본 자료는 2025년 사이버보안전문단 연구 프로젝트에서 우수작으로 선정된 'AWS 클라우드 기반 DFIR 프레임워크 연구' 결과 보고서입니다.

# 프로젝트 참여자

- 김진국 대표, 장원희 책임연구원, 김서준 선임연구원, 안혜송 연구원

# 보고서 목차

1. 개요

2. 클라우드 인프라 및 보안 개요

3. 선행 연구

4. 사고 데이터 수집

5. 사고 분석 기법

6. 시나리오 기반 실증 분석

7. 연구 결과

8. 결론 및 향후 연구

# 주요 내용

1. 클라우드 인프라 및 보안 개요 

 클라우드의 책임 범위와 구조적 제약을 중심으로 이론적 기반 정리 

 - 보안 책임 공유 모델, 서비스 모델 별 보안 책임 공유 모델,
   AWS 클라우드 서비스 보안 아키텍처,
   온프레미스와 클라우드의 사고 대응 방식, 클라우드 환경의 공통적 제약

2. 선행 연구

 AWS 클라우드 환경 DFIR 적용 가능성과 한계 도출 및 기존 대응 방식의 개선점 식별

 - 클라우드 주요 보안 위협, 클라우드 침해 동향 사례,
    MITRE ATT&CK 기반 클라우드 공격 전술 및 기법 연구,
    AWS 사고 대응 프레임워크 조사, AWS 보안 서비스/로그 조사,
    AWS 사고 대응 플레이북 조사

3. 사고 데이터 수집

 클라우드 환경에 특화된 DFIR 수집 체계 및 방안 제시

 - 명령 기반 데이터 수집, 로그 기반 데이터 수집, 포렌식 이미지 수집

4. 사고 분석 기법

 AWS 환경에서의 DFIR 분석 절차 체계화 및 사고 분석 방안 제시

 - 로그별 주요 분석 필드 및 이벤트 분석, 

   공격 전술별 로그 이벤트를 매핑한 DFIR CheatSheet 개발, 
   AWS DFIR 분석 도구 개발

5. 시나리오 기반 실증 분석

 랜섬웨어 시나리오를 기반으로 주요 로그 분석 방안과 bitParser 도구의 실효성 검증

 - 공격 시나리오 개요, 시나리오 분석 결과