Chapter 4의 소 주제로는 범죄현장에 대한 소개, 범죄현장 및 증거의 문서화, 연계보관성 수립과 유지, 증거 클로닝, "살아있는" 시스템과 "죽어있는" 시스템, 해시로 증거의 무결성 확인하기, 최종 보고서 작성이 있다.
4장에서는 증거를 수집하고 연계보관성을 수립할 때 사용할 수 있는 포렌식적으로 안전한 방법에 대해 설명한다.
: 대부분의 컴퓨터와 디지털 증거는 인터넷, 전화 또는 기타 다른 네트워크에 연결되어 있다. 이를 통해 원격으로 접근이 가능해지며 증거가 위험에 노출될 수도 있다. 더 이상 손실된 휘발성 증거가 없다고 확신하는 순간부터 컴퓨터와 무선기기를 반드시 접근할 수 없게 해야 한다.
컴퓨터의 경우, 단순히 인터넷 연결선이나 모뎀의 전화선을 제거하면 되고, 휴대폰 같은 무선기기는 네트워크 신호로부터 전화를 고립시킬 수 있는 수단을 반드시 사용해야 한다.
: 법적으로 허용된다면 저장 매체가 있을만한 모든 곳을 수색해야 한다. 크기는 작을지 몰라도 메모리카드에는 수많은 잠재적 증거가 저장되어 있을 수도 있다.
- 이동식 저장 매체: DVD, 외장 하드, USB 드라이브, 메모리카드 등을 포함한다. 사건 현장에 있는 기기와 저장 매체에만 관심을 가져야 하는 것은 아니다. 주변에 어떤 것이 있는지 살펴보는 것도 중요하다. 예로, 책과 사용 설명서 등을 살펴보면 용의자의 지식수준을 알 수 있고, 암호 기능을 사용하고 있는지도 알 수 있다. 쓰레기 통을 뒤지다 보면 어떤 제품을 사용하고 있는지도 알 수 있다. 모든 포렌식 조사관에게 있어 암호화는 되도록 피해야 한다.
: 휴대폰에서는 문자 메시지, 이메일, 전화기록, 연락처 등의 데이터를 수집할 수 있다. 이러한 데이터는 사용자의 의도를 보여주거나 살해 피해자와 마지막으로 연락한 사람을 확인할 수 있도록 해주며, 알리바이를 확인하고 사용자의 위치도 파악할 수 있게 해 준다.
다른 전자기기와 마찬가지로 가장 중요한 것은 기기나 기기의 저장 매체의 데이터가 수정되면 안 된다는 것이다. 정말 필요하지 않은 이상 수집한 휴대폰을 사용하는 것은 피해야 한다. 휴대폰에 있는 정보는 전화국이나 소유자가 직접 원격으로 삭제할 수 있기 때문이다. 이 경우 최대한 빨리 전화를 고립시키거나 보호해 이러한 문제를 해결하도록 해야 한다. 이 경우에 우리가 할 수 있는 일은 아래와 같은 몇 가지 방법이 있다.
패러데이 봉투는 네트워크 신호가 휴대폰으로 전송되는 것을 방지하는 한 가지 방법이다. 패러데이 봉투는 "전도 물질이나 철망"으로 만들어져 있다. 페러데이 봉투는 전자기학을 연구했던 마이클 패러데이의 연구를 기반으로 만들어진 것이다.
휴대폰을 압수했을 때 전원에 대한 부분을 주의해야 한다. 휴대폰의 전원이 켜져 있을 경우, 지속적으로 송신국의 신호를 잡기 위해 시도해 전지가 빨리 소모된다. 휴대폰이 꺼져 있는 경우에는 전원 케이블도 준비해야 한다. 랩에서 조사하기 위해 휴대폰의 전지를 충전시켜야 할 수 있다.
증거 확보 뒤 현장을 살펴보는 것은 수사관이 앞으로 무엇을 해야 하는지 알 수 있게 해 준다. 수사관은 아래와 같이 여러 질문에 대한 답을 찾아야 한다. 아래 질문들에 대한 답을 찾으면 이제 실제 업무가 시작된다.
: 수집할 증거의 우선순위를 정하는 것도 좋다. 휘발성의 순서대로 강한 증거를 먼저 수집하는 것이 중요하다. 아래 목록은 휘발성 순서에 따라 나타낸 것이다.
: 어떤 상황에서라도 증거를 수집할 때에는 모든 내용을 반드시 문서로 기록해야 한다. 디지털 포렌식에서 사진, 노트, 비디오 등 여러 가지 종류의 문서가 있다.
문서화 과정은 현장에 도착하는 순간부터 시작된다. 일반적으로 현장에 도착한 날짜와 시간, 현장에 있는 사람들을 기록하면서 문서화가 시작된다. 그리고 수집된 증거, 발견 장소, 발견하고 수집한 사람, 어떻게 수집되었는지 등에 대한 상세한 기록도 노트에 남긴다. 증거의 상태를 기록하는 것도 좋다. 특히, 손상이 있다면 더욱 기록해야 한다.
정확하게 증거를 묘사하는 것도 중요하다. 디지털 증거는 종류, 생산자, 모델, 시리얼 번호 같은 사항으로 묘사된다. 우리가 보는 모든 것, 찾는 모든 것 그리고 하는 모든 것을 문서화해야 한다.
주변기기의 연결의 경우, 필요시 랩에서 모든 시스템이 재구성될 수 있도록 각 기기를 표시하는 것도 중요하다.
현장과 증거의 안전이 확보되면 문서화와 잠재적 증거를 식별하고 수집해야 한다. 어떤 작업도 시작하기 전에, 현장을 점검해 무슨 종류의 장비가 필요할 것인지, 기기의 종류와 개수는 몇 개인지 확인하는 것이 바람직하다.
모든 현장은 사진으로 남겨야 한다. 사진은 현장에서 증거뿐만 아니라 그 어떤 것도 만지기 전에 찍어야 한다.
폭넓은 관점에서 전반적인 현장을 먼저 사진으로 촬영해야 한다. 그다음에는 증거에 초점을 맞춘다. 멀리서, 중간 거리에서, 근접해서 증거를 촬영하면 나중에도 증거의 주변 환경을 알 수 있다. 이때 각 증거 사진은 증거를 찾았을 때의 상태를 명확하게 보여줄 수 있어야 한다. 특히 증거를 식별할 수 있는 정보, 즉 시리얼 번호, 손상상태, 연결 등에 주의를 기울이고 사진으로 남겨야 한다. 사진을 촬영할 기회는 단 한 번밖에 없다는 점을 항상 기억해야 하고, 의심스러운 것이 있으면 더 많은 사진을 촬영해둔다.
자(ruler)를 사용해 증거에 대해 특정 관점을 제공할 수 있다. 이를 통해 특정 증거의 크기를 알 수 있다. 이때 중요한 점은 현장에서 자나 다른 물체를 가져다 두기 전에 먼저 현장 그대로를 기록해 놔야 한다.
사진은 발견된 상태로의 증거와 현장을 묘사하는 데 사용되고 노트의 보조자료로 활용할 수 있고, 법정에서 증언할 때 사진은 기억을 되살리는 데 사용된다.
: 증거에 대한 사진을 찍으면서 하는 행동과 발견한 잠재적 증거를 상세히 기록해야 한다. 적는 것에는 특별한 표준은 없고 도착한 시간, 현장에 있던 사람, 누가 무엇을 했는지, 증거를 누가 찾아서 수집했는지 등에 대해 기록하면 좋다.
노트에 적은 내용이 사건과 관련된 다른 사람에게도 연관이 있을 수도 있다. 따라서 최초의 관찰을 기반으로 해서 결론을 내거나 그 어떤 것도 추측하지 않는 것이 중요하다. 이 노트는 현장에서 한 행동과 관찰한 내용에 초점을 맞춰서 유지하는 것이 최선이다. 분석한 후에 해석과 결론을 하는 것이 훨씬 더 좋은 방법이다.
: 모든 증거가 법정으로 보내지기 전에 여러 개의 엄격한 법적 요구사항을 반드시 충족해야 한다. 그중 하나는 기록이 잘 유지된 연계보관성(chain of custody)이다. 증거로 압수된 컴퓨터는 법정에서 증거로 채택되기 전까지 여러 사람의 손을 거친다. 이 모든 반출입 과정을 기록하고 유지해야 한다. 상세하게 문서화하지 않으면 증거의 신뢰도가 떨어져 법정에서 증거로 채택되지 않을 수도 있다.
: 연계보관성의 첫 번째 연결고리는 증거를 수집한 사람이다. 증거를 수집하면 먼저 표시를 한다. 일반적으로 증거는 이니셜, 날짜, 사건 번호 등으로 표시한다. 유성펜을 사용해 표시된 부분이 흐려지거나 사라지지 않도록 한다. 이러한 표시는 법정에서 증거를 인증하는 데 도움이 된다.
작은 증거들은 보통 봉투에 담아서 증거가 함부로 개봉될 수 없게 봉인한다. 봉인에는 이니셜과 날짜를 기록한다. 이러한 봉투는 일반적으로 종이, 플라스틱, 특수 정전기 방지 물질로 만들어진다. 정전기 방지 물질은 정전기로 인해 하드 드라이브에 있는 민감한 정보가 손상되는 것을 방지하는 데 도움이 된다.
: 포렌식 클론(forensic clone) 또는 비트 스트림 이미지(bit stream image)는 비트 하나 틀리지 않고 똑같은 하드 드라이브의 복사본이다. 굳이 이런 방법이 아닌 "파일을 복사해서 붙여 넣으면 되지 않나?"라고 생각할 수 있다. 먼저 복사하고 붙여 넣으면 활성 데이터만 복사되어 사용자가 접근할 수 있는 데이터에만 접근이 가능하다. 또한, 삭제된 데이터나 부분적으로 덮어써진 데이터와 같이 할당되지 않은 공간에 있는 데이터를 가져올 수 없다. 마지막으로 파일 시스템 데이터를 복사할 수 없다. 따라서 단순히 복사만 하면 조사 결과는 비효율적이고 완전하지 않게 된다.
용의자의 하드 드라이브는 최대한 빨리 클론해야 한다. 하드 드라이브 클로닝 과정은 많은 시간이 소요되므로 현장보다 랩에서 클로닝 하는 것이 더 안정적인 환경에서 작업할 수 있고, 클로닝 과정을 더 잘 통제할 수 있어서 훨씬 좋다.
컴퓨터를 현장에서 가져가기 전에 법적으로 허가를 받아야 한다. 다만 민사소송의 경우 하드웨어를 랩으로 가져갈 수 없고, 현장에서 클로닝을 실시해야 한다.
: 디지털 증거는 휘발성이 매우 강해서 정말 위급하거나 다른 방법이 없는 경우를 제외하고 증거 원본을 직접 조사하면 안 된다. 클론을 사용해서 조사를 하면 뭔가 잘못되었을 때 다시 원본 상태로 되돌릴 수 있다. 가능하다면 드라이브 원본은 안전한 장소에 보관해야 하며 필요할 때만 다시 꺼내야 한다.
: 하드 드라이브 클로닝 과정은 간단하다. 일반적으로 하나의 하드 드라이브를 다른 하드 드라이브에 복사한다. 용의자의 드라이브는 소스 드라이브이고, 클로닝 하는 드라이브는 데스티네이션(destination) 드라이브이다. 데스티네이션 드라이브는 적어도 소스 드라이브와 동일한 크기이거나 커야 한다. 정확한 용량의 드라이브를 사용하는 것은 도움이 된다.
클론하려는 소스 드라이브는 보통 컴퓨터에서 탈착되어 있다. 그 다음에 드라이브를 케이블로 클로닝 장비나 다른 컴퓨터에 연결한다. 시작하기 전에 쓰기 방지를 사용하는 것이 중요하다. 쓰기 방지는 의도치 않게 원본 증거가 변조되는 것을 예방할 수 있다. 하드웨어 쓰기 방지 장비는 소스 드라이브와 클로닝 장비 사이에 부착해야 한다.
용의자의 드라이브를 클로닝하기 전에는 데스티네이션 드라이브가 반드시 포렌식적으로 초기화되어 있어야 한다. 대부분의 포렌식 이미지 툴은 이 드라이브를 초기화했다는 문서를 생성할 것이고, 이 문서는 사건 파일의 일부가 된다.
클로닝이 시작되고 끝났을 때 소스와 클론의 해시 값이 일치하면 클로닝이 성공한 것을 알 수 있다.
: 포렌식적으로 초기화된 매체는 클론이 생성되었을 때 드라이브에 아무런 데이터가 없다고 증명된 드라이브이다.
: 클로닝 과정의 최종 산출물은 소스 하드 드라이브의 포렌식 이미지(forensic image)다. 클론은 몇 가지 다른 파일 형식으로 저장될 수 있고, 파일 확장자로 보통 판단한다. 아래 목록은 일반적인 포렌식 이미지 형식이다.
형식마다 차이는 있을 수 있지만 포렌식 관점에서는 모두 동일하다. DD 형식은 오픈소스이고, AD1 형식은 특정 업체의 고유 형식이다. 대부분의 포렌식 조사 툴은 여러 개의 이미지 형식을 읽고 쓸 수 있다. 작업에서 사용될 툴은 이러한 이미지를 읽을 수 있어야 한다. 또한, 다른 조사관과 이미지 파일을 교환해야 하므로 호환성도 고려해야 한다.
: 세도나 컨퍼런스(Sedona Conference)는 디지털 증거제시제를 아래와 같이 정의했다.
"법적인 관점에서 전자적으로 저장된 정보를 식별, 보존, 수집, 준비, 검토 및 생산하는 과정이다. (Sedona Conference, 2010)
잠재적으로 관련 있는 데이터를 보존하는 것은 디지털 증거제시제에 있어 매우 중요하다. 포렌식 클로닝은 이동식 매체를 보존하는 방법 중 하나다. 이는 활성데이터뿐만 아니라 특정 매체에 있는 모든 데이터를 보존할 수 있다. 다만 클로닝의 단점은 비용이 높고 모든 상황에서 사용할 수는 없다는 것이다.
: 지금까지는 전원이 꺼져있는 기기에 대해서 살펴봤다. 만약 실제 작동중인 컴퓨터가 있다면 어떻게 해야 할까? 기존의 해결책은 단순히 플러그를 뽑아 컴퓨터의 전원을 즉시 차단하는 것이다. 오늘날에는 이러한 방법에 대해 의구심을 가지는 사람들이 늘어나고 있다. 작동중인 컴퓨터의 플러그를 뽑아서는 안 되는 근거들이 많이 있기 때문이다.
: 특정 사람이 실행 중인 컴퓨터에서 작업을 하게 되면 더 많은 것이 변경되어 버린다. 이러한 상황에서 플러그를 뽑는 것은 매력적인 옵션이 될 수밖에 없었다. 하지만 단순히 플러그를 뽑는 것에는 커다란 단점이 있다.
첫 번째로, 플러그를 뽑으면 RAM에 있는 모든 증거는 파괴될 수 있다. RAM에 있는 데이터는 전력 공급이 중단되면 서서히 사라진다. 메모리에 전력 공급이 중단된 후에도 데이터 보존할 방법이 존재하나 아직 널리 도입되고 있지는 않다.
RAM에 있는 증거 보존하기
프린스턴 대학의 연구에 의하면 RAM에 있는 데이터는 사라지기 보다는 "흐려진다"라고 이야기 하는 것이 더 정확하다. 이러한 "흐려짐"은 RAM의 온도를 영하 50도로 낮추면 더욱 느리게 진행된다. 이 방법을 사용하면 휘발성 데이터를 수집할 수 있는 시간이 더 생긴다. 아래의 링크에서 이러한 테크닉을 사용하는 것을 볼 수 있다.
http://www.youtube.com/watch?v=JDaicPlgn9U
두 번째는 암호화다. 시스템이 켜져 있는 동안에는 시스템이나 파일이 암호화되어 있지 않을 수도 있지만, 전원을 끊어버리면 다시 암호화 상태로 돌아갈 수 있다. 이 경우 잠재적으로 그 증거를 절대 찾지 못할 수도 있다.
세 번째는, 갑자기 전원 공급이 중단되면 데이터가 손상되어 읽지 못하게 될 수도 있다.
네 번째는, 일부 증거는 컴퓨터가 제대로 시스템 종료되기 전까지는 드라이브에 기록되지 않을 수도 있다.
최근에는 플러그를 뽑는 방법 대신 안전한 방법으로 휘발성 메모리를 캡쳐할 수 있는 툴과 기술들이 나왔다.
: 오늘날에는 조사관들이 휘발성 데이터를 수집할 때 사용할 수 있는 다양한 상업용 및 오픈소스 툴이 출시되었다. 물론 이러한 툴이 프로세스를 단순화 시켜주지만 제대로 사용하기 위해서는 훈련과 교육이 필요하다.
: 현장에 도착했을 때 작동 중인 컴퓨터를 보면 일단 "잠재적 증거를 시간과 노력을 투자해 복원할만한 가치가 있는 것인가?" 라는 질문을 해야 한다. 예를 들면 악성코드와 관련된 사건은 RAM에 있는 데이터가 핵심적이지만 아동 포르노 소지와 같은 경우는 RAM을 조사하는 것은 별 가치가 없을 것이다.
그 다음으로, "필요한 자원을 사용할 수 있는가?" 라는 질문을 해야 한다. 메모리에 있는 증거를 수집하기 위해서는 특수 툴이 필요하고 교육도 받아야 한다. 본인의 능력 밖의 일인지 도움을 청해야 하는 일인지 인지하는 것은 중요하다.
라이브 포렌식을 할 때에는 최대한 "침입성"이 적은 방법을 선택하는 것이 좋다. 클릭 하기 전에 미리 생각해두는 것이 좋고, 휘발성이 가장 강한 증거 먼저 수집해야 한다.
RAM에 있는 증거
컴퓨터의 휘발성 메모리(RAM)에는 현재 실행 중인 프로세스, 실행된 콘솔 명령어, 암호화되지 않은 비밀번호, 암호화되지 않은 데이터, 메신저 내용, IP 주소, 악성코드 등 다양하고 중요한 증거가 저장되어 있을 수도 있다.
: 한번 시작하면 과정이 완료되기 전에는 방해를 받지 않고 작업해야 한다. 시작하기 전에 보고서 형식, 펜, 메모리 데이터 수집 툴 등 필요한 모든 것을 준비해둔다. 컴퓨터에서 하는 모든 작업은 기록해야 한다.
노트에는 우리가 어떤 키를 눌렀는지도 기록해야 한다. 컴퓨터 화면이 보이면 가장 먼저 확인해야 할 것은 컴퓨터의 날짜와 시간이다. 다음으로 아이콘과 실행 중인 프로그램을 기록한다. 어떤 프로세스가 실행 중인지 기록해두면 컴퓨터에 어떤 악성코드가 작동 중인지 식별하는 데 도움이 된다.
그 이후에는 검증된 메모리 캡처 툴을 사용해 RAM에 있는 휘발성 증거를 수집할 차례다. 이 단계가 완료되면 컴퓨터를 끄고 과정을 종료한다. 컴퓨터를 끄면 실행 중인 프로그램이 디스크에 흔적을 남길 수 있게 해 차후에 이런 데이터를 복구할 수 있게 된다.
: 클론한 드라이브가 증거 드라이브를 완벽히 복사한 것인지는 해시 값으로 알 수 있다. 해시는 암호화 해시 알고리즘으로 생성된 값이다. 해시 값(함수)은 암호화와 증거의 무결성을 증명하는 것을 포함해 다양한 용도로 사용된다. 일반적으로 해시 값은 "디지털 지문"이나 "디지털 DNA"라고 불린다. 하드 드라이브를 약간만 수정해도, 즉 비트 하나만 바꿔도 완전히 다른 해시 값이 나와서 증거 조작 시에는 바로 탐지가 가능하다.
: 많은 종류의 해시 알고리즘이 있다. 디지털 포렌식에서 가장 일반적으로 사용되는 해시 함수는 MD5(Message Digest 5)와 SHA(Secure Hashing Algorithm) 1 또는 2다.
: 이 예시에서는 SHA1을 이용한다. 해시 값 확인은 www.wolframalpha.com/ 에서 확인할 수 있다. 확인하는 방법은 사용하고 싶은 해시 함수(MD5, SHA1 등)를 입력하고 스페이스를 입력한 다음 문자열을 입력하면 된다.
이 문구에서 "D"를 "d"로 수정하고 다시 해시 값을 구하면 아래와 같이 해시 값이 상당히 변한 것을 볼 수 있다.
: 해시 값은 디지털 포렌식 과정 전반에서 사용할 수 있다. 클로닝 과정 후에 클론된 것이 정확한 복사본인지 확인하는 곳에 사용될 수도 있고, 필요 시에는 무결성을 확인할 때에도 사용할 수 있다.
수사 전반에 걸쳐 생성되고 기록되었던 모든 해시 값은 최종 보고서에 포함되어야 한다. 이러한 디지털 지문은 증거의 무결성을 증명하는 데 핵심적이고 법정에서 증거로 채택될 수 있도록 해준다.
: 분석 최종 단계에서 조사관은 작업 내용, 발견한 내용, 결론 등에 대해 자세하게 최종 보고서를 작성해야 한다. 이상적으로는 보고서를 읽는 사람이 누구인지를 고려해 최종 보고서를 작성해야 한다. 일반인들이 보고서에 있는 정보를 이해할 수 있도록 하는 것이 매우 중요하다.
EnCase 및 FTK와 같은 주요 포렌식 툴들에는 강력한 보고서 작성 기능이 있고 여러 정보를 원하는 대로 수정할 수도 있다. 자동으로 작성된 보고서에 있는 정보는 최종 보고서에 포함해야 하지만 일반인들이 이해하기 어려워한다는 점에서 단독 보고서로 제출하기는 어렵다.
훌륭한 보고서에는 툴이 작성한 표준 보고서보다 훨씬 많은 내용이 포함되어 있다. 최종 보고서에는 조사관이 실제로 한 행동에 대해 모두 설명하고 있어야 한다. 사건현장에 있었다면 그 내용부터 포함시켜야 한다. 조사 과정을 충분히 문서화해 다른 조사관이 그 과정을 반복할 수 있어야 한다.
[ Chapter 8 ] 인터넷과 이메일 (0) | 2021.01.24 |
---|---|
[ Chapter 5 ] 윈도우 시스템에서의 증거 수집 (0) | 2021.01.22 |
[ Chapter 3 ] 랩과 툴 (0) | 2021.01.15 |
[ Chapter 2 ] 핵심적인 기술 개념 (1) | 2021.01.10 |
[ Chapter 1 ] 소개 (1) | 2021.01.04 |
댓글 영역