[241106] 디지털 포렌식 개론 제 7장 디지털 증거 분석 기술

디지털 증거 분석 기술은 디지털 데이터의 종류와 저장 형태, 입증할 목적 등으로 굉장히 다양하기 때문에 포괄적으로 말하기는 어려우나, 증거 인멸에 대응하기 위한 파일 복구, 디지털 기기와 응용 프로그램이 구동하면서 생성되는 사용 흔적에 대한 분석, 사건을 재구성하기 위한 타임라인 분석, 대용량 디지털 데이터에서 효율적인 검색은 공통적인 기술이라 할 수 있음. 이 장에서는 수집된 디지털 데이터를 분석하여 사건의 실마리 또는 증거를 찾기 위해 사용하는 다양한 기술을을 살펴 봄.

---

제 1절 파일 복구

디지털 포렌식 분석을 위해서는 삭제된 파일의 복구가 선행되어야 함. 

 

파일 시스템이란?

파일을 저장하고 관리하는 방식.

 

대부분의 운영체제는 사용자에게 빠른 응답을 하기 위해 파일을 삭제하면 삭제하였다는 표시만 하고 실제 해당 파일은 그대로 남김. 파일이 삭제되면 파일의 데이터가 그대로 유지된 채 미할당 영역이라 표시함. 따라서 삭제된 파일은 파일 시스템의 미할당 영역에 잔존하게 됨. -> 파일 복구 도구를 이용하여 복구 가능.

=> 중요한 파일을 파기할 때에는 해당 데이터까지 모두 삭제하는 완전 삭제 기술을 사용해야 함.

 

제 2절 검색 기술

저장매체가 대용량화 됨에 따라 수집되는 디지털 데이터의 양도 매우 많아짐. 대용량 단서에서 사건의 단서나 증거를 찾는 것은 점차 어려워짐.

 

가. 키워드 검색

사건과 관련한 키워드를 선정하여 파일 또는 저장 매체 전체를 대상으로 검색하는 것을 말함. 키워드 검색을 통해 증거를 찾기 위해서는 텍스트 인코딩, 대/소문자 등의 사항을 고려해야 함.

 

나. 해쉬 검색

파일명 또는 파일의 해쉬값을 이용하여 저장 매체 내에서 특정 파일을 검색하는 것. 미리 알려진 파일을 포렌식 분석 대상에서 제외하거나 신속히 검색하기 위해 활용. 잘 알려진 해쉬 값을 데이터베이스에 축적해 놓으면 대량의 디지털 데이터에서 파일별 해쉬 값을 계산하여 분석 대상 축소 가능.

 

참조 데이터 세트란?

잘 알려진 파일들의 해쉬 값을 모아 놓은 것을 참조 데이터 세트라고 함. 

 

DF RDS

NSRL(참조 데이터 세트 다운 가능 사이트) RDS의 해쉬 세트를 차용하면서 국내에서 많이 사용되는 소프트웨어에 대한 해쉬 세트도 포함하여 국내 디지털포렌식 조사 시 활용할 수 있도록 함.

해당 사이트는 아래와 같은 5가지 기능을 제공함.

1. 파일 단위 해쉬 검색
2. 다수 파일 해쉬 목록 검색
3. 해쉬 값 검색
4. REST 서비스를 사용한 해쉬 값 검색
5. DF RDS 해쉬 세트 다운로드

제 3절 타임라인 분석

Encase의 타임라인 보기 기능

파일 시스템에 저장되어 있는 시간 정보가 연/월/일 등으로 분류되어 가시적으로 출력됨. 이러한 기능을 활용해서 시스템이 사용된 시간대를 알아내거나 특정 시점에서부터 시스템 사용자의 행위를 추적 가능.

파일 시스쳄에 저장되어 있는 시간과는 별개로 무넛 파일, 압축 파일 등은 파일 내부에 고유한 형식으로 시간 정보를 저장하고 있음. 

 

Log2TimeLine

시스템에서 시간정보를 동반한 데이터를 종합적으로 분석하여 시간 흐름에 따른 데이터의 운용과정 및 변화된 내용을 효율적으로 확인할 수 있도록 개발된 도구. 이를 이용하면 분석 대상과 관련된 일련의 정보를 시간 흐름에 따라 확인 가능. 조사 대상의 정보를 시간 흐름에 따라 종합적으로 재구성하기 위해서는 이와 같은 도구를 이용한 타임라인 분석이 필수임.

 

제 4절 시스템 사용 흔적 분석

가. 시스템 아티팩트

 

포렌식 아티팩트란?

디지털 포렌식 조사에 도움이 되는 정보를 포함하고 있는 운영체제의 사용 흔적들을 포렌식 아티팩트라 함.

 

윈도우 운영체제는 시스템 사용의 효율성을 높이기 위해 이벤트 로그, 레지스트리와 같은 시스템 관리 체계를 별도로 갖고 있는데 이는 조사에 큰 도움이 됨.

 

윈도우 시스템 아티팩트의 종류

• 웹 브라우저 사용 흔적
• 이벤트 로그
• 프리페치
• 바로가기
• 점츠리스트
• 복원 지점
• 휴지통 정보 파일
• 시스템 로그
• 썸네일 정보 데이터베이스

나. 시스템 아티팩트의 분류

포함된 정보는 조사하고자 하는 목적에 따라 분류하여 관리되어야 효율적으로 조사 가능. 본 절에서는 디지털 포렌식 조사에서 사용되는 대표적 아티팩트에 대해 설명함.

 

1) 시스템 및 사용자 정보

시스템을 조사할 때는 시스템이 가지는 기본적 정보와 사용자 계정에 관한 정보를 우선적으로 획득할 필요가 있음. 이러한 정보는 레지스트리에서 획득 가능.

 

2) 프로그램 설치 및 실행 흔적

프로그램을 설치하였거나 실행한 흔적은 매우 중요한 정보임. 사고 유형에 따라 용의자가 특정 프로그램을 사용한 것이 증거가 될 수 있으며, 악성코드가 실행되었는지 여부를 입증하는데 사용되기도 함. 또란 연속적 실행파일의 구동 흔적과 파일 시스템의 생성, 수정 시간정보를 조합하면 악성코드의 최초 유입 지점과 학산 정보를 포함 가능함. 실행 파일의 흔적은 다양하게 존재하므로 종합하는 안목이 필요함.

 

3) 외장장치 연결 흔적

외장장치의 연결 흔적과 사용된 파일에 대한 정보는 윈도우 바로가기 파일이나 레지스트리, 이벤트로그의 조사를 통해 부분적으로 획득 가능. 조사 대상 시스템에서 외장장치의 연결 흔적이 보이면 해당 장치를 통한 정보유출 의심 가능.

 

4) 웹, 네트워크 연결 흔적

웹브라우저의 사용흔적으로 생기는 검색 기록이나 자주 방문하는 웹 페이지의 목록 등을통해 사용자의 최근 관심사를 파악하는 데 활용 가능. 

 

제 5절 스마트폰 사용 흔적 분석

가.  스마트폰 데이터

스마트폰의 운영체제는 크게 안드로이드와 ios로 구분 가능. 이러한 운영체제는 시스템과 애플리케이션의 구동, 사용흔적을 로그로 저장함. 스마트폰의 주요 수집 대상은 플레시 메모리 이미지와 이미지 파일 내부에서 추출한 시스템 및 애플리케이션 로그 파일, 멀티미디어 데이터임. 이를 통해 파일 시스템, 시스템, 애플리케이션, 멀티미디어 분석을 수행함. 

 

나. 스마트폰 데이터 분류

 

1) 파일 시스템 정보

스마트폰의 파일 시스템은 플래시 메모리 이미지 파일을 통해 분석함. 안드로이드는 주로 Ext4 파일 시스템을 사용하고 아이폰은 HFS+ 파일 시스템을 사용. 분석을 통해 파일 시스템의 생성 시간과 실제 플레시 메모리 내부에 존재하는 모든 폴더와 파일의 목록과 메타 데이터들을 확인 가능. (Ext4의 경우 삭제된 폴더와 파일 목록도 확인 가능. 또한 미할당 영역을 추출하여 삭제된 데이터의 복구를 수행 가능.)

 

2) 기본 시스템 정보

주로 텍스트 형태의 로그 파일로 존재. 이러한 파일 분석함으로써 하드웨어, 소프트웨어의 정보를 확인 가능. (안드로이드의 경우 접속한 와이파이 정보, 디바이스 초기화를 시행한 흔적도 확인 가능.) 

 

3) 애플리케이션 사용 정보

애플리케이션은 통화 기록, 문자, 주소혹, 일정, 웹 브라우저와 같은 기본 앱과 사용자가 직접 다운로드 받아서 설치한 사용자 앱이 존재. 이러한 애플리케이션들은 주로 SQLite 데이터베이스 파일을 사용하여 사용자 데이터를 저장하고, XML,Plist 파일을 사용하여 사용자의 설정 정보를 저장함. 

 

4) 멀티미디어 데이터 정보

사진, 동영상, 음성녹음 등의 파일. 이러한 멀티미디어 데이터들은 저장 경로 설정에 따라 내부 SD 카드 영역 또는 마이크로 SD 카드인 외부 SD 카드 영역에 저장. 

• 사진: JPEG 파일 포멧으로 존재. 위치 태그와 같은 GPS 사용.
• 동영상: 스마트폰의 종류에 따라 AVI, MOV, MP4 등의 파일 포맷으로 저장되고 일반적인 동영상 플레이어 프로그램을 통해 재생 가능.

스마트폰은 일반적인 PC 보다 내부 데이터들의 단편화가 많이 발생하기 때문에 삭제된 파일의 복구를 수행하는 경우 PC 보다 복구율이 떨어짐.

 

제 6절 안티 포렌식 기술과 대응

안티 포렌식이란?

포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 잇는 증거물들을 차단하려는 일련의  활동을 말함. 데이터 위/변조, 삭제, 암호화, 은닉 등이 대표적. 

 

가. 안티 포렌식 기술

 

1) 데이터 완전 삭제

1. 운영체제에서 제공하는 데이터 삭제 기능을 이용하는 경우: 미할당 영역을 그대로 남겨놓은 경우가 많음.
2. 완전 삭제 전용 소프트웨어를 이용하여 삭제하는 경우: 미할당 영역의 데이터까지 덮어쓰게 되므로 데이터 복구 불가능.

2) 데이터 은닉

저장 장치나 내부의 구조를 분석라여 사용하지 않는 영역을 이용하거나 스테가노그래피 기법과 같이 육안으로 판단하기 힘들도록 데이터를 교묘하게 변결하는 방법을 통해 이루어짐.

 

3) 데이터 암호화

타인이 해당 데이터를 열람할 수 없도록 하기 위하여 사용. 의도적으로 키를 숨기는 경우가 많아 조사에 어려움을 겪게 함.

 

나. 안티 포렌식 대응 기술

 

1) 완전 삭제 도구 사용 흔적 조사

메타 데이터의 삭제된 영역을 0이나 임의의 값 혹은 특정 문자열로 채우는 경우가 많음. 조사자는 이와 같은 특징을 이용해 완전 삭제 도구가 실행된 흔적을 파악할 필요가 있음.

 

2) 패스워드 검색

암호화된 데이터는 대부분 사용자가 입력한 패스워드를 키로 사용하게 되는데 패스워드 검색 기법으로 사회공학 기법, 사전 공격, 전수 조사 등이 있음. 

 

3) 심층 암호 분석

• 멀티미디어 파일 분석: 이미지, 동영상 등의 파일에 은닉된 데이터를 탐지하는 기술. 영상 분석, 색상 분석, 통계 분석 등을 사용하여 은닉 여부 탐지.
• 문서 파일에서의 분석: MS Office, 한글 등의 파일에 은닉된 데이터를 탐지하는 기술. 저장 형식 분석을 통해 탐지 가능. 

4) 파일 내부의 시간 정보 분석

파일 내부에 저장된 시간 정보 분석은 중요하게 활용될 수 있음. 

 

제 7절 기타 분석 기술

• 일관성 분석: 어떤 결과가 발생하려면 반드시 그보다 앞서서 원인이 존재해야 한다는 사실을 기반으로 함. 
• 연관 관계 분석: 서로 다른 이벤트 사이의 연관 관계를 밝히는 분석 방법임.