[7장]디지털 증거 분석 기술

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.

이상진, 「디지털 포렌식 개론」, 이룬, 2015

---

목차

1. 파일 복구

2. 검색 기술

3. 타임라인 분석

4. 시스템 사용 흔적 분석

5. 스마트폰 사용 흔적 분석

6. 안티 포렌식 기술과 대응

7. 기타 분석 기술

---

1. 파일 복구

디지털 포렌식 분석을 위해서는 삭제된 파일의 복구가 선행되어야 한다. 대부분의 운영체제는 파일을 삭제하면, 삭제했다는 표시만 하고 실제로 해당 파일은 그대로 남겨둔다. 즉, 파일 A가 삭제되면 그 파일의 데이터가 그대로 유지된 채 미할당 영역이라 표시하는 것이다.

해당 영역이 덮어 써지지 않으면 파일 복구 도구를 이용하여 복구할 수 있다. 파일 복구는 파일 시스템에서 미할당 영역을 추출하고 데이터가 존재하면, 해당 데이터를 해석하여 그 부분을 새로운 파일로 생성하는 방식으로 동작한다.

 

복구 도구 예시 : RecoverMyFiles

 

2. 검색 기술

1) 키워드 검색

사건과 관련된 키워드를 선정하여 파일 또는 저장 매체 전체를 대상으로 검색하는 것을 말한다. 이때 텍스트 인코딩, 대/소문자 등의 사항을 고려해야 한다.

키워드 검색을 위해 정규 표현식을 사용한다. 정규 표현식은 널리 사용되고 있지만, 표준화된 정규 표현 문법은 존재하지 않는다. 따라서 GREP, EGREP / vi, Emacs 등의 각 도구 별로 문법이 다를 수 있다. 하지만 모든 표현식은 같은 원리를 가지고 있기 때문에 기본적인 원리를 이해하면 다른 표현식 또한 쉽게 습득할 수 있다.

 

2) 해쉬 검색

파일명 또는 파일의 해쉬 값을 이용하며 저장 매체 내에서 특정 파일을 검색하는 것을 해쉬 검색이라 한다.

 

참조 데이터 세트(Reference Data Set) : 잘 알려진 파일들의 해쉬 값을 모아놓은 것을 말한다.참조 데이터 세트를 이용하면 각 파일별 해쉬 값을 계산했을 때 일치된 해쉬 값이 존재할 경우, 이를 조사 대상에서 제외시킴으로써 분석 대상을 축소할 수 있다.

대다수의 디지털 포렌식 전문 도구에서는 참조 데이터 세트를 이용해서 파일 검색을 할 수 있는 기능을 제공한다.

 

참조 데이터 세트 예시 : 

NSRL(National Software Reference Library), RDS - 세계적으로 많이 사용되는 소프트웨어의 해쉬 세트를 포함하고 있다.

DF RDS(Reference Data Set) - 국내에서 사용되는 소프트웨어에 대한 해쉬 세트이다.

 

3. 타임라인 분석

다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인(Timeline)을 구성함으로써 시스템 사용자의 행위를 추적할 수 있다.

• Encase의 타임라인 보기 기능 : 파일 시스템에 저장되어 있는 시간 정보가 연/월/일 등으로 분류되어 가시적으로 출력된다. 이 기능을 활용해서 시스템이 사용된 시간대를 알아내거나 특정 시점에서부터 시스템 사용자의 행위를 추적할 수 있다.
• Log2TimeLine : 시스템에서 시간 정보를 동반한 데이터를 종합적으로 분석하여, 시간 흐름에 따른 데이터의 내용을 효율적으로 확인할 수 있게 하는 도구이다.

4. 시스템 사용 흔적 분석

1) 시스템 아티팩트

포렌식 아티팩트 : 디지털 포렌식 조사에 도움이 되는 정보를 포함하고 있는 운영체제의 사용 흔적들을 말한다.

 

2) 시스템 아티팩트의 분류

① 시스템 및 사용자 정보

시스템의 종류에 따라 조사 대상이 되는 아티팩트의 유형이 달라지며, 시스템의 종류에 따라 조사 대상이 되는 아티팩트의 유형이 달라진다.

따라서 시스템을 조사할 때, 시스템이 가지는 기본적인 정보와 사용자 계정에 관한 정보를 우선적으로 획득할 필요가 있다.

 

윈도우 :

• 시스템 및 사용자 정보 - 레지스트리
• 이벤트로그 - 사용자의 로그온, 로그오프 정보

② 프로그램 설치 및 실행 흔적

프로그램을 설치했거나 실행한 흔적은 디지털 포렌식 조사 전반에 걸쳐서 중요한 정보를 제공한다.

윈도우 : 레지스트리, 이벤트로그, 프리패치, 아이콘캐시, 점프리스트, 시스템 로그 등에 실행 파일의 사용 흔적이 존재한다.

 

③ 외장장치 연결 흔적

외장 장치 : USB와 같은 소형 외장 장치 ~ 외장 하드디스크라이브와 같은 대용량 외장 장치 모두를 말한다.

운영체제는 외장 장치 사용의 편리성을 높이기 위해 외장 장치 연결에 관한 기본적인 정보를 관리한다. 연결 흔적이 나타난다면 해당 장치를 통한 정보유출의 가능성을 의심할 수 있고, 장치를 악성코드의 유입 지점 등으로 추측할 수 있다.

 

윈도우 : 바로가기 파일, 레지스트리, 이벤트로그의 조사를 통해 부분적으로 획득 가능

 

④ 웹, 네트워크 연결 흔적 

네트워크의 연결 흔적과 웹브라우저의 사용 흔적 : 악성코드의 유입이나 정보 유출 경로로 의심될 수 있다. 이외에도 검색 기록이나 자주 방문하는 웹사이트 등을 통해 사용자의 최근 관심사를 파악할 수 있다.

 

5. 스마트폰 사용 흔적 분석

1) 스마트폰 데이터

스마트폰 조사 시, 운영체제가 생성하는 시스템 로그 데이터와 사용자가 사용하는 애플리케이션의 로그 데이터를 분석해야 한다.

운영체제는 시스템과 애플리케이션의 구동, 사용흔적을 로그로 저장한다.

 

주요 수집 대상 : 플래시 메모리 이미지, 이미지 파일 내부에서 추출한시스템 및 애플리케이션 로그 파일, 멀티미디어 데이터

수집한 데이터로는 파일 시스템, 시스템, 애플리케이션, 멀티미디어 데이터 분석을 수행한다.

 

2) 스마트폰 데이터 분류

① 파일 시스템 정보 :

플래시 메모리 이미지 파일을 통해 분석한다.안드로이드 - Ext4 / 아이폰 - HFS+ / 이미지 파일 분석 도구 - TSK, Autopsy, EnCase, FTK 등

 

파일 시스템 분석을 통해 파일 시스템의 생성 시간과 실제 플래시 메모리 내부에 존재하는 모든 폴더와 파일의 목록과 메타 데이터(이름, 생성/수정 시간 등)들을 확인할 수 있다.Ext4의 경우, 삭제된 폴더와 파일 목록을 확인하고 이를 복구할 수도 있다.

 

② 기본 시스템 정보 : 주로 텍스트 형태의 로그 파일로 존재한다. 해당 파일 분석을 통해 하드웨어, 소프트웨어 정보를 확인할 수 있다. 안드로이드는 접속한 와이파이 정보, 디바이스 초기화를 시행한 흔적 등도 확인할 수 있다.

 

③ 애플리케이션 사용 정보

SQLite 데이터베이스 파일 : 데이터를 저장XML, Plist 파일 : 사용자의 설정 정보(자동 로그인 설정, 자동 업데이트 등)를 저장

 

SQLite 데이터베이스 파일들 분석 시, 사용자의 타임라인 분석, 사용자가 많이 사용하는 앱 종류, 생활 패턴, 관심사, 사용자 관계 등을 분석할 수 있다.

 

④ 멀티미디어 데이터 정보

멀티미디어 데이터 : 사진, 동영상, 음성녹음 등의 파일

 

컴퓨터에서 멀티미디어 편집 프로그램을 사용하여 멀티미디어 데이터를 조작/변조하는 경우, 메타데이터 영역에 사용된 프로그램의 시그니처 정보가 저장되므로 이것을 활용하여 조작/변조 여부를 확인하는데 사용할 수 있다.

 

6. 안티 포렌식 기술과 대응

안티 포렌식(Anti Forensics) : 포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동이다. 위/변조, 삭제, 암호화, 은닉 등이 대표적이다.

 

1) 안티 포렌식 기술

① 데이터 완전 삭제

데이터 삭제 : 운영체제에서 제공하는 기능을 사용하여 삭제하는 경우 / 완전 삭제전용 소프트웨어를 이용하여 삭제하는 경우

전자는 미할당 영역에 데이터를 그대로 남겨 놓는 경우가 많다. 그러나 후자는 미할당 영역의 데이터까지 덮어쓰게 되므로 논리적으로 데이터를 복구하는 것이 불가능해진다.

 

② 데이터 은닉

저장 장치나 파일 내부의 구조를 분석하여 사용하지 않는 영역 이용 / 육안으로 판단하기 힘들도록 데이터를 교묘하게 변경하는 방법 이용

 

③ 데이터 암호화

 

2) 안티 포렌식 대응 기술

① 완전 삭제 도구 사용 흔적 조사

완전 삭제 도구의 복원은 불가능, 그러나 해당 도구가 사용된 흔적이 있으면 증거 인멸이 시도되었음을 추정할 수 있다.

 

완전 삭제 도구 사용 시, 메타 데이터의 삭제된 영역을 0이나 임의 값 혹은 특정 문자열로 채우는 경우가 있다. 이러한 특징을 이용해 메타 데이터의 사용되지 않는 영역에서 특이점을 확인할 수 있다.

 

② 패스워드 검색

패스워드 검색 방법 : 사회공학 기법, 사전 공격(Dictionary Attack), 전수조사 등

 

③ 심층암호분석(Steganalysis)

멀티 미디어 파일 분석 : 영상 분석, 색상 분석, 통계 분석 등을 사용 -> 은닉 여부 탐지

문서 파일 분석 : 저장 형식 분석을 통해 탐지

 

④ 파일 내부의 시간 정보 분석

파일 시스템 상에 저장되는 시간 정보는 변조가 용이하다. 그러나 응용 프로그램에 의해 파일 내부에 저장되는 시간 정보는 해당 파일의 저장 형식을 알지 못하면 변경하기 어렵다. 이를 이용해서 비교할 수 있다.

 

7. 기타 분석 기술

일관성(Consistency) 분석 : 시간의 연속성을 이용, 어떤 결과에는 반드시 원인이 존재한다는 점을 이용해 일관성 분석을 할 수 있다.

연관 관계 분석 : 서로 다른 이벤트 사이의 연관 관계를 밝히는 분석 방법이다. 통계, 마이닝 등의 기법을 사용한다.