1. 초기 대응: 증거 보존 및 네트워크 차단
- 네트워크 분리 (유선 차단 또는 DHCP 해제)
- 메모리 덤프 및 디스크 이미지 확보 (FTK Imager, Magnet RAM Capture 등)
- 현재 시스템 시간 기록
- 보안 솔루션에 의한 자동 삭제 방지용 백업 확보
- 사용자 즉시 작업 중단 요청
2. 프로세스 및 자동 실행 확인
{1} 실행 중인 프로세스 분석
tasklist /v
또는 Process Explorer를 활용하여 다음 항목 확인:
- 알 수 없는 프로세스명
- 비정상 경로 (C:\Users\..., C:\ProgramData\... 등)
- 과도한 리소스 사용
{2} 자동실행 항목 분석
wmic startup get caption,command
또는 Autoruns를 사용하여 다음 경로 분석:
- HKCU\...\Run
- HKLM\...\Run
- Startup 폴더
3. 네트워크 연결 및 DNS 흔적 분석
{1} 네트워크 세션 확인
netstat -ano
이후 tasklist /FI "PID eq [PID]"로 프로세스 매핑
{2} DNS 캐시 확인
ipconfig /displaydns
푸니코드 도메인 (xn--), 단축 URL(bit.ly) 등 의심 도메인 여부 확인
4. 파일 생성 및 권한 상승 흔적 분석
{1} 최근 생성/수정된 파일 탐색
Get-ChildItem -Recurse | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-3) }
- AppData, %TEMP%, Downloads, ProgramData 하위 파일 우선 확인
{2} 특수 권한 실행 파일 확인
icacls C:\경로\파일.exe
- SYSTEM, TrustedInstaller, Everyone에 F(Full) 권한 부여 여부 확인
5. 이벤트 로그 분석
{1} 로그인 및 권한 상승
eventvwr.msc → Windows Logs > Security
- Event ID 4624: 성공한 로그인
- Event ID 4625: 로그인 실패
- Event ID 4672: 관리자 권한 부여
{2} 시스템 및 서비스 이벤트
- System: 서비스 시작, 드라이버 설치
- Application: 애플리케이션 예외, DLL 오류 등
6. 사용자 명령 이력 분석
{1} PowerShell 이력
Get-Content (Get-PSReadlineOption).HistorySavePath
{2} CMD 실행 이력
기본 저장은 되지 않으나, ShimCache, Prefetch, .LNK 등으로 추적 가능
도구: AppCompatCacheParser, RECmd, JumpLister
7. 레지스트리 기반 지속성 확인
자동 실행, 서비스 등록 등을 위해 악성코드가 레지스트리를 수정하는 경우가 있다.
regedit 또는 RegRipper, Autoruns로 다음 경로 분석:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM\SYSTEM\CurrentControlSet\Services
- HKLM\Software\Microsoft\Windows\CurrentVersion\Shell
8. 브라우저 로그 분석
침해사고 원인이 피싱 사이트 접속, 악성 파일 다운로드, 세션 탈취일 수 있으므로 브라우저 로그 분석은 필수이다.
{1} Chrome
%LocalAppData%\Google\Chrome\User Data\Default
분석 대상:
- History: 방문 기록 (SQLite3)
- Downloads: 다운로드 파일 내역
- Cookies: 로그인 세션 유지 정보
- Cache: 다운로드된 JS/HTML
SQLite 명령 예시:
sqlite3 History "SELECT url, title, last_visit_time FROM urls ORDER BY last_visit_time DESC LIMIT 10;"
→ 푸니코드(xn--), 피싱 키워드, 이중 도메인 등 점검
{2} Edge
%LocalAppData%\Microsoft\Edge\User Data\Default
→ Chrome과 구조 동일
{3} Firefox
%AppData%\Mozilla\Firefox\Profiles\[랜덤].default-release
분석 대상:
- places.sqlite: 방문 기록
- downloads.sqlite: 다운로드 기록
- cookies.sqlite: 세션 및 인증 정보
- sessionstore.jsonlz4: 세션 복구 정보
9. 외부 저장장치/다운로드 흔적 확인
{1} USB 연결 이력
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object { $_.Message -like "*USB*" }
{2} 파일 다운로드 및 삭제 흔적
- $Recycle.Bin 점검
- .LNK 파일 및 Prefetch 분석
- 브라우저 Download 로그 분석과 병행
10. 수집 대상 요약
구분 수집 대상
| 시스템 상태 | 프로세스, 서비스, 자동실행, 메모리 |
| 로그 | 보안 이벤트, 시스템, 애플리케이션 |
| 브라우저 | History, Downloads, Cookies, Cache |
| 네트워크 | netstat, DNS 캐시 |
| 사용자 활동 | PowerShell 히스토리, 명령 실행 흔적 |
| 기타 | USB 연결, Prefetch, $Recycle.Bin, LNK |
Windows 사용자 PC에서의 침해사고 대응은 단순한 백신 검사로 끝나지 않는다.
브라우저 로그, 사용자 명령 이력, 네트워크 연결, 로그 이벤트, 파일 시스템 변화 등을 종합적으로 분석하여 감염 경로, 악성 행위, 확산 가능성을 파악해야 한다.
또한 다음 사항들을 기억해야 한다:
- 의심스러운 외부 접속 기록은 반드시 브라우저 로그와 DNS 캐시로 검증한다.
- 실행 중인 프로세스와 자동실행 항목은 루트킷 여부를 고려해 철저히 분석한다.
- 디지털 증거 확보 → 분석 → 격리/복원 → 재발 방지의 전주기 대응 프로세스를 마련해야 한다.