포렌식 소프트웨어: 컴퓨터 포렌식에 관해 알아야 하는 모든 것
보통 “컴퓨터 포렌식” 또는 “포렌식 컴퓨팅”에 대해 한 번쯤 들어보셨을겁니다, 이는 미러 썬글라스를 쓴, 검은 그림자와 같은 형체의 이미지를 떠올리게 합니다. 하지만 이것이 컴퓨터와 디지털 포렌식이 무엇인지를 대한 정확한 표현일까요? 그렇지 않다는 것을 이 글을 통해 알게 되실 겁니다.
실제 컴퓨터 포렌식 적문가가 사용하는 도구들을 해커들도 사용한다고 하더라도, 디지털 포렌식의 본질은 데이터 복구와 보존입니다. 당신이 Disk Drill과 같은 컴퓨터 데이터 복구 프로그램를 이용하여 컴퓨터에서 잃어버린 파일을 복구한 적이 있다면, 당신은 이미 포렌식 컴퓨터 과학과 컴퓨터 포렌식 검사에 대해 대략적인 이미지를 가지고 있다고 할 수 있습니다. 이 글을 통해, 당신은 더 깊히 이해할 수 있습니다.
컴퓨터 포렌식 정의
Techopedia 는 컴퓨터 포렌식을 “전자 데이터 찾아내고 해석하는 과정”으로 정의합니다. “지난 사건을 재구조화하려는 목적을 위해 데이터 정보를 수집, 확인, 입증함으로써 구조화된 조사를 수행하는 동시에 가장 원본에 가까운 형식으로 모든 증거를 보존하는 것”, 그것이 이 과정의 중요한 목표입니다.
즉, 디지털 포렌식은 당신이 알고 있는 오래된 범죄 TV 쇼의 오래된 범죄 과학과 비슷합니다. 당신은 범죄 방송이 어떻게 진행되는지 알고 계실 겁니다: 일단 끔찍한 살인이 발생합니다. 사건이 발생하면 경찰은 포드 갤럭시 500을 타고 그의 수석 수사관과 범죄 현장에 도착합니다. 이들은 차에서 내리자마자, 그 중 누군가는 “아무것도 만지지 마세요! 증거 수집을 해야 합니다.”라고 소리칩니다.
과거에, 그러한 증거는 보통 누군가의 다이어리이거나, 물 잔에 남겨진 지문이었습니다. 오늘날에는 디지털 메타 데이터, 로그 파일, IP 주소 그리고 0과 1로 이루어진 남은 조각들이 그것이지요. 초기의 디지털 범죄들 중 몇몇은 1970년대 후반과 1980년대 초반에 발생하였습니다. 그 당시 컴퓨터 보안과 개인정보보호는, 소수의 괴짜와 혁신가만이 관심을 가지는 주제였습니다.
터닝포인트는 바로 1978년, 플로리다 컴퓨터 범죄법이었습니다. 컴퓨터 데이터의 무단 삭제 또는 수정에 관한 법까지 포함된 이 법으로인해 미국에서 최초로 컴퓨터 범죄를 인지하게 된 것이지요. 1986년, 미국 연방 컴퓨터 사기 및 남용법과 1990년, 영국 컴퓨터 남용법과 같은 법률도 곧, 뒤따라 만들어졌습니다.
새로운 밀레니엄 시대를 앞두고, 개인과 기업 및 국가 보안에 심각한 위협이 될 것으로 여겨진 컴퓨터 범죄에 대한 논의는 활발했습니다. 2000년 이후로, 표준화에 대한 새로운 필요성이 제기되었고, 이는 “컴퓨터 포렌식의 모범 사례”의 생산과 디지털 증거를 위한 과학 그룹(SWGDE)의 ISO 17025의 출판을 이끌었습니다.
이 기준과 가이드는 컴퓨터 포렌식 전문가가 모범 사례를 확립하는 것을 돕고, 컴퓨터 포렌식 회사들이 현대 사회의 복잡한 요구사항을 충족시킬 포렌식 데이터 복구 프로그램을 생산하도록 입김을 불어넣었습니다.
전형적인 포렌식 과정은 포획, 포렌식 수집, 분석, 수집된 데이터에 기초한 보고서 생산와 같은 단계를 거칩니다. 그리고 각각의 단계를 위한 특별한 포렌식 유/무료 프로그램이 존재합니다. 디지털 포렌식 프로그램들은 이 글의 하단에서 확인하실 수 있습니다.
컴퓨터 포렌식의 하위 분파
컴퓨터 포렌식 전문가는 민간 또는 공적 부문 모두를 처리합니다. 공공 부문에서, 그들의 업무는 대게, 범죄 또는 민사 법정 전에 가설을 지지하거나 논박하는 일입니다. 민간 포렌식 수사에서 가장 중요한 것은 기업 수사와 침해 수사입니다.
현대 기술이 점점 복잡해지면서, 컴퓨터 포렌식 전문가들은 전문사 수준의 지식을 얻기 위해 디지털 포렌식 하위 분야 중 하나, 또는 여러 분야에 집중합니다. 디지털 포렌식스는 일반적으로 기기의 유형에 따라 나뉩니다. 대표적으로 컴퓨터 포렌식, 모바일 기기 포렌식, 네트워크 포렌식, 포렌식 데이터 분석, 데이너베이스 포렌식이 있습니다.
지난 몇 년간 큰 성장을 보인 한 분야는 모바일 기기 포렌식입니다. 사람들이 노트북과 데스크톱 컴퓨터를 스마트폰 또는 태블릿으로 대체하면서, 포렌식 핸드폰 데이터 복구 능력을 갖춘 핸드폰 포렌식 프로그램의 필요성이 급상승한 것입니다.
컴퓨터 포렌식 도구 및 장비
컴퓨터 범죄 수사관과 전문가가 사용하는 컴퓨터 포렌식 도구를 설명하기 위해, 개인용 컴퓨터에 저장된 아동 포르노와 관련된 범죄 장면을 상상해 봅시다. 대부분의 경우, 수사관은 가장 먼저 PC의 HDD를 제거하고 하드웨어 쓰기 차단 장치를 부착합니다. 이러한 장치는 조사관이 디스크의 내용을 미리보고 캡처하는 동안 범죄자가 어떤식으로든 HDD 내용을 변경할 수 없게 만듭니다.
디스크의 정밀 비트 사본은 다양한 특수 도구로 만들 수 있습니다. 대규모 디지털 포렌식 프레임 워크, 소프트웨어 솔루션 그리고 무수한 소규모 유틸리티들이 있습니다: Digital Forensics Framework, Open Computer Forensics Architecture, CAINE (Computer Aided Investigative Environment), X-Ways Forensics, SANS Investigative Forensics Toolkit (SIFT), EnCase, The Sleuth Kit, Llibforensics, Volatility, The Coroner’s Toolkit, Oxygen Forensic Suite, Computer Online Forensic Evidence Extractor (COFEE), HELIX3, 또는 Cellebrite UFED가 여기에 해당합니다.
이러한 대규모 소프트웨어 솔루션과 포렌식 제품군은 단일 패키지에 다양한 포렌식 데이터 서비스를 포함하고 있습니다. 그러나, 많은 포렌식 전문가들은 자신의 필요성과 선호에 정확히 맞는 개별 프로그램 및 유틸리티로 자신만의 맞춤형 도구 상자를 만드는 것을 선호합니다. 이러한 옵션은 파일 시스템 포렌식스 분석과 하드 드라이브 포렌식을 포함하여, 포렌식 데이터 복구 프로세스의 모든 단계에서 충분히 가능합니다.
데이터 캡처는 EnCase Forensic Imager, FTK Imager, Live RAM Capturer 또는 Microsoft의 Disk2vhd를 사용하여 수행 할 수 있습니다. 이메일은 EDB 뷰어, 메일 뷰어 또는 MBOX 뷰어와 같은 프로그램들로 분석됩니다. 여러 플랫폼을 지원하는 프로그램이 있는가하면, 일부 프로그램은 특정 운영 체제를 대상으로 합니다. Mac OS X에서 가장 많이 사용되는 도구로는 Disk Arbitrator, Volafox 및 ChainBreaker로, 키 체인 구조를 분석하고 사용자의 정보를 추출합니다. 포렌식 분석은 Busindre의 Dumpzilla, Chrome Session Parser, IEPassView, OperaPassView, 그리고 Magnet Forensics의 Web Page Saver를 포함한 많은 분석 도구들 없이는 불가능하다는 것은 너무나 당연합니다.
전문 포렌식 도구의 특징
전문 포렌식 도구의 특징은 그들이 타켓으로 하는 포렌식스 분석의 요소와 그들이 목표로 하는 시장에 따라 크게 달라집니다. 일반적으로, 대규모 포렌식 소프트웨어 제품군은 다음을 수행 할 수 있어야 합니다:
- 비교 필터링을 허용하는 모든 파일의 해싱 지원
- 데이터가 변경되지 않았음이 확인 가능한 전체 디스크 해싱 (일반적으로 하나의 도구는 디스크 해시를 확인하는데 사용되고, 다른 하나는 디스크 해시를 얻는데 사용됩니다)
- 정확한 경로 로케이터
- 정확한 시간과 날짜 명시
- 특징을 반드시 포함
- 항목 검색 및 필터링
- iOS 백업 로드 및 데이터 분석
법 집행 기관과 비교해볼 때, 기업은 대개 불안한 RAM 캡처에 관심이 없습니다. 그들은 사설 조사 및/또는 법 집행 기관으로 넘길 증거를 원합니다. 또한 이들은 일반적으로 미리보기에도 관심이 없습니다.
주요 포렌식 소프트웨어 제공 업체
포렌식 소프트웨어 분석 분야는 미래 지향적인 혁신가들과 그들의 운영을 확장할 준비가 된 소프트웨어 회사들로 가득합니다. 대형 포렌식 소프트웨어 업체는 하이테크 범죄 수사 협회 컨퍼런스와 같은 대규모 산업 모임에 나타나는 경향이 있지만, 북미너머에 이러한 컨퍼런스가 많습니다.
최고의 포렌식 소프트웨어 업체 및 제품에 대해 살펴봅시다.
BlackBag Technologies https://www.blackbagtech.com
BlackBag의 BlackLight는 현재 시장에 출시된 최초의 Mac 포렌식 도구이며 약 2,600 달러에 판매됩니다. BlackLight는 5년 전, Mac전용 포렌식 도구 개발로 시작했습니다. 현재는 훌륭한 Windows 검사 도구로도 성장했습니다. 안드로이드뿐만 아니라 모든 iOS 기기를 분석합니다. 하지만, 블랙베리 단말기는 분석할 수 없습니다. Blacklight가 독자적으로 하지 않는 한 가지는 비트 복제을 위한 비트 포렌식 수집입니다. 그리고 MacQuisition이라는 추가 도구도 있습니다.
MacQuisition는 iOS 10의 차용 버전에서 작동하며, 비용은 Apple라이센스로 인해 1000달러 이상입니다. 이는 암호화를 발견을 아주 잘 해내며, 퓨전 드라이브를 하나의 볼륨으로 합칠 수 있습니다.
AccessData http://accessdata.com
AccessData는 기업, 법률 회사 및 정부 기관을 위한 E-Discovery, Computer 및 Mobile Device Forensics의 주요 공급 업체입니다. 그들의 디지털 포렌식 솔루션은 포렌식 툴킷(FTK)을 포함하며, 포괄적인 처리 및 인덱싱 기능을 제공하므로 시장의 다른 어떤 솔루션보다 필터링 및 검색 속도가 빠릅니다.
이 회사는 Mobile Phone Examiner Plus (MPE+)와 nFIELD를 포함한 모바일 포렌식 도구로 널리 알려져있습니다. 전자의 경우, 포렌식 전문가가 데이터를 신속하게 수집하도록 하고, 다른 솔루션이 놓친 핵심 데이터를 쉽고 효율적으로 식별합니다. 후자는 5단계를 통해 사용자가 모바일 기기가 지원하는 모든 MPE+ 를 논리적, 그리고 물리적으로 획득하는데 탁월한 솔루션입니다.
Guidance Software https://www.guidancesoftware.com
1997년에 창업한 Guidance Software는 EnCase Forensic Software를 개발했습니다. 이 소프트웨어는 수십년 동안 포렌식의 중심이었던 PC전용 포렌식 도구입니다. 이 툴은 2002년 데이비드 웨스터 필드의 살인 사건 공판에서 아동 음란물의 증거를 찾기 위한 컴퓨터 조사와 프랑스 경찰이 신발 테러범이라고 불린 리처드 콜빈 리드의 중요한 이메일을 찾아낼 때 사용됨으로써 헤드 라인에 실렸습니다.
EnCase 포렌식 소프트웨어는 획득, (복제 HDD 만들고 비트를 복제하는)하드 드라이브 복원, 포괄적인 디스크 조사 그리고 광범위한 보고를 수행할 수 있습니다.
Magnet Forensics https://www.magnetforensics.com
전직 경찰관 및 프로그래머가 개발한 Magnet Forensics는 전 세계 3,000개 이상의 기관 및 조직에서 사용되는 완벽한 디지털 조사 플랫폼입니다. 원래, 인터넷 전용 도구로 시작되었지만 이제는 본격적인 포렌식 제품군으로 확장되었습니다. Magnet Forensics는 핸드폰의 물리적 데이터 수집을 수행할 수 있습니다(대부분의 안드로이드 및 아이폰4 이하 및 블랙베리에서 가능). 이러한 물리적 데이터 수집은 Cellebrite와 같은 프로그램에서 로드될 수 있습니다.
X-Ways https://www.x-ways.net
X-Ways는 포렌식 분야에서 비교적 새롭게 나타났으며, 혁신적인 속도로 인해 빠르게 인기를 얻고 있습니다. 디스크 이미징 디스크 복제, 가상 RAID 재구성, 원격 네트워크 드라이브 분석, 원격 RAM 액세스, 클라우드 스토리지 액세스 등과 관련하여 독일 엔지니어 팀이 개발한 X-Way의 포렌식 도구는 환상적으로 업무를 수행합니다. 단점은 사용하는데 상당한 경험이 필요하다는 것입니다.
Cellebrite http://www.cellebrite.com
Japan’s Sun 회사의 자회사인 Cellebrite Mobile Synchronization은 모바일 포렌식 소프트웨어의 선두 주자로 간주되는 이스라엘 회사입니다. 그들의 최초의 모바일 도구는 12,000달러로 매우 높은 가격이 책정되었으며 4000달러의 연간 라이센스가 함께 제공됩니다. 높은 가격에 걸맞게 Cellebrite의 Unified Digital Forensics Platform을 통해 모바일 장치에 대한 깊은 통찰력을 보이며 일류 서비스를 제공합니다.
CERT
CERT는 컴퓨터 응급 대응팀을 의미합니다. 2003년, 사이버 공격으로부터 국가의 인터넷 인프라를 보호하기 위해 미국에서 설립되었습니다. 그들은 Triage Tools을 포함해 법 집행의 위한 몇 가지 도구를 개발해왔습니다. Triage Tools은 RAM을 캠쳐하고 현장 증거를 수집하는데 사용됩니다. 이 제품에는 “exploitable”이라 불리는 GNU 디버그 확장 기능이 포함되어 있으며, Linux 응용 프로그램 버그를 심각도에 따라 분류할 수 있습니다. 현재 CERT Triage Tools는 GitHub에서 공개적으로 개발 중입니다.
Disk Drill의 포렌식 데이터 복구
Disk Drill은 전세계 곳곳의 수많은 사용자가 다양한 저장 장치에서 문서, 이미지, 비디오 파일 및 기타 유형의 데이터를 복구하는 데 사용되는, 입증된 데이터 복구 도구입니다.
Disk Drill의 회사인 CleverFiles은 현재, 유용한 포렌식 도구를 포함한 새로운 버전의 소프트웨어를 개발 중입니다. 곧 포렌식 시장에서 공개될 이 프로그램은, 높은 수준의 사용자 인터페이스와 세련되고 편리한 사용성으로 그들만의 시그니처 사용자 경험을 제공할 것으로 예상됩니다.