침해사고분석 매뉴얼의 개요: 타임라인

◎ 개요 및 목적
 - 정의
  > 타임라인 분석은 시간 기반 증거(Temporal Evidence)를 중심으로 침해사고의 전체 과정을 재구성하는 핵심 분석 기법입니다. 모든 디지털 아티팩트의 시간 정보를 통합하여 공격자의 행위를 논리적으로 추적합니다.

 - 핵심 가치
  > 효율성: 방대한 로그를 시간 기준으로 필터링하여 분석 범위 최적화
  > 정확성: 여러 소스의 교차검증으로 false positive 최소화  
  > 입증성: 법적/규제 대응을 위한 객관적 증거 체인 확보

◎ 타임라인 분석의 효용성
 - 분석 효율성 증대
  > Pivot Time 기반 분석: 핵심 시점을 중심으로 ±X 시간 범위 집중 분석
  > 다중 소스 통합: 시스템, 네트워크, 애플리케이션, 클라우드 등 모든 로그 통합
  > 노이즈 감소: 관련성 높은 이벤트만 선별하여 분석 정확도 향상

 - 침해 시나리오 재구성
  > Kill Chain 매핑: Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Exfiltration
  > MITRE ATT&CK 프레임워크 적용: TTPs(Tactics, Techniques, Procedures) 식별 및 분류
  > Dwell Time 측정: 최초 침투부터 탐지까지 소요 시간 산출

 - 포렌식 증거 가치
  > Chain of Custody 유지: 증거의 무결성과 추적가능성 보장
  > 법적 증거능력: 시간 기반 객관적 증거로 사법 절차 지원
  > 보고서 작성: 경영진, 규제기관, 법 집행기관 대상 명확한 커뮤니케이션

◎ 분석 기준 시점 (Pivot Time)
 - 초기 침투 지표
  > 취약점 악용 시점 (웹쉘 업로드, SQL Injection 등)
  > 피싱 메일 열람/실행 시점
  > 외부 C2 서버와 최초 통신 시점
  > 비정상 인증 시도/성공 시점

 - 지속성 확보 지표  
  > 악성코드 파일 생성/실행 시점
  > 서비스/스케줄러 등록 시점
  > 레지스트리 Run Key 수정 시점
  > 신규/의심 계정 생성 시점

 - 내부 확산 지표
  > 권한 상승 이벤트 발생 시점
  > Lateral Movement 시작 시점
  > 중요 시스템 접근 시점
  > 대량 데이터 접근/수집 시점

 - 데이터 유출 지표
  > 대용량 파일 압축/암호화 시점
  > 외부 전송 트래픽 급증 시점
  > 클라우드 스토리지 업로드 시점

◎ 타임라인 구성 방법론
 - 하이브리드 접근법 (권장)

  > 1단계: 자동 수집

• Plaso/log2timeline으로 Super Timeline 생성
• KAPE, Velociraptor 등으로 아티팩트 대량 수집

 

  > 2단계: 정제 및 필터링 

• Pivot Time ±X 시간 범위 추출
• IOC 기반 필터링
• 중복 제거 및 정규화

 

  > 3단계: 수동 분석 및 검증

• 컨텍스트 기반 이벤트 연관성 분석
• False Positive 제거
• 시나리오 논리적 검증

 

  > 4단계: 시각화 및 보고

• Timeline Explorer, Timesketch 활용
• 공격 시나리오 다이어그램 작성
• MITRE ATT&CK 매핑

 

 - 도구별 활용 전략

도구	용도	장점	주의사항
Plaso/log2timeline	대량 아티팩트 파싱	1,500+ 아티팩트 지원	노이즈 많음, 필터링 필수
Timeline Explorer	시각화 및 필터링	Excel 기반 직관적 UI	대용량 데이터 처리 한계
Timesketch	협업 분석	웹 기반, 다중 분석가 지원	설치/관리 복잡
Velociraptor	실시간 수집	원격 포렌식 가능	에이전트 설치 필요

◎ 시간 기반 데이터 소스 (완전판)
 - 파일시스템 아티팩트
  > NTFS: $MFT, $LogFile, $UsnJrnl, $Extend
  > Linux/Unix: inode timestamps, journal logs
  > macOS: FSEvents, Spotlight metadata

 - Windows 시스템 아티팩트
  > 이벤트 로그: Security(4624/4625), System, Application, PowerShell, Sysmon
  > 레지스트리: UserAssist, ShimCache, AmCache, BAM/DAM
  > 실행 흔적: Prefetch, Jump Lists, LNK files
  > 시스템 리소스: SRUM database, WMI repository

 - 메모리 및 휘발성 데이터
  > 프로세스 생성/종료 시간
  > 네트워크 연결 상태
  > 로드된 DLL/드라이버
  > 레지스트리 하이브 in memory

 - 네트워크 아티팩트
  > 로그: Firewall, IDS/IPS, Proxy, VPN
  > 트래픽: PCAP, NetFlow, Zeek logs
  > DNS: Query logs, cache records

 - 애플리케이션 아티팩트
  > 웹 브라우저: History, Cache, Cookies, Downloads, IndexedDB
  > 이메일: Headers, PST/OST timestamps
  > 데이터베이스: Transaction logs, audit trails

 - 클라우드 및 SaaS
  > AWS: CloudTrail, GuardDuty, VPC Flow Logs
  > Azure: Activity Logs, Sign-in Logs, Defender logs
  > Google: Workspace Admin Logs, Cloud Audit Logs
  > O365: Unified Audit Log, Message Trace

 - 모바일 및 IoT
  > 스마트폰 앱 사용 기록
  > IoT 디바이스 활동 로그
  > 차량 인포테인먼트 시스템
  > 산업 제어 시스템(ICS/SCADA) 로그

◎ 분석 시 핵심 고려사항
 - 시간 동기화
  > UTC 표준화: 모든 타임스탬프를 UTC로 변환
  > Time Zone 매핑: 로컬 시간대 정보 보존
  > Clock Skew 보정: NTP 동기화 상태 확인 및 보정

 - 무결성 검증
  > 타임스탬프 변조 탐지: $STANDARD_INFO vs $FILE_NAME 비교
  > Anti-forensics 탐지: Timestomp 등 도구 사용 흔적
  > 해시 검증: 증거 수집 전후 무결성 확인

 - 상관관계 분석
  > Cross-validation: 다중 소스 교차 검증
  > Pattern Recognition: 반복 패턴 및 이상 징후 식별
  > Baseline 비교: 정상 활동 대비 이상 행위 탐지

◎ 실무 적용 체크리스트
 - 준비 단계
  > 분석 목표 및 범위 정의
  > Pivot Time 후보 식별
  > 데이터 소스 가용성 확인
  > 도구 및 환경 준비

 - 수집 단계
  > 휘발성 데이터 우선 수집
  > 시스템 이미지 획득
  > 로그 및 아티팩트 추출
  > Chain of Custody 문서화

 - 분석 단계
  > 타임라인 생성 및 정규화
  > Pivot Time 중심 필터링
  > 이벤트 상관관계 분석
  > 시나리오 재구성 및 검증

 - 보고 단계
  > 타임라인 시각화
  > MITRE ATT&CK 매핑
  > 근본 원인 분석(RCA)
  > 개선 권고사항 도출

◎ 산출물 템플릿
 - 타임라인 기록 양식
Event_ID | UTC_Time | Local_Time | Source | Event_Description | IOC | Confidence | Notes

 - 시나리오 요약 양식
Phase | Time_Range | TTPs | Evidence | Impact | Recommendations

◎ 참고 표준 및 프레임워크
 - NIST SP 800-86: Guide to Integrating Forensic Techniques
 - SANS FOR508: Advanced Incident Response
 - ISO/IEC 27037: Digital Evidence Collection
 - MITRE ATT&CK: Adversary Tactics and Techniques
 - FIRST CSIRT Framework: Incident Response Services

◎ 결론
 - 타임라인 분석은 현대 침해사고 대응의 핵심 역량입니다. 자동화 도구와 수동 분석을 적절히 조합하고, 다양한 데이터 소스를 통합 분석함으로써 침해사고의 전체 그림을 명확히 파악할 수 있습니다. 

  > 성공적인 타임라인 분석의 핵심

• 정확한 Pivot Time 설정
• 포괄적인 데이터 수집
• 체계적인 상관관계 분석
• 명확한 시각화와 보고