반응형

디스크 포렌식은 물리적인 저장매체인 하드디스크, 플로피 디스크, 각종 보조기억 장치에서 디지털 증거를 수집하고 분석하는 포렌식 분야를 말하며, 포렌식의 여러 분 야에서 가장 발전되어 있는 분야이다. 디스크 포렌식에서는 디스크 이미지, 파일 복구, 암호복구, 암호복구 디렉터리 구조 출력, 파 일 및 문서 검색, 시계열 분석 등의 작업을 통하여 필요한 증거를 추출하고 나 복원한다. 각종 범죄나 기업에 관한 비리가 언론에 공개되어 압수수색이 예상되거나 디지털 증거에 관한 자료를 훼손하기 위하여 데이터를 삭제하거나 디지털 기기를 파손하였을 경우에는 삭제된 데이터를 복구하고 파손된 디지털 기기는 복원하기 도 한다. 파일의 확장자를 변경하여 은닉하거나, 문서 프로그램을 지원하는 암호를 이용하여 문서에 암호화를 진행하였을 경우에는 암호 복구 프로그램을 이용하여 암호를 해독한다.

여러 가지 파일의 확장자, 크기, 작성자, 작성 일시, 사용 일시 등을 기준으로 분류하고 검색 키워드를 사용하여 수사단서를 추출하는 작업을 병행한다. 이때 주의해야 할 점은 원본 데이터가 보관되어 있는 디지털 저장 매체에 직접적인 연결을 통하여 데이터를 추출하거나 분석해서는 안된다. 특별한 사정에 의하여 원본 데이터를 사용하여야 할 경우에는 쓰기 방지장치를 사용하여 원본 데이터와 동일한 사본 데이터를 작성하여 사본 데이터를 통한 데이터 추출 및 분석을 하여야 한다. 디지털 증거를 복제하는 방법에는 두 가지 기술을 이용하게 되는데 일반적으로 논리적인 백업과 이미징 하는 방법이 있다. 논리적인 백업은 논리적인 볼륨의 디렉터리와 파일을 복사하는 방법으로 통상 복사 또는 이동이라는 명령어를 수행하는 것을 말하는 것으로 복사·이동의 방식을 통하여 데이터가 옮겨지게 되므로 데이터의 시간 등의 변화가 발생하여 디지털 증거로서 효력이 상실하게 되어 디지털 포렌식의 현장에서는 사용하지 않지만 긴급하게 출력하여 혐의자 또는 관계자로부터 인증을 받아 보관할 필요가 있을 경우 사용한다. 디스크 이미징(Disk Imaging)은 비트 스트림 방법으로 비트 단위로 모든 데이터를 복사하는 것으로 사용하지 않는 빈 공간과 사용된 공간을 포함하여 모든 공간을 복 사하게 된다. 이런 경우에는 데이터의 양에 의하여 복사본 하드디스크의 용량을 정 하는 방법을 사용해서는 안되며, 하드 디스크의 용량과 같거나 더 큰 하드 디스크를 사용해야 한다. 이미징 작업을 하는 과정에서는 하드 드라이브의 모델번호와 일련 번 호, 저장 용량 그리고 작업을 수행하는 프로그램에 대한 정보가 기재되어야 하며 특 이한 사항은 별도의 표시를 하여 기재한다. 이미징을 이용하여 복사본을 제작하는 경우에는 디스크 대 디스크(Disk to Disk) 또는 디스크 대 파일(Disk to File) 복사를 수행하기도 한다. 디스크 대 디스크는 하드디스크에 있는 내용을 다른 하드 디스크에 복사하는 방법을 말하는 것이며, 디스 크 대 파일 복사는 하드 디스크에 있는 내용을 이미징 등의 작업을 통하여 서버 또 는 다른 저장 공간의 영역에 복사하는 것을 말한다. 이미징 방법은 일반적인 백업 방법보다 더 많은 작업시간과 용량이 필요하게 된 다. 디스크 대 디스크 복사는 복사본의 하드 디스크를 컴퓨터에 직접 연결하고 분석과 추출과정을 진행할 수 있으므로 매우 편리한 반면, 기관의 경우 원본 수량만큼 사본의 수량이 기하급수적으로 증가하여 운반과 보관의 어려움을 겪게 된다. 디스 크 대 파일 복사는 데이터를 쉽게 옮기고 백업을 할 수 있지만 필요한 정보를 추출하기 위해서는 서버 - 클라이언트 방식으로 데이터를 수신하거나, 필요한 하드 디스크에 복사를 한 후에 데이터를 변환하여 분석을 진행하게 되므로 장소의 제한과 프로 그램의 지원이 뒤따라야 한다. 디지털 포렌식 전문 수사관은 디지털 증거를 수집하거나 추출하기 위하여 압수수 색을 진행하게 되는 경우에 이미징 방식으로 데이터를 복제한 다음, 원본 하드 디스 크에 라벨을 붙이고 증거로서 안전하게 운반하고 보관하여야 한다. 이후 사용되는 분석과정은 하드 디스크의 복사본을 사용하므로 원본이 훼손되지 않았음을 입증하고, 필요에 따라 또 다른 복사본을 만들어 분석을 진행한다. 작업의 모든 진행상황도 기록을 남김으로 제삼자의 불신을 해소할 수 있다. 이러한 기록은 다른 디지털 포렌식 전문가가 분석을 실시하거나, 공판 과정에서 결과의 재산출을 위한 작업을 시도할 때도 동일한 결과를 도출할 수 있게 되므로 신뢰성의 향상에 도움을 주게 된다. 수 집과 분석하는 과정에서 결과물이 나오지 않았을 경우 원인과 진행과정에 오류가 없었다는 것을 입증할 수 있는 기초 자료가 된다. 압수한 원본 하드 디스크에서 디지털 증거를 추출하기 위하여 바로 분석을 실시할 경우 하드 디스크의 정보가 변경될 수 있는 위험에 처하게 된다. 분석용 컴퓨터의 세컨드 슬레이브 모드로 연결하여 분석한다고 하더라고 부팅 과정에서 스왑 파일의 생성이나 실수로 파일의 접근시간과 같은 정보가 변경될 수 있다. 따라서 분석을 하 기전에 원본 하드 디스크로부터 물리적으로 완벽하게 동일한 복사본을 만들어야 한 다. 이를 위한 가장 좋은 방법은 디스크 이미징이다. 디스크 이미징은 대상 디스크를 완벽하게 복사하여 복사본을 제작하는 것을 말한 다. 디스크 이미징은 전체 디스크의 이미지를 섹터 단위로 복사하여 파일 형태로 만 드는 작업으로 저장장치 내에 기록되어 있는 모든 자료 및 운영체제 보호를 위하여 삭제하거나 복제가 불가능한 파일까지도 다른 저장장치로 복제할 수 있다. 디스크 이미징은 일반 복사와 다른 점은 파일, 파일 슬랙(Slack), 미할당 공간과 같은 주변 데이터까지도 이미지 복사를 통하여 복제가 가능하다. 증거법칙상 컴퓨터에 저장되어 있는 이미지나 데이터의 내용을 검증하기 위하여 일반적으로 원본 증거가 사용되어야 하는 것이 원칙이다. 그러나 디지털 증거의 경 우 디스크 이미징 기법을 통하여 원본과 구조 배열이 동일한 복제본의 생성이 가능하고 원본 디스크를 대상으로 분석하기보다는 사본 데이터를 통하여 분석을 한다. 무결성은 권한 없는 자에 의하여 데이터가 변경되거나 파괴되지 않도록 보장하는 것을 말한다. 증거의 무결성을 위하여 대부분 포렌식 도구들은 MD5와 해쉬 함수를 이용하여 복사본과 원본의 동일성을 입증하고 있다. MD5는 입력 데이터로부터 128 비트 길이의 메시지 다이제스트를 만들어 데이터의 무결성을 검증하는 알고리즘이다. 동일한 메시지 다이제스트를 갖는 두 개의 데이터는 존재하지 않는다는 것이 수 학적으로 입증되어 있다. 따라서 두 데이터의 메시지 다이제스트의 값이 다르다는 것은 두 데이터가 동일하지 않다는 것을 입증하므로 이를 이용하여 데이터의 변경여 부를 증명할 수 있는 것이다. 증거수집 시의 상태를 정확하게 입증하기 위하여 제3기 관에서 제공하는 타임스탬프를 이용할 수 있다. 타임스탬프 서비스는 특정 시점에 해당 데이터가 존재하였음을 제3의 신뢰할 수 있는 기관이 인정해 주는 것으로, 인 터넷을 이용하여 전자거래의 활성화됨에 따라 그 필요성이 증가되고 있다. 디지털 공증이라고도 불린다. 컴퓨터에 저장된 데이터는 중요한 증거자료가 된다. 따라서 수사가 시작되면 용의 자는 증거인멸을 위하여 컴퓨터의 하드 디스크나 저장매체에 저장된 데이터의 삭제를 시도하게 된다. 삭제된 파일을 복구하는 것은 관련 수사에 있어서 매우 중요하기 때문에 일단 파일을 의도적으로 삭제하였다는 의심이 들거나 오래된 파일의 자료가 필요한 경우 기본적으로 삭제된 파일을 복구하여야 한다. 삭제된 파일의 복구는 복구 소프트웨어를 사용하여야 하고, 이때에도 대상 컴퓨터 등에 프로그램을 설치하여 복구하는 것은 안 된다. 복구대상 컴퓨터에 프로그램을 설치하거나 운용체제가 동작을 하게 되면 프로세스의 운용과 더불어 데이터의 덮어쓰기 등 변화가 발생하기 때문이다. 최근 삭제된 파일의 복구를 할 수 없도록 하는 eraer'이나 'Disk wipe'같은 프로그램을 이용하여 완벽하게 덮어쓰기를 하고 있으므로 신속한 압수·수색을 통하여 증거인멸을 사전에 방지하여야 한다. 디지털 저장매체의 압수·수색 결과 확보된 대량이 파일 중에서 필요한 정보를 찾아내는 것은 매우 중요하다. 일반적인 컴퓨터의 경우 2 Tbyte의 용량의 하드 드라이브가 장착이 가능하므로 이를 수작업으로 검색하는 것은 불가능하다. 따라서 제한된 인력과 시간으로 압수한 디지털 증거물로부터 수사상 가치가 있는 정보를 검색하기 위해서는 별도의 프로그램을 개발하여 검색을 하거나 분석 프로그램에 내장된 검색기 능을 이용하여 검색한다.

반응형

'생활정보' 카테고리의 다른 글

NFV란 무엇인가요? Virtual Network Function  (0) 2021.02.04
SDN이란 무엇인가요?  (0) 2021.02.04
디스크 포렌식 방법  (0) 2021.02.01
로봇의 응용분야 종류  (0) 2021.02.01
마이크로소프트의 위기  (0) 2021.01.31
유튜브를 인수한 구글  (0) 2021.01.31
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">