리 · ESM Correlation까지 완벽 정리.

#정보보안기사 #침해사고분석대응보충 #ESIEM #CTI #CVSS #Snort액션심화 #Shellcode #ESMCorrelation

📋 목차

1. 보안관제 솔루션 심화 — ESIEM · CTI · ESM 상관관계 분석(Correlation)
2. 소프트웨어 보안 테스트 — Fuzzing · 블랙박스 · 화이트박스 테스트
3. 보안 도구 비교 — Tripwire vs Nessus · CVSS · Traceback
4. 악성코드 심화 — Backdoor · Joke · Polymorphism · Packing · BaaS
5. 시스템 취약점 심화 — /proc · Shellcode · NOP 0x90 · jmp esp
6. Snort 룰 액션 심화 — drop · reject · sdrop · activate · dynamic
7. 포렌식 · 시스템 정보 — IE 사용 흔적 · Windows 레지스트리 루트키 · date vs ntpdate
8. 4-4 보충편 전체 최종 요약

1. 보안관제 솔루션 심화 — ESIEM · CTI · ESM 상관관계 분석

🔧 현직자 실무 포인트

ESM→SIEM→SOAR 흐름에서 ESIEM은 SIEM과 구분되는 별도 개념으로 출제됩니다. CTI는 APT 대응의 핵심 개념으로 SIEM과의 연계 방식을 세트로 암기하세요. Correlation(상관관계 분석)은 ESM의 핵심 기능이며 이기종 장비 간 로그 연관 분석이 포인트입니다.

솔루션	핵심 설명
ESIEM	ESM의 진화 형태. 대용량 로그 수집·분석·검색에 특화된 통합 로그 수집 시스템. 보안 장비 로그뿐 아니라 DB 서버·OS·애플리케이션 로그와 비정형 데이터까지 수집. 분산 로그 수집 에이전트 방식 적용.
CTI (Cyber Threat Intelligence)	사이버 위협 인텔리전스. 내외부 조직이 경험한 보안 위협 정보를 전문가 집단이 수집·분석한 증거 기반 위협 정보. SIEM 등 보안관제 솔루션과 연계하여 APT 같은 지능형 공격 대응 지원.
ESM Correlation (상관관계 분석)	동종 또는 이기종 보안 장비에서 발생하는 보안 정보·이벤트·로그 간의 연관성을 분석. 보안 위협에 대한 정확한 판단과 대응 가능. ESM의 핵심 기능.

📋 보안관제 솔루션 발전 흐름

ESM (에이전트→매니저→콘솔 / 이기종 통합 관제)

→ ESIEM (ESM 진화형 / 대용량·비정형 로그 분산 수집)

→ SIEM (빅데이터 기반 상관관계 분석 / 위협 탐지)

→ SOAR (대응 자동화 / Playbook 기반)

🎯 시험 출제 포인트

ESIEM = ESM 진화형 / 대용량 로그 / 분산 에이전트 방식
CTI = 증거 기반 사이버 위협 인텔리전스 / SIEM 연계 / APT 대응
ESM Correlation = 이기종 장비 로그 간 연관성 분석
발전 순서: ESM → ESIEM → SIEM → SOAR

2. 소프트웨어 보안 테스트 — Fuzzing · 블랙박스 · 화이트박스 테스트

Q Fuzzing(퍼징)이란?

→ 프로그램 실행 시 무작위 또는 비정상적 데이터를 입력하여 오류 발생 여부로 보안 취약점을 탐색하는 소프트웨어 보안 테스트 기법 퍼징 도구 = Fuzzer. 종류: 웹 퍼징 / 네트워크 퍼징 / 파일 포맷 퍼징

테스트 방식	분석 대상	특징
블랙박스 테스트 (Black Box)	외부 인터페이스와 입력값에 대한 반응 분석	소스코드 미접근. 실제 공격자 시점. DAST 유사.
화이트박스 테스트 (White Box)	소스코드를 직접 살펴보며 취약점 발견	내부 구조 파악. SAST 유사. 코드 리뷰 포함.

🎯 시험 출제 포인트

Fuzzing = 무작위 비정상 입력으로 취약점 탐색 / 도구: Fuzzer
블랙박스 = 소스코드 미접근 / 외부 인터페이스 기반
화이트박스 = 소스코드 직접 분석 / 내부 구조 파악

3. 보안 도구 비교 — Tripwire vs Nessus · CVSS · Traceback

도구/개념	역할	핵심 키워드
Tripwire	파일시스템의 무결성 점검 오픈소스 도구	파일 변조 탐지 / HIDS 연계
Nessus	미국 Tenable사 개발 취약점 점검 도구. 패스워드·서버 설정 등 알려진 취약점 점검 후 보고서 제공	종합 취약점 스캐너
CVSS	취약점의 심각도를 수치화하는 공개 프레임워크. 동작 환경과 파급력 고려. MITRE사 관리.	HeartBleed = CVSS 10점(최고)
Traceback	공격자가 여러 나라·컴퓨터를 거쳐 우회 공격 시 해커의 실제 위치 추적 기술	우회 공격 역추적

🎯 시험 출제 포인트

Tripwire = 파일 무결성 점검 / Nessus = 종합 취약점 점검 (Tenable사)
CVSS = 취약점 심각도 수치화 / HeartBleed = CVSS 10점 만점
CVE = 취약점 식별 체계 / CVSS = 취약점 심각도 점수 체계 (구분 필수)
Traceback = 우회 공격자 실제 위치 추적

4. 악성코드 심화 — Backdoor · Joke · Polymorphism · Packing · BaaS

인증 우회

🚪 Backdoor (Trap Door)

정상 인증 절차를 우회하는 비밀 통로. 관리자·개발자가 임시로 만든 것을 해커가 악용. 침입 후 재진입 및 권한 유지에 사용. Trap Door 동의어.

무해 악성코드

🃏 Joke

데이터 파괴 등 구체적 피해는 없지만 바이러스와 유사한 증상으로 사용자를 놀라게 하는 프로그램. 예: Delete_Game, Format_Game

탐지 회피

🔀 Polymorphism (다형성)

악성코드 기능은 유지하면서 실행 시마다 코드를 변형하여 시그니처 기반 탐지 회피.

탐지 방해

📦 Packing

실행 파일을 압축하거나 암호화하여 분석과 탐지를 어렵게 하는 기법.

Q BaaS(Backup as a Service)란? 보안과의 연관성은?

→ 외부 클라우드 서비스 제공자(CSP)의 스토리지에 데이터를 백업하는 서비스. 자체 백업 인프라 없이 클라우드에서 백업·복구 자동화. 랜섬웨어 대응 방안 중 하나. 오프라인·오프사이트 백업의 일종.

🎯 시험 출제 포인트

Backdoor = 정상 인증 우회 비밀 통로 / Trap Door 동의어 / 재진입·권한 유지 목적
Joke = 피해 없음 + 사용자 놀라게 / Delete_Game, Format_Game 예시
Polymorphism = 실행 시마다 코드 변형 → 시그니처 탐지 우회
Packing = 압축·암호화로 분석·탐지 방해
BaaS = 클라우드 백업 서비스 / 랜섬웨어 대응 수단

5. 시스템 취약점 심화 — /proc · Shellcode · NOP 0x90 · jmp esp

🔧 현직자 실무 포인트

/proc 디렉터리는 메모리 기반 가상 파일시스템으로 루트킷 탐지 시 핵심 비교 대상입니다. Shellcode·NOP·jmp esp는 버퍼 오버플로우 공격의 핵심 개념으로 시스템보안 영역과도 연결됩니다.

개념	설명
/proc 디렉터리	리눅스 커널이 관리하는 프로세스 자원·커널 파라미터 상태를 파일 형식으로 보관하는 가상 파일시스템. 디스크가 아닌 메모리 영역에 존재. 부팅 시마다 새롭게 생성. 루트킷 탐지 시 ps 명령 결과와 /proc 비교하여 숨겨진 프로세스 탐지.
Shellcode	Exploit 수행 시 공격자 의도 명령을 담은 어셈블리 기계어로 작성된 소형 코드. 좁은 의미 = 셸 실행 코드 / 넓은 의미 = 공격자가 원하는 모든 작업 수행 코드. x86 아키텍처 NOP(No Operation) 헥사값: 0x90
jmp esp	x86 계열에서 ESP 레지스터가 가리키는 값을 EIP 레지스터로 이동시키는 어셈블리 명령. EIP = 다음 실행 명령어 주소 / ESP = 현재 스택 포인터

🎯 시험 출제 포인트

/proc = 메모리 기반 가상 파일시스템 / 부팅 시마다 생성
루트킷 탐지: ps 결과 vs /proc 비교 → 숨겨진 프로세스 발견
Shellcode = 어셈블리 기계어 소형 코드 / NOP 헥사값: 0x90
jmp esp = ESP(스택포인터) → EIP(명령어주소) 이동

6. Snort 룰 액션 심화 — drop · reject · sdrop · activate · dynamic

액션	동작	비고
alert	경고 발생 + 로그 기록	기본 탐지 액션
log	로그만 기록 (경고 없음)	패킷 수집 목적
pass	패킷 무시 (통과)	화이트리스트 용도
drop	패킷 차단 + 로그 기록	인라인 모드 필요
reject	패킷 차단 + 로그 기록 + TCP이면 TCP Reset, UDP이면 ICMP 오류 메시지 전송	상대방에게 거부 응답 전송
sdrop	패킷 차단만 (로그 기록 없음)	Silent Drop
activate	경고 발생 + dynamic 룰 활성화	조건 충족 시 dynamic 트리거
dynamic	activate 룰에 의해 활성화. log 룰과 동일하게 패킷 로그만 기록	activate 없이 단독 동작 불가

🎯 시험 출제 포인트

drop = 차단 + 로그 / reject = 차단 + 로그 + 오류 응답 (TCP→Reset, UDP→ICMP)
sdrop = 차단만 (로그 없음) / Silent Drop
activate = 경고 + dynamic 룰 활성화
dynamic = activate에 의해 활성화 + 로그만 기록
drop/reject/sdrop은 인라인 모드에서 동작

7. 포렌식 · 시스템 정보 — IE 사용 흔적 · Windows 레지스트리 루트키 · date vs ntpdate

인터넷 익스플로러(IE) 인터넷 사용 흔적 3가지

임시 파일 ①

📁 캐시 (임시 인터넷 파일)

방문 웹페이지의 이미지·파일 등을 로컬 저장. 포렌식 시 방문 사이트 파악 가능.

임시 파일 ②

📋 히스토리 (열어본 페이지)

방문 URL 목록과 방문 시각 기록. 악성 사이트 접속 여부 확인에 핵심.

임시 파일 ③

🍪 쿠키 (임시 쿠키 파일)

웹사이트가 클라이언트에 저장하는 소형 데이터. 세션 하이재킹 증거로 활용 가능.

Windows 레지스트리 루트키 3종

루트키	전체 명칭	저장 정보
HKCR	HKEY_CLASSES_ROOT	파일 확장명과 응용 프로그램 연결 정보. 파일 더블클릭 시 어떤 프로그램으로 열지 결정.
HKCU	HKEY_CURRENT_USER	현재 로그인 사용자의 환경 설정 정보. 바탕화면 설정·소프트웨어 기본 설정 포함.
HKLM	HKEY_LOCAL_MACHINE	시스템 하드웨어 및 소프트웨어 설정 정보. 악성코드 자동 실행 경로(Run 키)가 여기 포함.

Q date 명령어와 ntpdate 명령어의 차이는?

→ date = 현재 호스트의 날짜·시간 확인 또는 설정 (로컬) / ntpdate = 원격지 NTP 서버에 접속하여 시스템 날짜·시간을 동기화 포렌식 조사 시 date로 시스템 시간 신뢰성 확인. 시간 변조는 증거 인멸 수단으로 악용되기도 함.

🎯 시험 출제 포인트

IE 인터넷 사용 흔적 3종: 캐시 · 히스토리 · 쿠키
HKCR = 파일 확장명 연결 / HKCU = 현재 사용자 설정 / HKLM = 시스템 설정
HKLM Run 키 = 악성코드 자동 실행 등록 경로
date = 로컬 시간 확인·설정 / ntpdate = NTP 서버 시간 동기화

8. 📌 4-4 보충편 전체 최종 요약

🎯 보충편 절대 암기 포인트

ESIEM = ESM 진화형 / 대용량 로그 / 분산 에이전트 방식
CTI = 증거 기반 사이버 위협 인텔리전스 / SIEM 연계 / APT 대응
ESM Correlation = 이기종 장비 로그 간 연관성 분석
발전 순서: ESM → ESIEM → SIEM → SOAR
Fuzzing = 무작위 비정상 입력으로 취약점 탐색 / 도구: Fuzzer
블랙박스 = 소스코드 미접근 / 외부 인터페이스 기반
화이트박스 = 소스코드 직접 분석
Tripwire = 파일 무결성 점검 / Nessus = 종합 취약점 점검 (Tenable사)
CVSS = 취약점 심각도 수치화 / HeartBleed = CVSS 10점 만점
CVE = 식별 체계 / CVSS = 심각도 점수 체계 (구분 필수)
Traceback = 우회 공격자 실제 위치 추적
Backdoor = 인증 우회 비밀 통로 / Trap Door 동의어 / 재진입·권한 유지
Joke = 피해 없음 + 사용자 놀라게 / Delete_Game, Format_Game
Polymorphism = 실행 시마다 코드 변형 → 시그니처 탐지 우회
Packing = 압축·암호화로 분석·탐지 방해
BaaS = 클라우드 백업 서비스 / 랜섬웨어 대응 수단
/proc = 메모리 기반 가상 파일시스템 / 부팅 시마다 생성
루트킷 탐지: ps 결과 vs /proc 비교 → 숨겨진 프로세스 발견
Shellcode = 어셈블리 기계어 소형 코드 / NOP 헥사값: 0x90
jmp esp = ESP(스택포인터) → EIP(명령어주소) 이동
Snort drop = 차단 + 로그
Snort reject = 차단 + 로그 + 오류 응답 (TCP→Reset, UDP→ICMP)
Snort sdrop = 차단만 (로그 없음) / Silent Drop
Snort activate = 경고 + dynamic 룰 활성화
Snort dynamic = activate에 의해 활성화 + 로그만 기록
IE 사용 흔적 3종: 캐시 · 히스토리 · 쿠키
HKCR = 파일 확장명 연결 / HKCU = 현재 사용자 설정 / HKLM = 시스템 설정
date = 로컬 시간 확인·설정 / ntpdate = NTP 서버 시간 동기화

📚 정보보안기사 실기 핵심 정리 — 전체 목차

🖥️ 시스템보안

시스템보안 핵심 정리 (1-1편) 시스템보안 핵심 정리 (1-2편) 시스템보안 핵심 정리 (1-3편)

🌐 네트워크보안

네트워크보안 핵심 정리 (2-1편) 네트워크보안 핵심 정리 (2-2편) 네트워크보안 핵심 정리 (2-3편)

🔗 애플리케이션보안

애플리케이션보안 핵심 정리 (3-1편) 애플리케이션보안 핵심 정리 (3-2편) 애플리케이션보안 핵심 정리 (3-3편)

🚨 침해사고분석대응

침해사고분석대응 핵심 정리 (4-1편) 침해사고분석대응 핵심 정리 (4-2편) 침해사고분석대응 핵심 정리 (4-3편) 침해사고분석대응 핵심 정리 (4-4편)

🔐 정보보안일반 · 법규

정보보안일반 핵심 정리 (5-1편) 정보보안일반 핵심 정리 (5-2편) 정보보안 법규 핵심정리(6-1편) 정보보안 법규 핵심정리(6-2편)

🗺️ 리눅스 서비스 설정 파일 핵심 정리 번외편

서비스 설정 파일 구성 (1/4) xinetd·inetd · TCP Wrapper (2/4) 데몬별 보안 설정 총정리 (3/4) systemd .service · .socket (4/4)