디지털 포렌식 조사를 위해서는 디지털 기기가 동작하는 원리를 잘 알고 있어야 한다. 운영체제는 물론이고 각종 응용 프로그램의 동작 방식까지도 이해해야 한다. 디지털 기기가 다양하기 때문에 관련 기술을 나열하는 것은 어렵지만 데이터 수집 기술과 분석 기술로 나누어져 있다고 볼 수 있다.
디지털 데이터는 전원이 차단되면 사라지는 휘발성 데이터와 전원이 차단되어도 유지되는 비휘발성 데이터로 분류된다. 휘발성 데이터를 수집하는 기술은 아직 정립되어 있지 않다. 별도의 하드웨어가 장착되어 있지 않는 한, 휘발성 데이터를 수집하려면 데이터를 수집할 수 있는 응용 프로그램을 해당 시스템에 설치하여 구동시켜야 하며, 이러한 과정으로 인하여 시스템의 휘발성 데이터가 변경 될 수 밖에 없다. 포렌식 관점에서는 수집되는 데이터가 변경되지 않아야 하지만, 휘발성 데이터의 경우는 수집할 때 약간의 훼손이 불가피하므로 휘발성 데이터 수집 프로그램은 수집되는 휘발성 데이터의 변경이 최소화되도록 개발해야 한다.
비휘발성 데이터의 수집은 쓰기 방지 장치를 부착하여 진행하며, 존재하는 모든 데이터를 수집해야 한다. 이때 원형 그대로 비트 단위로 복제할 수도 있지만, 차후 분석을 위해 해당 데이터에 대한 설명과 더불어 모든 데이터를 보존하는 파일 형태로 생성할 수도 있는데 이를 이미징이라 한다. 최근 법원에서는 범죄 관련 데이터만을 선별하여 수집하도록 하는 경향이 강 해지고 있는 바, 이에 대응할 수 있는 기술 개발 및 절차에 대한 연구가 많이 요구되고 있다.
수집된 데이터를 분석하는 기술을 모두 나열하는 것은 불가능하지만 대표적으 로 파일 카빙(file carving), 검색, 타임라인(timeline) 분석, 파일 포맷 분석, 암호 해독 등이 있다.
범죄자들은 증거 인멸을 위해 데이터 삭제를 많이 하기 때문에 삭제된 데이터 에 중요한 정보가 남아 있을 가능성이 높다. 따라서 디지털 포렌식 기술에서 삭 제 데이터 복구는 상당히 중요한 위치를 차지한다. 보통 파일시스템은 파일을 관 리하기 위한 메타데이터만 삭제하고 실제 데이터는 그대로 남겨 두기 때문에 삭 제된 파일의 복구가 가능하다. 또한 파일시스템의 메타데이터로는 접근할 수 없 는 미사용 공간에 있는 데이터 조각으로부터 파일내부의 고유한 포맷을 찾아 원 파일을 복구하는 과정을 파일 카빙이라 한다. 현재까지는 삭제된 파일이 연속된 공간에 저장되어 있었다고 가정하고 복구를 하지만, 최근에는 조각나 있었던 파 일의 복구에 대한 연구가 진행 중이다.
점차 데이터 저장 공간의 크기가 증가하고 있으며, 한 개인이 테라바이트 이상 을 보유하는 것도 가능한 시대이다. 대용량 저장 공간에서 사건과 관련된 데이터 는 매우 적을 수밖에 없는데 사람이 일일이 확인해서 찾는 것은 매우 어려운 일 이다. 따라서 포렌식 조사에서 효과적인 데이터 검색 기술이 필요하다. 쉽게 생 각할 수 있는 데이터 검색은 바이너리 데이터를 그대로 비교하는 방법이다. 빠르 게 수행될 수 있지만 찾고자 하는 데이터와 완전히 일치하지 않으면 찾지 못하 는 단점이 있다. 데이터가 특정 파일 내부에 있는 경우, 파일 포맷에 의거하여 검색하는 방법이 필요하다. 대표적인 예로 압축 파일의 경우 압축을 해제하면서 검색해야 한다. 한편 검색어를 있는 그대로 찾는 것이 아니라, 동의어, 유사어. 관련 분야를 총체적으로 고려하여 검색하는 방법이 있으며, 유사한 유형을 정규 표현식으로 표현하여 검색하는 방법도 있다.
사건을 재구성하기 위해서는 시간의 흐름에 따라 발생된 이벤트를 나열해야 한다. 이러한 분석 방법을 타임라인 분석이라 말하는데, 포렌식 조사에서 기본적으로 사용되는 방법이다. 범죄자는 증거를 은닉하려는 시도를 많이 하며, 이 중 데이터를 암호화하거나, 의미없어 보이는 파일에 중요한 데이터를 삽입하는 스테가노그라피 (steganography) 기법을 이용하여 데이터를 은닉한다. 조사 과정에서 암호화된 데이터를 발견하면 암호 해독을 시도해야 하는데 대부분 패스워드로 암호화 하기 때문에 사전 공격(dictionary attack)이 유용하다. 아직까지 스테가노그라피 기법에 대한 학술적 해결책은 없지만 해당 파일에 데이터를 삽입한 스테가노그 라피 도구를 알 수 있다면 이 역시 사전 공격을 적용할 수 있다.
최근에는 기술 유출 사건이 많이 일어나는데, 유출 시점이 아니고 사후에 유출된 것을 인지하는 경우가 많다. 소프트웨어의 유출을 입증하기 위한 방법으로 기업 비밀로 보호하는 소프트웨어와 경쟁 회사의 소프트웨어 사이에 있는 차이점 과 유사점을 파악하고 기업 비밀의 탈취 여부를 조사하는 분야인 소프트웨어 포렌식이 나타나고 있다.
기업의 거의 모든 자료가 디지털로 생산됨에 따라 기업의 세금 탈루, 비자금 조성, 횡령 등을 조사하기 위하여 디지털 포렌식 기술이 사용되며, 자금의 흐름 을 회계 감사 측면 뿐만 아니라 부정 행위 측면까지도 고려해서 분석하는 포렌 식 어카운팅 분야가 새롭게 대두되고 있다.
<출처: 디지털 포렌식 개론 -이상진 지음>
'IT_TOOL' 카테고리의 다른 글
파일시스템을 알면 좋아요. (0) | 2023.05.23 |
---|---|
전자적 증거의 의의와 특성 (0) | 2023.05.10 |
디지털 포렌식 수행과정은? (0) | 2023.05.09 |
디지털 포렌식 조사의 일반 원칙은? (0) | 2023.05.09 |
디지털 포렌식은 어떻게 흘러왔을까? (0) | 2023.05.09 |