AI 포렌식 분석 가이드
AI 포렌식 분석 가이드#
unJaena AI의 핵심 기능인 AI 포렌식 분석을 활용하여 수집된 증거를 빠르고 정확하게 분석하는 방법을 안내합니다. 자연어 질의를 통해 수만 건의 아티팩트에서 의미 있는 증거를 찾아내고, 사건의 전체적인 그림을 파악할 수 있습니다.
AI 포렌식 분석이란?#
AI 포렌식 분석은 수집된 디지털 증거(레지스트리, Prefetch, EventLog, 브라우저 기록, USB 기록 등)를 AI가 자동으로 분석하여 사건의 핵심 증거를 식별하고, 시간순 재구성, 위협 분류, 상관관계 분석을 수행하는 기능입니다.
주요 특징#
- 자연어 질의: 전문 쿼리 언어 없이 일상적인 언어로 질문
- 시맨틱 검색: 키워드가 아닌 의미 기반으로 관련 증거를 자동 검색
- MITRE ATT&CK 매핑: 발견된 위협을 킬체인 단계별로 자동 분류
- 증거 인용: 모든 분석 결과에 구체적 증거 출처 표시
- 다국어 지원: 한국어, 영어, 일본어, 중국어로 분석 가능
분석 시작하기#
1단계: 케이스 선택#
- 대시보드에서 분석할 케이스를 선택합니다.
- 케이스 상태가 분석 준비 완료인지 확인합니다.
- 데이터 업로드와 인덱싱이 완료되어야 AI 분석이 가능합니다.
- AI 분석 탭을 클릭하여 분석 페이지로 이동합니다.
2단계: 분석 방법 선택#
unJaena AI는 세 가지 분석 방법을 제공합니다. 목적에 따라 적절한 방법을 선택하세요.
3가지 분석 방법#
AI 분석 (AI Analysis)#
가장 강력한 분석 방법으로, 자연어 질의를 통해 AI가 증거를 검색하고 종합적인 분석 보고서를 생성합니다.
적합한 경우:
- 특정 의심 활동을 조사할 때
- 사건의 전체적인 개요를 파악하고 싶을 때
- 여러 아티팩트 간의 상관관계를 분석할 때
- 킬체인 분석이 필요할 때
사용 방법:
- AI 분석 탭에서 질문을 입력합니다.
- AI가 관련 증거를 검색하고 분석합니다.
- 분석 결과가 실시간으로 스트리밍됩니다.
- 후속 질문을 통해 심층 분석을 진행합니다.
수동 리뷰 (Manual Review)#
수집된 아티팩트를 직접 탐색하고 검토하는 방법입니다.
적합한 경우:
- 특정 아티팩트를 직접 확인하고 싶을 때
- 특정 시간대의 데이터를 수동으로 검토할 때
- AI 분석 결과의 원본 증거를 확인할 때
사용 방법:
- 수동 리뷰 탭으로 이동합니다.
- 아티팩트 유형별로 필터링합니다 (레지스트리, Prefetch, EventLog 등).
- 시간 범위를 설정하여 특정 기간의 데이터를 조회합니다.
- 개별 아티팩트의 상세 내용을 확인합니다.
타임라인 프로파일러 (Timeline Profiler)#
시스템의 전체 활동을 시간순으로 시각화하여 이상 징후를 탐지합니다.
적합한 경우:
- 사건의 시간적 흐름을 파악할 때
- 비정상적인 시간대(야간, 주말)의 활동을 탐지할 때
- 여러 이벤트 간의 시간적 연관성을 분석할 때
사용 방법:
- 타임라인 프로파일러 탭으로 이동합니다.
- 분석 기간을 설정합니다.
- 시각화된 타임라인에서 활동 패턴을 확인합니다.
- 이상 활동이 감지된 구간을 클릭하여 상세 정보를 확인합니다.
자연어 질의 사용법#
AI 분석의 핵심은 자연어 질의입니다. 전문 용어를 몰라도 일상적인 언어로 질문할 수 있습니다.
질의 예시#
기본 질의:
- "이 시스템에서 의심스러운 활동이 있었나요?"
- "USB 장치 연결 기록을 보여주세요"
- "최근 7일간 실행된 프로그램 목록을 알려주세요"
구체적 조사 질의:
- "2026년 3월 15일 오후 2시 이후 외부 저장매체로 복사된 파일이 있나요?"
- "PowerShell이 비정상적인 시간대에 실행된 적이 있나요?"
- "삭제된 파일의 흔적을 찾아주세요"
위협 분석 질의:
- "이 시스템의 킬체인 분석을 수행해주세요"
- "악성코드 감염 가능성이 있는 증거를 찾아주세요"
- "C2 서버와의 통신 흔적이 있나요?"
- "내부자 위협과 관련된 증거를 분석해주세요"
교차 분석 질의:
- "USB 연결 후 다운로드된 파일이 있는지 분석해주세요"
- "신규 계정이 생성된 후 발생한 의심스러운 활동을 보여주세요"
- "원격 접속 후 접근된 파일 목록을 시간순으로 정리해주세요"
후속 질문 활용#
AI는 이전 대화 맥락을 유지합니다. 첫 번째 분석 결과를 바탕으로 후속 질문을 활용하세요.
첫 번째 질문: "USB 연결 기록을 보여주세요"
→ AI: USB 연결 이벤트 3건 발견 (3/15 14:32, 3/16 09:15, 3/18 22:47)
후속 질문: "3월 15일 USB 연결 전후 30분간의 파일 활동을 분석해주세요"
→ AI: USB 연결 직후 문서 파일 5개가 접근되고, 이 중 3개가 USB로 복사됨
후속 질문: "복사된 3개 파일의 상세 정보와 관련 사용자 활동을 보여주세요"
→ AI: 상세 분석 결과 제공
AI 분석 보고서 이해하기#
AI 분석 결과는 다음과 같은 구조로 제공됩니다.
발견 사항 요약#
분석에서 확인된 핵심 발견 사항을 우선순위 순으로 정리하여 보여줍니다. 각 발견 사항에는 관련 증거와 중요도가 포함됩니다.
증거 인용#
모든 분석 결과에는 [증거 #N] 형식의 증거 인용이 포함됩니다. 이를 통해 AI의 주장이 어떤 실제 증거에 기반하는지 확인할 수 있습니다.
예시:
USB 장치(SanDisk Extreme, S/N: 4C530001)가 2026-03-15 14:32:18에
연결되었습니다 [증거 #1]. 연결 직후 14:35:42에 'ProjectX_Final.docx'
파일에 대한 접근이 감지되었습니다 [증거 #2]. 이 파일은 14:37:05에
외부 드라이브로 복사되었습니다 [증거 #3].
각 [증거 #N]을 클릭하면 해당 아티팩트의 원본 데이터를 확인할 수 있습니다. 이를 통해:
- AI 분석의 정확성을 직접 검증할 수 있습니다.
- 원본 아티팩트의 전체 내용을 확인할 수 있습니다.
- 추가 조사가 필요한 증거를 식별할 수 있습니다.
타임라인#
발견된 이벤트를 시간순으로 재구성하여 사건의 흐름을 파악할 수 있습니다. 이상 시간대(야간, 주말)의 활동은 별도로 강조됩니다.
신뢰도 표시#
AI 분석 결과에는 각 판단에 대한 신뢰도가 표시됩니다:
| 신뢰도 | 의미 | 권장 조치 |
|---|---|---|
| 확실 | 아티팩트 증거가 명확하게 뒷받침 | 보고서에 포함 |
| 가능성 높음 | 여러 간접 증거가 뒷받침 | 추가 확인 권장 |
| 추가 조사 필요 | 일부 증거만 확인됨 | 심층 조사 수행 |
MITRE ATT&CK 킬체인 매핑#
AI 분석은 발견된 위협 활동을 MITRE ATT&CK 프레임워크에 자동으로 매핑합니다. MITRE ATT&CK는 사이버 공격의 전술과 기법을 체계적으로 분류한 국제 표준 프레임워크입니다.
킬체인 단계#
분석에서 식별되는 주요 공격 단계:
| 단계 | 설명 | 탐지 예시 |
|---|---|---|
| Initial Access | 최초 침입 경로 | 피싱 이메일, 악성 다운로드 |
| Execution | 악성 코드 실행 | 의심스러운 프로세스 실행 기록 |
| Persistence | 지속성 확보 | 레지스트리 자동실행 키 등록 |
| Privilege Escalation | 권한 상승 | 관리자 계정 획득 시도 |
| Defense Evasion | 방어 회피 | 로그 삭제, 타임스탬프 변조 |
| Credential Access | 자격 증명 접근 | 브라우저 저장 데이터 접근 |
| Discovery | 정보 수집 | 시스템 정보 수집 명령 |
| Lateral Movement | 내부 확산 | 원격 데스크톱 접속 기록 |
| Collection | 데이터 수집 | 특정 폴더 대량 접근 |
| Command & Control | C2 통신 | 의심스러운 외부 연결 |
| Exfiltration | 데이터 유출 | USB/클라우드 대량 복사 |
| Impact | 영향/피해 | 파일 암호화, 시스템 변경 |
킬체인 분석 활용#
킬체인 매핑 결과를 통해:
- 공격의 현재 진행 단계를 파악할 수 있습니다.
- 아직 수행되지 않은 단계를 예측하여 선제적 대응이 가능합니다.
- 각 단계의 증거를 연결하여 공격의 전체 그림을 구성할 수 있습니다.
다국어 분석#
unJaena AI는 4개 언어를 지원합니다. 케이스 생성 시 설정한 분석 언어에 따라 AI 응답이 제공됩니다.
지원 언어#
| 언어 | 질의 | AI 응답 | 아티팩트 검색 |
|---|---|---|---|
| 한국어 | O | O | O |
| 영어 | O | O | O |
| 일본어 | O | O | O |
| 중국어 | O | O | O |
다국어 검색#
어떤 언어로 질문하더라도 AI는 모든 언어의 아티팩트를 검색합니다. 예를 들어:
- 한국어로 "악성코드 흔적을 찾아주세요"라고 질문하면, 영어 이벤트 로그와 한국어 사용자 활동 모두에서 관련 증거를 찾습니다.
- 일본어로 질문해도 동일한 검색 범위가 적용됩니다.
효과적인 질의 팁#
구체적으로 질문하기#
비추천: "뭔가 이상한 거 있나요?"
추천: "최근 7일간 야간(22시-06시)에 발생한 의심스러운 활동을 보여주세요"
시간 범위 지정하기#
특정 기간을 지정하면 더 정확한 결과를 얻을 수 있습니다.
"2026년 3월 15일부터 3월 20일까지의 USB 활동을 분석해주세요"
"지난 48시간 동안 실행된 의심스러운 프로세스를 찾아주세요"
아티팩트 유형 명시하기#
분석 대상을 특정하면 더 집중적인 분석이 가능합니다.
"EventLog에서 실패한 로그인 시도를 보여주세요"
"Prefetch에서 비정상적인 시간에 실행된 프로그램을 찾아주세요"
"레지스트리에서 자동실행으로 등록된 항목을 확인해주세요"
교차 분석 요청하기#
여러 아티팩트 간의 관계를 분석하면 더 깊은 인사이트를 얻을 수 있습니다.
"USB 연결 시점과 파일 다운로드 기록을 교차 분석해주세요"
"새로운 서비스가 설치된 시점 전후의 네트워크 활동을 보여주세요"
단계적으로 심화하기#
넓은 범위에서 시작하여 점차 구체적으로 파고들어가세요.
1단계: "이 시스템의 전반적인 보안 상태를 평가해주세요"
2단계: "발견된 의심스러운 Prefetch 파일에 대해 자세히 분석해주세요"
3단계: "해당 실행 파일과 관련된 네트워크 연결 기록이 있나요?"
자주 묻는 질문 (FAQ)#
Q: AI 분석 결과를 법적 증거로 사용할 수 있나요?#
AI 분석 결과는 수사의 방향을 설정하고 핵심 증거를 식별하는 보조 도구입니다. 법적 증거로 활용하기 위해서는 전문 포렌식 분석가의 검증과 확인이 필요합니다. AI가 제시하는 증거 인용([증거 #N])을 통해 원본 아티팩트를 직접 확인하실 수 있습니다.
Q: AI가 잘못된 분석을 할 수 있나요?#
AI는 수집된 실제 증거만을 기반으로 분석하지만, 해석의 정확도는 100%가 아닙니다. 이를 위해:
- 모든 주장에 증거 인용을 포함합니다.
- 신뢰도 표시(확실/가능성 높음/추가 조사 필요)를 제공합니다.
- 사용자가 원본 증거를 직접 검증할 수 있습니다.
Q: 분석에 얼마나 시간이 걸리나요?#
질의의 복잡도에 따라 다르지만, 일반적으로:
- 단순 질의: 30초 ~ 1분
- 복합 분석: 1분 ~ 2분
- 킬체인 전체 분석: 2분 ~ 3분
분석 결과는 실시간으로 스트리밍되므로, 전체 분석이 완료되기 전에도 부분 결과를 확인할 수 있습니다.
Q: 이전 분석 결과를 다시 볼 수 있나요?#
네, 모든 분석 대화는 케이스별로 저장됩니다. 이전 분석 세션의 질문과 결과를 언제든 다시 확인할 수 있습니다.
Q: 데이터 보안은 어떻게 보장되나요?#
- 모든 데이터는 사용자별로 격리되어 저장됩니다.
- 전송 중 및 저장 시 AES-256-GCM 암호화가 적용됩니다.
- 요금제에 따른 보존 기간이 만료되면 데이터가 자동으로 삭제됩니다.
- 다른 사용자의 케이스에는 접근할 수 없습니다.
Q: 특정 아티팩트 유형만 분석할 수 있나요?#
네, 질의 시 특정 아티팩트 유형을 명시하면 해당 유형에 집중하여 분석합니다. 또한 수동 리뷰 탭에서 아티팩트 유형별로 필터링하여 직접 검토할 수 있습니다.
Q: 분석 결과를 내보낼 수 있나요?#
분석 결과를 PDF 형식으로 내보내거나, 팀원에게 공유할 수 있습니다. 내보낸 보고서에는 AI 분석 결과, 증거 인용, 타임라인이 모두 포함됩니다.
다음 단계#
- 수집도구 사용 가이드: 각 플랫폼별 상세 수집 방법
- 악성코드 분석 랩 가이드: YARA/CAPA/Ghidra를 활용한 악성코드 분석