Since 1959

2026.07.02 (목)
2026.07.02 (목)
마에스트로 포렌식, 세미나서 시스템 내부 디지털 흔적 분석하는 포렌식 절차 소개해
2026-07-02 김미혜 기자, elecnews@elec4.co.kr

강화된 침해사고 대응 기능 중심으로 새롭게 구성...킬린 랜섬웨어 대응 사례 공유


마에스트로 포렌식(대표 김종광)은 7월 1일(수) 서울 독산동 인섹시큐리티 서울 독산 교육센터에서 ‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥(mac) 포렌식 세미나’을 성황리에 마쳤다고 밝혔다.


‘마에스트로 위즈덤(MAESTRO WiSDOM)’ 제품군은 윈도우, macOS, 리눅스, 모바일 등 다양한 운영체제와 디지털 기기에서 원스톱 분석을 수행할 수 있도록 설계됐다. 업체 측에 따르면 해당 제품군은 기존 제품 대비 5배 이상 빠른 증거 식별과 분석, 데이터 선별 추출을 지원하는 '포렌식 가속기(Forensic Accelerator)' 기술을 제공한다.



또한 별도의 악성코드를 설치하지 않고 운영체제의 정상 기능을 악용하는 LotL(Living off the Land) 공격, 파일을 남기지 않고 메모리에서만 실행되는 파일리스(Fileless) 공격, EDR(엔드포인트 단말 보안 탐지·대응 시스템)을 무력화하는 ‘EDR 킬러(EDR Killer)’ 유형의 공격까지 추적할 수 있다.


특히 단일 로그나 개별 이벤트를 분석하는 방식에서 벗어나 약 1,000개 이상의 디지털 아티팩트(Artifacts)를 상호 연관 분석함으로써 공격의 흐름과 행위 체인(Attack Chain)을 한눈에 파악할 수 있도록 설계됐다는 설명이다.


이번 세미나에서는 '마에스트로 위즈덤 포렌식 크레인(MAESTRO WiSDOM Forensic Crane)'도 함께 소개됐다. 포렌식 크레인은 macOS 라이브(Live) 환경에서 디지털 증거를 안전하게 수집하고 이미징(Imaging)할 수 있도록 설계된 솔루션으로, 250개 이상의 macOS 라이브 아티팩트를 자동 수집하고 디스크 이미징과 컨테이너 기반 선별 추출 기능을 지원한다고 업체 측은 전했다.


특히 애플 실리콘 칩(M1~M5) 기반 시스템은 물론, 최신 macOS 26(Tahoe) 환경에서도 라이브 및 전원 종료(Power Off) 이미징을 모두 지원해 최신 맥 환경에서도 안정적인 증거 확보가 가능하다는 것이다. 또한 수집된 증거 데이터의 MD5, SHA-1, SHA-256, SHA-512 해시(Hash) 값 계산을 지원해 증거 무결성을 확보하며, ZIP, AFF4, Sparse Image, MAEFDB 등 다양한 출력 포맷을 제공한다. 수집된 데이터는 WiSDOM macOS와 연동해 라이브 상태에서도 주요 디지털 아티팩트를 즉시 분석할 수 있어, 사고 대응 시간을 크게 단축할 수 있다는 설명이다.


이번에 개최된 ‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥 포렌식 세미나’에서는 macOS 환경의 증거 수집과 삭제 데이터 복구를 기반으로 시스템 내부의 디지털 흔적을 분석하는 포렌식 절차를 소개했다. 


교육 참가자들은 애플 macOS 계정 정보와 스포트라이트(Spotlight) 인덱스(파일 검색 기록), knowledgeC.db(앱 실행 및 사용자 활동 기록), Biome(사용자 행동 및 시스템 상태 정보) 등 주요 디지털 아티팩트(Artifacts) 분석 방법을 익혔다. 또한 메모리, 프로세스(실행 중인 프로그램), 이벤트 로그(시스템 동작 기록)를 종합 분석해 공격자의 침투부터 악성 행위 수행까지 이어지는 공격 행위 체인(Attack Chain)을 추적하는 실습도 함께 진행했다.


“3일 만에 원인 규명”…랜섬웨어 대응 사례도 소개


‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥 포렌식 세미나’에서는 지난 2월 공개한 킬린 랜섬웨어 (Qilin Ransomware, 기존 보안 솔루션을 먼저 무력화하거나 삭제·비활성화한 후 공격을 수행하는 고도화된 공격) 대응 사례도 함께 다뤄졌다.


당시 마에스트로 포렌식은 LotL·파일리스 기법이 결합된 킬린 랜섬웨어 침해사고를 마에스트로 위즈덤으로 분석해 2TB 디스크를 4시간 내 1차 분석하고, 삭제된 이벤트 로그까지 복구해 3일 만에 탐지·차단을 완료했다고 밝힌 바 있다. 통상 1~2주가 걸리는 고난도 분석을 크게 단축한 사례로, 참가자들은 이를 통해 실제 사고 대응 흐름을 단계별로 이해할 수 있었다는 것이다.


윈도우 환경의 파일 시스템·레지스트리·이벤트 로그 분석, 그리고 EXT·XFS 파일시스템 분석을 강화한 리눅스 환경 대응까지 함께 다뤄져, 맥·윈도우·리눅스가 혼재된 실제 침해사고 환경에 대응하는 통합적 시각이 제공됐다.


정보 유출·해킹·범죄수사까지 아우르는 실무 사례 공유


‘마에스트로 위즈덤(MAESTRO WiSDOM) 맥 포렌식 세미나’에서는 기업 내부 정보 유출 사고 조사, 해킹 및 악성코드 감염 분석, 침해사고 원인 규명과 행위 체인 분석, 범죄 관련 디지털 포렌식 수사 지원 등 실제 현장에서 적용 가능한 다양한 분석 사례도 함께 소개됐다. 참가자들은 운영체제별로 수집된 증거를 하나의 케이스로 통합 분석하고, 타임라인 기반으로 시각화해 사건의 발생 시점과 확산 경로를 파악하는 실무 절차도 직접 실습했다.


마에스트로 포렌식 김종광 대표는 “최근 침해사고는 랜섬웨어와 LotL, 파일리스 공격이 결합돼 기존 보안 솔루션만으로는 원인 규명이 어려운 경우가 많다”고 밝혔다. 이어, “이번 교육은 맥 환경을 포함한 다양한 운영체제에서 이런 신종 위협의 흔적까지 추적할 수 있는 실무 역량을 키우는 데 목적이 있다”며, “앞으로도 현업 분석가들이 실제 사건 대응 과정에서 마에스트로 위즈덤을 보다 빠르고 정확하게 활용할 수 있도록 정기적인 교육 과정을 지속 운영해 나갈 계획이다”라고 밝혔다.

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

100자평 쓰기