'정보보호 포렌식'에 해당하는 글 4건

디지털 증거 분석을 위한 포렌식

1. 개요

IT의 발달로 정보화 사회에서 생활하고 있는 우리는 많은 정보를 컴퓨터에 저장하고 활용한다. 또한 인터넷을 이용한 전자 상거래 및 금융 서비스를 제공 받고 있다. 다양한 서비스와 컴퓨터의 활용도가 높은 사회에서 이를 악용하는 사례가 발생하고 있다. 이러한 악용의 경우를 우리는 사이버 범죄라고 부른다. 실생활에서의 범죄가 발생하면 범죄에 사용된 증거를 수집하여 범행 행위를 입증하고 범인을 찾아낸다. 컴퓨터를 활용한 사이버 범죄의 경우에도 동일하게 증거를 확보하고 범죄 행위를 입증하여 범인을 체포할 수 있는 방안이 필요하다. 그러므로 컴퓨터에서 증거를 확보하는 연구 분야로 포렌식 분야가 발전하고 있다.

포렌식은 1991 International Association of Computer Specialists에서 처음으로 사용되었다. 국내에서는 포렌식 분야가 널리 알려지지 않았으나 정보보호 기술로는 학계 및 산업계가 연구를 진행하여 왔다. 현재 국내에는 사이버 포렌식 전문가 협회가 있으며 협회에서는 매번 포렌식 전문가 과정을 통해 인력을 배출하고 있다. 포렌식의 의미는 범죄에 사용된 컴퓨터나 범죄 행위를 한 컴퓨터로부터 디지털 정보를 수집하는 것을 말한다. 그러나 컴퓨터에서 압수되는 디지털 증거물은 생성/복사/변경/삭제가 용이한 특징을 가지고 있다. 그러므로 증거를 보관하거나 획득하는데 있어 특별한 절차와 방법들이 요구된다.

- 디지털 증거물의 삭제 및 위조/변조 용이: 디지털 증거물은 압수하기 이전에 삭제 및 위/변조를 하는 경우 이를 복구하거나 위조 및 변조되었다는 것을 확인할 수 있어야 한다. 또한 파일의 확장자 등을 변경한 경우를 찾아 다시 복구 할 수 있어야 한다.

- 디지털 증거물의 방대성: 디지털 증거물을 저장하는 하드웨어의 용량은 시간이 지나갈수록 계속 커져간다. 이러한 디지털 증거물을 검색 도구 없이 하나 하나 확인하는 것은 어렵다고 본다. 검색을 통해 혹은 특정한 파일만을 찾아내는 기술을 적용할 수 있다.

- 컴퓨터의 휘발성 메모리:   컴퓨터에는 휘발성 메모리를 사용하는데 컴퓨터의 전원이 꺼지면 메모리의 내용이 사라진다. 그러므로 휘발성 메모리의 내용이 사라지기 전에 수집하는 방안이 필요하다. 하나의 방안으로는 범죄 대상의 컴퓨터 화면이나 압수 당시의 실행되는 프로세스를 검출하여 증거를 확보해야 한다.

본 고에서는 포렌식에 대하여 2장에서는 사이버 범죄와 포렌식에 대해 알아보고 3장에서 증거 수집 절차, 4장에서 기술의 동향에 대하여 논의하며 마지막으로 포렌식의 미래에 대하여 언급한다.

2. 사이버 범죄와 포렌식

사이버 범죄는 2005 3월에 발표된 사이버 범죄 국내외 동향 및 방지를 위한 정책적 개선방안이라는 문서에서 정보 통신망을 통하여 전기통신 설비와 컴퓨터 및 컴퓨터를 활용하는 과정에서 발생하는 범죄라고 정의되어 있다. 이는 유무선 네트워크로 연결한 정보 통신망을 통해서 다양한 범죄 행위를 말하는 것이다.

경찰청의 자료에 따르면 (그림 1)과 같이 1997 126건에서 2003 51,722건으로 급격한 증가 및 검거 현황을 보여주고 있다. 이와 같은 사이버 범죄의 증가에 따른 증거 수집의 필요성 또한 증가한다. 이러한 사이버 범죄 유형으로는 개인 정보의 도용으로 사용자의 정보를 제 3자가 이용하거나 데이터 베이스에 불법적으로 접근해서 정보를 빼내는 행위가 있으며, 악성 프로그램과 스파이웨어를 유포하여 불특정 컴퓨터의 정보를 획득하거나 악용하는 사례도 있다. 최근에는 인터넷 게임의 아이템을 이용한 사기나 절도가 빈번하게 발생하며, 불법 전자상거래 사이트를 구성하여 상품의 금액만을 챙기는 경우도 있다. 이외에 컴퓨터를 이용한 이중 장부를 저장하거나 다른 사람의 약점으로 이용할 수 있는 음란 동영상, 문서 등을 불법적으로 가지고 있을 수 있다.

이러한 범죄에 있어 데이터를 수집하고 범죄의 증거를 확보하는 기술을 포렌식이라 하며, 컴퓨터 범죄의 증거는 다음과 같이 분류할 수 있다.

- 디지털 증거: 범죄 사건과 관련된 정보 중에 디지털 형태로 저장된 것

- 데이터 객체: 범죄 사건과 관련된 정보 중에 물리적 항목과 관련된 것

- 물리적 항목: 디지털 정보를 저장하고 있거나 디지털 정보를 전송하는 물리적 매체

디지털 증거는 원본 디지털 증거와 사본 디지털 증거로 분류될 수 있으며, 원본과 사본은 정확히 같아야 한다. 여기서 증거로 제출되는 데이터는 내용에 오류가 없고, 압류된 이후 데이터에 변경이 가해지지 않았다는 것을 증명하여야 한다. 그렇지 않으면 수집된 증거는 법정에서의 증거로써 채택되지 않는다. 그러므로 디지털 증거에 관해서는 다음과 같은 원칙이 적용되어야 한다.

- 원본 증거는 증거 발생 당시의 상황과 가능한 동일한 상태로 보존

- 원본 데이터와 동일한 사본 데이터를 생성하여 사본 데이터로 증거를 조사하고 원본 데이터의 무결성을 제공

- 조사를 위해 사본 데이터를 만드는 경우 바이러스나 이전의 다른 데이터가 없어야 함

포렌식에서 수집된 데이터는 법정에서의 증거로써 효력을 발휘하기 위해서는 데이터의 특성을 잘 알아 안전하게 다루어야 한다. 포렌식의 분류로는 (그림 2)와 같이 나눌 수 있다. 데이터 포렌식과 시스템 포렌식을 나누는 기준이 모호하지만 시스템에서 확인할 수 있는 증거는 시스템 포렌식으로 분류하였고, 데이터로 저장되거나 활용되는 것은 데이터 포렌식으로 분류하였다.

3. 포렌식의 절차

포렌식에서 증거를 처리하는 절차는 증거물을 획득하고 이를 분석한 후에 보관을 한다. 증거물 보고서의 경우 증거물과 같이 제시되어야 하며, 각각의 증거물에는 꼬리표를 붙여 일련의 과정에 문제가 없음을 증명하여야 한다. 다음의 내용에서 각각의 단계를 자세히 알아본다.

. 증거물 획득

증거물 획득에는 범죄에 사용된 대상 컴퓨터를 압수하여 원본 데이터에서 사본 데이터를 생성하거나 휘발성 메모리의 내용을 저장, 백업 데이터 찾기 등 다양한 행위를 포함하고 있다. 증거물을 획득하는 과정에서 실수로 증거물을 훼손하여서는 안된다. 간단한 예로 파일의 경우 클릭으로 인해서 파일의 마지막 접근 시간이 변경되면 사건 당시의 문서가 작성되어 있다는 것을 증명하기 어려워진다. 그러므로 증거물의 획득 과정에서는 원본 데이터의 무결성을 유지하기 위해서 데이터 이미징의 절차나 범죄에서 사용된 컴퓨터의 시간 확인 및 모니터 화면 사진, 실행 중인 프로세스 확인 등의 과정이 필요하다.

. 증거물 분석

획득한 증거물에 대한 분석 단계로써 분석에서는 다양한 기법을 활용한다. 일반적으로 포렌식에 사용되는 프로그램들은 증거물 획득 및 분석을 제공하고 있다. 분석을 하기 위해 우선 획득 과정에서 복사한 이미징을 이용하여 파일을 확인하다. 확인 과정에서 범죄 증거를 발견하면 파일의 확인 과정이 어떻게 되었는지 문서화하고 원본의 데이터는 직접 건드리지 않았으므로 원본 데이터의 무결성을 제공할 수 있다. 즉 사본 데이터의 파일은 실행 시간이 변경되었지만 원본의 파일은 실행 시간이 변경되지 않았으며 이전부터 범죄자의 컴퓨터에 파일이 존재하고 있다는 것을 보여 줄 수 있다. 이러한 분석에는 범죄자의 삭제 파일 복구, 은닉 및 암호화되어 있는 데이터 찾기 등이 포함되어 있다.

. 증거물 보관

증거물로 채택되었다면 증거물의 무결성을 제공하며 보관 관리하여야 한다. 일반 범죄 즉 사회에서 발생하는 경우에도 증거물의 보관 관리에서 오염으로 인해 증거의 효력이 발생하지 못하는 경우가 있듯이 디지털 증거물도 보관 도중 물리적으로 훼손이 되거나 바이러스에 의한 파괴, 혹은 무결성을 제공하지 못하여 조작의 의심 등을 받을 수 있는 경우가 발생할 수 있다. 그러므로 증거물의 보관을 위해 운반의 경우 충격이나 물리적인 공격에 안전한 케이스 혹은 보관 장소를 가지고 있어야 한다.

. 보고서

증거물의 획득, 분석 및 보관까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화하여야 한다. 이러한 문서화 작업은 증거물의 획득 과정을 알 수 있도록 하여 증거물로 채택되었을 때 증거물로써 타당성을 제공해야 한다. 특히 증거 획득, 분석과정을 전문가가 검증할 수 있는 방안으로 증거가 조작되지 않은 것을 증명할 수 있어야 한다. 디지털 증거물은 생성이 용이하기 때문에 실수가 있는 경우 정당한 증거물임에도 불구하고 의심을 받을 수 있기 때문이다. 그러므로 일련의 과정이 명백히 알 수 있어야 하며, 3자의 전문가가 검증했을 때도 문제가 발생하지 않기 위해 문서화 작업은 꼭 필요하다고 할 수 있다.

위와 같은 과정을 거쳐 증거로 수집된 디지털 증거물은 법정에서 범죄의 사실을 증명하는데 유용하게 사용될 것이다. 다양한 정보가 저장되어 있는 컴퓨터의 데이터에서 범죄의 사실을 증명하는 증거를 찾기는 매우 힘들 수도 있다. 특히 범죄자가 컴퓨터에 대하여 해박한 지식을 가지고 있는 경우 자신의 범죄 행위를 은닉하기 위해 다양한 기법을 이용할 것이다. 포렌식을 연구하거나 교육을 받는 사람은 기본적인 컴퓨터의 이해와 폭넓은 사고, 그리고 증거로써의 역할을 할 수 있는 방안 등을 연구하여야 할 것이다.

4. 포렌식의 기술

포렌식은 컴퓨터에 대한 해박한 지식을 필요로 하며, 각종 응용 프로그램의 실행이나 결과물을 알고 있어야 한다. 왜냐하면 각각의 프로그램에 따라 만들어지는 파일들의 확장자가 틀리며 이를 구별할 수 있는 경우 증거물의 분석 과정에서 도움을 줄 수 있기 때문이다. 예를 들어 음란 저작물을 제작 유포하는 범죄자의 증거를 수집하기 위해서는 해당 컴퓨터의 동영상 파일들과 작업에 사용된 응용 프로그램을 알 수 있다면, 증거 수집 및 분석의 작업이 빠르게 진행될 수 있다. 또한 네트워크 서비스를 이용한 범죄의 경우 IP를 추적하거나 서버의 로그 기록으로 인해 언제, 어디서 접속을 하였고 어떠한 행위를 했는지 알 수 있다. 물론 자신의 행위를 남기지 않기 위해 흔적 지우기(로그 삭제) 등을 할 수 있다. 그러므로 포렌식을 위한 기술은 여러 분야에서 다양하게 사용되고 있는 보안 툴이나 분석 방안의 기술들을 활용할 수 있어야 하며, 범죄자들의 즐겨 사용하는 방식에 대한 연구가 진행되어 있어야 한다.

. 포렌식의 증거 수집 기술 방법

본 내용은 일부의 하드웨어의 특성과 기술에 대하여 언급하고 증거 수집 기술에 대해 논의 한다.

(1) 휘발성 메모리

컴퓨터의 경우 메모리가 휘발성과 비휘발성으로 나누어져 있다. 휘발성이라는 것은 컴퓨터 전원이 꺼지는 동시에 저장되어 있던 내용도 자동적으로 삭제되는 경우를 말하며 여기에 속하는 대표적인 것이 RAM이 되며 캐쉬, 메인 메모리와 레지스터들이다. 이러한 정보는 컴퓨터가 꺼지는 동시에 소멸됨으로 증거 획득 단계에서 범죄자의 컴퓨터가 켜져 있다면 함부로 꺼서는 안되다. 컴퓨터의 전원을 차단하기 이전에 메모리의 내용을 덤프하여 출력하거나 모니터 화면을 사진으로 찍어 증거를 확보한다. 응용 프로그램의 경우 프로세스를 확인하여 증거물 압수 당시에 어떠한 행위를 수행 중이였는지를 알 수 있어야 한다. 이러한 증거 확보 방안도 컴퓨터의 운영체제 영향을 받는다. 예를 들어 운영체제가 윈도 계열인 경우 실행 중인 프로세스가 활용하는 파일을 삭제할 수 없지만 유닉스의 계열인 경우 실행중이라고 하더라도 삭제가 가능하다.

(2) 삭제 및 변경 데이터 복구

범죄자는 자신의 파일을 삭제하거나 확장명을 속여 분석하는데 있어 혼란을 줄 수 있다 그러나 우리가 일반적으로 알고 있는 것과는 달리 삭제라고 해서 모든 데이터가 삭제되는 것은 아니다. 일반적인 경우의 삭제는 시스템에서 FAT(File Allocation Table), MFT(Master File Table), 기타 운영 체제에서 디스크의 파일 위치를 기록하기 위해서 사용하는 데이터 구조에서 항목 하나를 없애 연결을 하지 못하도록 하는 것이다. 그러므로 복구 프로그램을 실행시키면 이러한 항목을 복구하게 된다. 즉 파일 전체를 덮어 쓰기 이전까지의 정보는 복구할 수 있는 방안이 존재한다.

(3) 암호화 기술

암호화는 중요한 데이터를 안전하게 보관하기 위해서 사용하는 기술이다. 이와 같은 목적으로 범죄에 사용하는 파일에 암호를 이용하여 파일을 알아 볼 수 없도록 한다. 암호화는 응용 프로그램에서 제공하는 방식을 이용하거나 아니면 독립적인 암호화 프로그램을 사용할 수 있다. 하지만 이러한 프로그램은 암호키를 잃어버려 중요한 문서를 복구 못하는 경우를 대비하여 키를 복구할 수 있는 방안을 제공하고 있거나 전수 조사/사전 공격 등에 취약할 수 있다.

(4) 숨겨 놓은 파일 찾기

하드 디스크에는 구조상 외부 트랙 부분에 쓰지 않는 저장 공간을 가지고 있으며, 이러한 공간을 섹터 갭이라고 부르는데 일부 데이터 복구 프로그램은 이러한 섹터 갭의 데이터를 찾아내고 복구할 수 있다. 또한 파일이 저장되는 경우 맨 마지막 섹터의 크기보다 여분의 저장 파일 데이터가 작을 경우 DOS와 윈도는 시스템의 메모리 버퍼에서 가지고 온 랜덤 데이터로 나머지 공간을 채운다. 이러한 공간을 램 슬랙이라고 하는데 램 슬랙에는 작업 세션의 데이터가 저장되게 된다. 그러므로 모든 종류의 디스크에서는 슬랙이 나타남으로 포렌식 도구는 이러한 슬랙의 데이터를 찾을 수 있어야 한다.

(5) 임시 파일 데이터

임시 파일은 웹 캐시나 일부 응용 프로그램에서 활용하는 것으로써 웹 페이지를 빠르게 로딩하기 위해 사용되거나 응용 프로그램의 경우 비정상적으로 완료된 경우 복구하기 위해서 제공하는 것이다. 이러한 경우의 임시 파일들은 각각의 응용 프로그램이 지정한 디렉토리에 저장되며, 삭제를 하지 않는 경우가 있다. 기본적으로 임시 파일들은 작업이 완료되면 삭제되거나 컴퓨터의 재부팅에서 삭제되도록 되어 있어야 하나 삭제되지 않는 경우도 있다. 그러므로 임시 파일을 확인하는 과정에서 범죄자가 자주 접속한 사이트 혹은 작성중에 있는 증거들을 확보할 수 있다.

(6) 백업 데이터

일반적으로 컴퓨터를 활용하는 사람들은 자신의 경험에 의해 원본 데이터 하나만을 유지하는 경우 훼손이나 바이러스에 의해 낭패를 본적이 있을 것이다. 그러므로 데이터를 주기적으로 백업하는 습관이 있다. 범죄자 또한 자신의 데이터가 중요한 경우 백업 데이터를 유지할 것이다. 범죄자가 사용하는 컴퓨터에 CD 혹은 DVD 기록장치가 존재하거나 압축 파일의 저장 디스켓이 존재한다면 백업 데이터의 존재를 의심하여야 할 것이다. 백업 데이터를 찾아 보는 것도 중요한 증거 획득의 방안이 된다.

(7) 컴퓨터 시간과 날짜

파일의 생성 또는 수정 시간과 날짜는 범죄 사건에서 중요한 문제가 될 수 있다. 그러나 파일의 시간과 날짜 정보는 컴퓨터의 시스템 시간에 따라 설정된다. 그러므로 컴퓨터를 압수하거나 불법적인 경우 그 시스템의 시간에 대하여 확인을 해두어야 하며 그것에 따른 정보를 사진을 찍거나 프린트하여 보관을 해야 한다. 이와 같은 정보를 저장하여야지만 파일을 열어 보았을 때 발생하는 무결성 문제를 해결할 수 있는 하나의 방안이 될 수 있다.

이와 같이 컴퓨터를 이용한 범죄의 경우 증거를 획득하기 위해서 다양한 방안에 대하여 생각하고 컴퓨터의 기본 지식을 바탕으로 검사를 실시하여야 한다.

. 포렌식에 활용되는 도구

포렌식에 사용되는 도구들은 기본적으로 데이터의 복구 및 무결성을 제공하며, 검색을 할 수 있어야 한다. 이에 특수한 목적을 위해 활용되는 특별한 도구들도 필요로 한다. 로그를 분석하는데 특징을 가지고 있거나 복구만을 전문적으로 하는 도구들도 제공되고 있다. 활용되는 도구에 대해서 국내와 외국의 사례를 알아본다.

(1) 국내 컴퓨터 포렌식 도구

국내 포렌식 도구는 외국 제품에 의존하고 있으나 국내 회사의 개발 제품으로 다음과 같은 종류가 있다.

Ø 검찰청의 D.E.A.S

현재 검찰청에서 사용되고 있는 D.E.A.S(Digital Evidence Analysis System For Computer Forensics)는 디지털 증거의 획득 및 무결성 검증 기능을 제공하며, 파일 복구 기능과 파일 슬랙에 대한 검색, 변조 확장자 검색, 암호 파일 검색 등을 제공하고 있다. 이러한 도구를 개발하게 된 것은 컴퓨터 수사에서 증거를 확보하는데 도움을 줄 수 있으며, 컴퓨터를 압수 수색하는데 있어 전문 분석 프로그램이 필요하기 때문이다.

버전 3.0에서는 무결성 검증을 위해 MD5 hash CRC Check를 제공하며 이미지의 압축 및 분할 저장을 지원하고 있다.

Ø Final data사의 Final Forensics

국내의 데이터 복구 전문 소프트웨어로써 한글 지원하며 삭제/유실/손상 파일을 복구할 수 있다. 검색 능력을 제공하며, 원본 이미지의 무결성 검증을 위해 해시 값을 제공하고 있으며 검색에 대한 결과를 디렉토리 구조의 문서를 작성할 수 있다. 이메일에 대한 복구 및 분석을 제공해주고 있다. Final data사는 데이터 복구 제품을 개발하는 전문 업체로써 데이터 복구에 대한 제품과 포렌식에 관련된 제품을 출시하고 있다.

Ø A3-AutoWatch

A3Security사에 개발한 것으로 로그 분석을 제공하여 침입 시도 발견 및 내부 사용자의 이상 패턴을 감시하여 정보를 제공하여 주는 것으로 법적인 유효성을 인정 받는 증거자료를 만들어 제공해 주는 특성을 가지고 있다. 또한 분석에 있어 인공지능 알고리즘을 이용하여 통계 분석에 의존하는 방식에서 벗어나 있다. 로그 분석은 포렌식에 있어 침입을 탐지하는 증거 자료로 충분한 활용 가치가 있으며 로그 분석을 통해서 사이트 내에서 한 행위를 알 수 있다. 현재 소개되고 있는 A3-AutoWatch는 윈도 NT 4.0/2000에서 구동되는 제품이다.

(2) 외국 포렌식 도구

외국의 디스크 이미징 소프트웨어로는 다음의 제품을 활용하고 있다.

Ø SafeBack

SafeBack 1990년에 처음 시장에 출시되었으며 FBI IRS의 범죄 수사부에서 포렌식 조사와 증거 수집을 위해서 사용하였다. 이 프로그램은 모든 크기의 개별 파티션 또는 전체 디스크를 복제할 수 있다. 그리고 이미지 파일은 SCSI 테이프 또는 다른 저장 매체로 전송될 수 있다. 무결성을 제공하기 위해 CRC 함수를 제공하며 소프트웨어의 감사 정보를 위해 날짜와 시간 정보를 포함하고 있다. SafeBack DOS 기반의 프로그램이며 인텔 호환 시스템에서 DOS, 윈도, UNIX 디스크를 복제할 수 있다. 특징으로 이미지를 생성할 때는 어떤 압축이나 변형도 하지 않는다. 현재는 3.0버전까지 출시되어 있다.

Ø Encase

문자 기반 프로그램 SafeBack과는 달리 Encase는 포렌식 기술자들이 쉽게 사용할 수 있는 친숙한 그래픽 인터페이스를 제공한다. 이 제품은 증거 미리 보기, 특정 드라이브 복사, 데이터 검색과 분석 기능을 제공한다. 디스크에 있는 내용 중 문서, 압축 파일, e-Mail 첨부 파일은 자동으로 검색되고 분석되며 레지스트리와 그래픽 뷰어도 포함되어 있다. 또한 다양한 플랫폼과 파일 시스템을 지원하며 조사를 하는 중에는 타임 스탬프와 기타의 데이터가 변경되지 않는다.

Ø ProDiscover

Technology Pathways 포렌식팀에서 만든 이 윈도 프로그램은 포렌식 워크스테이션에 압축된 형태의 비트스트림 사본을 생성한다. 이 프로그램은 디스크의 쓰레기 공간으로부터 삭제된 파일 복구, 윈도 NT/2000의 데이터 스트림에서 숨겨진 데이터 검색, UNIX  dd 유틸리티로 생성된 이미지 분석, 리포트 생성 기능을 제공한다.

5. 포렌식의 미래

현재의 악의적인 소프트웨어는 스크립 키드를 비롯해서 특정한 실력이 있는 사람만이 구하는 것이 아니라 일정한 검색이나 소프트웨어를 구할 수 있으면 누구나 사이버 범죄의 유혹에 빠질 수 있다. 그러나 이와 같은 범죄가 발생하였을 경우 증거물을 확보하는데 있어 전문 기술력을 필요로 하고 있다. 왜냐하면 컴퓨터의 증거를 알아 볼 수 없는 수사관들은 증거를 확보하지 못하고 넘어가는 경우가 발생하기 때문이다. 이에 포렌식 분석 도구를 활용하고 컴퓨터의 기본 지식을 바탕으로 한 전문가가 범죄에 대해서 많은 정보 수집과 분석을 통해 향후 동일한 범죄에 대해서는 대처 방안을 만들 수 있다. 그리고 포렌식에는 다양한 기술을 통합적으로 제공되어야 한다. 포렌식에서는 데이터 복구만 된다고 해서 작업이 완료되는 것은 아니다. 복구된 데이터로부터 범죄 행위를 알 수 있어야 하며, 관리의 단계를 거쳐 법정에 제출되기 전까지 무결성이 지켜져야 한다. 또한 각각의 일련의 과정이 제3자의 전문가로부터 타당하다는 것을 검증 받을 수 있어야 한다. 이와 같이 다양한 기술이 조합되어 있는 포렌식은 향후 시장성이나 발달에 대하여 매우 긍정적인 방향을 가지고 있다고 사료된다. 포렌식의 연구가 발달하면 민간 기업의 경우 로그 분석 시스템이나, 데이터 복구 시스템, 해킹 대응 시스템들의 부가적인 발전도 가지고 올 수 있을 것이다. 포렌식의 기술연구가 앞으로 발전하여 우리 나라의 소프트웨어 시장에서 하나의 역할을 차지할 것으로 기대된다.

<참고 문헌>

[1]    이도영, 김일곤, 법적 증거능력 및 증명력을 위한 컴퓨터 포렌식에 관한 연구, 한국정보처리학회 춘계학술발표대회 논문집, 11, 1, 2004, pp.1149-1152.

[2]    황현욱, 김민수, 노봉남, 임재명, 컴퓨터 포렌식스: 시스템 포렌식스 동향과 기술, 한국정보보호학회지, 13, 4, 2003, pp.1-13.

[3]    정용욱, 컴퓨터 포렌식: 정보 데이터의 인식, 기술보고서, 2003.

[4]    한국정보보호센터, 컴퓨터 포렌식 최신 기술 세미나 발표, 발표 자료, 2004.

[5]    한국정보문화진흥원, 사이버범죄 국내외 동향 및 방지를 위한 정책적 개선 방안, 연구 보고, 2005, 3.

[6]    강유, 사이버 범죄 소탕작전 컴퓨터 포렌식 핸드북

[7]    A3Security, A3-AutoWathch, http://www.a3sc.co.kr

[8]    Encase, Encase, http://www.security.org.sg

[9]    NTI, SafeBack3.0, http://www.forensics-intl.com

[10]  Thchpathways, ProDiscover, http://techpathways.com

[11]  사이버 포렌식 협회, http://cfpa.or.kr

[12]  파이널데이터사, http://www.finaldata.co.kr

 


'정보보호 포렌식' 카테고리의 다른 글

디지털 증거 분석을 위한 포렌식  (0) 2010.04.07
ISMS 보안 인증 체계  (0) 2010.04.01
포렌직 수사  (0) 2010.03.13
장애 너머에 있는 희망  (0) 2009.10.13

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
정보보호관리체계에 관심이 있는 분들은 한번식 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 한번씩 읽어 보시기 바랍니다.

세부적으로 읽어보면 ISMS에서 일 하시는 분들은 비슷하다는 생각을 많이 하게 될 것 같은데 한번 지켜 봐야겠죠.

저두 ISMS를 준비를 하고 있는데 앞으로 많은 활성화가 될 듯 하니 참고 하시면 좋을 듯 합니다.

'정보보호 포렌식' 카테고리의 다른 글

디지털 증거 분석을 위한 포렌식  (0) 2010.04.07
ISMS 보안 인증 체계  (0) 2010.04.01
포렌직 수사  (0) 2010.03.13
장애 너머에 있는 희망  (0) 2009.10.13

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret


사이버 범죄는 2005년 3월에 발표된 " 사이버 범죄 국내외 동향 및 방지를 위한 정책적 개선방안" 이라는 문서에서 정보 통신망을 통하여 전기통신 설비와 컴퓨터 및 컴퓨터를 활용하는 과정에서 발생하는 범죄라고 정의되어 있다. 이는 유.무선 네트워크로 연결한 정보 통신망을 통해서 다양한 범죄 행위를 말하는 것이다.
경찰청의 자료에 따르면 1997년 126건에서 2003년 51,722건으로 급격한 증가 및 검거 현황을 보여주고 있다.
이와 같은 사이버 범죄의 증가에 따른 증거 수집의 필요성 또한 증가한다. 이러한 사이버 범죄 유형으로는 개인 정보의 도용으로 사용자의 정보를 제 3자가 이용하거나 데이터 베이스에 불법적으로 접근해서 정보를 빼내는 행위가 있으며, 악성 프로그램과 스파이웨어를 유포하여 불특정 컴퓨터의 정보를 획득하거나 악용하는 사례도 있다. 최근에는 인터넷 게임의 아이템을 이용한 사기나 절도가 빈번하게 발생하며, 불법 전자상거래 사이트를 구성하여 상품의 금액만을 챙기는 경우도 있다. 이외에 컴퓨터를 이용한 이중장부를 저장하거나 다른 사람의 약점으로 이용할 수 있는 음란 동영상, 문서 등을 불법적으로 가지고 있을 수도 있다.

이러한 범죄에 있어 데이터를 수집하고 범죄의 증거를 확보하는 기술을 포렌식이라 하며, 컴퓨터 범죄의 증거나 다음과 같이 분류할 수 있다.
- 디지털 증거 : 범죄 사건과 관련된 정보 중에 디지털 형태로 저장된 것
- 데이터 객체 : 범죄 사건과 관련된 정보 중에 물리적 항목과 관련된 것
- 물리적 항목 : 디지털 정보를 저장하고 있거나 디지털 정보를 전송하는 물리적 매체
디지털 증거는 원본 디지털 증거와 사본 디지털 증거로 분류될 수 있으며, 원본과 사본은 정확히 같아야 한다. 여기서 증거로 제출되는 데이터는 내용에 오류가 없고, 압류된 이후 데이터에 변경이 가해지지 않았다는 것을 증명하여야 한다. 그렇지 않으면 수집된 증거는 법정에서의 증거로써 채택되지 않는다. 그러므로 디지털 증거에 관해서는 다음과 같은 원칙이 적용되어야 한다.
- 원본 증거는 증거 발생 당시의 상황과 가능한 동일한 상태로 보존
- 원본 데이터와 동일한 사본 데이터를 생성하여 사본 데이터로 증거를 조사하고 원본 데이터의 무결성을 제공
- 조사를 위해 사본 데이터를 만드는 경우 바이러스나 이전의다른 데이터가 없어야 함.
포렌식에서 수집된 데이터는 법정에서의 증거로써 효력을 발휘하기 위해서는 데이터의 특성을 잘 알아 안전하게 다루어야 한다. 포렌식의 분류로는 (그림2)와 같이 나눌 수 있다. 데이터 포렌식과 시스템 포렌식을 나누는 기준이 모호하지만 시스템에서 확인할 수 있는 증거는 시스템 포렌식으로 분류하였고, 데이터로 저장되거나 활용되는 것은 데이터 포렌식으로 분류 하였다.

포렌식에서 증거를 처리하는 절차는 증겅물을 획득하고 이를 분석한 후에 보관을 한다. 증거물 보고서의 경우 증거물과 같이 제시되어야 하며, 각각의 증거물에는 꼬리표를 붙여 일련의 과정에 문제가 없음을 증명하여야 한다. 다음의 내용에서 각각의 단계를 자세히 알아본다.
증거물 획득에는 범죄에 사용된 대상 컴퓨터를 압수하여 원본 데이터에서 사본 데이터를 생성하거나 휘발성 메모리의 내용을 저장, 백업 데이터 찾기 등 다양한 행위를 포함하고 있다. 증거물을 획득하는 과정에서 실수로증거물을 훼손 하여서는 안된다. 간단한 예로 파일의 경우 클릭으로 인해서 파일의 마지막 접근 시간이 변경되면 사건 당시의 문서가 작성되어 있다는 것을 증명하기 어려워진다. 그러므로 증거물의 획득 과정에서는 원본 데이터의 무결성을 유지하기 위해서 데이터 이미징의 절차나 범죄에서 사용된 컴퓨터의 시간 확인 및 모니터 화면 사진, 실행 중인 프로세스 확인 등의 과정이 필요하다.
획득한 증거물에 대한 분석 단계로써 분석에서는 다양한 기법을 활용한다. 일반적으로 페린식에 사용되는 프로그램들은 증거물 획득 및 분석을 제공하고 있다. 분석을 하기 위해 우선 획득과정에서 복사한 이미징을 이용하여 파일을 확인한다. 확인 과정에서 범죄 증거를 발견하면 파일의 확인 과정이 어떻게 되었는지 문서화 하고 원본의 데이터는 직접 건드리지 않았으므로 원본 데이터의 무결성을 제공 할 수 있다. 즉 사본 데이터의 파일은 실행 시간이 변경되었지만 원본의 파일은 실행 시간이 변경되지 않았으며 이전부터 범죄자의 컴퓨터에 파일이 존재하고 있다는 것을 보여 줄 수 있다. 이러한분석에는 범죄자의 삭제 파일 복구, 은닉 및 암호화 되어 있는 데이터 찾기 등이 포함되어 있다.
증거물로 채택되었다면 증거물의 무결성을 제공하며 보관 관리하여야 한다. 일반 범죄 즉 사회에서 발생하는 경우에도 증거물의 보관 관리에서 오염으로 인한 증거의 효력이 발생하지 못하는 경우가 있듯이 디지털 증거물도 보관 도중 물리적으로 훼손이 되거나 바이러스에 의한 파괴, 혹은 무결성을 제공하지 못하여 조작의 의심 등을 받을 수 있는 경우가 발생할 수 있다. 그러므로 증거물의 보관을 위해 운반의 경우 충격이나 물리적인 공격에 안전한 케이스 혹은 보관 장소를 가지고 있어야 한다.

증거물의 획득, 분석 및 보관까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화 하여야 한다. 이러한 문서화 작업은 증거물의 획득 과정을 알 수 있도록 하여 증거물로 채택되었을 때 증거물로써 타당성을 제공해야 한다. 특히 증거 획득, 분석과정을 전문가가 검증 할 수 있는 방안으로 증거가 조작되지 않은 것을 증명할 수 있어야 한다. 디지털 증거물은 생성이 용이하기 때문에 실수가 있는 경우 정당한 증거물임에도 불구하고 의심을 받을 수 있기 때문이다. 그러므로 일련의 과정이 명백히 알 수 있어야 하며, 제 3자의 전문가가 검증했을 때도 문제가 발생하지 않기 위해 문서화 작업은 꼭 필요하다고 할 수 있다.
위와 같은 과정을 거쳐 증거로 수집된 디지털 증거물은 법정에서 범죄의 사실을 증명하는데 유용하게 사용될 것이다.
다양한 정보가 저장되어 있는 컴퓨터의 데이터에서 범죄의 사실을 증명하는 증거를 찾기는 매우 힘들 수도 있다. 특히 범죄자가 컴퓨터에 대하여 해박한 지식을 가지고 있는 경우 자신의 범죄 행위를 은익하기 위해 다양한 기법을 이용할 것이다. 포렌식을 연구하거나 교육을 받는 사람은 기본적인 컴퓨터의 이해와 폭넓은 사고, 그리고 증거로써의 역할을 할 수 있는 방안 등을 연구하여야 할 것이다.
포렌식은 컴퓨터에 대한 해박한 지식을 필요로 하며 각종 응용 프로그램의 실행이나 결과물을 알고 있어야 한다. 왜냐하면 각각의 프로그램에 따라 만들어지는 파일들의 확장자가 틀리며 이를 구별할 수 있는 경우 증거물의 분석 과정에서 도움을 줄 수 있기 때문이다. 예를 들어 음락 자작물을 제작 유표하는 범죄자의 증거를 수집하기 위해서는 해당 컴퓨터의 동영상 파일들과 작업에 사용된 응용 프로그램을 알 수 있다면, 증거 수집 및 분석의 작업이 빠르게 진행 될 수 있다. 또한 네트워크 서비스를 이용한 범죄의 경우  IP를 추적하거나 서버의 로그 기록으로 인해 언제, 어디서 접속을 하였고 어떠한 행위를 했는지 알 수 있다. 물론 자신의 행위를 남기지 않기 위해 흔적 지우기(로그 삭제)등을 할 수 있다. 그러므로 포렌식을 위한 기술은 여러 분야에서 다양하게 사용되고 있는 보안 툴이나 분석 방안의 기술들을 활용할 수 있어야 하며, 범죄자들이 즐겨 사용하는 방식에 대한 연구가 진행 되어야 한다.




가. 포렌식의 증거 수집 기술 방법

1) 휘발성 메모리
컴퓨터의 경우 메모리가 휘발성과 비휘발성으로 나누어져 있다. 휘발성이라는 것은 컴퓨터 전원이 꺼지는 동시에 저장되어 있던 내용도 자동적으로 삭제되는 경우를 말하며 여기에 속하는 대표적인것이 RAM이 되며 캐쉬, 메인 메모리와 레지스터들이다. 이러한 정보는 컴퓨터가 꺼지는 동시에 소멸됨으로 증거 획득 단계에서 범죄자의 컴퓨터가 켜져 있다면 함로 꺼서는 안된다. 컴퓨터의 전원을 차단하기 이전에 메모리의 내용을 덤프하여 출력하거나 모니터 화면을 사진으로 찍어 증거를 확보한다. 으용 프로그램의 경우 프로세스를 확인하여 증거물 압수 당시에 어떠한 행위를 수행 중이였는지를 알 수 있어야 한다. 이러한 증거 확보 방안도 컴퓨터의 운영체제 영향을 받는다. 예를 들어 운영체제가 윈도 계열인 경우 실행 중인 프로세스가 활용하는 파일을 삭제할 수 없지만 유닉스의 계열인 경우 실행중이라고 하더라도 삭제가 가능하다.

2) 삭제 및 변경 데이터 복구
범죄자는 자신의 파일을 삭제하거나 확장명을 속여 분석하는데 있어 혼란을 줄 수 있다. 그러나 우리가 일반적으로 알고 있는 것과는 달리 삭제라고 해서 모든 데이터가 삭제되는 것은 아니다. 일반적인 경우의 삭제는 시스템에서 FAT(File Allocation Table), MFT(Master File Table) 기타 운영 체제에서 디스크의 파일 위치를 기록하기 위해서 사용하는 데이터 구조에서 항목 하나를 없애 연결을 하지 못하도록 하는 것이다. 그러므로 복구 프로그램을 실행시키면 이러한 항목을 복구하게된다. 즉 파일 전체를 덮어 쓰기 이전까지의 정보는 복구 할 수 있는 방안이 존재한다.

3) 휘발성 메모리
암호화는 중요한 데이터를 안전하게 보관하기 위해서 사용하는 기술이다. 이와 같은 목적으로 범죄에 사용하는 파일에 암호를 이용하여 파일을 알아 볼수 없도록 한다. 암호화는 응용 프로그램에서 제공하는 방식을 이용하거나 아니면 독립적인 암호화 프로그램을 사용할 수 있다. 하지만 이러한 프로그램은 암호키를 잃어 버려 중요한 문서를 복구 못하는 경우를 대비하여 키를 복구할 수 있는 방안을 제공하고 있거나 전수 조사/ 사전 공격 등에 취약할 수 있다.

4) 숨겨 놓은 파일 찾기
하드 디스크에는 구조상 외부 트랙 부분에 쓰지 않는 저장 공간을 가지고 있으며, 이러한 공간을 섹터 캡이라고 부르는데 일부 데이터 복구 프로그램은 이러한 섹터 갭의 데이터를 찾아 내고 복구할 수 있다. 또한 파일이 저장되는 경우 맨 마지막 섹터의 크기보다 여분의 저장 파일 데이터가 작을 경우 DOS와 윈도는 시스템의 메모리 버퍼에서 가지고 온 랜덤 데이터로 나머지 공간을 채운다. 이러한 공간을 램 슥랙이라고 하는데 램 슥랙에는 작업 세션의 데이터가 저장되게 된다. 그러므로 모든 종유의 디스크에서는 슬랙이 나타남으로 포렌식 도구는 이러한 슬랙의 데이터를 찾을 수 있어야 한다.

5) 임시 파일 데이터
임시 파일은 웹 케시나 일부 응용 프로그램에서 활용하는 것으로써 웹 페이지를 빠르게 로딩하기 위해 사용되거나 응용 프로그램의 경우 비정상적으로 완료된 경우 복구하기 위해서 제공하는 것이다. 이러한 경우의 임시 파일들은 각각의 응용 프로그램이 지정한 디렉토리에 저장되며, 삭제를 하지 않는 경우가 있다. 기본적으로 임시 파일들은 작업이 완료되면 삭제되거나 컴퓨터의 재 부팅에서 삭제되도록 되어 있어야 하나 삭제되지 않는 경우도 있다, 그러므로 임시 파일을 확인하는 과정에서 범죄자가 자주 접속한 사이트 혹은 작성중에 있는 증거들을 확보 할 수 있다.

6) 백업 데이터
일반적인 컴퓨터를 활용하는 사람들은 자신의 경험에 의해 원본 데이터 하나만을 유지하는 경우 훼손이나 바이러스에 의해 낭패를 본적이 있을 것이다. 그러므로 데이터를 주기적으로 백업하는 습관이 있다. 번죄자 또한 자신의 데이터가 중요한 경우 백업 데이터를 유지할 것이다. 범죄자가 사용하는 컴퓨터에 CD 혹은 DVD 기록장치가 존재하거나 압축 파일의 저장 디스켓이 존재한다면 백업 데이터의 존재를 의심하여야 할 것이다. 백업 데이터를 찾아 보는 것도 중요한 증거 획득의 방안이 된다.

7) 컴퓨터 시간과 날짜
파일의 생성 또는 수정 시간과 날짜는 범죄 사건에서 중요한 문제가 될 수 있다. 그러나 파일의 시간과 날짜 정보는 컴퓨터의 시스템 시간에 따라 설정된다. 그러므로 컴퓨터를 압수하거나 불법적인 경우 그 시스템의 시간에 대하여 확인을 해 두어야 하며. 그것에 따른 정보를 사진을 찍거나 프린트하여 보관을 해야 한다. 이와 같은 정보를 저장하여야지만 파일을 열어 보았을 때 발생하는 무결성 문제를 해결할 수 있는 하나의 방안이 될 수 있다.
이와 같이 컴퓨터를 이용한 범죄의 경우 증거를 획득하기 위해서 다양한 방안에 대하여 생각하고 컴퓨터의 기본 지식을 바탕으로 검사를 실시하여야 한다.



나. 포렌식에 활용되는 도구

포렌식에 사용되는 도구들은 기본적으로 데이터의 복구 및 무결성을 제공하며, 검색을 할 수 있어야 한다. 이에 특수한 목적을 위해 활용되는 특별한 도구들도 필요로 한다. 로그를 분석하는데 특징을 가지고 있거나 복구만을 전문적으로 하는 도구들도 제공되고 있다. 활용되는 도구에 대해서 국내와 외국의 사례를 보자.

(1) 국내 컴퓨터 포렌식 도구


국내 포렌식 도구는 외국 제품에 의존하고 있으나 국내 회사의 개발 제품으로 다음과 같은 종류가 있다.


검찰청의 D.E.A.S

현재 검찰청에서 사용되고 있는 D.E.A.S(Digital Evidence Analysis System for computer Forensics)는 디지털 증거의 획득 및 무결성 검증 기능을 제공하며, 파일 복구 기능과 파일 슬랙에 대한 검색, 변조 확장자 검색, 암호 파일 검색 등을 제공하고 있다. 이러한 도구를 개발하게 된 것은 컴퓨터 수사에서 증거를 확보하는데 도움을 줄 수 있으며, 컴퓨터를 압수 수색하는데 있어 전문 분석 프로그램이 필요하기 때문이다.
버젼 3.0에서는 무결성 검증을 위해 MD5 Hash 및 CRC Check 를 제공하며 이미지의 압축 및 분할 저장을 지원하고 있다.

Final data 사의 final forensics

국내의 데이터 복구 전문 소프트웨어로써 한글 지원하며 삭제/유실/손상 파일을 복구할 수 있다. 검색 능력을 제공하며, 원본 이미지의 무결성 검증을 위해 해시값을 제공하고 있으며 검색에 대한 결과를디렉토리 구조의 문서를 작성할 수 있다. 이메일에 대한 복구 및 분석을제공해 주고 있다. Final data사는 데이터 복구 제품을 개발하는 전문 업체로써 데이터 복구에 대한 제품과 포렌식에 관련된 제품을 출시 한다.





 

'정보보호 포렌식' 카테고리의 다른 글

디지털 증거 분석을 위한 포렌식  (0) 2010.04.07
ISMS 보안 인증 체계  (0) 2010.04.01
포렌직 수사  (0) 2010.03.13
장애 너머에 있는 희망  (0) 2009.10.13

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
살다 보면 좋은 일이 생기기도 하고,
어려운 난관에 봉착하기도 합니다.
흔히 장애를 만나면 피할 방법부터 생각하게 됩니다.
그러나 그 때마다 피할 생각만 해서는 안 됩니다.
장애를 넘어섰을 때 만날 수 있는 희망이 있기 때문입니다.

내가 정말 원하는 것이 무엇인지
내가 해야 하는 일이 무엇인지를 분명히 알고 있어야
장애를 만났을 때에도 좌절하지 않고 오히려 그를 기회 삼아
꿈을 향해 달려갈 수 있습니다.

‘지금은 힘이 들지만 나에게는 희망이 기다리고 있다.’라는
희망의 메시지를 자신의 뇌에 끊임없이 주길 바랍니다.

희망이 보이기 때문에 장애를 넘을 수 있는 것이 아니라
장애를 넘어섰을 때, 비로소 희망을 보게 되는 것입니다.
장애 너머 우리를 기다리고 있는 희망을 향해 달려가십시오.
희망은 언제나 우리를 그렇게 기다리고 있습니다.


출처 : http://kr.ilchi.brainworld.com/

'정보보호 포렌식' 카테고리의 다른 글

디지털 증거 분석을 위한 포렌식  (0) 2010.04.07
ISMS 보안 인증 체계  (0) 2010.04.01
포렌직 수사  (0) 2010.03.13
장애 너머에 있는 희망  (0) 2009.10.13

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret