책 소개
제목: 이제 시작이야 디지털 포렌식
내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)
개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)
http://www.yes24.com/Product/Goods/7526115
이제 시작이야! 디지털 포렌식
디지털 포렌식 입문을 위한 첫걸음 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서다. 디지털 포렌식이 무엇인지, 어떠한 방법론이 사용되는지, 핵심적인
www.yes24.com
10장 휴대기기 포렌식
서론
불과 10년 전만 해도 터치폰이 혁명적인 제품이었는데, 지금은 아주 기본적인 디폴트 기능이 되었습니다. 그만큼 빠르게 발전하고, 다양한 신기술들이 적용되는 것이 휴대폰입니다. 오늘날 휴대폰은 컴퓨터보다 더 많은 사적인 정보를 지닙니다. 그래서 오늘은 휴대기기 포렌식에 대한 내용이 주제입니다.
2012년에 나온 책이다 보니, 2021년인 현재와 다소 다른 양상을 띠고 있을거라는 점을 유의하면 좋을 것 같습니다.
1. 셀룰러 네트워크
셀룰러 네트워크는 여러 개의 셀(cell)로 구성되어 있다. 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스를 제공합니다.
각 셀의 크기와 모양은 서로 다르며, 각 셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 엄밀하게 통제된다. (범위 제한으로 인해서, 주파수를 재활용할 수 있음.)
셀 사이트(cell site):
각 셀에는 기지국이 있으며, 기지국에는 안테나와 관련 라디오 장비가 있는데 이를 통틀어 셀 사이트라고 함. 셀 사이트는 네트워크에 연결될 수 있도록 함.
일반적으로 각 셀 타워는 각 측면마다 3개의 패널이 부착되어 있는데,
가운데에 있는 패널은 보통 송신기로 사용하며, 나머지 2개의 패널은 수신기로 라디오 신호를 탐지한다.
셀 사이트는 각 셀의 정가운데에 위치하지 않고, 여러 셀의 교차로에 위치하여 가입자가 하나의 셀에서 다른 셀로 이동하기 쉽도록 함.
셀룰러 네트워크 구성요소
- 기지국:
안테나와 관련 장비로 구성되어 있음.
- 기지국 제어기(Base Station Controller, BSC):
기지국 사이의 신호를 조절하며, 휴대폰의 위치가 이동될 때 핵심적인 역할을 함.
- 기지국 교환센터(Mobile Switching Center, MSC):
네트워크 안에서 발생한 통화를 처리함.
무선 네트워크의 핵심요소로서 엄청난 양의 증거가 잠재적으로 저장되어 있을 수 있음.
다른 무선 네트워크나 유선 전화와의 통화를 조절하고 문자 메시지를 처리하며, 통화 기록과 로그도 수집할 수 있음.
- 방문자 위치 등록기(Visitor Location Register, VLR):
기지국 교환 센터에 연결되어 있는 데이터베이스로, 기지국 교환센터로 통제되고 있는 모든 휴대기기는 방문자 위치 등록기에 기록됨.
인터네트워크 기능은 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할을 함.
- 홈 위치 등록기(Home Location Register, HLR):
가입자 식별 정보, 휴대폰 요금 청구, 사용하는 서비스, 기기의 현재 위치 등의 가입자의 정보가 수집됨.
암호화 키를 저장하고, 인증 센터(Authentication Center, AuC)를 지원하며 네트워크로의 접근을 제어하는데 사용됨.
- 인증 센터(Authentication Center, AuC):
연결을 조사하여 승인되지 않은 사용자를 차단함.
- 단문 메시지 서비스 센터(Short Messeage Service Center, SMSC):
문자 메시지 또는 SMS 메시지를 저장함.
통화를 하지 않아도, 휴대폰은 주변의 셀룰러 안테나와 주기적으로 통신하여 식별 정보를 전송해, 접근 인가가 있는지 검증한다.
만약 운전을 하고 있다면, 네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전되는데, 이러한 네트워크 이전을 "핸드오프(handoff)"라고 함.
핸드오프 처리
GSM(세계 무선 통신 시스템)과 CDMA(코드 분할 다중 접속) 네트워크는 핸드오프 처리 방식이 다름.
GSM 네트워크는 "하드 핸드오프" 방식을 사용함.
▶ 휴대폰은 한 번에 하나의 타워에 접속할 수 있으며, 현재 타워에서 통화를 하고 있다면, 그 통화는 새로운 타워로 이전되고, 휴대폰은 새로운 타워의 주파수로 전환됨.
CDMA는 "소프트 핸드오프" 방식을 사용함.
▶ 휴대폰은 여러 개의 타워에 동시에 접속할 수 있으며, 그 중에서 가장 신호가 강한 타워를 사용함.
통화가 셀 타워에 도착하면, 그 통화는 "기지국 교환센터"로 이전되고,
만약 네트워크 외부로 연결해야 하는 통화라면, 기지국 교환센터는 "공중 전화망(Public Switched Telephone Network, PSTN)으로 통화를 넘기고, 공중 전화망은 해당 수신자에게 통화를 돌림.
셀룰러 네트워크의 종류
셀룰러 네트워크는 어떻게 데이터를 전송하는지에 따라 분류되거나 정의됨.
데이터 전송방식에는 '코드 분할 다중 접속', '세계 무선 통신 시스템', '통합 디지털 확장 네트워크'가 있음.
- 코드 분할 다중 접속(CDMA):
CDMA는 주파수 기술을 사용하여 데이터를 전송함.
이 기술은 하나의 채널로 여러 대의 휴대폰이 데이터를 송수신할 수 있도록 하여 각 휴대폰 통화가 특정 디지털 코드로 표시되게 함.
CDMA 기술로 서비스를 제공하는 업체로는 SKT, KT, LG U+ 등이 있다.
CDMA 휴대폰은 일반적으로 SIM 카드를 사용하지 않으며, 장치일련번호로 휴대폰을 식별한다.
(우리 휴대폰 USIM 칩 사용하는데...?, 일반적이지 않은 것 같네요.)
- 세계 무선 통신 시스템(GSM):
GSM은 국제적이며, 사분할 다중접속 기술을 사용함.
전세계적으로 가장 많이 사용하는 데이터 전송 방식이며, CDMA와 다르게 GSM 휴대폰은 SIM 카드를 사용함.
국제 이동 단말기 번호(International Mobile Equipment Identity, IMEI)를 사용하여 휴대폰을 식별함.
- 통합 디지털 확장 네트워크(IDEN):
IDEN은 양방향 라디오 같은 기능을 제공하는데, GSM 휴대폰과 마찬가지로 SIM 카드를 사용한다.
IDEN 통신업체로는 넥스텔, 스프린트, 부스트모바일 등이 있음.
- 선불 휴대폰:
미국에서는 선불 휴대폰을 대형 마트에서 식료품을 구매하는 것처럼 구매하여 사용할 수 있음.
(그래서... 영화에서 휴대폰을 장바구니에 담듯이 샀구나... 신원 확인이 어렵겠다..)
선불휴대폰도 라디오 신호를 사용하여 데이터를 전송하고 네트워크에 연결해야 한다는 점에서 다른 휴대폰과 동일한 방식으로 작동함.
하지만, 선불 휴대폰은 완전히 현금으로 지불하여 구매할 수 있기 때문에 아무런 흔적이 남지 않아 사용자가 누구인지 식별하기가 어렵다.
(이거 완전히 합법적인 대포폰인 것 같다...)
다른 휴대폰과 마찬가지로 휴대폰을 사용한 위치와 통화내역을 확인할 수 있다.
2. 운영체제
모든 포렌식 조사에 있어서 휴대폰의 운영체제는 어떤 흔적을 남기고 어떻게 저장되는지 등의 커다란 영향을 미친다. 오늘날의 휴대폰 운영체제로는 심비안, 애프르이 iOS, 윈도우 CE, 윈도우 모바일, 구글의 안드로이드, 블랙베리 OS 등이 있다.
- 블랙베리:
리서치 인 모션(Research In Motion, RIM)이라는 캐나다 회사에 의해 처음으로 개발되어 기업과 정부 사용자들이 애용했음.
다양한 종류의 응용프로그램을 지원하며, 멀티태스킹도 지원함.
이 운영체제는 고유 운영체제로 통신업체마다 버전이 다르다. (즉, SKT와 KT에서 제공하는 버전이 다름.)
- 안드로이드:
오픈소스 운영체제로 현재 오픈 핸드셋 얼라이언스(Open Handset Alliance)가 개발 중임.
2005년 구글이 Android, Inc로부터 안드로이드 운영체제를 인수함.
안드로이드에는 안드로이드의 핵심 기능을 확장시켜 주는 수천 개의 응용 프로그램이 있음.
- iOS:
애플의 컴퓨터와 노트북에 사용되던 Mac OS X를 기반으로 만들어짐.
아이폰, 아이패드, 아이팟 터치에 해당 OS가 사용됨.
3. 휴대폰 증거
휴대폰 증거는 휴대폰뿐만 아니라 휴대폰 네트워크에서도 수집이 가능함.
▼스마트폰에 있는 잠재적 증거 표▼
| 통화 기록 | 문자 메시지 | 이메일 |
| 사진 및 동영상 | 삭제된 문자 메시지 | 브라우저 기록 |
| 연락처 | 위치 정보 | 채팅 세션 |
| 달력 | 음성 메모 | 문서 |
개인 식별 번호(Personal Indentification Number, PIN)는 휴대폰의 보안을 강화하는데 사용됨.
=> PIN을 세 번 연속으로 틀리면 잠금 상태가 되며, 잠금 해제를 위해서 개인 해제 키(Personal Unlock Key, PUK)가 필요함. 해당 PUK는 일반적으로 SIM 카드 제공자만이 지급할 수 있음.
더불어, 텍스트를 입력할 때 휴대폰에서 제공되는 자동 완성 기능이 있는데, 해당 기능은 단어예측(predictive text) 기능으로 데이터베이스에 동화된다.
즉 이 기록을 수집해서 활용할 수 있다.
(ex. 평소 사용자가 어떤 단어를 많이 사용하고, 관심있어 하는지 파악이 가능함.)
통화내역기록(Call Detail Records, CDR)
CDR은 보통 통신업체가 문제를 해결하고 네트워크의 성능을 개선하기 위해서 사용됨.
▼저장된 정보▼
- 통화 시작 및 종료 날짜와 시간
- 휴대폰을 건 사람과 받은 사람
- 통화 시간
- 휴대폰을 한 것인지 받은 것인지
- 통화 시작 타워와 종료 타워
※ 누가 실제로 통화를 했는지는 알 수 없음. (가입자 정보만 알 수 있음.)
휴대폰의 위치 파악
- 삼각 측량(triangulation):
세 개의 서로 다른 타워로부터 휴대폰과의 거리를 측정하여 휴대폰의 대략적인 위치를 파악함.
거리는 휴대폰에서 세 개의 타워로 신호를 보낼 때 지연되는 시간을 바탕으로 계산함.
- 방향 안테나:
삼각 측량과 마찬가지로 신호의 지연 시간을 바탕으로 거리를 측정하는데, 방향을 판단할 수 있어서 세 개의 타워 대신에 두 개의 타워만을 사용함.
- GPS:
위도와 경도를 파악할 수 있음.
휴대폰 증거 수집 및 처리
첫 번째 작업은 네트워크로부터 휴대폰을 고립시키기
=> 원격으로 휴대폰의 데이터가 모두 삭제될 수도 있으며, 새로 오는 메시지, 메일이 잠재적 증거를 덮어쓸 수 있음.
패러데이 봉투나 캔으로 휴대폰을 고립시킬 수 있음.
휴대폰이 꺼져 있다면, 전지를 꺼내고 SIM 카드에 표시를 해야 함. (요즈음 일체형이긴 한데..)
그리고, 휴대폰의 앞과 뒤를 사진으로 남겨두며, 전지 밑에 있는 번호(IMEI, ESN/MEID)를 유의깊게 살펴봐야 함.
휴대폰의 모델, 브랜드 정보를 확인해야 함.
상황에 따라서 원본으로 조사할지 복사본으로 조사할지 결정해야 함.
현장에서는 다른 휴대폰, SIM 카드, 관련 전원 케이블, 데이터 케이블을 확인해야 함.
SIM 카드
SIM 카드는 수많은 정보가 저장되어 있기에, SIM 카드 자체만으로 중요한 증거가 됨.
특히 유용한 정보 두 가지가 저장되어 있음.
- 국제 이동가입자 식별자(International Mobile Subscriber Identity, IMSI):
가입자의 계정 정보와 서비스를 식별하는데 사용됨.
- 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID):
SIM 카드 자체의 시리얼 번호
SIM 카드에 저장된 정보
- 사용자 식별 정보(IMSI)
- 서비스 제공업체
- 카드 식별 정보(ICC-ID)
- 언어 설정
- 휴대폰의 전원이 꺼진 곳의 위치
- 사용자가 저장한 휴대폰번호
- SMS 문자 메시지 (없을 수도 있음.)
- 삭제된 SMS 문자 메시지 (없을 수도 있음.)
SIM 카드는 프로세서(CPU), RAM, 플래시 기반의 비휘발성 메모리, 암호화 칩 등의 여러 구성요소로 이루어짐.
휴대폰 수집: 물리적 및 논리적
물리적 방법으로는 물리적 저장매체에 있는 모든 데이터를 캡쳐함.
즉, 하드 드라이브를 클로닝하는 것처럼 비트 하나 틀리지 않고 모두 복사한다.
(삭제된 정보도 캡쳐할 수 있음.)
논리적 방법으로는 삭제된 데이터는 가져오지 못하고, 파일과 폴더만 캡쳐한다.
이 경우 하드 드라이브에 있는 데이터를 수집할 때와 비슷하기는 하지만, 쓰기 차단 기기가 사용되지 않음.
4. 휴대폰 포렌식 툴
- BitPim:
강력한 오픈소스 프로그램으로 LG나 삼성을 포함하여 여러 벤더에서 생산하는 CDMA 휴대폰의 데이터를 수집할 수 있도록 설계됨.
연락처, 달력, 배경화면, 휴대폰 벨 소리, 파일 시스템 등 다양한 데이터를 복구할 수 있음.
- Oxygen Forensic Suite:
휴대폰 전용 포렌식 프로그램으로 2,300개 이상의 기기를 지원함.
SIM 카드 데이터, 통화 그룹, 휴대폰 기록, 표준 및 개인 SMS/MMS/이메일 폴더, 삭제된 문자 메시지, 달력, 사진, 동영상, JAVA 프로그램, GPS 위치 등을 축출할 수 있음.
(https://www.oxygen-forensic.com/en/)
- Paraben Corporation:
다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴을 판매함.
Garmin 같은 네비게이션 기기도 지원함.
- AccessData의 MPE+:
3,500 개 이상의 휴대폰을 지원함.
통화기록, 메시지, 사진, 음성 메시지, 동영상, 달력, 이벤트 등을 수집함.
동일한 인터페이스를 사용하여 여러 대의 휴대폰과 컴퓨터를 분석하여 상관관계를 확인할 수 있음.
(https://accessdata.com/product-download/mpe-5-8-0)
- Cellebrite의 UFED (Universal Forensic Extraction Device):
독립형 하드웨어 장비로 연락처, 사진, 동영상, SMS, MMS, 통화기록 등 다양한 정보를 축출할 수 있음.
2,500개 이상의 휴대폰을 지원하며 현장에서 정보를 바로 축출할 수 있도록 설계됨.
SIM 카드 읽기와 클로닝 기능도 포함되어 있음.
(https://www.cellebrite.com/en/ufed/)
- EnCase Smartphone Examiner:
스마트폰과 타블렛의 데이터를 축출하고 검토할 수 있게 해주는 툴.
블랙베리, 아이툰 백업, SD 카드 등에서 데이터를 수집할 수 있음.
일단 정보가 수집되면 EnCase Forensics suite에서 해당 정보를 불러들여 추가적인 조사가 가능함.
(https://security.opentext.com/encase-mobile-investigator)
5. 네비게이션
네비게이션은 심플, 스마트, 하이브리드, 네트워크로 크게 4가지로 분류할 수 있음.
심플 네비게이션은 사용자가 한 장소에서 다른 장소로 이동하는 데 도움을 주며,
트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙 로그를 저장할 수 있음.
스마트 네비게이션은 자동차와 USB 대용량 저장장치 두 가지로 세분화할 수 있는데, 적어도 2GB 이상의 저장공간이 있고 SD 카드를 추가로 사용할 수 있다. 심플 시스템과 동일한 기본 기능을 제공하며 그 이외에 MP3, 사진 보기, 자주 가는 곳 저장하기 기능 등이 있음.
하이브리드 네비게이션은 많은 기능을 제공하기 때문에 많은 증거가 저장되어 있을 수 있음.
스마트 기기에 있는 기능을 모두 가지고 있으며, 추가적인 기능을 제공함.
블루투스로 휴대폰과 연결할 수 있기 때문에 휴대폰에 있는 많은 데이터를 네비게이션에서도 발견할 수도 있음.
즉, 통화목록, 주소록 그리고 최대 10대까지 네비게이션에 연결했던 휴대폰의 MAC 주소 정보 등이 저장되며, 마지막으로 문자 메시지가 저장될 수도 있음.
네트워크 네비게이션은 하이브리드에 있는 기능에 추가적으로 구글 검색이나 교통 정보 등 실시간 정보를 받을 수 있는 기능이 있음. 이러한 네비게이션에는 SIM 카드와 GSM 라디오 장치가 탑재되어 있음
※ 솔직히, 현재 네비게이션은 위의 4가지를 다 포함하는 기능을 가지고 있는 것 같다.
네비게이션 데이터는 시스템 데이터와 사용자 데이터 두 가지로 분류할 수 있으며, 이때 시스템 데이터로 트랙포인트와 트랙 로그 등을 제공한다.
시스템 데이터
- 트랙포인트:
해당 기기가 있었던 위치에 대한 기록을 의미함.
시스템에서 자동으로 생성하며, 사용자가 수정할 수 없음.
기본설정으로 시스템은 얼마나 자주 기록하는지 결정하는데, 이 부분을 사용자가 수정할 수 있어서 저장되는 시간이나 거리를 변경할 수 있음.
- 트랙 로그:
모든 트랙포인트의 포괄적인 목록을 의미함.
사용자가 경로를 되돌아가는 데 도움을 주기 위한 기능임.
사용자 데이터
- 웨이포인트:
사용자가 생성한 데이터의 일부임.
트랙포인트와 다르게 웨이포인트는 실제로 사용자가 물리적으로 해당 위치에 갔다는 것을 의미하지는 않음. (사용자가 가려 했던 곳일 수 있음.)