책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

http://www.yes24.com/Product/Goods/7526115

10장 휴대기기 포렌식

서론

불과 10년 전만 해도 터치폰이 혁명적인 제품이었는데, 지금은 아주 기본적인 디폴트 기능이 되었습니다. 그만큼 빠르게 발전하고, 다양한 신기술들이 적용되는 것이 휴대폰입니다. 오늘날 휴대폰은 컴퓨터보다 더 많은 사적인 정보를 지닙니다. 그래서 오늘은 휴대기기 포렌식에 대한 내용이 주제입니다.

2012년에 나온 책이다 보니, 2021년인 현재와 다소 다른 양상을 띠고 있을거라는 점을 유의하면 좋을 것 같습니다.

1. 셀룰러 네트워크

셀룰러 네트워크는 여러 개의 셀(cell)로 구성되어 있다. 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스를 제공합니다.

각 셀의 크기와 모양은 서로 다르며, 각 셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 엄밀하게 통제된다. (범위 제한으로 인해서, 주파수를 재활용할 수 있음.)

셀 사이트(cell site):

각 셀에는 기지국이 있으며, 기지국에는 안테나와 관련 라디오 장비가 있는데 이를 통틀어 셀 사이트라고 함. 셀 사이트는 네트워크에 연결될 수 있도록 함. 

일반적으로 각 셀 타워는 각 측면마다 3개의 패널이 부착되어 있는데,

가운데에 있는 패널은 보통 송신기로 사용하며, 나머지 2개의 패널은 수신기로 라디오 신호를 탐지한다.

셀 사이트는 각 셀의 정가운데에 위치하지 않고, 여러 셀의 교차로에 위치하여 가입자가 하나의 셀에서 다른 셀로 이동하기 쉽도록 함.

셀룰러 네트워크 구성요소

- 기지국:

안테나와 관련 장비로 구성되어 있음.

- 기지국 제어기(Base Station Controller, BSC):

기지국 사이의 신호를 조절하며, 휴대폰의 위치가 이동될 때 핵심적인 역할을 함.

- 기지국 교환센터(Mobile Switching Center, MSC):

네트워크 안에서 발생한 통화를 처리함.

무선 네트워크의 핵심요소로서 엄청난 양의 증거가 잠재적으로 저장되어 있을 수 있음.

다른 무선 네트워크나 유선 전화와의 통화를 조절하고 문자 메시지를 처리하며, 통화 기록과 로그도 수집할 수 있음.

- 방문자 위치 등록기(Visitor Location Register, VLR):

기지국 교환 센터에 연결되어 있는 데이터베이스로, 기지국 교환센터로 통제되고 있는 모든 휴대기기는 방문자 위치 등록기에 기록됨.

인터네트워크 기능은 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할을 함.

- 홈 위치 등록기(Home Location Register, HLR):

가입자 식별 정보, 휴대폰 요금 청구, 사용하는 서비스, 기기의 현재 위치 등의 가입자의 정보가 수집됨.

암호화 키를 저장하고, 인증 센터(Authentication Center, AuC)를 지원하며 네트워크로의 접근을 제어하는데 사용됨. 

- 인증 센터(Authentication Center, AuC):

연결을 조사하여 승인되지 않은 사용자를 차단함.

- 단문 메시지 서비스 센터(Short Messeage Service Center, SMSC):

문자 메시지 또는 SMS 메시지를 저장함. 

통화를 하지 않아도, 휴대폰은 주변의 셀룰러 안테나와 주기적으로 통신하여 식별 정보를 전송해, 접근 인가가 있는지 검증한다.

만약 운전을 하고 있다면, 네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전되는데, 이러한 네트워크 이전을 "핸드오프(handoff)"라고 함.

핸드오프 처리

GSM(세계 무선 통신 시스템)과 CDMA(코드 분할 다중 접속) 네트워크는 핸드오프 처리 방식이 다름.

GSM 네트워크는 "하드 핸드오프" 방식을 사용함.

▶ 휴대폰은 한 번에 하나의 타워에 접속할 수 있으며, 현재 타워에서 통화를 하고 있다면, 그 통화는 새로운 타워로 이전되고, 휴대폰은 새로운 타워의 주파수로 전환됨.

CDMA는 "소프트 핸드오프" 방식을 사용함.

▶ 휴대폰은 여러 개의 타워에 동시에 접속할 수 있으며, 그 중에서 가장 신호가 강한 타워를 사용함.

통화가 셀 타워에 도착하면, 그 통화는 "기지국 교환센터"로 이전되고,

만약 네트워크 외부로 연결해야 하는 통화라면, 기지국 교환센터는 "공중 전화망(Public Switched Telephone Network, PSTN)으로 통화를 넘기고, 공중 전화망은 해당 수신자에게 통화를 돌림.

셀룰러 네트워크의 종류

셀룰러 네트워크는 어떻게 데이터를 전송하는지에 따라 분류되거나 정의됨.

데이터 전송방식에는 '코드 분할 다중 접속', '세계 무선 통신 시스템', '통합 디지털 확장 네트워크'가 있음.

- 코드 분할 다중 접속(CDMA): 

CDMA는 주파수 기술을 사용하여 데이터를 전송함.

이 기술은 하나의 채널로 여러 대의 휴대폰이 데이터를 송수신할 수 있도록 하여 각 휴대폰 통화가 특정 디지털 코드로 표시되게 함.

CDMA 기술로 서비스를 제공하는 업체로는 SKT, KT, LG U+ 등이 있다.

CDMA 휴대폰은 일반적으로 SIM 카드를 사용하지 않으며, 장치일련번호로 휴대폰을 식별한다.

(우리 휴대폰 USIM 칩 사용하는데...?, 일반적이지 않은 것 같네요.)

- 세계 무선 통신 시스템(GSM): 

GSM은 국제적이며, 사분할 다중접속 기술을 사용함.

전세계적으로 가장 많이 사용하는 데이터 전송 방식이며, CDMA와 다르게 GSM 휴대폰은 SIM 카드를 사용함.

국제 이동 단말기 번호(International Mobile Equipment Identity, IMEI)를 사용하여 휴대폰을 식별함.

- 통합 디지털 확장 네트워크(IDEN):

IDEN은 양방향 라디오 같은 기능을 제공하는데, GSM 휴대폰과 마찬가지로 SIM 카드를 사용한다.

IDEN 통신업체로는 넥스텔, 스프린트, 부스트모바일 등이 있음.

- 선불 휴대폰: 

미국에서는 선불 휴대폰을 대형 마트에서 식료품을 구매하는 것처럼 구매하여 사용할 수 있음.

(그래서... 영화에서 휴대폰을 장바구니에 담듯이 샀구나... 신원 확인이 어렵겠다..)

선불휴대폰도 라디오 신호를 사용하여 데이터를 전송하고 네트워크에 연결해야 한다는 점에서 다른 휴대폰과 동일한 방식으로 작동함.

하지만, 선불 휴대폰은 완전히 현금으로 지불하여 구매할 수 있기 때문에 아무런 흔적이 남지 않아 사용자가 누구인지 식별하기가 어렵다.

(이거 완전히 합법적인 대포폰인 것 같다...)

다른 휴대폰과 마찬가지로 휴대폰을 사용한 위치와 통화내역을 확인할 수 있다.

2. 운영체제

모든 포렌식 조사에 있어서 휴대폰의 운영체제는 어떤 흔적을 남기고 어떻게 저장되는지 등의 커다란 영향을 미친다. 오늘날의 휴대폰 운영체제로는 심비안, 애프르이 iOS, 윈도우 CE, 윈도우 모바일, 구글의 안드로이드, 블랙베리 OS 등이 있다. 

- 블랙베리:

리서치 인 모션(Research In Motion, RIM)이라는 캐나다 회사에 의해 처음으로 개발되어 기업과 정부 사용자들이 애용했음.

다양한 종류의 응용프로그램을 지원하며, 멀티태스킹도 지원함.

이 운영체제는 고유 운영체제로 통신업체마다 버전이 다르다. (즉, SKT와 KT에서 제공하는 버전이 다름.)

- 안드로이드:

오픈소스 운영체제로 현재 오픈 핸드셋 얼라이언스(Open Handset Alliance)가 개발 중임.

2005년 구글이 Android, Inc로부터 안드로이드 운영체제를 인수함.

안드로이드에는 안드로이드의 핵심 기능을 확장시켜 주는 수천 개의 응용 프로그램이 있음.

- iOS:

애플의 컴퓨터와 노트북에 사용되던 Mac OS X를 기반으로 만들어짐.

아이폰, 아이패드, 아이팟 터치에 해당 OS가 사용됨.

3. 휴대폰 증거

휴대폰 증거는 휴대폰뿐만 아니라 휴대폰 네트워크에서도 수집이 가능함.

▼스마트폰에 있는 잠재적 증거 표▼

개인 식별 번호(Personal Indentification Number, PIN)는 휴대폰의 보안을 강화하는데 사용됨.

=> PIN을 세 번 연속으로 틀리면 잠금 상태가 되며, 잠금 해제를 위해서 개인 해제 키(Personal Unlock Key, PUK)가 필요함. 해당 PUK는 일반적으로 SIM 카드 제공자만이 지급할 수 있음.

더불어, 텍스트를 입력할 때 휴대폰에서 제공되는 자동 완성 기능이 있는데, 해당 기능은 단어예측(predictive text) 기능으로 데이터베이스에 동화된다.

즉 이 기록을 수집해서 활용할 수 있다.

(ex. 평소 사용자가 어떤 단어를 많이 사용하고, 관심있어 하는지 파악이 가능함.)

통화내역기록(Call Detail Records, CDR)

CDR은 보통 통신업체가 문제를 해결하고 네트워크의 성능을 개선하기 위해서 사용됨.

▼저장된 정보▼

- 통화 시작 및 종료 날짜와 시간

- 휴대폰을 건 사람과 받은 사람

- 통화 시간

- 휴대폰을 한 것인지 받은 것인지

- 통화 시작 타워와 종료 타워

※ 누가 실제로 통화를 했는지는 알 수 없음. (가입자 정보만 알 수 있음.)

휴대폰의 위치 파악

- 삼각 측량(triangulation):

세 개의 서로 다른 타워로부터 휴대폰과의 거리를 측정하여 휴대폰의 대략적인 위치를 파악함.

거리는 휴대폰에서 세 개의 타워로 신호를 보낼 때 지연되는 시간을 바탕으로 계산함.

- 방향 안테나:

삼각 측량과 마찬가지로 신호의 지연 시간을 바탕으로 거리를 측정하는데, 방향을 판단할 수 있어서 세 개의 타워 대신에 두 개의 타워만을 사용함. 

- GPS:

위도와 경도를 파악할 수 있음.

휴대폰 증거 수집 및 처리

첫 번째 작업은 네트워크로부터 휴대폰을 고립시키기

=> 원격으로 휴대폰의 데이터가 모두 삭제될 수도 있으며, 새로 오는 메시지, 메일이 잠재적 증거를 덮어쓸 수 있음.

패러데이 봉투나 캔으로 휴대폰을 고립시킬 수 있음.

휴대폰이 꺼져 있다면, 전지를 꺼내고 SIM 카드에 표시를 해야 함. (요즈음 일체형이긴 한데..)

그리고, 휴대폰의 앞과 뒤를 사진으로 남겨두며, 전지 밑에 있는 번호(IMEI, ESN/MEID)를 유의깊게 살펴봐야 함.

휴대폰의 모델, 브랜드 정보를 확인해야 함.

상황에 따라서 원본으로 조사할지 복사본으로 조사할지 결정해야 함.

현장에서는 다른 휴대폰, SIM 카드, 관련 전원 케이블, 데이터 케이블을 확인해야 함.

SIM 카드

SIM 카드는 수많은 정보가 저장되어 있기에, SIM 카드 자체만으로 중요한 증거가 됨.

특히 유용한 정보 두 가지가 저장되어 있음.

- 국제 이동가입자 식별자(International Mobile Subscriber Identity, IMSI):

가입자의 계정 정보와 서비스를 식별하는데 사용됨.

- 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID):

SIM 카드 자체의 시리얼 번호

SIM 카드에 저장된 정보

- 사용자 식별 정보(IMSI)

- 서비스 제공업체

- 카드 식별 정보(ICC-ID)

- 언어 설정

- 휴대폰의 전원이 꺼진 곳의 위치

- 사용자가 저장한 휴대폰번호

- SMS 문자 메시지 (없을 수도 있음.)

- 삭제된 SMS 문자 메시지 (없을 수도 있음.)

SIM 카드는 프로세서(CPU), RAM, 플래시 기반의 비휘발성 메모리, 암호화 칩 등의 여러 구성요소로 이루어짐.

휴대폰 수집: 물리적 및 논리적

물리적 방법으로는 물리적 저장매체에 있는 모든 데이터를 캡쳐함.

즉, 하드 드라이브를 클로닝하는 것처럼 비트 하나 틀리지 않고 모두 복사한다.

(삭제된 정보도 캡쳐할 수 있음.)

논리적 방법으로는 삭제된 데이터는 가져오지 못하고, 파일과 폴더만 캡쳐한다.

이 경우 하드 드라이브에 있는 데이터를 수집할 때와 비슷하기는 하지만, 쓰기 차단 기기가 사용되지 않음.

4. 휴대폰 포렌식 툴

- BitPim:

강력한 오픈소스 프로그램으로 LG나 삼성을 포함하여 여러 벤더에서 생산하는 CDMA 휴대폰의 데이터를 수집할 수 있도록 설계됨.

연락처, 달력, 배경화면, 휴대폰 벨 소리, 파일 시스템 등 다양한 데이터를 복구할 수 있음.

(http://www.bitpim.org/)

- Oxygen Forensic Suite:

휴대폰 전용 포렌식 프로그램으로 2,300개 이상의 기기를 지원함.

SIM 카드 데이터, 통화 그룹, 휴대폰 기록, 표준 및 개인 SMS/MMS/이메일 폴더, 삭제된 문자 메시지, 달력, 사진, 동영상, JAVA 프로그램, GPS 위치 등을 축출할 수 있음.

(https://www.oxygen-forensic.com/en/)

- Paraben Corporation:

다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴을 판매함.

Garmin 같은 네비게이션 기기도 지원함.

(https://paraben.com/)

- AccessData의 MPE+:

3,500 개 이상의 휴대폰을 지원함.

통화기록, 메시지, 사진, 음성 메시지, 동영상, 달력, 이벤트 등을 수집함.

동일한 인터페이스를 사용하여 여러 대의 휴대폰과 컴퓨터를 분석하여 상관관계를 확인할 수 있음.

(https://accessdata.com/product-download/mpe-5-8-0)

- Cellebrite의 UFED (Universal Forensic Extraction Device):

독립형 하드웨어 장비로 연락처, 사진, 동영상, SMS, MMS, 통화기록 등 다양한 정보를 축출할 수 있음.

2,500개 이상의 휴대폰을 지원하며 현장에서 정보를 바로 축출할 수 있도록 설계됨.

SIM 카드 읽기와 클로닝 기능도 포함되어 있음.

(https://www.cellebrite.com/en/ufed/)

- EnCase Smartphone Examiner:

스마트폰과 타블렛의 데이터를 축출하고 검토할 수 있게 해주는 툴.

블랙베리, 아이툰 백업, SD 카드 등에서 데이터를 수집할 수 있음.

일단 정보가 수집되면 EnCase Forensics suite에서 해당 정보를 불러들여 추가적인 조사가 가능함.

(https://security.opentext.com/encase-mobile-investigator)

5. 네비게이션

네비게이션은 심플, 스마트, 하이브리드, 네트워크로 크게 4가지로 분류할 수 있음.

심플 네비게이션은 사용자가 한 장소에서 다른 장소로 이동하는 데 도움을 주며,

트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙 로그를 저장할 수 있음.

스마트 네비게이션은 자동차와 USB 대용량 저장장치 두 가지로 세분화할 수 있는데, 적어도 2GB 이상의 저장공간이 있고 SD 카드를 추가로 사용할 수 있다. 심플 시스템과 동일한 기본 기능을 제공하며 그 이외에 MP3, 사진 보기, 자주 가는 곳 저장하기 기능 등이 있음.

하이브리드 네비게이션은 많은 기능을 제공하기 때문에 많은 증거가 저장되어 있을 수 있음.

스마트 기기에 있는 기능을 모두 가지고 있으며, 추가적인 기능을 제공함.

블루투스로 휴대폰과 연결할 수 있기 때문에 휴대폰에 있는 많은 데이터를 네비게이션에서도 발견할 수도 있음.

즉, 통화목록, 주소록 그리고 최대 10대까지 네비게이션에 연결했던 휴대폰의 MAC 주소 정보 등이 저장되며, 마지막으로 문자 메시지가 저장될 수도 있음.

네트워크 네비게이션은 하이브리드에 있는 기능에 추가적으로 구글 검색이나 교통 정보 등 실시간 정보를 받을 수 있는 기능이 있음. 이러한 네비게이션에는 SIM 카드와 GSM 라디오 장치가 탑재되어 있음

※ 솔직히, 현재 네비게이션은 위의 4가지를 다 포함하는 기능을 가지고 있는 것 같다.

네비게이션 데이터는 시스템 데이터와 사용자 데이터 두 가지로 분류할 수 있으며, 이때 시스템 데이터로 트랙포인트와 트랙 로그 등을 제공한다.

시스템 데이터

- 트랙포인트:

해당 기기가 있었던 위치에 대한 기록을 의미함.

시스템에서 자동으로 생성하며, 사용자가 수정할 수 없음.

기본설정으로 시스템은 얼마나 자주 기록하는지 결정하는데, 이 부분을 사용자가 수정할 수 있어서 저장되는 시간이나 거리를 변경할 수 있음.

- 트랙 로그:

모든 트랙포인트의 포괄적인 목록을 의미함.

사용자가 경로를 되돌아가는 데 도움을 주기 위한 기능임.

사용자 데이터

- 웨이포인트:

사용자가 생성한 데이터의 일부임.

트랙포인트와 다르게 웨이포인트는 실제로 사용자가 물리적으로 해당 위치에 갔다는 것을 의미하지는 않음. (사용자가 가려 했던 곳일 수 있음.)

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

http://www.yes24.com/Product/Goods/7526115

9장 네트워크 포렌식

서론

오늘날의 사회 인프라는 디지털 네트워크에 매우 의존하고 있어서, 해킹으로 인해 큰 피해를 입을 수 있는 고 가치 자산이 매우 많습니다. 그만큼 네트워크 환경은 보안 분야에 있어서 매우 중요합니다.

그래서, 9 장에서는 네트워크 기초와 디지털 포렌식이 네트워크 환경에 있어서 어떠한 역할을 하는가에 대해서 다룹니다.

1. 네트워크 기초

네트워크 또는 컴퓨터를 서로 연결하는 것에는 자원의 공유, 협력 등과 같은 많은 이점이 있습니다.

이 때, 네트워크를 구성하기 위해서는 규모와 목적에 관계없이 반드시 필요한 기본적인 사항들이 있습니다.

• 컴퓨터나 장비 사이의 연결 (물리적: 이더넷 케이블 혹은 무선)
• 사전에 서로 합의한 통신 규약의 존재 (네트워크 프로토콜 ex. TCP/IP) 

클라이언트/서버 네트워크: 

기업 환경에서 가장 많이 볼 수 있는 네트워크 환경

클라이언트:

최종 사용자가 사용하는 컴퓨터로 일상에서 우리가 사용하는 PC와 같은 기기를 말합니다.

파일, 서비스 그리고 정보 등을 서버로부터 요청합니다.

서버:

파일, 서비스, 정보 등을 여러 클라이언트에 제공합니다.

즉, 하나의 서버가 수백 대의 클라이언트와 파일 공유가 가능합니다.

서버는 네트워크를 더 많이 통제할 수 있으며, 보통 특정한 기능 하나만을 수행합니다.

(ex. 파일 서버, 이메일 서버, 프린트 서버 등)

P2P(Peer-to-Peer): 

네트워크에 있는 모든 컴퓨터는 클라이언트와 서버 역할을 모두 수행할 수 있습니다.

기업에서는 P2P 네트워크를 거의 사용하지 않고, 파일 공유 프로그램에서 많이 사용합니다. (ex. 토렌트)

네트워크 종류

LAN (Local Area Network, 근거리 통신망): 

일반적으로 작은 사무실에서 사용하는 네트워크로 하나의 사무실이나 빌딩에 있는 컴퓨터와 기기들로 구성

WAN (Wide Area Network, 광역 통신망): 

LAN보다 규모가 훨씬 크며, 다른 위치에 있는 여러 개의 LAN으로 구성되어 있습니다.

그 이외에도 MAN (Metropolitan Area Network), PAN (Personal Area Networks), CAN (Campus Area Networks), GAN (Global Area Networks) 등이 있습니다.

인트라넷: 

인터넷과 상반되는 것으로 한 회사의 인트라넷은 공개되어 있지 않으며 접근이 제한적입니다.

인트라넷은 파일 공유, 통신 등에 사용되며,

웹 브라우저를 사용하고 TCP/IP를 사용하는 등 인터넷과 비슷하게 작동합니다.

TCP/IP 프로토콜을 사용하는 네트워크:

해당 네트워크는 연결되어 있는 각 컴퓨터나 기기마다 IP 주소라고 불리는 고유 식별번호가 존재합니다.

IP 주소는 실제 주소처럼 메시지와 데이터가 정확히 도착지에 전달되는데 사용됩니다.

IP 주소 형식은 IPv4, IPv6두 가지가 존재하는데

IPv4는 약 40억개의 IP 주소를 할당할 수 있으며 우리에게 익숙한 형식입니다.

"."으로 분리된 4개의 숫자로 구성되어 있습니다.(ex. 198.122.55.16) 

IPv6는 무한한 숫자의 주소를 할당할 수 있기 때문에 현재 IPv6로 교체되고 있습니다.

(ex. 2008:0eb3:29a2:0000:0000:8xld:0967:7256)

IP 주소는 정적 또는 동적이 될 수 있습니다. 정적 주소는 보통 고정되어 변하지 않고, 동적 주소는 주기적으로 변합니다.

(ex. 인터넷 서비스 제공업체는 정적 IP 주소를 사용합니다.)

데이터 전송

네트워크에 있는 데이터는 다양한 방법으로 전송되는데, 대부분 패킷 스위칭 방식을 사용합니다.

패킷 스위칭은 데이터를 패킷이라고 부르는 작은 조각으로 만들어 IP 주소를 사용해 전달하는 방식입니다.

모든 패킷은 헤더, 페이로드, 푸터 세 부분으로 구성되어 있습니다.

헤더: 

송수신자의 IP 주소가 담겨 있으며, 주소 정보를 저장합니다.

얼마나 많은 패킷이 있으며, 그 중에서 해당 패킷은 몇 번째 패킷인지 알려줍니다.

페이로드:

전송되는 데이터

푸터:

수신자에게 해당 패킷이 마지막임을 알려주며, CRC (cyclical redundancy check, 순환 중복 검사)를 합니다.

CRC는 패킷에 있는 모든 1의 합으로 숫자가 일치하지 않는 경우,

데이터를 수신하는 컴퓨터에서 자동으로 데이터를 다시 요청해 재전송합니다.

즉, CRC는 패킷의 무결성을 검증하는 데 사용합니다.

게이트웨이:

네트워크로의 출입구 역할을 하는 네트워크 지점으로 한 네트워크에서 다른 네트워크로 이동하기 위해 거쳐야 하는 지점을 의미합니다.

브리지:

동일한 프로토콜을 사용하는 두 개의 네트워크를 연결하는 데 사용됩니다. 

라우터:

패킷의 위치를 추출하여, 그 위치에 대한 최적의 경로를 지정하하여 이 경로를 따라 데이터 패킷을 다음 장치로 전향시키는 장치입니다.

다시 말해서, IP 주소를 사용하여 네트워크에 있는 데이터를 최종 도착지로 전송합니다.

2. 네트워크 보안 툴

네트워크를 보호하는 데 도움이 되는 소프트웨어와 하드웨어가 많이 있습니다. 이러한 툴로 공격을 방지하는 데 도움을 얻을 수 있을 뿐만 아니라 조사와 관련된 정보를 수집할 수도 있습니다.

방화벽:

방화벽은 연관된 프로그램의 세트로 네트워크의 게이트웨이 서버에 위치하여 있으며, 다른 네트워크의 사용자로부터 사설 네트워크의 자원을 보호합니다. (by Tech Target, 2000) 

방화벽은 송수신되는 네트워크 트래픽을 필터링하는 역할을 하며, 네트워크 패킷을 유심히 조사하여 해당 트래픽을 허용할지 하지 않을지 결정합니다.

침입 탐지 시스템:

기업 내부와 외부의 공격을 탐지하기 위한 목적으로 만들어진 시스템입니다. 

일반적으로 네트워크에서 공격 패턴이나 일상적이지 않은 시스템 또는 사용자 활동을 모니터링합니다.

3. 네트워크 공격

분산 서비스 거부 공격 (Distributed Denial of Service, DDoS): 

침해된(감염된) 수많은 컴퓨터(좀비PC)를 사용하여 단 하나의 시스템을 공격하는 데 사용합니다. 

공격하는 컴퓨터들은 엄청난 양의 메시지와 요청으로 공격 대상 컴퓨터를 압도하여 공격 대상 시스템이 마비됩니다.

이러한 공격을 하는 컴퓨터를 통틀어 "봇넷(botnet)"이라고 부르며, "좀비(zomebies)"라고 불리는 여러 대의 침해된 컴퓨터로 이루어져 있습니다.

IP 스푸핑(spoofing): 

공격 대상 네트워크에 접근하기 위해서 유효하거나 "알려진" IP 주소를 위조하거나 "스푸핑"할 수 있습니다.

IP 자체의 보안 취약성을 악용한 것으로 자신의 IP 주소를 속여서 접속하는 공격을 말합니다.

즉, 공격자가 인증된 혹은 신뢰성 있는 사용자가 송신한 것처럼 패킷의 소스 IP를 변조하여 접속하는 공격입니다.

중간자 공격(Man-In-The-Middle-Attack): 

특정 사용자와 그 사용자가 통신하는 컴퓨터 사이에 공격자 자신을 삽입하는 공격입니다.

이를 통해서 사용자가 하는 통신을 모니터하고 변경 또는 삭제할 수 있으며, 해당 사용자 행세를 할 수 있습니다.

사회공학기법:

사회공학기법은 해커들이 사용할 수 있는 공격 중에서 가장 효과적인 공격 중 하나입니다.

(기술적으로 해결하는 것보다 사람의 취약점을 공략하는 것이 더 쉽고 효과적이고 강력하기 때문!)

사회공학기법은 보호되어 있는 정보를 "속임수"나 "사기"로 획득하는 것입니다. 

(ex. 공격 대상 회사의 직원에게 관심있는 분야의 이메일을 보내는 등의 행위를 취해서 공략)

풋 프린팅/핑거 프린팅:

공격자가 열려있는 포트나 서비스를 스캔하는 자동화 작업을 의미합니다.

네트워크 보안은 방화벽 외부에 있는 위협에만 초점을 둬야 하는 것이 아니라 방화벽 내부에서 발생하는 위협에도 반드시 가져야 합니다. (회사 내부자가 공격할 수도 있으니까요..!)

4. 침해대응

미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)에서 컴퓨터 보안 침해 처리 지침(Computer Security Incident Handling Guide)를 발간했는데, 침해대응 라이프 사이클에 대해서 다룹니다.

침해대응 단계로는 준비, 예방, 탐지 및 분석, 봉쇄, 박멸 및 복구 그리고 사후활동 등이 있습니다.

준비:

네트워크의 방어 수준을 정기적으로 평가하고 테스트하여 취약점을 식별해야 함.

예방책으로 패치 시스템(소프트웨어 최신 상태), 호스트 보안(컴퓨터의 보안 강화), 네트워크 보안(네트워크의 범위 보안), 사용자 인식 개선 및 교육 등이 있습니다. 

탐지 및 분석:

공격을 탐지하는 확률을 높이기 위해서는 네트워크 보안 인력의 많은 노력이 필요합니다.

공격의 징후로 백신 프로그램의 경고, 비정상적으로 느려진 인터넷, 비정상적인 네트워크 트래픽이 있습니다.

봉쇄, 박멸 및 복구:

침해가 발생하면 피해를 최소화하기 위해 반드시 통제해야 합니다.

일부 봉쇄 방안으로는 침해당한 컴퓨터의 시스템 전원 끄기, 네트워크 연결 차단, 장비의 일부 기능 비활성화 등이 있습니다. 

일단 공격이 식별되고 봉쇄되면, 악성코드나 침해된 계정 등 잠재적으로 위험한 요소들을 제거해야 합니다.

사후활동:

침해사고 후에 사고에 대해 검토하여 회사 전체에서 예전에 놓쳤던 부분을 확인하고 개선할 부분을 찾아야 합니다.

5. 네트워크 증거와 수사

해커들은 보통 공격대상으로 이어지는 네트워크 경로를 거치거나 통과해야 합니다. 따라서, 그 경로에는 증거가 있을 가능성이 있으며 공격자를 추적하거나 식별하는 과정에서 매우 핵심적입니다.

조사할 때에는 이렇게 네트워크 경로에 있는 장비를 최대한 많이 포함시켜야 합니다. 

라우터나 서버같이 경로에 있는 장비는 매우 중요한 정보를 저장하고 있을 수 있으니 간과해서는 안됩니다.

라우터에는 증거가 저장되어 있을 가능성이 있을 뿐만 아니라 해커의 공격대상이기 합니다.

라우터는 휘발성이니 주의해야 합니다.

로그파일

네트워크에 있는 많은 기기와 컴퓨터는 이벤트와 활동 로그를 생성합니다. 그래서 네트워크 조사에 있어서 로그 파일에 주로 증거가 있습니다. 

중요한 로그로는 인증, 프로그램, 운영체제, 방화벽 로그 등이 있습니다.

인증 로그:

특정 이벤트와 연관이 있는 계정을 식별합니다.

프로그램 로그:

날짜와 시간뿐만 아니라 프로그램 식별자도 기록합니다.

날짜/시간 정보는 프로그램이 언제 시작되었고, 얼마나 사용되었는지 보여줍니다.

운영체제 로그:

시스템 재부팅뿐만 아니라 어떤 기기를 사용했는지 추적합니다.

또한, 운영체제 로그는 네트워크의 활동 패턴과 비정상 활동을 인지하는데 유용합니다.

라우터나 방화벽 같은 장비가 생성된 로그 또한 조사할 가치가 있습니다.

(라우터 로그에는 유용한 정보가 많이 저장되어 있을 수 있기 때문이죠!)

• 요청된 URL
• 서버 이름
• 서버 IP 주소
• 클라이언트의 URL
• 클라이언트의 IP 주소
• 누가 언제 로그인했는지에 대한 기록

※라우터에서 증거를 수집하려고 할 때에는 최대한 라우터에 영향을 주지 않는 것이 매우 중요합니다.

그래서, 네트워크에서 라우터에 접속하는 대신에 라우터의 콘솔에 직접 접속하는 것이 훨씬 좋은 방법입니다.

=> 즉, 데이터를 잠재적으로 변조시킬 수 있는 그 어떤 명령어도 피해야 합니다.

ex. "configuration" 명령어 대신에 "show" 명령어 사용하는 것이 좋습니다.

네트워크 조사 툴

네트워크에서 돌아다니는 트래픽(패킷)에 중요한 단서가 있을 수 있습니다. 

이 때, 네트워크 트래픽을 캡쳐하고, 분석할 수 있는 툴을 "스니퍼"라고 부르는데 여러 가지 툴이 있습니다.

Wireshark

https://www.wireshark.org/

NetIntercept

https://www.securitywizardry.com/index.php/products/forensic-solutions/network-forensic-tools/niksun-netintercept

Netwitness Investigator 

https://community.rsa.com/community/products/netwitness/investigator

Snort

https://www.snort.org/

네트워크 트래픽을 캡쳐하면,

어떤 파일이 도난 당했고 어떤 명령어가 실행되었으며 어떤 악의적인 페이로드가 전송되었는지 판단할 수 있게 됩니다.

6. 네트워크 조사의 문제점

공격자의 신원을 찾는 데 방해물이 되는 것이 많이 있어서, 공격자를 식별하는 것은 쉬운 일이 아닙니다.

용의자는 실제 IP 주소를 "스푸핑"하여 수사관들이 완전히 다른 IP 주소를 추적하게 만들 수 있으며,

전세계에 퍼져있는 여러 대의 서버를 경유하여 공격할 수도 있습니다.

일부의 경우에는 로그 기능이 비활성화되어 있어서 아무런 로그도 생성되지 않을 수도 있습니다.

(의도적으로 로그 기록을 지울 수도 있습니다.)

더불어, 침해가 너무 늦게 발견되면 외부에서 관리하는 로그의 경우(ex. ISP) 유지 및 삭제 정책에 의해 로그 자체가 삭제되었을 수도 있습니다.

마지막으로 관할권이 매우 큰 문제입니다. 

공격자의 흔적은 국경을 넘나들기 때문에 서로 다른 법적 관할권 특히 국제적인 법적 관할권과 관련되면 이러한 정보를 확보하기 위해 필요한 절차가 완전히 바뀔 수도 있습니다.

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

http://www.yes24.com/Product/Goods/7526115

6장 안티 포렌식

서론

포렌식 기술에 대응하기 위해 안티 포렌식 툴과 기술이 존재합니다.

"안티 포렌식은 디지털 데이터를 조작, 삭제 또는 난독화하여 조사를 어렵게 만들거나 시간이 많이 소요되도록 하거나, 아니면 거의  불가능하게 만드는 것을 의미함."

따라서, 6장에서는 디지털 증거를 은폐하거나 파괴하는 데 사용할 수 있는 여러 기술들을 살펴볼 예정입니다.

1. 데이터 은폐

데이터 은폐 기술은 파일 이름과 확장자 변조, 관계없는 디렉터리에 파일 숨기기, 파일 속에 파일 숨기기, 암호화 등 간단한 것부터 복잡한 것까지 다양합니다.

가장 중요한 암호화에 대해 집중적으로 다루어 보겠습니다.

암호화

암호화는 데이터를 암호문이라는 형태로 변환하여 승인되지 않은 사람들이 데이터를 쉽게 보지 못하도록 하는 것 입니다.

암호화는 평문에서 시작하여 암호문이 되는데,

평문은 원본 텍스트로 암호화되지 않은 메시지이며, 모든 사람들이 읽을 수 있습니다.

암호문은 평문을 기반으로 만들어지며 쉽게 이해할 수 없는 형태로 변환된 것입니다.

여기서 알고리즘은 암호화하는데 사용하는 방식이며, 키는 정보를 암호화하고 복호화하는 데 사용하는 데이터를 의미합니다.

보통 비밀번호와 비밀문구 등을 키로 자주 사용합니다.

여기서, 난독화와 암호화가 동일한 것처럼 보일 수 있지만 자세히 보면 다릅니다.

난독화와 암호화는 모두 특정 데이터나 텍스트를 이해하기 어렵게 만들기 위해 사용됩니다.

하지만, 난독화는 데이터 자체보다는 컴퓨터 코드를 보호하는 데 사용됩니다.

(리버스 엔지니어링으로부터 보호하기 위해)

알고리즘

간단하게 보면, 알고리즘은 특정 작업을 완료하기 위해 사용되는 "명령들"입니다.

어떤 일이나 문제를 해결하거나, 특정 목적을 달성하게끔 정해진 절차를 만들어주는 겁니다.

기본적으로 암호화 알고리즘은 대칭과 비대칭 두 종류가 있습니다.

대칭 암호화는 하나의 키로 데이터를 암호화하고 복호화합니다.

비대칭 암호화는 두 개의 서로 다른 키를 사용하여 암호화하고, 복호화할 때 사용되는 키가 다릅니다..

알고리즘: 비밀은 없다.

효과적인 암호 시스템에서는 키만이 유일하게 비밀이어야 한다고 합니다.

즉, 알고리즘 자체의 비밀성에 의존하는 모든 시스템은 보안적으로 안전하지 않다는 의미입니다.

(어떤 방식으로 암호화하는지 알려져도 키 값만 모른다면 암호화를 뚫을 수 없어야 한다는 의미입니다.)

그 이유는 폐쇄성을 유지하면 정말로 보안적으로 안전한지 아닌지 알 수 없기 때문입니다.

다시 말해서, 암호화하는 방식을 꽁꽁 숨기게 되면 충분한 검증이 안될 가능성이 존재한다는 의미입니다.

키 공간

키 공간(key space)는 특정 암호화 알고리즘의 강도에 대해서 이야기할 때 측정 기준으로 사용되는 것 중에 하나입니다.

(키 공간 혹은 키의 길이라고 불립니다.)

즉, 키 값의 길이에 따라서 무차별 대입 공격으로 암호를 크랙하는데 걸리는 시간이 달라집니다.

(단순하게 생각해서 키 값이 길면 경우의 수가 많아지므로 크랙하기 어렵겠죠..?!)

암호화의 예

암호화 프로그램은 여러 가지가 존재하는데,

파일이나 폴더를 암호화하는 데 사용할 수 있고, 드라이브 전체를 암호화하는 데 사용할 수 있습니다.

이때, 드라이브 전체를 암호화하는 것은 전체 디스크 암호화(full disk encryption 또는 whole  disk encryption)라고 부릅니다.

전체 디스크 암호화는 스웝 공간에 파일의 일부가 남는 등의 데이터가 누출되는 것을 방지합니다.

하지만, 데이터를 암호화하고 다시 복호화해야 하기 때문에 성능을 저하시킨다는 단점이 있습니다.

암호화 파일 시스템(Encrypting File System, EFS): 

파일과 폴더를 암호화하는 데 사용되며, 사용하기 매우 쉽습니다.

비트락커: 

전체 하드 드라이브를 암호화하는 데 사용할 수 있으며, 비트락커 투 고(BitLocker To Go)의 경우에는 USB 드라이브 같은 이동식 매체를 암호화하는 데 사용할 수 있습니다.

비트락커는 독립적으로 작동하지 않고, TPM(Trusted Platform Module, 신뢰 플랫폼 모듈)이라는 노트북이나 PC의 마더보드에 있는 마이크로 칩과 함께 작동합니다. (TPM은 암호화 기능을 제공합니다.)

비트락커의 암호화는 매우 견고해서 키 없이는 복호화가 거의 불가능합니다.

비트락커가 설치되어 있지만, 컴퓨터가 실행 중이라면 비트락커를 공격하지 않고도 데이터를 복원할 수 있습니다.

애플 파일바울트: 

애플 운영체제에 설치되어 있습니다.

파일바울트 2는 128 비트 AES 암호화 알고리즘을 사용하며, 드라이브 전체를 암호화할 수 있습니다.

애플 자사에 고객이 복원 키를 저장할 수 있게 하며, 애플에 저장되어 있는 키는 합법적인 검색 기관이 적법한 절차를 거쳐 압수할 수 있습니다.

트루크립트: 

트루크립트(TrueCrypt)는 무료 오픈소스 소프트웨어로 실시간 암호화 기능을 제공하며, 전체 디스크 암호화 기능도 있습니다.

(윈도우, 맥, 리눅스에서 사용이 가능함.)

실시간 암호화에서는 데이터가 열리면 자동으로 복호화되고 데이터가 저장되면 자동으로 암호화됩니다.

전체 디스크 암호화를 하면 모든 파일의 내용을 암호화할 수 있으며, 시스템이 자체적으로 생성하는 민감한 데이터를 저장하고 있는 파일( 로그 파일, 스웝 파일, 레지스트리 항목 등)도 암호화할 수 있습니다.

AES, Serpent, Twofish 등의 다양한 종류의 암호화 알고리즘을 사용할 수 있습니다.

(키 공안은 256 비트입니다.)

비밀번호 크랙

비밀번호 크랙 방법에는 무차별 대입 공격, 딕셔너리 공격, 비밀번호 재설정 등이 있습니다.

일반적으로 사람들은 단순한 비밀번호를 사용하는데, 생일, 애완동물 이름, 좋아하는 팀 등이 비밀번호로 활용됩니다.

복잡하고, 강력한 비밀번호를 사용한다고 해도, 길고 아무런 의미도 없는 비밀번호를 외우기 어려워하기 때문에 어느 곳에 메모를 해두는 경우가 많습니다.

(강력한 비밀번호란 문자, 숫자, 특수문자 등의 조합을 14개 이상 사용한 것을 의미합니다.)

더불어, 사람은 습관의 동물이라서 비밀번호의 일부 또는 전부를 재사용합니다.

이러한 점들을 활용해서 비밀번호 하나만 획득하면 다른 모든 비밀번호도 획득할 수 있는 경우가 많습니다.

운이 좋은 경우, 하드 드라이브의 스웝 공간에서 비밀번호를 찾을 수도 있으며 실행 중인 컴퓨터에서 RAM을 캡쳐하는 것도 비밀번호를 크랙하는 데 도움이 됩니다.

2. 크랙 방법

크랙 방법에 여러 가지가 존재합니다.

(항상 도움이 되는 것은 사람 자체에 있는 취약점입니다.

매우 길고 어려운 비밀번호보다는 실제 단어, 특정 패턴 등을 혼합하여 사용하기 때문입니다.)

무차별 대입 공격: 

무차별 대입 공격은 말 그대로, 최대한 많은 컴퓨터 파워를 사용하여 정확한 비밀번호를 추측하는 것입니다.  맞는 비밀번호를 찾을 때까지 무차별로 비밀번호를 대입하는 공격입니다.

비밀번호 재설정: 

비밀번호 자체를 공격하기 보다는 소프트웨어 자체를 공격하여 비밀번호를 재설정하는 공격입니다.

보편적으로 적용할 수 있는 것이 아니며, 비밀번호를 재설정할 수 있게 해주는 취약점이 있는 일부 프로그램에서만 가능합니다.

딕셔너리 공격: 

딕셔너리 공격은 여러 출처에서 수집할 수 있는 단어를 사용하여 좀 더 정확하게 공격을 실행합니다.

예를 들어, 하드 드라이브에서 발견된 모든 단어를 인덱스로 생성하여 공격할 수 있습니다.

3. 스테가노그래피

스테가노그래피(steganography)는 데이터를 은폐하는 효과적인 또 다른 방법입니다.

stegos: 고대 그리스 언어에서 감추다, graphie: 글   ====> "감춰진 글"

즉, 스테가노그래피는

"일반 메시지에 비밀 메시지를 숨기고 최종 목적지에서 비밀 메시지를 볼 수 있는 것"이라고 정의합니다.

완성된 스테가노그래피 파일은 호스트 파일과 페이로드로 두 파일로 구성되어 있습니다.

- 호스트 파일: 비밀 메시지를 저장하고 있는(=담고 있는)파일 

(사진, 동영상, 오디오, 문서 파일 등이 호스트 파일이 될 수 있습니다.)

- 페이로드: 호스트 파일 안에 숨겨진 비밀 문서

사진, 동영상, 오디오와 같은 파일에는 상당한 양의 불필요한 데이터가 존재하는데, 이를 "노이즈(noise)"라고 부릅니다.

즉, 호스트 파일에서 불필요한 부분(노이즈)을 은폐된 메시지 데이터로 교체하여 페이로드를 숨기는 겁니다.

스테가노그래피를 사용하고 있는지 판별하기가 어려우며, 생성할 때 사용했던 프로그램과 비밀번호를 알지 않는 이상 페이로드를 축출하기 매우 어렵거나 불가능합니다.

4. 데이터 파괴

데이터를 은폐하는 것만으로 충분하지 않아서 데이터 자체를 파괴하는 경우가 있습니다.

데이터를 파괴하는 것은 다소 복잡합니다. 단순히 삭제 키를 누른다고 해서 데이터가 완전히 사라지지 않기 때문입니다. (삭제된 데이터는 저장 매체에 계속 남아있고 복원하기 쉽다.)

그래서, 완전히 흔적을 지우기 위해서 드라이브 와이핑(wiping) 툴과 같은 도구를 사용합니다.

다만, 이러한 프로그램을 사용하면 사용한 흔적이 남아서 원본 데이터가 없어도 흔적 자체가 증거 자료가 될 수 있습니다.

드라이브 와이핑

드라이브 와이핑 프로그램은 하드 드라이브에 있는 데이터가 복원될 수 없도록 데이터를 덮어쓰는 데 사용됩니다.

이러한 툴은 드라이브에 있는 모든 데이터를 삭제하는 것이 아니라 지정한 파일만 완전 삭제하고 나머지 파일들을 그대로 놔둘 수 있습니다.

와이핑 프로그램은 사용된 흔적을 남길 수 있는데, 비트 수준에서 살펴보았을 때 특이하고 반복적인 데이터 패턴을 통해서 판별할 수 있습니다.

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

http://www.yes24.com/Product/Goods/7526115

저번 글에 이어서 8장을 정리하는 시간을 갖도록 하겠습니다.

※7장은 건너뛰고, 6장은 다음 시간에 정리하도록 하겠습니다.

8장 인터넷과 이메일

서론

포렌식 관점에서 인터넷은 상당한 양의 증거가 저장되어 있는 저장소입니다. 그러므로, 웹 서핑, 채팅, 이메일, 소셜 네트워크 사이트 등이 어떻게 작동하고 어디에 흔적을 남기는지에 대해서 다룰 예정입니다.

1. 인터넷 개요

일반적으로 웹 브라우저에 있는 주소창에 웹 주소나 URL(Uniform Resource Locator)를 입력해서 이동한다.

이 때, URL은 호스트, 도메인 이름, 파일 이름의 세 부분으로 구성되어 있다. 

(URL의 더욱 더 자세한 설명은 다음 사이트를 참조하길 바랍니다. https://codedragon.tistory.com/5502)

웹 페이지 작동 원리

네이버 주소 https://www.naver.com 를 예시로 들었을 때,

HTTP(Hypertext Transfer Protocol, 하이퍼텍스트 전송 규약)는 인터넷에서 사용되는 프로토콜로 웹사이트를 보고 사용하는데 활용된다.

(※프로토콜은 다른 장비와 통신할 수 있도록 사전에 협의한 방법이다.)

"naver"는 도메인 이름이며, ".com"은 최상위 도메인에 해당한다. 

(최상위 도메인이라고 부르는 이유는 도메인 네임 시스템(domain name system)을 구성하는 요소 중에서 최상단에 위치하기 때문임. ex. .org, .edu, .net)

1. URL이 입력되면, 브라우저는 도메인 이름을 IP(Internet Protocol)주소로 변환한다. 

(도메인 이름은 사람들이 기억하기 쉽게 하기 위한 것이며, 도메인 네임 서버(Domain Name Server, DNS)가 특정 도메인 이름을 그에 해당하는 IP주소로 변환해준다.)

2. 변환이 이루어지고 난 뒤에는 해당 웹 사이트를 호스트하고 있는 서버에 HTTP 프로토콜을 사용해 "get"요청이 전송되고, 요청된 웹 페이지와 관련된 내용을 볼 수 있게 된다.

웹 페이지 구성

웹 페이지는 여러 구성 요소로 이루어져 있는데, HTML(Hypertext Markup Language, 하이퍼텍스트 생성 언어)문서가 구성요소에 포함된다.

HTML에는 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등 많은 정보가 저장되어 있으며 이미지 파일 같이 웹 페이지를 구성하고 있는 요소의 파일 이름 또한 포함한다. 

웹 페이지에는 정적과 동적 두 가지 종류가 있다.

정적 웹 페이지는 이미 만들어져 있는 페이지로 페이지의 내용, 레이아웃 등 모두 페이지를 읽어오기 전에 결정되어 있다. 

동적 웹 페이지는 요청됨과 동시에 만들어진다. 즉, 요청이 될 때까지 존재하지 않는 것이다.

(ex. 사용자의 구매 상품과 쇼핑 습관을 바탕으로 상품을 추천해주는 사이트)

whois는 특정 도메인 이름과 관련이 있는 개인이나 업체를 식별할 때 사용할 수 있는 검색 쿼리로

해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처, 기술 담당 연락처 등의 내용을 볼 수 있다.

(사생활 보호 등록 서비스를 등록한 경우 실제 등록자의 정보를 볼 수 없게 된다.)

P2P (Peer-to-Peer)

P2P는 서버를 거치지 않고 클라이언트 컴퓨터끼리 직접 통신하는 방식으로 파일을 공유하는데 주로 사용된다.

즉, P2P 네트워크에서는 하나의 컴퓨터가 클라이언트와 서버 두 가지 역할을 한다.

(HTTP를 사용해서 파일을 전송함.)

INDEX.DAT 파일

바이너리 파일로 마이크로소프트의 인터넷 익스플로러가 사용된다.

한 시스템에는 여러 개의 INDEX.DAT 파일이 있는데, 방문한 URL, 방문 횟수 등의 정보를 포함한다.

더불어, 히스토리, 쿠키, 임시 인터넷 파일 3개의 디렉토리가 있으며 INDEX.DAT 파일들은 각 디렉터리에 있는 정보와 내용을 기록하고 유지한다.

2. 웹 브라우저 - 인터넷 익스플로러

모든 웹 브라우저는 어느 정도의 캐시 시스템, 쿠키, 인터넷 히스토리, 입력한 URL, 즐겨 찾기의 기능을 가지고 있으며, 포렌식 관점에서 매우 유용한 정보이다. 

특히, 인터넷 익스플로러(IE)가 가진 일반적인 기능에 대해서 살펴볼 것임.

쿠키

쿠키는 웹 서버가 사용자의 컴퓨터에 저장해놓은 조그마한 텍스트 파일로 다양한 용도로 사용된다.

쿠키는 세션을 관리하는 데 사용될 뿐만 아니라 특정 웹사이트에서 사용자의 선호사항을 기억하는 데에도 사용된다.

하나의 INDEX.DAT 파일에서 관리되며, URL, 날짜와 시간, 사용자 이름 등이 저장되어 있을 수 있다.

일반적으로 쿠키 값은 평문으로 저장되어 있지 않지만, 쿠키 값을 해독해주는 툴이 존재한다.

(쿠키에서 웹 주소가 발견되었다고 하더라도 용의자가 실제로 그 사이트를 방문하지 않았을 수도 있다.)

임시 인터넷 파일(웹 캐시)

웹 캐시는 사진 파일 같은 웹 페이지 구성요소를 재사용하여 동일한 파일을 여러 번 다운로드해야 하는 시간을 제거함으로 속도를 향상시켰다.

인터넷 익스플로러(IE)는 웹 캐시를 임시 인터넷 파일이라고 부른다.

임시 인터넷 파일은 하부 폴더로 정리되어 있으며, 각 폴더는 8문자의 임의의 이름으로 되어 있다.

임시 인터넷 파일은 INDEX.DAT 파일을 사용하여 관리되며, 각 파일은 그에 상응하는 날짜와 시간 값이 있다. (여기에 담겨 있는 "마지막으로 확인한 날짜"를 통해서 최신 버전을 다운로드할지 결정함.)

인터넷 기록

사용자의 기록 유지를 통해서 사용자가 매번 브라우저의 주소 창에 URL을 재입력하지 않아도 된다.

이러한 기록은 INDEX.DAT 파일에 남으며, 특정 사이트를 몇 번 방문했고, 파일의 이름이 무엇인지 등을 유지 관리한다.

레지스트리에 있는 인터넷 익스플로러의 흔적

인터넷 익스플로러는 매일 레지스트리에 많은 흔적을 남기는데, 특히 NTUSER.DAT에 저장된다.

여기서 브라우저가 비밀번호를 저장하고 있는지 디폴트 검색 사이트가 무엇인지 디폴트 검색 제공자가 무엇인지 등에 대해 알 수 있다.

레지스트리는 사용자가 주소창에 어떠한 URL을 입력했는지도 확인할 수 있는데, 1~25까지의 번호가 매겨져 있으며 가장 작은 숫자가 가장 최근에 입력된 것이다.

(레지스트리를 조사하기 위해서는 툴이 필요함.)

메신저 프로그램

많은 사람들이 메신저 프로그램을 사용하며, 종류가 다양하며, 이러한 프로그램들은 범죄 계획, 모의에 사용될 수 있어서 포렌식 관점에서 중요하다.

(메신저 프로그램은 텍스트 기반의 실시간 통신을 하는 데 사용됨.)

다른 프로그램들과는 달리 메신저 프로그램은 설치여부를 흔적으로 남긴다.

(경로와 디렉토리가 다를 수 있어도 특정 파일이나 폴더가 있는지 없는지에 따라 특정 메신저 프로그램이 사용되었는지 증명 또는 반증에 사용될 수 있음)

사용자가 통제할 수 있는 설정 사항에는 채팅에서 날짜 시간 사용 여부, 개인 아이콘이나 사진, 로그 활성화 또는 비활성화 그리고 영상통화, 파일 전송, 실시간 메시지 등의 자동 수락 여부가 있다.

이 사항에 따라서 얻을 수 있는 정보가 달라진다.

IRC (Internet Relay Chat)

IRC는 대규모 채팅 네트워크로서 특정 업체나 단체가 통제하는 것이 아니기 때문에 감독하는 사람이 조금밖에 없거나 아예 없으며, 정식적인 등록 과정이 없기 때문에 사용자는 거의 완전한 익명성을 보장 받는다.

IRC는 무료이다.

더불어, IRC는 클라이언트 직접 연결 (Direct Client Connection, DCC) 기능을 통해 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접적으로 연결할 수 있게 해주기 때문에 완전한 사생활을 보장한다.

즉, 트래픽이 네트워크 서버를 통과하지 않기 때문에 아무런 증거가 남지 않는다.

이러한 이유 때문에 IRC는 범죄활동에 활용되기 쉽다.

ICQ "I Seek You"

IRC와는 다르게 ICQ에는 등록 과정이 있으며,

등록된 사용자에게는 사용자 식별 번호 또는 UIN(user identification number)이 부여된다.

ICQ는 높은 수준의 프라이버시를 유지하며, 중앙 서버를 통해 트래픽을 라우팅하고 있기 때문에 서버를 찾을 수만 있다면 일부 흔적이 서버에 남아있을 수도 있다.

3. 이메일

이메일은 매우 영속성이 강하며, 여러 곳에 저장되어 있어 삭제하기가 어렵다는 특징을 가지고 있기 때문에모든 잠재적 디지털 증거 중에서 가장 훌륭한 증거라고 할 수 있다.

이메일 프로토콜

이메일은 다양한 프로토콜을 사용하여 이메일을 송수신한다.

단순 우편전송 규약(Simple Mail Transfer Protocol, SMTP):

이메일 클라이언트가 이메일을 보내거나 서버가 이메일을 송수신할 때 사용함.

우체국 프로토콜(Post Office Protocol, POP):

이메일 클라이언트가 이메일을 받을 때 사용함.

아이맵(Internet Message Access Protocol, IMAP):

양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용함.

증거로서의 이메일

이메일에는 잠재적으로 수많은 증거가 저장되어 있을 수 있는데, 수집할 수 있는 증거는 다음과 같다.

• 사건과 관련 있는 내용의 이메일
• 이메일 주소
• IP 주소
• 날짜와 시간

이메일 데이터는 여러 곳에서 발견될 수 있는데,

용의자의 컴퓨터, 수신자의 컴퓨터, 회사 서버, 백업 매체, 스마트폰, 서비스 제공자, 이메일 전송 경로에 있던 서버 등이 발견될 수 있는 장소이다.

이메일의 주요 구성요소는 헤더, 바디 그리고 첨부 파일 등이다.

첨부 파일은 없을 수 있지만 전송한 모든 이메일 메시지에는 헤더가 존재한다.

헤더는 송신자가 수신자로 이메일을 보낼 때 거쳤던 경로 정보를 기록하며,

(즉, 서버 하나를 거칠 때마다 헤더에 정보가 추가됨.)

바디는 메시지 자체다.

첨부 파일은 사진과 문서, 스프레드시트 파일 등 사용자가 생성한 파일 등을 포함한다.

이메일 - 흔적 지우기

다른 사람이 보낸 것처럼 보이게 이메일을 위조할 수 있으며,

헤더를 제거하거나 수정할 수도 있고, 가짜 이메일 계정을 생성할 수도 있다.

스푸핑은 이메일이 실제로 다른 사람 또는 다른 위치에서 보내진 것처럼 보여지게 위조하는 것인데,

인터넷에 스푸핑을 해주는 무료 소프트웨어가 존재함.

더불어, 인터넷에는 이메일 메시지를 전송하기 전에 식별 정보를 제거해서 재전송해주는 서비스가 있다.

이메일 추적하기

이메일 메시지를 추적할 때에는 로그에 크게 의존한다. 

이메일 경로에 있는 서버는 메시지 헤더에 정보를 추가하는데, 그 정보 중 하나는 메시지 ID이다.

메시지 ID는 이메일 서버가 할당하는 고유 번호로 메시지 ID와 서버의 로그의 상관관계를 확인하면

특정 컴퓨터에서 메시지가 송수신되었다는 것을 증명할 수 있게 된다.

이메일 헤더

앞서 말했듯이, 이메일 헤더는 발송자가 수신자에게 메시지를 보낼 때 메시지가 사용한 경로를 기록한다..

이메일 헤더 정보는 아래서 위로 읽어야 한다.

4. 소셜 네트워크 사이트

소셜 네트워크 사이트는 매우 많은 사람들이 이용하며, 자신에 대해서 솔직히 표현한다. 그래서 포렌식 관점에서 중요한 매체이다.

소셜 매체의 증거는 용의자의 컴퓨터, 스마트폰 그리고 서비스 제공자의 네트워크 등을 포함하여 다양한 곳에서 수집할 수 있다.

업체에서 이러한 정보들을 특정 기간만 보존하기 때문에

서비스 제공 업체로부터 증거를 수집하기 위해서 비교적 빨리 소환장과 수색 영장을 받아서 데이터를 수집해야 한다.

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

개인적인 평가: 번역이 아쉬움.... (원문을 접할 수 있다면, 원문 보는 것을 추천함.)

http://www.yes24.com/Product/Goods/7526115

저번 글에 이어서 5장을 정리하는 시간을 갖도록 하겠습니다.

※5장부터는 중요한 내용이 많이 들어있습니다.

5장 윈도우 시스템에서의 증거 수집

서론

거의 대부분의 사람들이 사용하는 컴퓨터, 노트북의 운영체제는 윈도우로 포렌식을 하는 입장에서 윈도우 운영체제를 다룰 확률이 매우 높습니다. 그러므로, 윈도우 운영체제와 윈도우의 모든 기능에 대해서 자세히 이해하고 있는 것이 매우 중요합니다.

5장에서는 윈도우 운영체제에서 남는 흔적들을 식별하고 수집하는 방법에 대해서 다룰 것입니다.

1. 삭제된 데이터

파일을 삭제하는 것은 컴퓨터에게 해당 파일이 차지하고 있는 공간을 사용할 수 있다고 알려주는 것이며, 새로운 다른 파일로 덮이기 전까지 삭제된 데이터는 남는다.

▶ 단순히 삭제 버튼을 누른다고 삭제되는 것이 아님.

더불어, 컴퓨터의 파일 시스템은 특정 파일의 마지막 수정 날짜, 엑세스 날짜, 생성 날짜 등을 기록하고 유지한다.

=> 이러한 요소들이 증거 수집에 활용됨. (ex. 할당되지 않은 공간에서의 데이터 수집: 파일 카빙)

2. 최대 절전모드 파일(HIBERFILE.SYS)

컴퓨터도 사람처럼 쉬는 시간을 가질 수 있음. => 최대 절전모드, 하이브리드 절전 모드 등.

이때, 최대 절전, 하이브리드 절전과 같은 "깊은 잠" 모드는 데이터를 RAM에 저장하지 않고 하드 드라이브에 저장함.   => 데이터가 더 오래 남고, 더 쉽게 복원이 가능함.

대기모드

대기모드는 전력을 절약하기 위한 목적과 컴퓨터를 최대한 신속하게 작동시킬 수 있게 하려는 목적을 가진다.

즉, 대기모드에서는 소량의 전력을 RAM에 지속적으로 공급하여 데이터가 유지됨.

=> 포렌식적으로 아무 도움이 되지 않음. 

최대 절전모드

대기모드와 마찬가지로 전력을 절약하기 위한 모드이지만,

RAM에 있는 모든 데이터가 하드 드라이브로 옮겨진다. 즉, 데이터 제거가 어려워짐

(주로 노트북에서 사용됨.)

=> 포렌식적으로 도움이 됨.

하이브리드 절전모드

대기모드와 최대 절전모드를 혼합한 것으로 주로 데스크톱에서 사용됨.

RAM에 최소한의 전력을 공급하여(데이터와 프로그램을 보존하며) 데이터를 디스크에 기록한다.

즉, 대기모드처럼 RAM에 지속적으로 전력 공급을 유지하며 최대 절전모드처럼 데이터가 디스크에 기록됨.

3. 레지스트리

레지스트리는 사용자와 시스템 구성의 설정을 관리하며, 포렌식 관점에서 수많은 흔적이 숨겨져 있다.

흔적의 예로, 검색어, 실행된 프로그램, 설치된 프로그램, 웹 주소, 최근 실행 파일 등이 있다.

레지스트리는 윈도우에서 작업할 때 사용하는 디렉터리, 폴더 그리고 파일과 같은 트리 구조로 구성되어 있다. 

일반적으로 누가 그 흔적을 생성되게 했는지 판별할 때, 컴퓨터의 계정을 판별하는 요소로 사용한다.

컴퓨터의 각 계정에는 보안 식별번호 또는 SID라는 고유 번호가 있으며, SID를 통해 컴퓨터에서의 많은 활동을 추적할 수 있다.

외장 기기가 연결되어 있었는지 아닌지에 대해서 판별할 때, 레지스트리에 있는 데이터를 통해서 판별할 수 있다.

=> 레지스트리에 기기의 제조사와 시리얼 번호 등의 자세한 정보가 기록되기 때문에 판별이 가능함.

더 자세한 내용은 다음 사이트를 참조하기 바랍니다. (https://m.blog.naver.com/PostView.nhn?blogId=rbdi3222&logNo=220597850076&proxyReferer=https:%2F%2Fwww.google.com%2F)

4. 프린트 스풀링

포렌식에서 사용자의 프린트 활동도 살펴보는 경우가 존재함.

(ex. 협박 편지, 위조된 계약서, 탈취한 고객 목록 등의 잠재적 증거 수집을 위함)

스풀링: 프린터가 편리한 시간에 프린트를 할 수 있도록 프린트 작업을 저장함.

스풀링을 할 때, 윈도우는 두 개의 보조 파일을 생성하는데,

하나는 Enhanced Meta File(EMF)로 프린트하는 문서의 이미지이며, 다른 하나는 스풀 파일로서 프린트 작업 자체에 대한 정보를 저장한다.

스풀 파일(.spl)은 프린터 이름, 컴퓨터 이름 그리고 프린터에게 프린트 작업을 전송한 사용자 계정 등에 대한 정보를 담고 있다.

=> 유용한 정보를 담고 있지만, 프린트 작업이 끝나면 대부분 자동으로 삭제된다.

예외

• 문제가 발생하여 문서가 프린트되지 않은 경우 파일이 남아 있음.
• 프린트 작업을 시작하는 컴퓨터에 복사본을 저장하도록 설정된 경우 파일이 남음.

5. 휴지통

휴지통은 많은 사람들이 기능을 알 정도로 많이 사용하는 기능 중 하나이다.

일반적으로 데이터를 삭제할 때, 휴지통에 버리고 휴지통을 비우는 방식을 취한다. 

실은, 파일이 휴지통으로 옮겨지는 것이 아니며, 파일은 원래 그 자리에 남아 있는다. (덮어지기 전까지)

더불어, 휴지통에 버린 파일은 쉽게 복구될 수 있다.

(휴지통 비우기로 삭제한 파일은 일반인들이 복구하기 어려울 수 있음.)

6. 메타데이터

메타데이터는 데이터에 대한 데이터로, 크게 프로그램 파일과 파일 시스템 두 가지 종류가 있다. 

(ex. 쉽게 말해서 파일을 우클릭하여 "속성"을 선택하면 메타데이터 정보를 볼 수 있음.)

파일 시스템은 파일과 폴더를 기록하고 유지하는데,

파일 시스템 메타데이터에는 파일이나 폴더가 생성, 접근 또는 수정된 날짜와 시간을 포함한다.

※여기서 주의할 점은 날짜와 시간 정보가 조사에는 유용할 수 있지만, 사용자가 시스템의 시간을 수정할 수 있어서 백 퍼센트 신뢰해서는 안됨.

만든 날짜: 하드 드라이브 같이 특정 매체에 언제 파일이나 폴더가 생성되었는지 표시함.

수정한 날짜: 파일이 수정되어 저장되면 수정한 날짜와 시간이 설정된다.

엑세스한 날짜: 파일 시스템은 파일에 접근할 때마다 엑세스한 날짜가 업데이트된다.

(파일에 접근했다는 것은 단순히 파일은 열었다는 것만을 의미하지 않는다. 컴퓨터 자체가 파일에 접근할 수도 있음.)

프로그램 자체에서도 메타데이터를 생성하고 저장할 수도 있음.

파일 시스템과 마찬가지로 프로그램도 만든 날짜, 수정한 날짜 그리고 엑세스한 날짜를 기록하고 유지할 수 있는데, 추가적으로 작성자, 기관이름, 컴퓨터 이름 등 다양한 속성이 포함된다.

더불어, 메타데이터를 삭제할 수 있는 여러 툴들이 존재함.

7. 썸네일 캐시 

썸네일은 컴퓨터에 있는 사진을 좀 더 쉽게 볼 수 있도록 하기 위해 윈도우가 사진을 작게 만든 사진이다.

(사용자가 "미리 보기"를 윈도우 탐색기에서 선택하면 윈도우가 자동으로 썸네일을 생성한다.)

일반적인 사용자들은 썸네일 파일의 존재를 잘 모르며, 원본 사진을 삭제해도 썸네일 파일은 남게 된다.

즉, 원본 사진을 복원하지 못해도 썸네일을 차선의 증거로 사용이 가능함

8. 복원 지점과 쉐도우 복사

컴퓨터에 문제가 생기면 컴퓨터가 잘 작동하던 시점으로 돌아갈 수 있도록 윈도우에서는 복원 지점을 사용한다.

복원 지점

복원 지점은 핵심 시스템 구성과 설정을 특정 시점에 스냅샷을 한 것으로 시스템을 다시 작동할 수 있도록 복구하는 곳에 사용된다.

복원 지점은 여러 가지 방법으로 만들어지는데, 복원 지점 기능이 디폴트로 활성화되어 있어 매일 자동으로 하나의 스냅샷이 생성된다. 

(ex. 소프트웨어 설치 같이 주요 시스템 이벤트 전에 자동으로 시스템에 의해 생성될 수 있음)

일반적인 사용자들은 복원 지점에 대한 정보를 보기 어려움.

쉐도우 복사

쉐도우 복사는 복원 지점의 소스 데이터로 특정 파일이 시간이 경과하면서 어떻게 변화였는지 증명하는 데 사용될 수 있다.

더불어, 이미 삭제된 파일의 복사본이 저장되어 있을 수도 있다.

9. 프리패치

프리패치는 시스템의 속도를 증가시키기 위한 시도 중에 하나로, 프로그램 실행 시간을 줄여준다.

exe 프로그램이 실행되면 프리패치 파일이 생성되는데, 이를 통해서 특정 프로그램이 실제로 설치된 적이 있는지 그리고 실행된 적이 있는지를 알 수 있다.

10. 링크 파일

링크 파일은 다른 파일을 가리키고 있어, 지름길과 같은 기능을 제공한다. 예를 들어, "바로 가기" 와 같은 것이 해당된다.

링크 파일 자체에 날짜와 시간 정보가 저장되어 있기 때문에 언제 생성되고 마지막으로 언제 사용되었는지 알 수 있다. 더불어, 링크 파일에는 완전한 파일 경로가 저장되어 있을 수 있다.

설치된 프로그램

용의자 컴퓨터에 설치되어 있는 또는 설치되었던 적이 있는 소프트웨어의 정보가 유용할 수 있는데,

이런 흔적들을 여러 곳에서 발견할 수 있다.

(ex. 프로그램 폴더, 링크와 프리패치 파일이 있는 곳)

책 소개

제목: 이제 시작이야 디지털 포렌식

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

http://www.yes24.com/Product/Goods/7526115

저번 글에 이어서 4장 내용을 정리하는 시간을 갖도록 하겠습니다.

4장 증거 수집

서론

법죄 현장에서 발견된 증거를 절차대로 수집하는 것은 법정에 제출되는 것과 직결되기 때문에 매우 중요하다. 4장에서는 어떻게 증거를 수집해서 보존하는지에 대한 내용을 다루고 있다.

1. 범죄 현장과 증거 수집

일반적으로 범죄 현장의 경우 가장 먼저 해야 하는 것은 증거를 확보하는 것이다. 이는 디지털 증거가 있는 현장에서도 동일하게 적용된다.

다만 차이점은, 일반적인 범죄 현장에서는 물리적으로 사건 현장에 대한 접근을 제한하여 확보하는 것과는 달리

디지털 증거는 인터넷, 전화 또는 기타 다른 네트워크에 연결될 수 있으므로 휘발성 증거가 없다고 확신하는 순간부터 컴퓨터와 무선기기를 반드시 접근할 수 없게 해야 한다.

이동식 매체

이동식 저장 매체에는 DVD, 외장하드, USB 드라이브, 메모리카드 등을 포함하며, 이는 현장에 책, 지갑, 침대 밑 등 어디에도 존재할 수 있어서 확보하기 위해서 있을만한 모든 곳을 수색해야 한다.

더불어, 사건 현장에 있는 기기와 저장 매체말고도 주변의 어떤 것이 있는지 살펴보는 것이 중요하다.

주변의 책, 사용설명서 등을 통해서 용의자의 지식 수준을 알 수 있으며, 이외에도 어떤 제품을 사용하고 있는지, 암호 기능은 있는지 등에 대한 정보를 얻을 수 있다.

휴대폰

휴대폰은 거의 모든 사람이 가지고 있으며, 담겨 있는 정보로부터 알아낼 수 있는 중요한 정보들이 많이 존재할 확률이 높다. 그렇기 때문에 안전하게 휴대폰을 증거물로 확보하는 것은 매우 중요하다.

(문자 메시지, 이메일, 전화기록, 연락처 등의 데이터  --->  사용자의 의도, 알리바이 등에 대한 정보 획득)

수집 방법으로는 네트워크 신호로부터 휴대폰을 보호하기 위해서 패러데이 봉투에 넣어 네트워크 신호를 차단하는 방법이 있다.

휘발성의 순서

수집할 증거가 많이 존재하기 때문에 우선순위를 정해서 수집하는 것도 하나의 좋은 방법이다.

일반적인 우선순위로 보는 것은 바로 휘발성의 순서이다. 증거가 사라지면 안되기 때문에 휘발성이 가장 강한 것부터 가장 약한 것 순으로 증거를 확보한다.

우선 순위

• CPU, 캐시 및 레지스터 데이터
• 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계
• 메모리
• 임시 파일 시스템/ 스웝 공간
• 하드 디스크에 있는 데이터
• 원격에 있는 로그 데이터
• 아카이브 매체에 있는 데이터

2. 사건 현장 문서화

"문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다."

위의 격언처럼, 어떠한 상황에서도 증거를 수집할 때에는 모든 내용을 반드시 문서로 기록해야 한다. 

일반적으로 문서는 사진과 노트이며, 증거를 문서화할 때 비디오도 사용할 수 있다.

문서화 과정은 현장에 도착하는 순간부터 시작되는데, 날짜와 시간, 현장에 있는 사람들, 수집된 증거, 발견 장소, 증거의 상태 등에 대한 내용을 기록해야 한다.

디지털 증거는 종류, 생산자, 모델, 시리얼 번호 등에 대한 정보로 묘사가 된다. 더불어 기기의 전원이 켜져 있는지 꺼져 있는지, 다른 기기나 네트워크에 연결되어 있는지를 기록하는 것도 중요하다.

사진

모든 현장을 사진으로 남겨야 하는데, 먼저 전반적인 현장을 사진으로 촬영하고 이후에 각 증거에 초점을 맞춰서 촬영한다. 이 때, 어떤 것도 만지기 전에 사진을 찍어야 한다.

특히, 각 증거의 사진은 증거를 찾았을 때의 상태를 명확하게 보여줄 수 있어야 하는데, 시리얼 번호, 손상상태, 연결 등에 주의를 기울이고 사진으로 남겨야 한다. (연결의 예로, 네트워크, 프린터 및 스캐너 등의 주변 기기 연결이 있다.)

※법정에서 판사와 검사들에게 증언할 때, 사진은 매우 유용하다.

노트

노트를 적는 것에는 특별한 표준이 없으나, 시간 순으로 기록하는 것이 가장 흔한 방법이다.

도착한 시간, 현장에 있던 사람, 무엇을 했는지 등에 대한 정보를 기록한다. 

노트는 시간이 지남에 따라서 기억이 흐릿해지고, 몇 달이나 몇 년 후에 법정에 설 때 의존할 수 있는 유일한 수단이다. 

주의할 점은 해당 노트는 나만 보는 것이 아니라 다른 사람도 볼 수 있기 때문에 어떠한 결론을 내리거나, 추측하지 않는 것이 중요하다.

3. 연계보관성

특정 증거가 법정으로 보내지기 전에 여러 개의 엄격한 법적 요구 사항을 충족해야 하는데, 그 중 하나가 연계보관성이다. 

법정에서 증거로 채택되기 전까지 여러 사람의 손을 거치게 되는데, 모든 반출입 과정을 기록하고 유지하는 것이 바로 연계보관성이다.

증거 표시

연계보관성의 첫 번째 연결 고리는 증거를 수집한 사람으로 증거를 수집하면 먼저 표시를 해야 한다.

일반적으로 이니셜, 날짜, 사건 번호 등으로 표시를 한다.

증거 표시는 증거를 수집한 사람이 증인의 입장에서 당시 수집한 증거가 법정에 있는 증거와 동일한지 식별하는데 큰 도움을 준다.

일반적으로 작은 증거들은 보통 봉투에 담아 밀봉하며, 이니셜과 날짜를 기록한다. 여기서 사용되는 봉투는 종이, 플라스틱 혹은 특수 정전기 방지 물질이 사용된다.

(정전기 방지 물질은 정전기로 인해 하드 드라이브에 있는 정보가 손상되는 것을 방지하기 위해서 전자기기 증거에 주로 사용된다.)

4. 클로닝

비트 스트림 이미지(bit stream image) 라도고 불리는 포렌식 클론(forensic clone)은 비트 하나를 틀리지 않고 똑같은 하드 드라이브의 복사본을 의미한다.

다시 말해서, 하드 드라이브 같이 포렌식적으로 깨끗한 매체에 모든 비트 (0, 1)을 복사하는 것을 의미하는데, 단순히 복사 붙여 넣기를 하면 활성 데이터만 복사되기 때문이다.

즉, 할당되지 않은 공간에 있는 데이터, 파일 시스템 데이터 등 온전히 그대로 가져올 수 없기 때문에 모든 비트를 복사해야 한다.

부가적으로 용의자의 하드 드라이브를 최대한 빨리 클론하는 것이 좋은데, 현장보다 랩에서 클로닝하는 것이 빠르다.

이 때, 컴퓨터를 현장에서 랩으로 가져가기 전에 법적으로 허가를 받아야 하며 일반적으로 범죄 사건의 경우는 랩으로 가져가는 반면에 민사 소송의 경우 클로닝을 현장에서 해야 한다. (상대측과 합의를 하면 랩에서 클로닝 가능함.)

클로닝의 목적

디지털 증거는 휘발성이 강하기 때문에 정말로 위급하거나 다른 방법이 없는 경우를 제외하고는 증거 원본을 직접 조사해서는 안된다.

클론을 사용하여 조사하는 경우, 뭔가 잘못되었을 때 언제든지 다신 원본 상태로 되돌릴 수 있다.

이상적으로는 모든 조사를 원본이 아닌 클론에서 해야 하며, 이 말은 클론 두 개가 있으면 하나는 조사를 하는데 쓰이고, 나머지는 백업용으로 사용한다.

원본을 보관하지 못하는 경우, 법정에서 절차에 따라 적합하게 인증된 포렌식 클로은 원본과 똑같은 효력을 지닐 수 있다.

클로닝 과정

클로닝 과정에 있어서, 용의자의 하드 드라이브(원본)는 소스 드라이브이며 클로닝하는 드라이브는 데스티네이션(destination) 드라이브이다.

※데스티네이션 드라이브는 적어도 소스 드라이브와 동일한 크기이거나 커야 한다. 

※데스티네이션 드라이브는 반드시 포렌식적으로 초기화되어 있어야 한다.

(초기화 과정은 하드 드라이브 전체를 1111111111과 같은 특정 패턴으로 덮어쓴다.)

일반적으로 클론하려는 소스 드라이브는 컴퓨터에서 탈착되어 있으며, 케이블에 의해 클로닝 장비나 다른 컴퓨터에 연결된다.

시작하기 전에 쓰기 방지를 사용하는 것이 매우 중요한데, 이는 하드웨어나 소프트웨어로 클로닝하는 동안 원본 증거를 보호하는데 사용된다.

(원본 증거 드라이브에 데이터가 쓰여지는 것을 방지함.)

하드웨어 쓰기 방지의 경우 소스 드라이브와 클로닝 장비 사이에 부착된다.

연결이 되고 나면, 마우스 버튼 몇 번의 클릭을 통해서 클로닝 과정이 시작되며, 완료시 성공/실패 여부를 알려준다. (소스와 클론의 해시 값이 일치하면 클로닝은 성공한 것이다.)

포렌식 이미지 형식

소스 하드 드라이브의 포렌식 이미지(forensic image)는 클로닝 과정의 최종 산출물이다.

클론은 몇 가지 다른 파일 형식으로 저장될 수 있으며, 파일의 확장자가 파일 형식을 판단하기 가장 쉬운 방법이다.

• EnCase(확장자 .E01)
• Raw dd(확장자 .001)
• AccessData Custom Content Image(확장자 .AD1)

사용되는 툴에 따라서 읽을 수 있는 이미지가 다르므로 해당 정보를 아는 것은 중요하다.

(섹터 손상, 손상된 하드 또는 고장 난 드라이브, 부트 섹터, 모터 문제는 클로닝을 복잡하게 만들 수 있다.)

5. "살아있는" 시스템과 "죽어있는" 시스템

전원이 꺼져 있는 경우와 켜져 있는 경우가 존재하는데, 켜져 있는 경우 포렌식을 할 때 고민이 되는 상황이 발생할 수 있다.

실행 중인 컴퓨터에서 작업을 하게 되면 많은 것이 변조될 수 있다. 그래서, 플러그를 뽑아 전원을 끄는 선택을 할 수 있다. 

하지만, 플러그를 뽑게 되면 발생하는 여러 문제가 존재한다. 그래서 고민되는 상황이라고 한 것이다.

• 플러그를 뽑는 경우 RAM에 있는 모든 증거는 파괴될 위협에 처한다.  
• 시스템이 켜져 있는 동안에는 시스템이나 파일이 암호화되지 않을 수 있지만, 꺼지는 경우 암호화 상태로 돌아가 버릴 수 있으며, 잠재적으로 증거를 절대 찾지 못할 수 있다.
• 갑자기 전원 공급이 중단되는 경우 데이터가 손상되어 읽지 못하게 될 수 있다.
• 일부 증거는 컴퓨터가 제대로 시스템 종료되기 전까지 드라이브에 기록되지 않는 경우가 있다.

라이브 포렌식의 원칙

현장에 도착했을 때 작동 중인 컴퓨터를 보면 두 가지 질문을 해보고 그에 따라 라이브 포렌식을 할 것인지 결정할 수 있다.

질문1: 라이브 포렌식을 통해서 잠재적 증거를 복원할만한 가치가 있는가?

-> Ex.악성코드와 관련된 사건은 RAM에 있는 데이터가 핵심적이지만, 아동 포르노를 소지하고 있는 것과 같은 경우에는 RAM은 중요하지 않다. 

질문2: 필요한 자원을 사용할 수 있는가?

-> Ex. 메모리에 있는 증거를 성공적으로 수집하기 위해서는 특수 툴이 있어야 하며 교육을 받아야 한다. 이 조건이 충족되지 않는다면, 그냥 플러그를 뽑는 것이 최선의 방법일 것이다.

※라이브 포렌식을 할 때에는 최대한 "침입성"이 적은 방법을 선택하는 것이 좋다.

라이브 포렌식 실시 및 문서화

라이브 포렌식을 한 번 시작하면 과정이 완료되기 전에는 방해를 받지 않고 작업해야 한다.

따라서, 시작하기 전에 보고서 형식, 펜, 메모리 데이터 수집 툴 등 필요한 모든 것을 준비해야 한다.

더불어, 컴퓨터에서 하는 모든 작업은 기록해둬야 한다.

컴퓨터 화면이 보이지 않는 경우, 화면을 보이게 하기 위해서 한 모든 행동들을 기록해여 함.

화면이 보이는 경우, 컴퓨터의 날짜와 시간을 가장 먼저 확인하고 어떤 프로세스가 실행 중인지 실행 중인지 기록해야 한다.

검증된 메모리 캡쳐 툴을 사용하여 RAM에 있는 휘발성 증거를 수집하고, 컴퓨터를 종료한다.

6. 해싱

앞서 클론한 드라이브가 증거 드라이브(소스 드라이브)를 완벽히 복사한 것인지 확인하는 방법으로 해시 값을 얘기했었다. (해시 값을 통해 제대로 클로닝 되었는지 확인할 수 있다.)

일반적으로 해시 값은 "디지털 지문", "디지털 DNA"라고 불린다.

해시 값(함수)은 암호화와 증거의 무결성을 증명하는 것을 포함하여 다양한 용도로 사용되는데, 하드 드라이브를 약간만 수정하여도, 완전히 다른 해시 값이 나오게 되어서 증거를 조작하면 바로 탐지할 수 있다.

해시 알고리즘의 종류

많은 종류의 해시 알고리즘이 있지만, 디지털 포렌식에서 가장 일반적으로 사용되는 해시 함수는 MD5(Message Digest 5)와 SHA(Secure Hashing Algorithm) 1 또는 2 이다.

해시의 용도

• 해시 값은 디지털 포렌식 과정 전반에서 사용할 수 있다. 
• 클로닝 과정 후에 클론된 것이 정확한 복사본인지 확인할 때 사용되며, 무결성을 확인할 때도 사용된다.
• 조사관이 포렌식 이미지를 교환하는 경우, 해시 값을 이미지와 함께 전송하여 원본과 대조할 수 있다.

수사 전반에 걸쳐 생성되고 기록된 모든 해시 값은 최종 보고서에 포함되어야 하며, 디지털 증거의 무결성을 증명하는 데 핵심적이다.

7. 최종 보고서

분석 최종 단계에서 조사관은 작업 내용, 발견한 내용, 결론 등에 대해 자세하게 최종 보고서를 작성해야 하는데, 전문 용어와 코드로 채워져 있는 경우 판사, 검사와 같은 일반인들이 이해하기 어려워, 법정에서 채택되지 않을 수 있다.

Encase 및 FTK 같은 주요 포렌식 툴들에는 강력한 보고서 작성 기능이 있으나, 일반인들이 이해하기 어려워서 제출하기에 적합하지 않다. (물론, 최종 보고서에 포함은 한다.)

마지막으로

최종 보고서에는 툴이 작성한 표준 보고서보다 훨씬 많은 내용이 포함되어야 하는데, 그러한 내용 중 하나로 조사관이 실제로 한 행동에 대해 모두 설명하는 것도 포함된다. 

책 소개

제목: 이제 시작이야 디지털 포렌식 

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다. (비전공자들도 쉽게 보고 이해할 수 있음.)

http://www.yes24.com/Product/Goods/7526115

저번 글에 이어서 3장 내용을 정리하는 시간을 갖도록 하겠습니다.

3장 랩과 툴

서론

3장에서는 서로 다른 종류의 랩의 구성과 포렌식에서 사용되는 하드웨어와 소프트웨어에 대해서 살펴본다.

1. 포렌식 랩

가상 랩

오늘날의 기술은 조사관과 자료 처리소가 지리적으로 다른 위치에 있어도 되는 가상 랩을 운영할 수 있도록 해준다. 

특징:

• 비용절감.
• 많은 자원에 접근 가능(툴과 저장장치).
• 자원의 불필요한 감솜 (자원 절약).
• 역할 기반의 접근 제어가 가능.

고려 사항

1) 보안: 시스템 보안은 법정에서 요구하는 증거의 무결성의 수준을 유지할 수 있어야 함. (증거 채택 용도)

2) 성능: 제대로 운용되기 위해서는 연결 속도가 빠르고 안정적이어야 함.

3) 비용: 초기 비용이 많이 드는 경우, 많은 기관들이 비용을 감당하지 못할 수 있음. 

랩 보안

랩 보안은 법정에서 사용될 증거의 무결성과 직결되기 때문에 매우 중요하다.

즉, 엄격한 보안은 랩을 거쳐가는 디지털 증거의 무결성을 유지하는 데 핵심적인 역할을 한다.

일반적으로 신원이 보장되고, 허가된 사람인 경우만 조사 시설과 증거 저장장치 같은 핵심 구역에 접근이 가능함.

비인가 접근 이외에도 화재, 홍수 등의 자연재해도 고려해야 할 사항에 속함.

랩 전반에 걸쳐 연계보관성이 적용되는데, 랩에서 증거를 조사하고 법정으로 이동시킬 때 반드시 반출입 문서를 작성하며, 증거를 증거실이나 저장소에서 반출입 할 때마다 로그를 기록해야 한다. 

(종이, 펜, 스캐너, 바코드 등의 여러 방법을 사용할 수 있음.)

네트워크 접근 또한, 고려되어야 하는데 조사에 사용되는 컴퓨터는 인터넷에 연결되어 있으면 안되고 증거 드라이브를 조사하기 이전에 검사하여 악성코드 등을 예방해야 한다.

증거 저장

증거를 사용하고 있지 않을 때에는 반드시 접근이 제한적이고 보안적으로 안전한 장소에 저장되어야 한다.

데이터 세이프(data safe) : 도난과 화재로부터 디지털 증거를 보호하기 위해 특별히 설계됨.

증거를 저장한 곳은 항상 잠금 장치를 해둬야 하며, 로그나 감사 기록을 유지하여 반출입 현황을 유지해야 한다.

비밀번호와 키 카드 등의 다양한 방법으로 접근을 통제함.

2. 정책과 절차

랩에서의 증거 처리, 조사 실시, 기록 유지, 시설의 보안 유지 등을 규격화할 필요가 있으며, 이러한 부분은 정책과 표준작업 절차서로 통제되어야 한다.

표준작업 절차서는 포렌식 조사가 어떻게 수행되어야 하는지 자세하게 명시한 문서로 너무 광범위하거나, 너무 상세해서는 안된다.

정책과 표준작업 절차서를 준수하지 않는 경우 법정에서 신뢰성의 문제가 발생할 수 있음.

3. 품질보증

법과학에 있어서 품질은 항상 최우선이 되어야 하며, 모든 랩에는 품질보증 프로그램이 있어야 한다.

품질보증 프로그램은 보고서의 2중 검토(기술 검토와 행정적 검토), 증거 처리, 사건 문서화, 랩 인력 교육 등 다양한 부분을 다룬다.

툴 검증

툴은 하드웨어가 되었든 소프트웨어가 되었든 설계사항대로 작동해야 하며, 모든 툴은 실제 사건에서 사용되기 전에 검증되어야 한다. 

검증 과정은 툴이 제대로 작동하고 있고, 신뢰할 수 있으며 정확한 결과가 나타난다는 것을 명확하게 증명할 수 있어야 하며 문서화를 해야 한다.

문서화

포렌식 업계에 있어서 "문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다."라는 격언이 매우 중요할 정도로 완전하고 정확한 문서가 매우 중요하다.

서식:

• 사전에 출력한 서식을 현장과 랩에서 많이 사용함. 
• 모든 필요한 정보가 동일한 형식으로 기록될 수 있게 함.
• 증거를 상세히 설명할 때 사용됨.
• 연계보관성을 기록할 때 사용됨.
• 조사를 요청할 때 사용됨.

조사관의 노트:

모든 조사관의 행동과 관찰사항이 해당 날짜와 함께 기록되며, 충분히 상세하게 기록되어서 다른 조사관이 조사할 때 프로세스를 반복할 수 있어야 함.

구성

• 검찰관과 수사관을 포함하여 핵심 인물과의 토의
• 특이 사항 및 관련 조치
• 운영체제, 버전 및 패치 상태
• 비밀번호
• 랩이나 법 집행 인력이 시스템을 변경한 사항

조사관의 최종 보고서:

조사관의 최종 보고서는 공식 문서로서 수사가 거의 완료될 때 검사, 수사관, 반대편 변호사 등에게 전달됨.

구성

• 보고 기관
• 사건 식별 번호/제출 번호
• 제출하는 사람과 사건 수사관의 신원정보
• 받은 날짜 및 보고 날짜
• 시리얼 번호, 제조사, 모델 등 증거를 식별할 수 있는 세부 정보
• 조사관의 신원정보
• 조사 방법
• 결과와 결론

일반인이 해당 보고서를 읽을 확률이 높으므로, 기술적 배경지식이 없는 사람들이 보고서를 읽고 이해할 수 있도록 전문 용어와 약어의 사용을 자제해야 함.

4. 디지털 포렌식 툴

디지털 포렌식 툴은 포렌식 업무를 효율적이게 만들 수 있으며, 툴이 없는 경우 불가능한 작업을 할 수 있도록 해준다. 툴의 형태는 하드웨어나 소프트웨어가 될 수도 있다.

(여러 개의 툴을 구비하여 두고 있는 것은 도움이 됨.)

툴을 선택할 때는 신뢰할 수 있는 검증이 된 툴을 선택하여 사용하는 것이 바람직함.

(※툴의 검증 법정에서 증거 분석의 유효성과 직결되기 때문에 매우 중요※)

모든 툴은 실제 사건 업무에 사용되기 전에 반드시 검증해야 하며, 수정되었거나 업데이트되었을 때도 다시 검증해야 한다. 

하드웨어

디지털 포렌식을 위해 설계 및 제작된 하드웨어 툴들이 많이 존재하며, 크게 의존한다.

종류

• 클로닝 장비
• 휴대폰 수집 장비
• 쓰기 차단 기기
• 휴대용 저장 장치
• 어댑터
• 케이블

그 중에서도 컴퓨터는 중추적인 역할로 최고 사양을 사용해야 한다. 포렌식 작업은 고성능 컴퓨터도 힘들게 만들며, 저성능 컴퓨터로는 매우 버겁다. 

다른 장비로는 조사관이 현장에서 디지털 증거를 수집하는 데 필요한 모든 장비가 탑재되어 있는 키트가 있다. 구성에는 펜, 디지털 카메라, 포렌식적으로 초기화된 매체, 증거 봉투, 증거 테이프, 보고서 형식, 유성 펜 등이 있다.

소프트웨어

다양한 디지털 포렌식 소프트웨어 제품이 존재하며, 일부는 다양한 기능이 있는 다용도 툴이고 다른 툴은 제한된 목적의 툴에 해당한다.

소프트웨어를 선택할 때는 오픈소스, 상업용 두 가지 선택권이 존재하며, 선택에 따라 장점 단점이 존재한다. 선택시 고려사항으로는 비용, 기능, 능력, 지원 등이 있다.

오픈소스 툴로는 SIFT 또는 the SANS Investigative Forensic Toolkit이 가장 유명한데, 우분투 리눅스를 기반으로 만들어졌으며 파일 카빙, 파일 시스템, 기록, 휴지통, 네트워크 트래픽, 휘발성 메모리 등을 분석할 수 있다.

상업용 툴로는 AccessData 사의 Forensic Toolkit(FTK)와 Guidance Software의 EnCase가 있다. 

여러 가지 작업을 할 수 있는데, 검색, 이메일 분석, 분류, 보고서 작성, 패스워드 크래킹 등이 포함된다.

또한, 여러 정보를 검색할 수 있는데, 이메일 주소, 이름, 전화번호, 키워드, 웹 주소, 파일 종류, 날짜 범위 등이 포함된다.

툴 하나 가지고 모든 작업을 할 수 없으며, 제한 사항이 존재하기 때문에 여러 툴을 구비하고 있는 것이 바람직하다.

더불어 GUI 기반의 포렌식 툴은 단 한 번의 클릭으로 조사를 실시 할 수 있어 효율적이지만, 너무 의존하게 될 수 있어 독이 될 수 있다. 따라서, 툴의 내부에서 실제로 어떻게 작동하고 있는지 이해해야만 하며, 흔적이 최초에 어떻게 생성되는지도 잘 알고 있어야 한다.

5. 인가

인가는 포렌식 랩의 업무방식을 보증하는 것으로 미국범죄감정과학연구소 소장 협회의 연구소 인증보드가( The American Society of Crime Laboratory Directors/Laboratory Accreditation Board : ASCLD/LAB) 세계적으로 인정받는 선두 기관이다. 이름에 American Society라는 단어가 들어가지만 1982년부터 미국과 다른 국가의 랩을 인가하기 시작함. 

해당 기관의 목적

• 형사법제도에 제공하는 랩 서비스의 품질을 개선하기 위함.
• 랩의 성과의 수준을 평가하고 운영을 강화하기 위해 랩이 사용할 수 있는 기준을 개발하고 유지함.
• 독립적이고 공정하며 객관적인 시스템을 제공하기 위함.
• 일반 국민과 사용자에게 수립된 표준을 충족하는 랩을 식별하는 수단을 제공하기 위함.

ASCLD/LAB은법과학계의 품질인증 기관이라고 보면 되며, 레거시 프로그램과 국제 프로그램으로 두 가지 인가 프로그램이 있다.

책 소개 

제목: 이제 시작이야 디지털 포렌식 

내용: 디지털 포렌식의 입문자들을 위한 책으로 포렌식의 기초를 다루고 있다.

http://www.yes24.com/Product/Goods/7526115

이번 글은 해당 책에서 설명하는 내용을 정리하는 글이며, 2장에 대한 내용을 다루고 있다.

앞으로 계속해서 정리할 예정이다.

2장 핵심적인 기술 개념

서론

※ 디지털 포렌식을 하는 데 있어 컴퓨터의 내부 환경에 대한 깊은 지식은 필수적이며, 매우 중요하다.

※ 특히, 메모리와 저장장치가 포렌식에 있어서 핵심이다.

1. 비트, 바이트 그리고 수의 체계

• 컴퓨터는 1과 0으로 이루어져 있는 2진수(binary)를 사용함.

• 0, 1은 비트(bit)에 해당하며, 8개의 비트가 모이면 1바이트(byte)이다. (ex. 01101001)

• 하나의 바이트로 문자, 숫자, 스페이스, 특수 문자를 표현가능함.

1.1 헥사데시멀 (hexa decimal)

• 16진수: 숫자 0~9, 문자 A~F를 사용해서 나타내며, 바이너리를 좀 더 편하게 표시할 수 있다.

• 0x가 숫자 앞에 붙거나 숫자 뒤에 "h"가 붙으면 해당 숫자가 16진수라는 의미이다. (ex. 0x80, 0x80h)

1.2 바이너리에서 문자로 ACII와 유니코드

컴퓨터는 2진수를 사용하므로, 2진수를 사람이 읽을 수 있는 문자로 변환하기 위해 인코딩(encoding)을 사용한다. 두가지 방법이 있다. (ASCII, 유니코드)

• ASCII: 영어를 표시하기 위해 사용하는 인코딩 방법. 128개의 문자를 정의하며, 이 중에서 94개의 문자만이 실제로 출력됨. (나머지는 스페이스와 프로세스를위해 사용됨.

• 유니코드: 전 세계의 모든 언어를 표시하기 위해 사용되며 수천 개의 문자로 이루어져 있음.

1.3 파일 카빙(file carving)

할당되지 않은 공간처럼 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용됨. ('비트'와 '바이트' 수준에서 데이터를 살펴봄.)

기본적으로 잠재적인 파일을 식별하는 것이 첫 번째 단계이다.

▶ 파일에 헤더(header)가 있는 경우, 헤더로 파일을 식별함.

▶ 만약 푸터(footer)를 찾았고 파일이 연속적이라면, 단순히 복사+붙여 넣기로 파일 축출이 가능.

※ 조각난 파일은 복원하기 매우 어렵다.

2. 파일 확장자와 파일 시그니처

파일은 기본적으로 연속적인 비트와 바이트로 이루어져 있으며, 파일을 식별하는 방법은 두 가지가 있다.

2.1 파일 확장자

• 컴퓨터 파일 이름 맨 뒤에 붙는 것으로 파일 형식을 표현함. (ex .pdf , .exe , .png, .pptx , .docx)

• 포렌식에서는 파일을 식별하는 방법으로 파일 확장자는 좋은 방법이 아님. (쉽게 파일 이름 바꾸기로 변경이 가능하기 때문.)

2.2 파일 시그니처

• 포렌식 툴은 파일 확장자가 아닌 파일의 헤더로 파일을 식별하며, 이러한 방법을 시그니처 분석이라고 한다.

• 파일의 종류마다 다른 파일 시그니처를 가지고 있으며, 파일 시그니처는 크게 헤더 시그니처와 푸터 시그니처가 있다.

3. 저장장치와 메모리

※ 데이터 생성 방법 세 가지

• 전자기
• 극미한 전자 트랜지스터(플래시)
• 빛의 반사(CD, DVD 등) 

저장장치는 서로 다른 목적으로 사용됨.

3.1 자기 디스크

자기 디스크는 각 입자가 자기화하거나, 자기화하지 않는 두 가지 상태로 존재하는데,

입자가 자기화되면 1을 나타내고, 그렇지 않으면 0을 나타낸다.

• 알루미늄 플래터(platter): 자기 물질로 코팅되어 있으며, 회전 속도가 빠를수록 더 빨리 데이터를 수집할 수 있음.

• 스핀들(spindle): 조그마한 침으로 플래터가 회전하는 중심이다.

• 엑추에이터 암(actuator arm): 부착되어 있는 읽기/쓰기 헤드를 사용하여 플래터에 물리적으로 데이터를 읽고 쓰며, 엑추에이터 자체에서 전원을 공급함.

3.2 플래시 메모리

• 다른 종류의 메모리와는 다르게 전기가 차단되어도 데이터가 지워지지 않는 비휘발성 메모리이며, 트랜지스터로 구성되어 있다.

• 트랜지스터에 전하를 가지고 있으면 그 부분은 '1' 그렇지 않으면 '0'이 된다.

• 플래시 기반 하드 드라이브로 SSD(솔리드 스테이트 드라이브 Solid State Drive)가 있다.

3.3 광 저장장치

광 디스크에 있는 반사 물질과 레이저를 사용하여 데이터를 쓰고 읽는 저장장치이다. (ex. CD, DVD, Blu-ray디스크)

광 저장장치의 원리 (TMI: 고등학교 1학년 과학시간에 배운 듯하다..)

1. 레이저가 트랙에 빛을 보낸다. (TMI: Blu-ray는 레이저의 파장이 Blue 즉, 파란색에 해당해서 붙은 이름이다.)
2. 빛은 울퉁불퉁한 부분과 그 사이에 있는 'lands'라 불리는 공간에 따라 다른 형태로 반사된다.
3. 컴퓨터는 반사되는 빛의 변화를 데이터로 변환한다.

3.4 휘발성 VS 비휘발성 메모리

메모리와 저장장치 모두 데이터를 저장하는 역할을 하는 내부 하드웨어이나, 메모리는 단기간 데이터를 저장하는 곳에 사용되며 저장장치는 데이터를 영구적으로 저장하는 곳에 사용된다.

※휘발성은 전력이 공급되는 동안만 데이터가 존재하며, 비휘발성은 전력 공급이 끊어져도 데이터가 존재한다.

4. 컴퓨터 환경

컴퓨터 환경은 독립형, 네트워크, 메인프레임, 클라우드로 크게 4가지로 분류할 수 있는데,

포렌식 관점에서 컴퓨터 환경에 따라 데이터 검색, 툴의 사용, 복잡도의 수준 등과 같이 수집과정에 커다란 영향을 준다.

독립형 컴퓨터:

• 다른 컴퓨터에 연결되어 있지 않은 컴퓨터로 아파트나 일반 주택 같은 가정집에서 흔히 보이며, 가장 다루기 쉽고, 조사하기 용이하다.

네트워크 컴퓨터:

• 적어도 하나 그리고 잠재적으로 많은 다른 컴퓨터에 연결되어 있는 컴퓨터.

• 하나의 컴퓨터에서 찾을 수 있던 파일이나 흔적이 여러 서버나 다른 컴퓨터에 분산되어 있음.

• 포렌식 관점에서 다양한 변수 증가로 복잡도 증가와 증거를 찾을 수 있는 위치를 증가시킴.

메인프레임 시스템:

• 모든 컴퓨터의 능력을 한 위치에 집중시킴.

• 프로세서, 저장장치 그리고 프로그램 모두가 한 위치에서 집중되어 통제된다.

클라우드 컴퓨팅:

• 컴퓨터 인프라, 플랫폼, 소프트웨어를 제공하며 사용한 만큼만 비용을 지불하는 모델.

• 클라우드 서비스로 인프라 서비스(IaaS), 플랫폼 서비스(PaaS), 소프트웨어 서비스(SaaS) 등이 있다.

• 기술적으로 매우 복잡한 가상 환경을 제공하여 많은 일상적인 포렌식 절차를 복잡하게 만들거나 아예 쓸모 없게 만든다.

• 클라우드 데이터에 국경이 없어 포렌식에게 큰 도전으로 다가온다. 

5. 데이터 종류

활성 데이터:

• 일반적으로 매일 컴퓨터에서 우리가 사용하는 데이터.

• 드라이브에 할당된 공간에 있는 파일들.

• 표준 포렌식 클로닝 기술로 확보 가능.

숨은 데이터:

• 이미 삭제되었거나, 부분적으로 덮어씌워진 데이터.

• 운영체제에서 더 이상 관리하지 않으며, 일반 사용자에게는 보이지 않음.

• 숨은 데이터를 수집하기 위해서는 비트 스트림(bit stream)이나 포렌식 이미지가 필요함.

아카이브 데이터(혹은 백업 데이터):

• 여러 가지 형태로 존재 가능함. (ex. 외장하드, DVD, 백업 테이프 등)

• 백업 매체의 종류와 연대가 아카이브 데이터를 확보하는 과정의 복잡도를 결정하는 주요 요소임.

• 백업 테이프의 경우, 더 이상 생산되지 않는 소프트웨어나 하드웨어로 만들어졌다면 처리하기가 매우 어려움.

• 위의 상황에서 데이터를 생산할 때 사용했던 것과 동일한 툴이 존재하지 않는 경우를 레거시 데이터(legacy data)라고 함.

6. 파일 시스템

▶ 파일 시스템은 드라이브의 사용 가능한 공간과 각 파일의 위치를 관리한다.

FAT(File Allocation Table):

• 셋 중에서 가장 오래된 파일 시스템으로 FAT12, FAT16, FAT32, FATX 4가지 유형이 있음.
• 최신 운영체제에서는 거의 사용되고 있지 않지만, 플래시 메모리 같은 매체에서 자주 사용됨.

NTFS(the New Technology File System):

• 윈도우 7, 비스타, XP 그리고 서버 제품군에서 사용되고 있는 파일 시스템임.
• 자동으로 디스크 관련 오류를 복구할 수 있음. (FAT32에는 이러한 기능이 없음)
• 대용량 하드 드라이브를 지원하고, 권한과 암호화로 향상된 보안을 제공한다.

HFS+(Hierarchical File System):

• 애플 제품에서 사용됨.
• HFS+는 HFS에서 업그레이드된 버전으로 개선된 디스크 공간, 플랫폼간의 호환성, 다국적 파일 이름 등 다양하고 향상된 기능을 제공함.

7. 할당된 공간과 할당되지 않은 공간

일반적으로 파일 시스템은 하드 드라이브에 있는 공간을 할당된 공간과 할당되지 않은 공간 두 가지로 분류한다. (예외로 호스트 보호 영역이 있음.)

여기서, 할당된 공간은 특정 공간이 사용되고 있다는 의미이며, 할당되지 않은 공간은 사용되고 있지 않다는 의미이다.

데이터의 영속성

파일 시스템의 역할은 모든 파일과 저장 공간을 관리하는 것에 있다.

이 때, 파일 시스템을 책에 비유하면 파일을 삭제하는 것은 책의 인덱스(맨 뒷장에 있는 인덱스)에 있는 항목을 삭제하는 것과 같다.

※즉, 책에서 특정 인덱스 항목을 삭제해도 책 안에 여전히 페이지와 해당 내용이 남아 있는 것처럼 파일을 삭제해도 데이터는 덮어지기 전까지 남아 있는다.

더불어 파일은 반드시 한 곳에만 저장되지 않으며, 하드 드라이브 플래터에 여기저기 분산되어 저장된다. 그래서 파일을 열 때 파일 시스템이 분리된 클러스터를 관리하여 다시 재구성하여 우리가 파일을 읽을 수 있다.

슬랙 공간(slack space)

일반적으로 덮어 씌워진 파일은 복원할 수 없다고 여겨지나, 복원이 가능한 경우가 존재한다.

특정 공간을 할당 받은 파일이 그 공간을 모두 사용하지 않는 경우, 원본 파일은 일부만 덮어 씌워진다.

덮어 씌워지지 않은 남은 부분은 복원할 수 있으며, 실제 사용할 수 있는 정보가 있을 수 있다.

이러한 공간을 슬랙 공간이라고 한다.

8. 자기 하드 드라이브의 데이터 저장 방식

• 기본적으로 컴퓨터는 섹터(sector)라고 불리는 정해진 공간에 데이터를 저장한다.

• 섹터는 컴퓨터가 정보를 저장할 때 사용할 수 있는 최소한의 단위이며, 각 섹터는 최대 512 바이트의 데이터를 저장할 수 있다. 

• 굳이 512바이트를 다 채울 필요는 없지만 초과하여 저장할 수 없다.

자기 하드 드라이브 데이터 저장 예시 (파일을 삭제해도 데이터가 남는 원리)

만약 1024 바이트의 파일을 저장한다면, 두 개의 서로 다른 섹터에 파일이 저장된다. (512 + 512 = 1024)

해당 파일을 삭제해도, 컴퓨터는 원래 사용하던 두 개의 섹터를 그대로 사용한다. (해당 파일 정보는 섹터에 그대로 남아 있음)

이어서 780 바이트의 어떤 파일 저장하면, 두 개의 서로 다른 섹터에 파일이 저장된다. (512 + 268 = 780)

(이때, 1024 바이트 파일 정보가 들어있는 두 개의 섹터에 780 바이트 파일이 저장된 경우로 가정한다.)

이러한 경우, 앞서 저장했다가 삭제한 1024 바이트의 파일의 정보는 나중에 저장한 780 바이트의 파일에 의해서 780 바이트 부분이 덮어 씌워진다. 하지만, 244 바이트는 덮어 씌워지지 않고 남아 있게 된다.

즉, 해당 244 바이트는 슬랙 공간이 되며 여기서 기존 파일의 조각을 복구할 수 있다.

9. 페이지 파일 (또는 스웝 공간)

일반적으로 하드 드라이브는 느리기 때문에 현재 사용하지 않는 데이터와 프로그램을 저장하는 데 사용된다. 그래서, RAM에서 모든 데이터와 명령을 CPU로 전송한다.

그런데, 컴퓨터에서 계속해서 새로운 프로그램을 실행시키다 보면 메인 메모리인 RAM을 모두 사용하는 상황이 발생한다.

이때, 컴퓨터는 하드 드라이브를 이용해서 가상 메모리를 사용하며, 이러한 가상 메모리를 페이지 파일(page file) 또는 스웝 공간(swap space)라고 한다.

컴퓨터는 RAM 공간을 확보하기 위해서 RAM에 있는 데이터를 페이지 파일로 옮긴다.

페이지 파일이 중요한 이유는 RAM이 휘발성 메모리로 전원 공급이 끊기면 데이터가 사라지는데 RAM에 있어야 할 데이터가 페이지 파일로 옮겨져서 전원 공급이 끊겨도 해당 데이터는 페이지 파일에 존재하기 때문이다.

즉, 원래라면 드라이브 그 어디에도 없는 파일이나 파일의 조각이 페이지 파일에 저장될 수 있다는 의미이이다.

또한, RAM이 꽉 차야 페이지 파일이 사용되므로 페이지 파일은 지속적으로 사용되지 않으며, 덮어 씌워지기 전까지 데이터는 하드에 남아 있기 때문에 데이터가 페이지 파일에 오래 잔존해 있을 수 있다.