Forensic Lab 가이드
Forensic Lab 가이드#
unJaena AI의 핵심 기능인 Forensic Lab을 활용하여 수집된 증거를 빠르고 정확하게 분석하는 방법을 안내합니다. 자연어 질의를 통해 수만 건의 아티팩트에서 의미 있는 증거를 찾아내고, 이메일·IP·도메인·URL·파일 해시 같은 지표를 케이스 증거와 함께 확인할 수 있습니다.
Forensic Lab이란?#
Forensic Lab은 수집된 디지털 증거(레지스트리, Prefetch, EventLog, 브라우저 기록, USB 기록 등)를 AI가 자동으로 분석하여 사건의 핵심 증거를 식별하고, 시간순 재구성, 위협 분류, 상관관계 분석을 수행하는 기능입니다.
주요 특징#
- 자연어 질의: 전문 쿼리 언어 없이 일상적인 언어로 질문
- 시맨틱 검색: 키워드가 아닌 의미 기반으로 관련 증거를 자동 검색
- MITRE ATT&CK 매핑: 발견된 위협을 킬체인 단계별로 자동 분류
- 증거 인용: 모든 분석 결과에 구체적 증거 출처 표시
- 증거 관계 분석: 케이스에서 추출한 이메일, IP, 도메인, URL, 파일 해시를 원본 증거와 연결
- 다국어 지원: 다양한 언어의 자연어 질의와 아티팩트 검색 지원
분석 시작하기#
1단계: 케이스 선택#
- 대시보드에서 분석할 케이스를 선택합니다.
- 케이스 상태가 분석 준비 완료인지 확인합니다.
- 데이터 업로드와 인덱싱이 완료되어야 AI 분석이 가능합니다.
- AI 분석 탭을 클릭하여 분석 페이지로 이동합니다.
2단계: 분석 방법 선택#
unJaena AI는 네 가지 분석 방법을 제공합니다. 목적에 따라 적절한 방법을 선택하세요.
4가지 분석 방법#
AI 분석 (AI Analysis)#
가장 강력한 분석 방법으로, 자연어 질의를 통해 AI가 증거를 검색하고 종합적인 분석 보고서를 생성합니다.
적합한 경우:
- 특정 의심 활동을 조사할 때
- 사건의 전체적인 개요를 파악하고 싶을 때
- 여러 아티팩트 간의 상관관계를 분석할 때
- 킬체인 분석이 필요할 때
사용 방법:
- AI 분석 탭에서 질문을 입력합니다.
- AI가 관련 증거를 검색하고 분석합니다.
- 분석 결과가 실시간으로 스트리밍됩니다.
- 후속 질문을 통해 심층 분석을 진행합니다.
수동 리뷰 (Manual Review)#
수집된 아티팩트를 직접 탐색하고 검토하는 방법입니다.
적합한 경우:
- 특정 아티팩트를 직접 확인하고 싶을 때
- 특정 시간대의 데이터를 수동으로 검토할 때
- AI 분석 결과의 원본 증거를 확인할 때
사용 방법:
- 수동 리뷰 탭으로 이동합니다.
- 아티팩트 유형별로 필터링합니다 (레지스트리, Prefetch, EventLog 등).
- 시간 범위를 설정하여 특정 기간의 데이터를 조회합니다.
- 개별 아티팩트의 상세 내용을 확인합니다.
타임라인 프로파일러 (Timeline Profiler)#
시스템의 전체 활동을 시간순으로 시각화하여 이상 징후를 탐지합니다.
적합한 경우:
- 사건의 시간적 흐름을 파악할 때
- 비정상적인 시간대(야간, 주말)의 활동을 탐지할 때
- 여러 이벤트 간의 시간적 연관성을 분석할 때
사용 방법:
- 타임라인 프로파일러 탭으로 이동합니다.
- 분석 기간을 설정합니다.
- 시각화된 타임라인에서 활동 패턴을 확인합니다.
- 이상 활동이 감지된 구간을 클릭하여 상세 정보를 확인합니다.
증거 관계 분석#
케이스 증거에서 추출된 이메일, IP, 도메인, URL, 파일 해시를 원본 아티팩트, 타임라인, Malware Lab IOC와 연결해 추가 조사 단서를 확인합니다. 결과는 최종 결론이 아니라 관계 지도이며, AI 분석·수동 분석·타임라인 증거와 교차 검증해야 합니다.
적합한 경우:
- IP나 도메인이 Malware Lab IOC와 연결되는지 확인할 때
- 이메일, 사용자명, 파일 해시가 케이스 내부 증거와 반복적으로 연결되는지 확인할 때
- Malware Lab IOC와 케이스 내부 네트워크·파일 증거를 연결할 때
- 여러 케이스에서 같은 식별자가 반복되는지 확인할 때
사용 방법:
- AI 분석 또는 타임라인 화면에서 핵심 지표를 확인합니다.
- 지표와 연결된 원본 아티팩트, 파일, 계정, 시간대를 검토합니다.
- 확인된 단서는 AI 분석, 수동 분석, 타임라인에서 원증거와 다시 대조합니다.
지원하지 않는 범위:
- 비공개 계정 접근, 인증정보 사용, 접근통제 우회
- 실시간 위치추적, Tor 사용자 비식별 해제
- 유출 원문, 비밀번호, 토큰, 세션 쿠키 수집 또는 저장
자연어 질의 사용법#
AI 분석의 핵심은 자연어 질의입니다. 전문 용어를 몰라도 일상적인 언어로 질문할 수 있습니다.
질의 예시#
기본 질의:
- "이 시스템에서 의심스러운 활동이 있었나요?"
- "USB 장치 연결 기록을 보여주세요"
- "최근 7일간 실행된 프로그램 목록을 알려주세요"
구체적 조사 질의:
- "2026년 3월 15일 오후 2시 이후 외부 저장매체로 복사된 파일이 있나요?"
- "PowerShell이 비정상적인 시간대에 실행된 적이 있나요?"
- "삭제된 파일의 흔적을 찾아주세요"
위협 분석 질의:
- "이 시스템의 킬체인 분석을 수행해주세요"
- "악성코드 감염 가능성이 있는 증거를 찾아주세요"
- "C2 서버와의 통신 흔적이 있나요?"
- "내부자 위협과 관련된 증거를 분석해주세요"
교차 분석 질의:
- "USB 연결 후 다운로드된 파일이 있는지 분석해주세요"
- "신규 계정이 생성된 후 발생한 의심스러운 활동을 보여주세요"
- "원격 접속 후 접근된 파일 목록을 시간순으로 정리해주세요"
증거 관계 질의:
- "이 케이스에서 추출된 IP와 도메인이 알려진 악성 인프라인지 확인해주세요"
- "발견된 이메일 주소가 케이스 내부 증거나 다른 케이스와 반복적으로 연결되는지 확인해주세요"
- "Malware Lab 해시와 케이스 내부 실행 흔적을 함께 비교해주세요"
후속 질문 활용#
AI는 이전 대화 맥락을 유지합니다. 첫 번째 분석 결과를 바탕으로 후속 질문을 활용하세요.
첫 번째 질문: "USB 연결 기록을 보여주세요"
→ AI: USB 연결 이벤트 3건 발견 (3/15 14:32, 3/16 09:15, 3/18 22:47)
후속 질문: "3월 15일 USB 연결 전후 30분간의 파일 활동을 분석해주세요"
→ AI: USB 연결 직후 문서 파일 5개가 접근되고, 이 중 3개가 USB로 복사됨
후속 질문: "복사된 3개 파일의 상세 정보와 관련 사용자 활동을 보여주세요"
→ AI: 상세 분석 결과 제공
AI 분석 보고서 이해하기#
AI 분석 결과는 다음과 같은 구조로 제공됩니다.
발견 사항 요약#
분석에서 확인된 핵심 발견 사항을 우선순위 순으로 정리하여 보여줍니다. 각 발견 사항에는 관련 증거와 중요도가 포함됩니다.
증거 인용#
모든 분석 결과에는 [증거 #N] 형식의 증거 인용이 포함됩니다. 이를 통해 AI의 주장이 어떤 실제 증거에 기반하는지 확인할 수 있습니다.
예시:
USB 장치(SanDisk Extreme, S/N: 4C530001)가 2026-03-15 14:32:18에
연결되었습니다 [증거 #1]. 연결 직후 14:35:42에 'ProjectX_Final.docx'
파일에 대한 접근이 감지되었습니다 [증거 #2]. 이 파일은 14:37:05에
외부 드라이브로 복사되었습니다 [증거 #3].
각 [증거 #N]을 클릭하면 해당 아티팩트의 원본 데이터를 확인할 수 있습니다. 이를 통해:
- AI 분석의 정확성을 직접 검증할 수 있습니다.
- 원본 아티팩트의 전체 내용을 확인할 수 있습니다.
- 추가 조사가 필요한 증거를 식별할 수 있습니다.
타임라인#
발견된 이벤트를 시간순으로 재구성하여 사건의 흐름을 파악할 수 있습니다. 이상 시간대(야간, 주말)의 활동은 별도로 강조됩니다.
신뢰도 표시#
AI 분석 결과에는 각 판단에 대한 신뢰도가 표시됩니다:
| 신뢰도 | 의미 | 권장 조치 |
|---|---|---|
| 확실 | 아티팩트 증거가 명확하게 뒷받침 | 보고서에 포함 |
| 가능성 높음 | 여러 간접 증거가 뒷받침 | 추가 확인 권장 |
| 추가 조사 필요 | 일부 증거만 확인됨 | 심층 조사 수행 |
MITRE ATT&CK 킬체인 매핑#
AI 분석은 발견된 위협 활동을 MITRE ATT&CK 프레임워크에 자동으로 매핑합니다. MITRE ATT&CK는 사이버 공격의 전술과 기법을 체계적으로 분류한 국제 표준 프레임워크입니다.
킬체인 단계#
분석에서 식별되는 주요 공격 단계:
| 단계 | 설명 | 탐지 예시 |
|---|---|---|
| Initial Access | 최초 침입 경로 | 피싱 이메일, 악성 다운로드 |
| Execution | 악성 코드 실행 | 의심스러운 프로세스 실행 기록 |
| Persistence | 지속성 확보 | 레지스트리 자동실행 키 등록 |
| Privilege Escalation | 권한 상승 | 관리자 계정 획득 시도 |
| Defense Evasion | 방어 회피 | 로그 삭제, 타임스탬프 변조 |
| Credential Access | 자격 증명 접근 | 브라우저 저장 데이터 접근 |
| Discovery | 정보 수집 | 시스템 정보 수집 명령 |
| Lateral Movement | 내부 확산 | 원격 데스크톱 접속 기록 |
| Collection | 데이터 수집 | 특정 폴더 대량 접근 |
| Command & Control | C2 통신 | 의심스러운 외부 연결 |
| Exfiltration | 데이터 유출 | USB/클라우드 대량 복사 |
| Impact | 영향/피해 | 파일 암호화, 시스템 변경 |
킬체인 분석 활용#
킬체인 매핑 결과를 통해:
- 공격의 현재 진행 단계를 파악할 수 있습니다.
- 아직 수행되지 않은 단계를 예측하여 선제적 대응이 가능합니다.
- 각 단계의 증거를 연결하여 공격의 전체 그림을 구성할 수 있습니다.
다국어 분석#
unJaena AI는 기본 UI/보고서 언어와 별개로, 다양한 언어의 자연어 질의와 아티팩트 내용을 함께 분석할 수 있습니다. AI 응답은 케이스에 설정된 분석 언어를 우선 따릅니다.
지원 방식#
| 기능 | 동작 방식 |
|---|---|
| 자연어 질의 | 조사자가 입력한 언어의 의미를 해석하여 검색 의도로 변환 |
| AI 응답 | 케이스에 설정된 분석 언어를 우선 적용 |
| 아티팩트 검색 | 여러 언어의 증거 내용을 함께 검색 |
다국어 검색#
어떤 언어로 질문하더라도 AI는 모든 언어의 아티팩트를 검색합니다. 예를 들어:
- 한국어로 "Malware Lab 흔적을 찾아주세요"라고 질문하면, 영어 이벤트 로그와 한국어 사용자 활동 모두에서 관련 증거를 찾습니다.
- 일본어로 질문해도 동일한 검색 범위가 적용됩니다.
효과적인 질의 팁#
구체적으로 질문하기#
비추천: "뭔가 이상한 거 있나요?"
추천: "최근 7일간 야간(22시-06시)에 발생한 의심스러운 활동을 보여주세요"
시간 범위 지정하기#
특정 기간을 지정하면 더 정확한 결과를 얻을 수 있습니다.
"2026년 3월 15일부터 3월 20일까지의 USB 활동을 분석해주세요"
"지난 48시간 동안 실행된 의심스러운 프로세스를 찾아주세요"
아티팩트 유형 명시하기#
분석 대상을 특정하면 더 집중적인 분석이 가능합니다.
"EventLog에서 실패한 로그인 시도를 보여주세요"
"Prefetch에서 비정상적인 시간에 실행된 프로그램을 찾아주세요"
"레지스트리에서 자동실행으로 등록된 항목을 확인해주세요"
교차 분석 요청하기#
여러 아티팩트 간의 관계를 분석하면 더 깊은 인사이트를 얻을 수 있습니다.
"USB 연결 시점과 파일 다운로드 기록을 교차 분석해주세요"
"새로운 서비스가 설치된 시점 전후의 네트워크 활동을 보여주세요"
단계적으로 심화하기#
넓은 범위에서 시작하여 점차 구체적으로 파고들어가세요.
1단계: "이 시스템의 전반적인 보안 상태를 평가해주세요"
2단계: "발견된 의심스러운 Prefetch 파일에 대해 자세히 분석해주세요"
3단계: "해당 실행 파일과 관련된 네트워크 연결 기록이 있나요?"
자주 묻는 질문 (FAQ)#
Q: AI 분석 결과를 법적 증거로 사용할 수 있나요?#
AI 분석 결과는 수사의 방향을 설정하고 핵심 증거를 식별하는 보조 도구입니다. 법적 증거로 활용하기 위해서는 전문 Forensic Lab 분석가의 검증과 확인이 필요합니다. AI 출력만으로 법정 제출, 고용·징계, 형사 신고, 손해배상 청구 등 중대한 결정을 내려서는 안 되며, 원증거와 수집 절차를 별도로 검증해야 합니다. AI가 제시하는 증거 인용([증거 #N])을 통해 원본 아티팩트를 직접 확인하실 수 있습니다.
Q: AI가 잘못된 분석을 할 수 있나요?#
AI는 수집된 실제 증거만을 기반으로 분석하지만, 해석의 정확도는 100%가 아닙니다. 이를 위해:
- 모든 주장에 증거 인용을 포함합니다.
- 신뢰도 표시(확실/가능성 높음/추가 조사 필요)를 제공합니다.
- 사용자가 원본 증거를 직접 검증할 수 있습니다.
Q: 분석에 얼마나 시간이 걸리나요?#
질의의 복잡도에 따라 다르지만, 일반적으로:
- 단순 질의: 30초 ~ 1분
- 복합 분석: 1분 ~ 2분
- 킬체인 전체 분석: 2분 ~ 3분
분석 결과는 실시간으로 스트리밍되므로, 전체 분석이 완료되기 전에도 부분 결과를 확인할 수 있습니다.
Q: 이전 분석 결과를 다시 볼 수 있나요?#
네, 모든 분석 대화는 케이스별로 저장됩니다. 이전 분석 세션의 질문과 결과를 언제든 다시 확인할 수 있습니다.
Q: 데이터 보안은 어떻게 보장되나요?#
- 모든 데이터는 사용자별로 격리되어 저장됩니다.
- 전송 중 및 저장 시 AES-256-GCM 암호화가 적용됩니다.
- 요금제에 따른 보존 기간이 만료되면 데이터가 삭제 절차에 따라 처리됩니다.
- 다른 사용자의 케이스에는 접근할 수 없습니다.
Q: 특정 아티팩트 유형만 분석할 수 있나요?#
네, 질의 시 특정 아티팩트 유형을 명시하면 해당 유형에 집중하여 분석합니다. 또한 수동 리뷰 탭에서 아티팩트 유형별로 필터링하여 직접 검토할 수 있습니다.
Q: 분석 결과를 내보낼 수 있나요?#
분석 결과를 PDF 형식으로 내보내거나, 팀원에게 공유할 수 있습니다. 내보낸 보고서에는 AI 분석 결과, 증거 인용, 타임라인이 모두 포함됩니다.
다음 단계#
- 수집도구 사용 가이드: 각 플랫폼별 상세 수집 방법
- Malware Lab 가이드: YARA/CAPA/Ghidra를 활용한 Malware Lab
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.