[ Chapter 10 ] 휴대기기 포렌식

Chapter 10의 소 주제로는 셀룰러 네트워크와 작동원리, 휴대폰 운영체제 소개, 휴대폰에 있는 잠재적 증거, 증거로써의 휴대폰 수집 및 처리, 휴대폰 포렌식 툴, 내비게이션의 기능과 잠재적 증거가 있다.

 

휴대폰이나 내비게이션 같은 소규모 휴대기기는 주변에서 손쉽게 발견할 수 있다. 이러한 기기는 거의 포켓 컴퓨터나 마찬가지고, 수많은 잠재적 증거가 저장되어 있을 수 있다. 디지털 포렌식은 이러한 기기를 다룰 때 일반 컴퓨터와 동일한 수준의 능숙함이 반드시 필요하다. 10장에서는 휴대폰과 내비게이션이 동작되도록 하는 기술에 대해 살펴볼 것이고 어떠한 잠재적 증거가 있을지도 살펴볼 것이다.

[ 셀룰러 네트워크 ]

증거는 휴대폰이나 메모리카드 외에도 네트워크 자체에서도 발견할 수 있다. 조사관으로서 기본적인 셀룰러 네트워크와 증거가 있을 만한 위치를 이해하고 있어야 한다.

 

셀룰러 네트워크는 여러 개의 셀(cell)로 이루어져 있다. 각 셀은 사전에 정해진 주파수 범위를 사용해 특정 지역에 서비스를 제공한다. 각 셀의 크기와 모양은 서로 다르다. 어떤 지형인지 특히 장애물이 있는지는 제한 요소이다. 아래 사진은 일반적인 셀룰러 네트워크의 레이아웃을 나타낸 것이다. 

https://en.wikipedia.org/wiki/Cellular_network

각 셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 엄밀하게 통제된다. 범위를 제한해 서비스 제공자는 그들이 사용할 수 있는 제한적인 주파수를 재활용할 수 있게 된다.

 

각 셀에는 기지국이 있고 기지국에는 안테나와 관련된 라디오 장비가 있으며 이를 통틀어 셀 사이트(cell site)라고 한다. 셀 사이트는 각 셀이 네트워크에 연결될 수 있게 한다. 일반적으로 각 셀 타워는 각 측면마다 3개의 패널이 부착되어 있다. 가운데에 있는 패널은 보통 송신기로 사용하고, 나머지 2개는 수신기로 사용한다. 수신기 패널은 지속적으로 라디오 신호를 탐지한다. 셀 사이트는 각 셀의 정가운데에 위치하지 않고 여러 셀의 교차로에 위치해 가입자가 하나의 셀에서 다른 셀로 이동하기 쉽도록 한다.

< 셀룰러 네트워크 구성요소 >

포렌식적으로 셀룰러 네트워크의 구성요소는 수사와 관련이 있는 정보를 제공해줄 수 있다.

 

기지국은 안테나와 관련 장비로 구성되어 있다.

 

기지국 제어기(Base Station Controller, BSC)는 기지국 사이의 신호를 조절한다.

이 기능은 휴대폰의 위치가 이동될 때 핵심적인 역할을 한다.

 

기지국 교환센터(Mobile Switching Center, MSC)는 네트워크 안에서 발생한 통화를 처리한다. 또한 무선 네트워크의 핵심 요소로서 엄청난 양의 증거가 잠재적으로 저장되어 있을 수 있다. 다른 무선 네트워크나 유선전화의 통화를 조절하고 문자 메시지를 처리하며, 통화 기록과 로그도 여기서 수집할 수 있다.

 

방문자 위치 등록기(Visitor Location Register, VLR)는 기지국 교환센터에 연결되어 있는 데이터베이스이다.

 

인터네트워크 기능은 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할을 한다.

 

가입자 식별 정보, 휴대폰요금 청구, 사용하는 서비스, 기기의 현재 위치 등의 가입자의 정보는 홈 위치 등록기(Home Location Register, HLR)에 수집된다. 또한 암호화 키를 제공하고, 인증 센터(Authentication Center, AuC)를 지원하며 네트워크로의 접근을 제어하는 데 사용된다. 인증 센터는 연결을 조사해 승인되지 않은 사용자를 차단한다.

 

문자 메시지 또는 SMS 메시지는 단문 메시지 서비스 센터(Short Message Service Center, SMSC)의 몫이다. 단문 메시지 서비스 센터에서 문자 메시지를 수집할 수 있다. 하지만 이러한 정보를 보관해야 한다는 법안은 없기 때문에 얼마나 보관해야 하는지는 개별 사업자에게 달려있다. 

 

휴대폰은 통화를 하지 않아도 주변의 셀룰러 안테나와 주기적으로 통신을 한다. 휴대폰을 켜면 자동으로 가장 가까이에 있는 셀 사이트를 검색하고, 안테나를 찾으면 식별 정보를 전송해 우리가 누구인지, 접근 인가가 있는지 검증한다.

 

이동 중이라면 네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전되는 "핸드오프(handoff)"가 일어난다. 핸드오프는 신호의 강도가 약해지기 시작하면 일어난다. 모든 핸드오프는 동일하게 처리되지 않는다. 처리하는 방식으로는 하드 핸드오프와 소프트 핸드오프가 있다. GSM(세계 무선 통신 시스템)은 하드 핸드오프 방식을 사용한다. 휴대폰은 한 번에 하나의 타워에 접속할 수 있다. 현재 타워에서 통화를 하고 있다면 그 통화는 새로운 타워로 이전된다. 그리고 휴대폰은 새로운 타워의 주파수로 전환된다. 그에 반해 CDMA는 소프트 핸드오프 방식을 사용한다. 이 경우 휴대폰은 여러 개의 타워에 동시에 접속할 수 있고 그중에서 가장 신호가 강한 타워를 사용한다.

 

통화가 셀 타워에 도착하면 그 통화는 기지국 교환센터로 이전된다. 만약 이 통화가 네트워크 외부로 연결해야 할 때는 기지국 교환센터에서 공중 전화망(Public Switched Telephone Network, PSTN)으로 통화가 넘겨진다. 그러면 공중 전화망은 해당 수신자에게 통화를 돌린다.

 

난청 지역에서는 휴대폰이 끊기거나 신호가 잡히지 않는다. 난청 지역은 연결이 안 되는 곳이나 신호를 방해하는 대형 빌딩, 산, 커다란 나무 등이 있어서 발생한다. 휴대폰은 셀 타워로의 명확하고 방해가 없는 경로에 의존하고 있다.

 

휴대폰은 단문 메시지 서비스(Short Message Service, SMS)와 멀티미디어 메시지 서비스(Multimedia Messaging Service, MMS) 두 가지 문자 메시지 종류를 지원한다. SMS는 메시지 길이의 제한이 있다. SMS 메시지의 길이는 160문자를 넘을 수 없다. MMS는 SMS보다 개선된 기능을 제공하고, MMS 메시지에는 이러한 길이 제한이 없다.

< 셀룰러 네트워크의 종류 >

셀룰러 네트워크는 어떻게 데이터를 전송하는지에 따라 분류되거나 정의될 수 있다. 데이터 전송 방식에는 코드 분할 다중 접속, 세계 무선 통신 시스템, 통합 디지털 확장 네트워크가 있다.

- 코드 분할 다중 접속(CDMA)

: CDMA는 주파수 기술을 사용해 데이터를 전송한다. 이 기술은 하나의 채널로 여러 대의 휴대폰이 데이터를 송수신할 수 있도록 해 각 휴대폰 통화가 특정 디지털 코드로 표시되게 한다. CDMA 기술로 서비스를 제공하는 업체는 스프린트(Sprint), 버라이존(Verizon), 올텔(AllTel), 넥스텔(NEXTEL), SKT, LG U+, KT 등이 있다. CDMA 휴대폰은 일반적으로 SIM 카드를 사용하지 않고, 장치일련번호로 휴대폰을 식별한다.

- 세계 무선 통신 시스템(GSM)

: 국제적인 특성을 가진다. GSM은 시분할 다중접속 기술을 사용한다. 전 세계적으로 가장 많이 사용하는 데이터 전송 방식이고, CDMA와는 다르게 GSM 휴대폰은 SIM 카드를 사용한다. GSM 통신업체는 AT&T, 버라이존, 셀룰러 원 등이 있다. 국제 이동 단말기 번호(International Mobile Equipment Identity, IMEI)를 사용해 휴대폰을 식별한다.

- 통합 디지털 확장 네트워크(IDEN)

: IDEN은 양방향 라디오 같은 기능을 제공한다. GSM 휴대폰과 마찬가지로 SIM 카드를 사용한다.

IDEN 통신업체로는 넥스텔, 스프린트, 부스트모바일 등이 있다.

- 선불 휴대폰

: 선불 휴대폰 역시 라디오 신호를 사용해 데이터를 전송하고 네트워크에 연결하는 점에서 다른 휴대폰과 동일한 방식으로 작동한다. 하지만 선불 휴대폰은 사용자를 식별하기 위해 많은 노력이 필요하다는 점에서 일반 휴대폰과 차이가 있다. 선불 휴대폰은 완전히 현금으로 구매할 수 있어 아무런 흔적이 남지 않는다. 이 경우 누가 구매했는지 알기 어려워진다. 하지만 다른 휴대폰과 마찬가지로 휴대폰을 사용한 위치와 통화내역을 확인할 수 있다. 포렌식에 필요한 정보는 가입자 정보를 가진 휴대폰 제공자와 통화기록내역을 가진 네트워크 제공자, 두 곳의 업체에서 가지고 있다.

[ 운영체제 ]

모든 포렌식 조사에 있어서 휴대폰의 운영체제는 커다란 영향을 미친다. 운영체제가 어떠한 흔적을 남기고 어떻게 그러한 흔적이 저장되는지 결정한다. 오늘날 휴대폰의 운영체제는 심비안, 애플의 iOS, 윈도우 CE, 윈도우 모바일, 구글의 안드로이드, 블랙베리 OS 등이 있다.

 

심비안 OS는 노키아, 에릭슨, 모토로라, 사이온이 합작으로 만든 운영체제다. 소니에릭슨은 2000년에 최초로 심비안 기반의 휴대폰을 출시했고, 2008년에는 노키아가 이 운영체제에 대한 권한을 샀다. 최근에는 노키아가 심비안을 오픈소스로 전환했다. 오늘날에는 심비안이 노키아와 소니에릭슨의 휴대폰에서 사용되고 있다.

 

블랙베리는 1999년에 리서치 인 모션(Research In Motion, RIM)이라는 캐나다 회사에 의해 처음으로 개발되었다. 블랙베리 휴대폰은 노벨의 그룹와이즈(GroupWise) 및 마이크로소프트의 익스체인지(Exchange)와 동기화가 가능해서 이메일, 달력 등을 처리하는 데 매우 능숙하다. 블랙베리 OS는 다양한 종류의 응용프로그램과 멀티태스킹을 지원한다. 이 운영체제는 고유 운영체제로 통신업체마다 버전이 다르다.

 

안드로이드는 오픈소스 운영체제로 현재 오픈 핸드센 얼라이언스(Open Handset Alliance)가 개발 중이다. 오픈 핸드셋 얼라이언스는 "84개의 IT 및 휴대기기 업체로 구성되어 있고 휴대기기에서의 혁신을 가속화하고 소비자에게 더 저렴하고 강력하고 더 나은 휴대기기 경험을 제공하는 것이 목적"이라고 말했다. 회원 중에는 스프린트(Sprint), T 모바일(T-Mobile), LG 전자, 교세라(Kyocera), 모토로라, 구글, 이베이 등이 있다. 안드로이드에는 핵심 기능을 확장시켜 주는 수천 개의 응용프로그램이 있다. 안드로이드는 모토로라, 소니 에릭슨, HTC에서 생산하는 휴대폰에 탑재되어 있다.

 

애플의 iOS는 아이폰, 아이패드, 아이팟 터치 등에서 만나볼 수 있다. iOS는 Mac OS X를 기반으로 만들어졌다. 아이폰은 애플의 앱 스토어에서 구매/다운로드할 수 있는 수많은 앱을 활용한다.

 

윈도우 모바일은 마이크로소프트가 스마트폰 및 휴대기기 시장에 내놓은 운영체제다. 다른 경쟁사 제품과 마찬가지로 윈도우 모바일은 다양한 종류의 앱을 지원한다.

[ 휴대폰 증거 ]

아래의 표는 오늘날 스마트폰에서 수집할 수 있는 증거의 목록이다.

통화기록	문자 메시지	이메일
사진 및 동영상	삭제된 문자 메시지	브라우저 기록
연락처	위치 정보	채팅 세션
달력	음성 메모	문서

개인 식별 번호(Personal Identification Number, PIN)는 휴대폰의 보안을 강화하는 데 사용된다. PIN을 세 번 연속 틀리면 잠금 상태가 되고, 이를 해지하기 위해서는 개인 해제 키(Personal Unlock Key, PUK)가 필요하다. 일반적으로 PUK는 SIM 카드 제공자만이 지급할 수 있다. 

 

자동 완성 기능은 단어 예측(predictive text) 기능을 사용한다. 단어 예측은 원래 키보드가 없는 휴대폰에서 문자를 좀 더 쉽게 입력할 수 있도록 개발되었다. 단어 예측은 수천 개의 단어, 이럼, 약어, 속어 등을 저장하고 있는 데이터베이스 사전을 기반으로 한다. 

 

포렌식 관점에서 이러한 시스템에서 가장 흥미로운 것은 학습 기능이다. 단어, 약어, 속어 등 사용자가 입력하는 것이 데이터베이스에 동화된다. 이메일 주소, URL 역시 저장될 수 있다. 이러한 데이터베이스는 증거가 될 수 있다. Tegic Communication, T9, 모토로라의 iTap, ZiCorp의 eZiText 등의 많은 업체가 이러한 기술을 생산한다. 

< 통화내역기록 >

통화내역기록(Call Detail Records, CDR)은 통신업체가 보통 문제를 해결하고 네트워크의 성능을 개선하기 위해 사용한다. 이러한 통화내역기록에는 아래와 같은 정보가 저장되어 있다.

• 통화 시작 및 종료 날짜와 시간
• 휴대폰을 건 사람과 받은 사람
• 통화시간
• 휴대폰을 한 것인지 받은 것인지
• 통화 시작 타워와 종료 타워

통화내역기록으로 많은 정보를 얻을 수 있지만 누가 실제로 통화를 했는지는 알 수 없다.

 

요청하는 것이 무엇인지를 정확히 이해해야 한다. 통화내역기록과 가입자 정보는 다른 것이다. 일반적으로 가입자 정보는 이름, 주소, 휴대폰 번호, 계정 번호, 이메일 주소, 이용 중인 서비스, 통화료 지불 수단 등이 포함된다. 모든 통신업체는 이러한 기록을 일정 기간 유지하고, 데이터 보존 정책에 기간이 명시되어 있다. 

 

모든 데이터에 동일한 보존 기간이 적용되지 않는다. 기록이나 데이터를 수집하기 위한 시간은 무한대로 있지 않다.

 

보통 통신업체는 요금 청구와 기타 목적을 위해 가입자와 그들의 활동에 대한 많은 기록을 유지한다. 이러한 기록에는 가입자 이름, 주소, 추가 휴대폰 번호, 주민등록번호 등이 있다. 파일에 있는 신용카드 정보로는 요금 청구 주소, 신용카드번호 등을 알아낼 수 있다. 이 정보들은 수사에 많은 도움이 된다.

 

통화내역기록은 통화의 각 내역을 묘사한다. 사용료 기록은 유선 전화 정보, 통화내역기록은 휴대폰에 대한 정보다. 통화내역기록을 요청할 때는 반드시 특정 날짜 범위를 명시해야 한다. 요청 범위를 조금 넉넉히 잡아서 앞 뒤로 하루, 이틀을 더 추가하는 것이 좋다. 통화내역기록을 타워의 물리적 주소와 결합해 사용하면 통화가 시작된 위치와 통화가 끝난 위치를 알 수 있다. 이러한 기록에는 사용된 셀 사이트, 통화시간, 통화 시작 시간, 대상 휴대폰이 다이얼한 번호 등이 있다.

 

정확도는 차이가 나지만 아래의 몇 가지 방법으로 휴대폰의 위치를 측정할 수 있다.

1. 삼각 측량(triangulation): 세 개의 서로 다른 타워로부터 휴대폰과의 거리를 측정해 휴대폰의 대략적인 위치를 파악한다. 거리는 휴대폰에서 세 개의 타워로 신호를 보낼 때 지연되는 시간을 바탕으로 계산한다.
2. 방향 안테나를 측정 용도로 사용: 삼각 측량 방법과 마찬가지로 신호의 지연 시간을 바탕으로 거리를 측정하지만 방향을 판단할 수 있어 세 개의 타워 대신에 두 개의 타워만을 사용한다.
3. GPS를 통해 위도와 경도를 파악한다.

< 휴대폰 증거 수집 및 처리>

휴대폰을 증거로 다룬다면 네트워크로부터 휴대폰을 고립시켜야 한다. 원격으로 휴대폰의 데이터가 모두 삭제될 위험이 있고, 새로 걸려오는 휴대폰, 이메일, 메시지 등이 잠재적인 증거를 덮어쓸 수도 있다. 아래의 사진과 같은 패러데이 봉투나 캔으로 휴대폰을 효과적으로 고립시킬 수 있다.

https://korean.alibaba.com/product-detail/emp-faraday-bag-for-cell-phones-60480806370.html

휴대폰 수집 시 전원이 켜져 있으면 그대로 둔다. 휴대폰의 전지가 완전히 방전되는 것을 예방하기 위해 랩으로 가는 시간이 많이 소비되면 휴대폰을 끄는 것을 고려해도 된다. 휴대폰이 켜져 있으면 네트워크 연결 시도를 계속해 전지가 더 빨리 방전되기 때문이다. 전지가 완전히 방전되면 보안 기능이 작동되어 휴대폰이 잠길 수 있다. 

 

휴대폰이 꺼져 있을 경우 전지를 꺼내고 SIM 카드에 표시를 한다. 또한, 휴대폰의 앞, 뒤를 사진으로 남긴다. 이 과정에서 전지 밑의 번호(IMEI, ESN/MEID)를 유의 깊게 봐야 한다. 전원이 켜져 있는 휴대폰과 마찬가지로 전원이 꺼져 있더라도 휴대폰을 고립시켜야 한다.

 

포렌식 조사 전 휴대폰의 모델을 확인하는 것이 중요하다. 이 정보는 휴대폰의 기능, 특징, 능력을 이해하는 데 도움을 준다. 모델 정보는 휴대폰 전지 밑이나 휴대폰의 파일 시스템에서 확인할 수 있다.

 

컴퓨터와 마찬가지로 원본 증거는 최후의 수단으로 직접 접근하거나 조사해야 한다. 이상적으로는 포렌식 툴로 데이터를 가져와서 복사본으로 조사관이 작업을 해야 한다. 하지만 원본 증거를 직접 조사해야 하는 것이 유일한 대안일 경우, 원본을 조사해야 하는 타당한 근거를 제시해야 한다. 문서를 상세히 남기면 증거의 무결성을 확립하는 데 도움을 준다. 수동으로 조사하는 것을 문서화할 때는 디지털 증거 자체의 문서보다 사진에 더 많은 의존성이 있기 때문에 조사관이 모든 작업을 사진으로 남긴다. 

 

음성 메시지는 중요한 증거 중 하나다. 일반적으로 음성 사서함에 접속하기 위해서는 통신업체로부터 비밀번호 재설정 코드를 요청해야 한다. 음성 메시지는 통신업체가 접속번호를 제공하거나 데이터 자체를 제공하는 방법으로 수집할 수 있다. 이러한 내용은 처음부터 통신업체와 협의해야 한다.

 

현장에서는 다른 휴대폰, SIM 카드, 관련 전원 케이블, 데이터 케이블을 확인해야 한다. 전원 케이블은 랩에서 휴대폰을 수집하고 조사할 동안에 휘발성 메모리가 사라지지 않도록 보장한다.

< SIM(Subscriber Identity Modules) 카드 >

SIM 카드에는 수많은 정보가 저장되어 있어 SIM 카드는 중요한 증거가 될 수 있다.

 

그중 유용한 정보는 첫 번째로 국제 이동 가입자 식별자(International Mobile Subscriber Identity, IMSI)다. IMSI는 가입자의 계정 정보와 서비스를 식별하는 데 사용된다. 두 번째로 SIM 카드 자체의 시리얼 번호인 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID)다. 이 외에도, SIM 카드에는 아래와 같은 정보들이 저장되어 있다.

• 사용자 식별 정보(IMSI)
• 서비스 제공 업체
• 카드 식별 정보(ICC-ID)
• 언어 설정
• 휴대폰의 전원이 꺼진 곳의 위치
• 사용자가 저장한 휴대폰 번호
• 사용자가 건 휴대폰 번호
• SMS 문자 메시지(없을 수도 있음)
• 삭제된 SMS 문자 메시지(없을 수도 있음)

SIM 카드는 프로세서(CPU), RAM, 플래시 기반의 휘발성 메모리, 암호화 칩 등 여러 개의 구성요소로 이루어져 있다. 

 

개인 식별 번호(Personal Identification Number, PIN)로 SIM 데이터를 보호할 수 있다. PIN은 보통 4~8자리 숫자다. 추가 보안 사항으로 정확한 PIN을 입력할 기회는 딱 세 번 밖에 없다. 세 번 동안 정확한 PIN을 입력하지 않으면 데이터는 8자리 PUK(Pin Unblocking Key)로만 접근할 수 있다. PUK을 입력하는 횟수도 제한되어 있다. 따라서 시도 횟수를 초과해 실패했다면 SIM 카드는 PUK로의 접근을 영구적으로 차단한다.

< 휴대폰 수집: 물리적 및 논리적 >

휴대폰에 있는 데이터는 물리적 방법과 논리적 방법으로 수집될 수 있다. 물리적 방법은 물리적 저장매체에 있는 모든 데이터를 캡처한다. 이 방법은 삭제된 정보를 캡처할 수 있다. 그에 반해 논리적 방법은 삭제된 데이터를 가져오지는 못하고 파일과 폴더만 캡처한다. 데이터는 휴대폰을 백업하거나 동기화하는 일반 툴을 사용해서 수집할 수도 있다. 이 경우 하드 드라이브에 있는 데이터를 수집할 때와는 다른 점이 쓰기 차단 기기가 사용되지 않는다. 휴대폰의 하드웨어와 소프트웨어 사이에 데이터 교류가 있어야 작동하기 때문이다.

 

포렌식 툴과 기술이 최신 기술을 따라잡지 못할 때는 무결성을 보존하지 못하고 데이터를 가져온다.

[ 휴대폰 포렌식 툴 ]

휴대폰을 포렌식적으로 조사할 수 있게 하는 다양한 툴은 하드웨어가 될 수도 있고, 소프트웨어가 될 수도 있다. 하지만 현실적으로 단 하나의 툴이 모든 휴대폰을 지원하지 않고, 똑같은 휴대폰을 지원하는 서로 다른 툴을 사용해도 수집되는 정보는 동일하지 않다. 각 툴의 가장 큰 차이점은 지원하는 휴대폰의 숫자다.

- 휴대폰 포렌식 툴 예시

• BitPim: 포렌식용으로 개발되지는 않은 강력한 오픈소스 프로그램이다. LG나 삼성을 포함한 여러 벤더에서 생산하는 CDMA 휴대폰의 데이터를 수집할 수 있다. BitPim은 연락처, 달력, 배경화면, 휴대폰 벨 소리, 파일 시스템 등의 다양한 데이터를 복구할 수 있다.
• Oxygen Forensic Suite: 휴대폰 전용 포렌식 프로그램이다. 2,300개 이상의 기기를 지원하고 연락처, SIM 카드 데이터, 통화 그룹, 휴대폰 기록, 표준 및 개인 SMS/MMS/이메일 폴더, 삭제된 문자 메시지, 달력, 사진, 동영상, JAVA 프로그램, GPS 위치 등을 축출할 수 있다.
• Paraben Corporation: 다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴을 판매한다. 휴대폰 이외에도 Garmin 같은 내비게이션 기기도 지원한다.
• AccessData의 MPE+: 3,500개 이상의 휴대폰을 지원한다. 이 툴은 통화기록, 메시지, 사진, 음성 메시지, 동영상, 달력, 이벤트 등을 수집할 수 있다. 또한 동일한 인터페이스를 사용해 여러 대의 휴대폰과 컴퓨터를 분석함으로써 상관관계를 확인할 수 있다.
• Cellebrite의 UFED(Universal Forensic Extraction Device): 독립형 하드웨어 장비로 연락처, 사진, 동영상, SMS, MMS, 통화기록 등 다양한 정보를 얻을 수 있다. 2,500개 이상의 휴대폰을 지원하고 현장에서 정보를 바로 축출할 수 있게 설계되었다. 이 툴에는 SIM 카드 읽기와 클로닝 기능도 포함되어 있다. 非포렌식 버전의 Cellebrite 장비는 휴대폰 대리점에서 고객의 데이터를 하나의 휴대폰에서 다른 휴대폰으로 이전하는 데 많이 사용한다.
• EnCase Smartphone Examiner: 스마트폰과 태블릿의 데이터를 축출하고 검토할 수 있다. 블랙베리, 아이툰 백업, SD 카드 등에서 데이터를 수집할 수 있다. 정보가 수집되면 EnCase Forensic suite에서 해당 정보를 불러들여 추가적인 조사를 할 수 있다.  

[ 내비게이션 ]

내비게이션을 용의자의 위치를 확인하거나 범죄행위 자체를 식별하고 용의자가 가려고 하는 장소 파악을 할 수 있다. 일부 내비게이션에는 휴대폰 로그, SMS 메시지, 사진 등의 증거가 저장되어 있을 수 있다. 

 

네비게이션 시스템에서는 27개의 인공위성을 사용한다. 한 시점에 24개의 위성만이 작동하고 나머지 인공위성은 주요 인공위성이 작동하지 않을 때를 대비해 백업된다. 네비게이션 기기는 삼변 측량 방법을 통해 현재 위치를 계산한다.

 

내비게이션은 심플, 스마트, 하이브리드, 네트워크 크게 4가지로 분류할 수 있다.

• 심플 내비게이션: 사용자가 한 장소에서 다른 장소로 이동하는 데 도움을 준다. 대부분의 심플 내비게이션은 트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙(track) 로그를 사용할 수 있다. 
• 스마트 내비게이션: 자동차와 USB 대용량 저장장치 두 가지로 세분화할 수 있다. 적어도 2GB 이상의 저장공간이 있고, SD 카드를 추가로 사용할 수 있다. 심플 시스템과 동일한 기능을 제공하고 그 외에 MP3, 사진 보기, 자주 가는 곳 저장하기 기능 등이 있다.
• 하이브리드 내비게이션: 스마트 기기에 있는 기능을 모두 가지고 있고, 그 외에 추가적인 기능을 제공한다. 중요한 기능은 블루투스로 휴대폰과 연결할 수 있다는 점이다. 내비게이션을 휴대폰과 함께 사용하면 휴대폰의 많은 데이터를 내비게이션에서 찾을 수 있게 된다. 즉 통화목록, 주소록, 최고 10대까지 내비게이션에 연결했던 휴대폰의 MAC 주소 정보, 문자 메시지 등이 저장된다.
• 네트워크 내비게이션: 하이브리드의 기능에 추가로 구글 검색, 교통 정보 등의 실시간 정보를 받을 수 있다. 이러한 내비게이션에는 SIM 카드, GSM 라디오 장치가 탑재되어 있다. 이러한 기능은 따로 가입을 해야 하기 때문에 해당 계정과 관련 있는 가입 정보를 수집할 수 있다.

내비게이션의 데이터는 시스템 데이터, 사용자 데이터 두 가지로 분류할 수 있다. 

• 시스템 데이터는 트랙포인트와 트랙 로그 등을 제공한다. 트랙포인트는 해당 기기가 있었던 위치에 대한 기록이다. 트랙포인트는 시스템에서 자동으로 생성하고 사용자가 수정할 수 없다. 기본 설정으로 시스템이 얼마나 자주 기록하는지는 사용자가 수정할 수 있다. 즉, 저장되는 시간이나 거리를 변경할 수 있다. 트랙 로그는 모든 트랙포인터의 포괄적인 목록이다. 이 목록은 사용자가 경로를 되돌아가는 데 도움을 준다.
• 사용자가 생성한 데이터의 일부로 웨이포인트가 있다. 웨이포인트를 해석할 때는 웨이포인트가 의미하는 것을 기억해야 한다. 트랙포인트와 달리 웨이포인트는 사용자가 물리적으로 이동한 위치 외에도 사용자가 가려했던 곳일 수 있다. 사용자는 주소, 실제 좌표, 내비게이션 제조사가 제공한 지점을 기반으로 입력할 수 있다.

내비게이션에서도 휘발성 메모리를 조심해야 한다. 기기를 켰을 때 인공위성과 통신하면서 포렌식 관점에서 관련 증거가 덮어써지거나 무결성이 손상되는 것을 조심해야 한다.