[디지털 포렌식의 기초] 4장 증거 수집 | 범죄 현장과 증거 수집, 사건 현장 문서화, 연계보관성, 클로닝, 살아있는 시스템과 죽어있는 시스템, 해싱

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

 

http://www.yes24.com/Product/Goods/7526115

이제 시작이야! 디지털 포렌식

저번 글에 이어서 4장 내용을 정리하는 시간을 갖도록 하겠습니다.

 

4장 증거 수집

서론

 

법죄 현장에서 발견된 증거를 절차대로 수집하는 것은 법정에 제출되는 것과 직결되기 때문에 매우 중요하다. 4장에서는 어떻게 증거를 수집해서 보존하는지에 대한 내용을 다루고 있다.

 

1. 범죄 현장과 증거 수집

일반적으로 범죄 현장의 경우 가장 먼저 해야 하는 것은 증거를 확보하는 것이다. 이는 디지털 증거가 있는 현장에서도 동일하게 적용된다.

 

다만 차이점은, 일반적인 범죄 현장에서는 물리적으로 사건 현장에 대한 접근을 제한하여 확보하는 것과는 달리

 

디지털 증거는 인터넷, 전화 또는 기타 다른 네트워크에 연결될 수 있으므로 휘발성 증거가 없다고 확신하는 순간부터 컴퓨터와 무선기기를 반드시 접근할 수 없게 해야 한다.

 

이동식 매체

이동식 저장 매체에는 DVD, 외장하드, USB 드라이브, 메모리카드 등을 포함하며, 이는 현장에 책, 지갑, 침대 밑 등 어디에도 존재할 수 있어서 확보하기 위해서 있을만한 모든 곳을 수색해야 한다.

 

더불어, 사건 현장에 있는 기기와 저장 매체말고도 주변의 어떤 것이 있는지 살펴보는 것이 중요하다.

 

주변의 책, 사용설명서 등을 통해서 용의자의 지식 수준을 알 수 있으며, 이외에도 어떤 제품을 사용하고 있는지, 암호 기능은 있는지 등에 대한 정보를 얻을 수 있다.

 

휴대폰

휴대폰은 거의 모든 사람이 가지고 있으며, 담겨 있는 정보로부터 알아낼 수 있는 중요한 정보들이 많이 존재할 확률이 높다. 그렇기 때문에 안전하게 휴대폰을 증거물로 확보하는 것은 매우 중요하다.

(문자 메시지, 이메일, 전화기록, 연락처 등의 데이터  --->  사용자의 의도, 알리바이 등에 대한 정보 획득)

 

수집 방법으로는 네트워크 신호로부터 휴대폰을 보호하기 위해서 패러데이 봉투에 넣어 네트워크 신호를 차단하는 방법이 있다.

 

휘발성의 순서

수집할 증거가 많이 존재하기 때문에 우선순위를 정해서 수집하는 것도 하나의 좋은 방법이다.

일반적인 우선순위로 보는 것은 바로 휘발성의 순서이다. 증거가 사라지면 안되기 때문에 휘발성이 가장 강한 것부터 가장 약한 것 순으로 증거를 확보한다.

 

우선 순위

• CPU, 캐시 및 레지스터 데이터
• 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계
• 메모리
• 임시 파일 시스템/ 스웝 공간
• 하드 디스크에 있는 데이터
• 원격에 있는 로그 데이터
• 아카이브 매체에 있는 데이터

2. 사건 현장 문서화

"문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다."

위의 격언처럼, 어떠한 상황에서도 증거를 수집할 때에는 모든 내용을 반드시 문서로 기록해야 한다. 

일반적으로 문서는 사진과 노트이며, 증거를 문서화할 때 비디오도 사용할 수 있다.

 

문서화 과정은 현장에 도착하는 순간부터 시작되는데, 날짜와 시간, 현장에 있는 사람들, 수집된 증거, 발견 장소, 증거의 상태 등에 대한 내용을 기록해야 한다.

 

디지털 증거는 종류, 생산자, 모델, 시리얼 번호 등에 대한 정보로 묘사가 된다. 더불어 기기의 전원이 켜져 있는지 꺼져 있는지, 다른 기기나 네트워크에 연결되어 있는지를 기록하는 것도 중요하다.

 

사진

모든 현장을 사진으로 남겨야 하는데, 먼저 전반적인 현장을 사진으로 촬영하고 이후에 각 증거에 초점을 맞춰서 촬영한다. 이 때, 어떤 것도 만지기 전에 사진을 찍어야 한다.

 

특히, 각 증거의 사진은 증거를 찾았을 때의 상태를 명확하게 보여줄 수 있어야 하는데, 시리얼 번호, 손상상태, 연결 등에 주의를 기울이고 사진으로 남겨야 한다. (연결의 예로, 네트워크, 프린터 및 스캐너 등의 주변 기기 연결이 있다.)

 

※법정에서 판사와 검사들에게 증언할 때, 사진은 매우 유용하다.

 

노트

노트를 적는 것에는 특별한 표준이 없으나, 시간 순으로 기록하는 것이 가장 흔한 방법이다.

도착한 시간, 현장에 있던 사람, 무엇을 했는지 등에 대한 정보를 기록한다. 

 

노트는 시간이 지남에 따라서 기억이 흐릿해지고, 몇 달이나 몇 년 후에 법정에 설 때 의존할 수 있는 유일한 수단이다. 

 

주의할 점은 해당 노트는 나만 보는 것이 아니라 다른 사람도 볼 수 있기 때문에 어떠한 결론을 내리거나, 추측하지 않는 것이 중요하다.

 

3. 연계보관성

특정 증거가 법정으로 보내지기 전에 여러 개의 엄격한 법적 요구 사항을 충족해야 하는데, 그 중 하나가 연계보관성이다. 

 

법정에서 증거로 채택되기 전까지 여러 사람의 손을 거치게 되는데, 모든 반출입 과정을 기록하고 유지하는 것이 바로 연계보관성이다.

 

증거 표시

연계보관성의 첫 번째 연결 고리는 증거를 수집한 사람으로 증거를 수집하면 먼저 표시를 해야 한다.

일반적으로 이니셜, 날짜, 사건 번호 등으로 표시를 한다.

 

증거 표시는 증거를 수집한 사람이 증인의 입장에서 당시 수집한 증거가 법정에 있는 증거와 동일한지 식별하는데 큰 도움을 준다.

 

일반적으로 작은 증거들은 보통 봉투에 담아 밀봉하며, 이니셜과 날짜를 기록한다. 여기서 사용되는 봉투는 종이, 플라스틱 혹은 특수 정전기 방지 물질이 사용된다.

(정전기 방지 물질은 정전기로 인해 하드 드라이브에 있는 정보가 손상되는 것을 방지하기 위해서 전자기기 증거에 주로 사용된다.)

 

4. 클로닝

비트 스트림 이미지(bit stream image) 라도고 불리는 포렌식 클론(forensic clone)은 비트 하나를 틀리지 않고 똑같은 하드 드라이브의 복사본을 의미한다.

 

다시 말해서, 하드 드라이브 같이 포렌식적으로 깨끗한 매체에 모든 비트 (0, 1)을 복사하는 것을 의미하는데, 단순히 복사 붙여 넣기를 하면 활성 데이터만 복사되기 때문이다.

 

즉, 할당되지 않은 공간에 있는 데이터, 파일 시스템 데이터 등 온전히 그대로 가져올 수 없기 때문에 모든 비트를 복사해야 한다.

 

부가적으로 용의자의 하드 드라이브를 최대한 빨리 클론하는 것이 좋은데, 현장보다 랩에서 클로닝하는 것이 빠르다.

 

이 때, 컴퓨터를 현장에서 랩으로 가져가기 전에 법적으로 허가를 받아야 하며 일반적으로 범죄 사건의 경우는 랩으로 가져가는 반면에 민사 소송의 경우 클로닝을 현장에서 해야 한다. (상대측과 합의를 하면 랩에서 클로닝 가능함.)

 

클로닝의 목적

디지털 증거는 휘발성이 강하기 때문에 정말로 위급하거나 다른 방법이 없는 경우를 제외하고는 증거 원본을 직접 조사해서는 안된다.

 

클론을 사용하여 조사하는 경우, 뭔가 잘못되었을 때 언제든지 다신 원본 상태로 되돌릴 수 있다.

 

이상적으로는 모든 조사를 원본이 아닌 클론에서 해야 하며, 이 말은 클론 두 개가 있으면 하나는 조사를 하는데 쓰이고, 나머지는 백업용으로 사용한다.

 

원본을 보관하지 못하는 경우, 법정에서 절차에 따라 적합하게 인증된 포렌식 클로은 원본과 똑같은 효력을 지닐 수 있다.

 

클로닝 과정

클로닝 과정에 있어서, 용의자의 하드 드라이브(원본)는 소스 드라이브이며 클로닝하는 드라이브는 데스티네이션(destination) 드라이브이다.

※데스티네이션 드라이브는 적어도 소스 드라이브와 동일한 크기이거나 커야 한다. 

※데스티네이션 드라이브는 반드시 포렌식적으로 초기화되어 있어야 한다.

(초기화 과정은 하드 드라이브 전체를 1111111111과 같은 특정 패턴으로 덮어쓴다.)

 

일반적으로 클론하려는 소스 드라이브는 컴퓨터에서 탈착되어 있으며, 케이블에 의해 클로닝 장비나 다른 컴퓨터에 연결된다.

 

 

시작하기 전에 쓰기 방지를 사용하는 것이 매우 중요한데, 이는 하드웨어나 소프트웨어로 클로닝하는 동안 원본 증거를 보호하는데 사용된다.

(원본 증거 드라이브에 데이터가 쓰여지는 것을 방지함.)

 

하드웨어 쓰기 방지의 경우 소스 드라이브와 클로닝 장비 사이에 부착된다.

 

연결이 되고 나면, 마우스 버튼 몇 번의 클릭을 통해서 클로닝 과정이 시작되며, 완료시 성공/실패 여부를 알려준다. (소스와 클론의 해시 값이 일치하면 클로닝은 성공한 것이다.)

 

포렌식 이미지 형식

소스 하드 드라이브의 포렌식 이미지(forensic image)는 클로닝 과정의 최종 산출물이다.

 

클론은 몇 가지 다른 파일 형식으로 저장될 수 있으며, 파일의 확장자가 파일 형식을 판단하기 가장 쉬운 방법이다.

• EnCase(확장자 .E01)
• Raw dd(확장자 .001)
• AccessData Custom Content Image(확장자 .AD1)

사용되는 툴에 따라서 읽을 수 있는 이미지가 다르므로 해당 정보를 아는 것은 중요하다.

 

(섹터 손상, 손상된 하드 또는 고장 난 드라이브, 부트 섹터, 모터 문제는 클로닝을 복잡하게 만들 수 있다.)

 

5. "살아있는" 시스템과 "죽어있는" 시스템

전원이 꺼져 있는 경우와 켜져 있는 경우가 존재하는데, 켜져 있는 경우 포렌식을 할 때 고민이 되는 상황이 발생할 수 있다.

 

실행 중인 컴퓨터에서 작업을 하게 되면 많은 것이 변조될 수 있다. 그래서, 플러그를 뽑아 전원을 끄는 선택을 할 수 있다. 

 

하지만, 플러그를 뽑게 되면 발생하는 여러 문제가 존재한다. 그래서 고민되는 상황이라고 한 것이다.

 

• 플러그를 뽑는 경우 RAM에 있는 모든 증거는 파괴될 위협에 처한다.  
• 시스템이 켜져 있는 동안에는 시스템이나 파일이 암호화되지 않을 수 있지만, 꺼지는 경우 암호화 상태로 돌아가 버릴 수 있으며, 잠재적으로 증거를 절대 찾지 못할 수 있다.
• 갑자기 전원 공급이 중단되는 경우 데이터가 손상되어 읽지 못하게 될 수 있다.
• 일부 증거는 컴퓨터가 제대로 시스템 종료되기 전까지 드라이브에 기록되지 않는 경우가 있다.

라이브 포렌식의 원칙

현장에 도착했을 때 작동 중인 컴퓨터를 보면 두 가지 질문을 해보고 그에 따라 라이브 포렌식을 할 것인지 결정할 수 있다.

 

질문1: 라이브 포렌식을 통해서 잠재적 증거를 복원할만한 가치가 있는가?

-> Ex.악성코드와 관련된 사건은 RAM에 있는 데이터가 핵심적이지만, 아동 포르노를 소지하고 있는 것과 같은 경우에는 RAM은 중요하지 않다. 

 

질문2: 필요한 자원을 사용할 수 있는가?

-> Ex. 메모리에 있는 증거를 성공적으로 수집하기 위해서는 특수 툴이 있어야 하며 교육을 받아야 한다. 이 조건이 충족되지 않는다면, 그냥 플러그를 뽑는 것이 최선의 방법일 것이다.

 

※라이브 포렌식을 할 때에는 최대한 "침입성"이 적은 방법을 선택하는 것이 좋다.

 

라이브 포렌식 실시 및 문서화

라이브 포렌식을 한 번 시작하면 과정이 완료되기 전에는 방해를 받지 않고 작업해야 한다.

따라서, 시작하기 전에 보고서 형식, 펜, 메모리 데이터 수집 툴 등 필요한 모든 것을 준비해야 한다.

더불어, 컴퓨터에서 하는 모든 작업은 기록해둬야 한다.

 

컴퓨터 화면이 보이지 않는 경우, 화면을 보이게 하기 위해서 한 모든 행동들을 기록해여 함.

 

화면이 보이는 경우, 컴퓨터의 날짜와 시간을 가장 먼저 확인하고 어떤 프로세스가 실행 중인지 실행 중인지 기록해야 한다.

 

검증된 메모리 캡쳐 툴을 사용하여 RAM에 있는 휘발성 증거를 수집하고, 컴퓨터를 종료한다.

 

6. 해싱

앞서 클론한 드라이브가 증거 드라이브(소스 드라이브)를 완벽히 복사한 것인지 확인하는 방법으로 해시 값을 얘기했었다. (해시 값을 통해 제대로 클로닝 되었는지 확인할 수 있다.)

일반적으로 해시 값은 "디지털 지문", "디지털 DNA"라고 불린다.

 

해시 값(함수)은 암호화와 증거의 무결성을 증명하는 것을 포함하여 다양한 용도로 사용되는데, 하드 드라이브를 약간만 수정하여도, 완전히 다른 해시 값이 나오게 되어서 증거를 조작하면 바로 탐지할 수 있다.

 

해시 알고리즘의 종류

많은 종류의 해시 알고리즘이 있지만, 디지털 포렌식에서 가장 일반적으로 사용되는 해시 함수는 MD5(Message Digest 5)와 SHA(Secure Hashing Algorithm) 1 또는 2 이다.

 

해시의 용도

• 해시 값은 디지털 포렌식 과정 전반에서 사용할 수 있다. 
• 클로닝 과정 후에 클론된 것이 정확한 복사본인지 확인할 때 사용되며, 무결성을 확인할 때도 사용된다.
• 조사관이 포렌식 이미지를 교환하는 경우, 해시 값을 이미지와 함께 전송하여 원본과 대조할 수 있다.

수사 전반에 걸쳐 생성되고 기록된 모든 해시 값은 최종 보고서에 포함되어야 하며, 디지털 증거의 무결성을 증명하는 데 핵심적이다.

 

 

7. 최종 보고서

분석 최종 단계에서 조사관은 작업 내용, 발견한 내용, 결론 등에 대해 자세하게 최종 보고서를 작성해야 하는데, 전문 용어와 코드로 채워져 있는 경우 판사, 검사와 같은 일반인들이 이해하기 어려워, 법정에서 채택되지 않을 수 있다.

 

Encase 및 FTK 같은 주요 포렌식 툴들에는 강력한 보고서 작성 기능이 있으나, 일반인들이 이해하기 어려워서 제출하기에 적합하지 않다. (물론, 최종 보고서에 포함은 한다.)

 

마지막으로

최종 보고서에는 툴이 작성한 표준 보고서보다 훨씬 많은 내용이 포함되어야 하는데, 그러한 내용 중 하나로 조사관이 실제로 한 행동에 대해 모두 설명하는 것도 포함된다.