AI 포렌식 질의 가이드
AI 포렌식 질의 가이드#
AI 포렌식 분석은 전문 쿼리 언어 대신 평소 말하듯 질문하는 방식으로 시작합니다. 좋은 질의는 조사 목적, 대상, 기간, 판단 기준을 조금씩 좁혀가며 이전 답변과 자연스럽게 이어집니다.
시작하기 좋은 포괄 질의#
| 목적 | 예시 질의 | 기대 결과 |
|---|---|---|
| 침해사고 흔적 | "이 케이스에서 침해사고 흔적을 찾아줘" | 실행, 계정, 네트워크, 지속성, 방어 회피 증거 탐색 |
| 외부 유출 | "외부 유출 정황이 있는지 확인해줘" | USB, 클라우드, 압축, 대량 파일 접근, 외부 통신 검토 |
| 개인정보 노출 | "개인정보가 포함된 파일 접근이나 반출 흔적을 찾아줘" | 문서명, 경로, 접근 시간, 저장매체·네트워크 연결 정리 |
| 내부자 위협 | "퇴직자 PC에서 의심스러운 활동을 찾아줘" | 야간 활동, USB 연결, 대량 접근, 계정 변경, 삭제 흔적 검토 |
| 악성코드 감염 | "악성코드 감염 가능성이 있는 증거를 찾아줘" | 실행 흔적, 자동실행, 의심 프로세스, IOC, MITRE 매핑 |
| AI 사용 흔적 | "AI 도구 사용이나 AI 코딩 흔적을 확인해줘" | 브라우저, 코딩 도구, 프로젝트 변경, 다운로드·실행 흔적 연결 |
후속 질의 흐름#
후속 질문은 이전 답변의 시간, 파일, 사용자, IOC를 잡고 좁혀가는 방식이 좋습니다.
1. 이 케이스에서 침해사고 흔적을 찾아줘.
2. 확인된 증거 중 외부 유출과 관련 있는 항목만 좁혀줘.
3. 가장 중요한 시간대 3개를 기준으로 타임라인을 재구성해줘.
4. 해당 시간대의 사용자 계정, 실행 파일, 네트워크 연결을 함께 보여줘.
5. 보고서에 넣을 수 있도록 증거 인용 중심으로 요약해줘.
질의 품질을 높이는 요소#
- 기간: "어제 18시 이후", "USB 연결 전후 30분", "계정 생성 이후"
- 대상: 사용자명, 파일명, 폴더, IP, 도메인, 해시, 프로세스명
- 행위: 실행, 복사, 삭제, 압축, 업로드, 로그인, 권한 변경
- 판단 방식: 확실한 증거와 추정 정황을 분리 요청
- 출력 형식: 타임라인, 표, 보고서 요약, 후속 조사 목록 요청
좋은 질의와 부족한 질의#
| 부족한 질의 | 개선 질의 |
|---|---|
| "이상한 거 있어?" | "최근 7일간 야간 시간대 실행·USB·외부 통신 중 침해사고와 관련된 정황을 찾아줘" |
| "유출됐어?" | "문서 폴더 접근 이후 USB 연결, 압축 파일 생성, 클라우드 접속이 이어졌는지 확인해줘" |
| "악성코드야?" | "실행 흔적, 자동실행 등록, 외부 연결, 파일 변경을 근거로 악성코드 감염 가능성을 평가해줘" |
답변 검증 방법#
AI 답변은 조사 보조 결과입니다. 중요한 결론은 다음 순서로 검증하세요.
- 답변의 증거 인용을 클릭해 원본 아티팩트를 확인합니다.
- 같은 시간대의 타임라인에서 전후 이벤트를 확인합니다.
- 수동 분석에서 파일 경로, 사용자, 해시, 원본 로그를 재확인합니다.
- 확실한 증거와 추정 정황을 보고서에서 분리합니다.
- 법적 활용 전에는 전문 분석가가 원본 증거를 검증합니다.
다음 단계#
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.