[Forensic] 디지털 포렌식 정보 수집 순서와 수집 도구

디지털 포렌식 수사의 주요 원칙 중 하나는 원본 데이터로 작업하지 않는다는 점이다.

- 원본과 사본의 해시 코드를 비교해서 변경이 되지 않았다는 것을 보장할 수 있다.

- 실수를 하더라도 새로운 사본을 사용해서 쉽게 다시 시작할 수 있다.

- 데이터의 한 가지 타입에만 유효한 작업 방식을 사용할 경우 다른 타입에 맞지 않을 수 있는데, 그때마다 새로운 사본을 사용해서 다시 작업할 수 있다. 새로운 사본의 무결성을 보장하기 위해 해시값을 사용한다.

- 사본이 손실/절도/변질되더라도 수사는 계속 진행할 수 있다.

- 법정에서는 증명이 불가능하지 않는 한 수사관들이 위와 같이 작업하는 것을 권고한다.

​

1. 휘발성의 순서

'증거 수집 및 보관에 대한 가이드라인(Guidelines for Evidence Collection and Archiving)'(Brezinski and Killalea 2002)에서는 다음과 같은 순서로 데이터를 수집하기를 권고한다.

- 레지스터, 캐시

- 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계, 메모리

- 임시 파일 시스템

- 디스크

- 문제가 발생한 시스템에 관련된 원격 로깅과 모니터링 데이터

- 물리적 구성, 망의 물리적인 접속 형태(네트워크 토폴로지)

- 보관 매체

​

2. 메모리와 실행 중인 프로세스

컴퓨터가 실행 중인 상태에서 라이브 메모리의 사본을 얻는 것이 바람직하며, 그 후에 플러그를 뽑아야 한다. 캡처를 하기 전에 컴퓨터를 종료시킨다면 실행 중인 컴퓨터에서 수집할 수 잇는 정보를 완전히 잃어버리게 될 것이다. 실행 중인 컴퓨터로부터 수집할 수 있고 법적으로 포렌식 수사에서 가치 있게 사용할 수 있는 정보는 다음과 같다.

- 평문 패스워드

- 실행 중인 프로세스

- 하드드라이브에 암호화된 형태로 저장된 복호화 데이터(사용자 로그인 상태일 경우)

- 인스턴트 메시지

- 현재 로그인한 사용자 정보

- 열려 있는 포트

- 부착된 장치의 흔적

​

수사관이 염두해 두어야 할 것은 추후에 비교를 위해 미리 메모리 이미지의 해시를 만들어 놓아야 한다는 점이다. 메모리의 내용은 계속해서 변경되고 있으며, 데이터를 수집하고 분석하기 위한 연결은 컴퓨터를 변화시키지만, 이것은 피할 수 없는 것이다. 그러나 적절한 도구와 기술을 사용다면 그 영향은 최소화 할 수 있다.

또한 시스템 메모리(컴퓨터에 설치된 메모리 칩)와 주소 지정 가능 메모리(addressable memory)는 서로 다르다는 점을 알아야 한다. 시스템에 4GB의 메모리를 설치했다 할지라도 4GB의 주소 지정 가능 메모리를 가졌다고 볼 수 없다. 추정 메모리에 대한 다른 접근 방법은 서로 다른 값을 제공할 수 있다. 이유는 시스템 버스에 부착된 다른 장치들 또한 메모리를 장착하고 있기 때문이다. 예를 들어 내가 현재 사용하고 있는 하드디스크는 32MB의 캐시 메모리를 가진다. 비디오 카드도 몇 MB에서 1GB 이상의 주소 지정 메모리를 가질 수 있다. 전형적인 SCSI 어댑터도 512MB에서 많게는 4GB의 주소 지정 메모리를 가질 수 있다. 그러므로 4GB의 램이 설치된 시스템은 이런 추가 장치들을 지원하기 위한 주소 공간을 생성할 수 있다.

​

3. 장치로서의 메모리

유저 모드는 낮은 접근 권한을 갖기 때문에 특정 명령이나 프로세스를 실행할 수 없다. 그러나 커널 모드는 코어 운영체제 및 중앙 처리 장치에서 부여된 접근 권한을 갖기 때문에 어떤 것이든 할 수 있다. 모든 운영체제는 경로를 사용해 장치에 저장된 데이터에 접급한다. 운영체제는 유저 모드에서는 메모리에 접근할 수 없게 하며, 오직 커널 모드에서만 접근할 수 있게 한다. 그러므로 장치 유틸리티가 램이나 캐시 메모리에 직접적으로 접근하기 위해서는 반드시 커널 모드여야 하고, 장치의 경로를 지정해야 한다. 메모리의 경로는 다음과 같이 운영체제마다 다르게 사용한다.

- 리눅스, 유닉스, OSX : /dev/mem and /dev/kmem

- 윈도우 2000, XP, 기타 등등 : //physicalmemory

​

윈도우 XP2 이후 운영체제에서 사용자 애플리케이션의 메모리 장치로의 접근이 허용되지 않기 때문에 메모리 캡처를 하기 위해서는 높은 권한의 애플리케이션이 필요하다.

​

메모리의 순간적인 캡처를 얻는 것은 현재 기술로는 불가능하고, 수사관이 시스템에 침입하는 것만으로도 시스템 메모리는 변한다. 모든 포렌식 소프트웨어 제조업체들은 메모리를 캡처하는 동안 '작은 발자국'만 남겨야 한다고 말한다. 이 말은 사본을 만드는 동안 소프트웨어가 시스템에 최소한의 메모리만 덮어써야 한다는 것이다.

​

1) 메모라이즈

메모라이즈는 수사관이 우선적으로 메모리 사본(이미지)을 획득할 수 있고, 동작하는 시스템상에서 특정 라이브 분석 작업을 수행할 수 있다. 메모라이즈는 다음과 같은 기능을 갖는다.

​

- 실행 중인 프로세스 식별

- 열려있는 포트 식별

- 메모리 핸들 식별

- 로드된 동적 연결 라이브러리(DLL) 찾기와 식별

- 실행 중인 장치 드라이버 식별

- 로드된 모듈 식별

​

또한 해당 유틸리티를 통해 루트킷이나 운영체제 구성 요소에 훅(hook)의 존재 여부도 탐지할 수 있다.

​

2) WinDD

DD(Disk Dump)는 오랫동안 리눅스 사용자들 사이에서 인기 있는 유틸리티다. 드라이브, 파티션, 라이브 이미지를 원본 데이터에 영향을 끼치지 않고 비트 단위로 이미지를 캡처할 수 있다. WinDD는 DD의 윈도우 버전 유틸리티다. 이 도구는 무료로 사용할 수 있게 소스넷에서 뱌포하고 있으며, 'FAT, FAT32, NTFS, ext2, ext3 파티션을 위한 안전하고 간단한 백업'을 할 수 있다고 설명한다.

WinDD는 네트워크 연결을 통해 실행할 수 있고, 쓰기 방지된 USB 장치에서도 실행할 수 있다. 네트워크 연결을 통해서 실행할 때는 넷켓 유틸리티를 사용해 대상 시스템에 원격으로 접속해서 실행할 수 있다.

​

3) FTK 이미저

주로 물리 디스크로 이미지를 만드는 것으로 잘 알려져 있지만, 메모리 이미지를 캡처하는 용도로 사용되기도 한다. 이미저는 윈도우용 도구로, USB 드라이버나 CD-ROM과 같은 외부 장치에서 실행할 수 있다. 한 가지 주의해야 할 점은 엑세스 데이터는 이미저가 대상 드라이브에 대한 쓰기 시도를 하지 않을 것을 보장하지 않는단는 점이다. 따라서 위비테크의 포렌식 울트라 독과 같은 쓰기 방지 장치를 추천한다.

​

4. 디스크 이미지의 파일 포맷

이미지를 저장하기 위해 포렌식 커뮤니티에서 일반적으로 사용하는 몇 가지 기본적인 파일 포맷은 다음과 같다.

- DD 이미지(비트 단위)

- Expert Witness Format(EWF)

- Advanced Forensic Format(AFF)

- 세이프백(Safeback(NTI에서 사용))

- 아이룩(ILook) 이미저

- 프로디스커버(ProDiscover) 파일 포맷

​

언제든지 사용할 수 있게 이미지를 저장할 때 DD와 다른 압축된 포맷들 중 하나를 골라 두 가지 형태로 저장하는 것이 좋다. 위 파일 포맷에서 아래에서 네가지는 모두 소유권이 있다.

​

1) DD 이미지

DD 유틸리티가 생성한 비트 사본은 오랜 사용으로 보증할 수 있는 인증 받은 포맷이다. 몇 가지 다른 분석 도구들은 DD에 의해 만들어진 이미지를 가상 드라이브로 마운트할 수 있고, 이것은 파일 시스템 유틸리티들로 검색을 할 수 있게 한다.

DD는 파일 압축을 사용하지 않기 때문에 결과 이미지가 꽤 클 수 있다. 이것은 SPLIT 명령과 결합해서 사용함으로써 어떤 리눅스/유닉스 버전에서든 사용할 수 있다. 또한 DD 명령은 대부분의 *nix 명령들 처럼 다른 명령과 파이프로 연결해서 사용할 수 있다.

​

2) EWF(Expert Witness Format)

일부 소유권이 있는 포렌식 도구에서는 소유권이 있는 파일 포맷을 통합한다. 가이던스 소프트웨어 사의 인케이스는 EWF로 이미지를 저장할 수 있다. 또한 FTK와 PyFlag를 비롯한 다른 도구에서 EWF를 사용하지 않더라도 기본적으로 EWF를 지원한다. 리눅스 사용자는 EWFACQUIRE와 같은 유틸리티를 사용해서 EWF 이미지를 얻을 수 있다.

​

3) AFF(Advanced Forensic Format)

AFF는 많은 수사관이 선호하는 포맷이다. AFF의 주된 장점은 대상 이미지를 저장할 때 임의의 메타데이터를 가진다는 점이다. 예를 들어 AIMAGE 오픈소스는 메타데이터를 저장할 수 있는 사용자 정의 필드를 가질 수 있다. 디스크 이미지와 더불어 이미지(AFFLIB)를 생성하기 위해 사용된 라이브러리 도구의 버전을 저장하고, 이미지를 수집한 컴퓨터를 식별하고, 수사관의 이름을 입력할 수 있으며, 획득한 장치에서 사용된 섹터의 크기를 넣을 수 있다. AFF의 장점은 큰 크기의 대상 이미지를 압축할 수 있는 기능이 있다는 점이다.