전화벨이 울리고 네트워크 담당자가 당신이 해킹을 당해 고객의 주요 정보가 네트워크상에서 도난당했다는 사실을 알려준다. 관련 호스트를 식별하기 위해 로그를 확인하면서 조사를 시작한다. 악성코드를 탐지하기 위해 안티바이러스 소프트웨어로 호스트를 스캔한 후 운 좋게 TROJ.snapAK라는 이름의 트로이 목마를 탐지한다. 침해 흔적을 삭제하기 위해 해당 파일을 지우고 다른 장비가 감염되지 않았는지를 확인하기 위해 네트워크 캡처를 이용해 침입 탐지 시스템(IDS) 시그니처를 생성한다. 그런 후 공격자가 침투에 사용했다고 생각되는 보안 문제점을 패치해 다시는 이런 일이 일어나지 않게 한다.
그런 후 며칠 후 네트워크 담당자가 네트워크상에 주요 데이터를 도난당했다는 사실을 알려준다. 동일한 공격으로 보이지만, 당신은 뭘 해야 할지도 모른다. 다른 시스템도 추가적으로 감염됐다는 사실을 통해, 제작한 IDS 시그니처가 실패했음을 알았다. 그리고 백신도 위협을 차단시킬 만큼의 보호 기능을 제공하지 못했다. 이제 상위 관리자가 무슨 일이 발생했는지 설명을 요구하면 당신은 악성코드가 TROJ.snapAK라는 사실밖에 할 말이 없다. 가장 중요한 물음에는 대답하지 못하고 게으른 사람으로 비춰진다.
위협을 제거하려면 정확히 TROJ.snapAK가 무슨 일을 하는지 어떻게 알 수 있을까? 어떻게 더 효율적인 네트워크 시그니처를 작성할 수 있을까? 다른 시스템이 동일한 악성코드에 감염됐다면 어떻게 알아낼 수 있을까? 악성코드 일부가 아닌 전체 패키지를 삭제했음을 어떻게 확신할 수 있을까? 악성 프로그램이 하는 작업에 대한 경영진의 물음에 어떻게 대답할 수 있을까?
당신이 할 수 있는 일은 당신이 네트워크를 방어할 수 없기 때문에 비싼 외부 컨설턴트를 고용해야 한다고 상사에게 얘기하는 것뿐이다. 이는 당신의 자리를 안전하게 유지하기 위한 최선의 방법은 아니다.
아, 하지만 다행히도 슬기롭게 『실전 악성코드와 멀웨어 분석』이라는 이 책을 갖고 있다. 이 책을 통해 배우는 기술은 위의 어려운 질문에 대한 답과 악성코드로부터 네트워크를 방어하는 방법을 알려준다.
