Computer Forensic 란?
TV에서 " CSI 과학 수사대" 라는 드라마를 외국의 감식 수사 수준에 감탄하면서 아주 재미있게 보았던 적이 있다. 이 프로그램은 감식수사팀이 현장에서 수집한 증거를 토대로 범인을 찾아내거나 범인이 꼼짝 못하도록 명백한 증거를 제시하는 내용이 주를 이뤘다.
이 TV 프로그램의 내용처럼 감식수사팀의 사건에 대해 객관적인 증거를 확보하고 이를 토대로 원인을 분석하여 대응방안을 강구하는 행위들을 그대로 Cyber 분야에도 적용시켜 수많은 컴퓨터를 통한 범죄를 해결하는 분야가 "컴퓨터 포렌식(Computer Forensic) 이다.
일반적으로 Forensic는 법정에서 변론하는 기술을 묘사할 때 사용하는 "웅변술, 토론학" 을 의하며, Forensic는 법정 제출을 목적으로 증거를 수집하는 행위를 묘사할 때 사용하는 것이 관례이다.
즉, "Computer Forensic" 는 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체 등의 컴퓨터 시스템과 네트워크로부터 자료(정보)를 수집, 분석 및 보존하여 법적 증거물로 제출할 수 있도록 하는 일련의 행위를 의미한다.
컴퓨터 포렌식의 결과물은 법적으로 인정돼야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.
Computer Forensic 피해 시스템 분석
흔히, 컴퓨터 포렌식을 피해시스템 분석이라 간단히 말하는데 엄밀히 말하자면, 피해시스템분석은 컴퓨터 포렌식의 한 단계에 해당된다.
전자 증거물(컴퓨터 증거)의 수집 및 보존은 법적 대응절차에서 반드시 선행되어야 할 요건으로서 사건의 결정적인 증거에 대한 무결성을 보장하는 단계이다.
컴퓨터에서 증거를 찾아내는 과정에서 전자매체의 특성상 누구라도 쉽게 변조 가능하므로, 증거를 훼손 및 변조하지 않음을 증명하여 명백한 증거로 채택될 수 있게 하는 작업으로서 시스템의 이미지를 복사 (디스크 이미징) 하는 부분에 해당 된다.
디스크 이미징 작업은 유닉스나 윈도우 시스템에서 "dd" 라는 유명한 툴이 있고, 모든 포렌식 도구에서 필수적으로 제공되는 기능이다.
전자적으로 저장된 자료(피해시스템 이미지 파일)를 분석용 도구를 이용해는 단계가 앞서 말했던 피해시스템 분석에 해당되며, 법정제출은 피해시스템 이미지로 패해시스템을 분석 한 후, 리포팅 작업을 하여 법정에 제출하는 것을 말한다.
이런 일련의 과정(증거수집, 보존, 분석, 리포팅)을 모두 지원하는 것이 포렌식 도구의의 필수적 요건이라 할 수 있으며, 선진국에서 이미 정착된 컴퓨터 포렌식 시스템은 한마디로 컴퓨터의 모둔 입출력 및 저장장치에 남겨진 관련 기록들을 훼손 없이 그대로 보존시키고 그 후에 수사관이 원하는 증거 수집 및 분석 기능을 수행하는 시스템이라 정의할 수 있다.
유명한 포렌식 도구 EnCase
포렌식도구로 가장 유명한 솔루션은 Guidance Software 의 EnCase 이다. 1980년대부터 개발.발표된 EnCase는 포렌식 소프트웨어가 갖춰야 할 증거 보존 및 분석 기능을 모두 갖고 있으며, 미국 법원에서도 EnCase를 통해 얻은 내용을 증거로 채택한 판례가 있어 더욱 유명해진 도구다.
EnCase는 쉽게 구할 수 있지만, 하드웨어 락 기능을 통해 패러럴 락 장치 또는 USB 도글(일명, 동글키) 없이는 대부분의 기능을 쓸 수 없다.
주요 기능으로는 윈도우 기반 환경의 통합된 증거 확보 도구로, 증거 인멸 등을 위해 임의로 삭제된 디렉토리 및 파일은 복구하거나 내용을 키워드 검색과 제공되는 사전 등을 손쉽게 확인해 볼 수 있다.
NTFS, FAT 12(Floppy)/16/32를 모두 지원하며, Linux의 EXT2/3, Reiser, Sun Solaris 의 UFS, AIX의 JFS, Macintosh의 HFS, HFS+, FFS(OpenBSD, NetBSD, and FreeBSD), Palm, CDFS, ISO 9660, DVD 파일시스템까지 분석 가능하며, 자료수집 후 강력한 리포팅 기능도 제공 된다.
또한 FastBloc 및 각종 I/O 자원을 통한 이미지 추출, 자료 분석 기능이 매우 뛰어나고, 이미지에서 바로 분석 기능을 수행할 수 있으며, 타임라인 분석 기능(파일의 생성, 편집, 최종 접근시간 등을 볼 수 있는 기능)을 통해 하드디스크에 남겨진 흔적을 특정 파일에 대해 시간대 별로 어떤 작업이 수행되었는지 까지 추적할 수 있다.
알려져 있는 포렌식 도고의 사이트는 다음과 같다. 각 사이트에 가서 데모버전이라도 받아서 테스트를 해보시면 포렌식 도구가 굳이 피해시스템 분석용이 아닌 여러 가지 유용한 도구(예, 지워진 파일 복구 등등)로서도 활용될 수 있다는 것을 알 수 있을 것이다.
Computer Forensics 활용
컴퓨터 포렌식의 기술적인 발전은 반쪽의 발전일 수 밖에 없다. 이 분야는 반드시 기술적, 법적 분야를 모두 만족시켜야 한다. 따라서 컴퓨터 포렌식 전문가는 기술적 분야 그리고, 법적 분야의 지식을 균형 있게 갖춰 조화를 이루어야 한다.
컴퓨터에 관련된 범죄는 첨단 기술인 컴퓨터라는 도구를 이용하므로 기술적이든 학문적이든 간에 국제적 협력이 있어야 소기의 목적을 달성할 수 있다. 컴퓨터 범죄현상의 변화와 지능화에 따라 지식의 수집, 분석을 통한 컴퓨터 포렌식용 도구 개발을 통해 이를 예방하고, 법령의 재정비와 효과적인 수사 집행, 국가간 컴퓨터 범죄를 국제적인 문제로 공동 논의하고 성취하는 것이 시급한 당면 과제이다.
이번 호에서는 컴퓨터 포렌식이 무엇인지를 살펴 보았다. 다음 호에서는 본격적으로 컴퓨터포렌식의 중요한 기술적 단계인 피해시스템 분석의 시스템별 사례를 통하여 피해시스템 분석방법과 대책에 대해서 알아보겠다.
출처 : 안랩코코넛
저자 : 안랩코코넛 컨설팅사업부 이영주 주임.
----------------------------------------------------------------------------------------
컴퓨터 법의학(computer forensic)은 기업들이 디지털 진실을 발견할 수 있도록 도와준다.
대규모의 파기 문서. 대용량의 삭제 이메일. 엔론의 회계사들은 지난 겨울 자신들이 엔론의 재정적 붕괴와 관련된 확인할 수 없는 양의 데이터를 파괴했다고 전세계에 말했다. 그러나 앤드류 로젠은 여전히 누가 무엇을 언제 파괴할 수 있었는가 등 그들에게 어떤 일이 일어났는가에 대해 알아내려 한다.
텍사스 주 체다 파크 소재의 ASR 데이터 인수/분석社 사장인 로젠은, 역사상 최대의 포렌식 조사건이라고 관측가들이 생각하고 있는, 엔론과 관련해 남겨진 시스템들을 분석하고 있는 조사자들 가운데 한 명이다. 로젠은 엔론과 관련된 작업에 대해 언급하기를 피했지만, 이 말만은 했다. “포렌식(무엇이 출력되고, 삭제되고, 전송되고, 수신됐는가를 파악하는 일)은 수천 개의 테이프를 되돌려 들어야 하는 일보다 훨씬 쉽다.
미국의 법률 집행기관들이 오래 전부터 사용해 온(FBI는 최근 미전역에 3곳의 새로운 포렌식 센터를 열고 있다고 발표했었다.) 포렌식 도구는 많은 대기업, 보안 서비스 업체, 로젠 같은 특수회사 등에서 널리 사용되고 있다. 자기 디스크(물론 이 디스크는 그 시스템의 사용자에 의해 최종적으로 변경된 때의 모습이 어떤 것이었나를 보여주기 위해 세심하게 보존되는데)의 뒤에 남겨진 비트와 바이트를 분석하는 과학은 컴퓨터 사용 방침을 강제하거나, 불만에 찬 직원의 온라인 행동을 조사하거나, 악의적인 코드 작성자들을 추적하는 등의 일을 하는 회사 내부의 조사자들에게 강력한 도구가 되고 있다.
포렌식 도구 개발업체로는 유타 주 프로보 소재의 액세스데이터 디벨롭먼트(AccessData Development), 캘리포니아 주 파사데나 소재의 가이던스 소프트웨어(Guidance Software), 오리건 주 그레샴 소재의 뉴 테크놀러지스 아모(New Technologies Armor) 등이 있으며, 여기에 대학교 연구소의 개발자들과 매사추세츠 주 캠브릿지 소재의 앳스테이크(@Stake)같은 보안 컨설턴트 등도 있다. 이들 업체는 대상 컴퓨터(예를 들어 엔론 사건과 같은 조사의 경우, 대부분의 윈도우 서버와 PC, 노트북 등) 내부의 저장장치에 남겨져 있는 수 기가바이트의 데이터를 분석하는 강력한 도구를 제공한다.
최신 포렌식 도구는 갈수록 늘어나는 디지털 증거 은닉처를 찾을 수 있게 해 준다. 예를 들면, 덴마크 경찰은 자동차의 차량항법 시스템에서 위치 기반 데이터를 발견해 조사관들이 휴대형 컴퓨터로부터 정보를 추출할 수 있게 했다. 그러나 기업과 법률 집행기관에 유용한 포렌식 가치를 제공하는 전문가를 길러내기 위해서는 많은 돈이 들어간다. 그리고 조사자들이 궁극적인 장소에서 테스트받기까지는, 다시 말해 법정에서 전문가로서 증언할 수 있기까지는 현장에서 오랜 경험을 쌓아야만 한다.
따라서 CIO들은 주의해야 한다. 다시 말해 내부 포렌식 팀을 구성하거나 인사부가 그것을 구성하도록 요청할 경우, 소프트웨어를 사기 전에 먼저 당신의 인력을 훈련시켜야만 한다.(미국의 대형 교육업체들이 이 분야의 훈련 코스를 제공하는데, 강사로는 주로 경찰 조사관이나 사설 조사자들이다.) 그리고 이렇게 한 경우도, CIO는 여전히 보안 서비스 회사들이 제공하는 서비스를 검토해 보는 것도 좋을 것이다.
“조사자들의 기술, 경험, 지식에 따라 포렌식 애플리케이션이 도출하는 결과의 가치가 크게 달라진다.”고 일리노이 주 샤움버그 소재의 모토로라社 최고정보보안중역(CISO)인 빌 보니는 말한다. 취조 과정 동안 “인간의 행위와 행동을 이해하는 취조관적인 태도가 그 결과에 큰 영향을 미칠 수 있다.”
이 같은 필수 노하우로 인해 기업이 내부적으로 훈련받은 전문가들과 네트웍 침입자 및 기타 사건에 전문적으로 대응하는 컨설팅 업체들을 함께 이용하는 것이 일반적인 현상이라고 보니는 말한다. 포렌식 서비스에 대한 수요는 아직 작지만 계속 늘어나고 있다. IDC는 사건 대응 서비스 시장(포렌식 서비스 시장 포함)이 2001년의 1억3,300만 달러에서 2004년의 2억8,400만 달러로 성장할 것이라고 예상한다.
다음은 당신이 포렌식 기술에 대해 알아야만 할 필요가 있는 사항들을 3가지로 요약한 것이다.
1. 정확한 업무를 위해 정확한 도구가 필요하다
각각의 운영체제가 디스크를 쓰고 파일을 관리하는 데 있어 독자적인 방식을 갖고 있기 때문에, 포렌식 도구는 PC 형태의 그래픽 인터페이스를 통해 분석용 디스크 복사본을 만들어 거기에 무엇이 있는가(다시 말해 파일 삭제가 시도된 후 복구 가능한 데이터는 무엇인가)를 조사하기 위해서 세심한 주의를 기울인다. 액세스데이터의 FTK(Forensic Toolkit), 가이던스의 인케이스(EnCase), 뉴 테크놀러지스의 세이프백(SafeBack) 등 인기있는 포렌식 소프트웨어 패키지는 윈도우 PC와 서버를 조사할 수 있다.(물론 이들 제품은 계속 개선되고 있다. 예들 들어, 액서스데이터의 부사장인 스티브 엘더킨은 리눅스, 매킨토시 등 다른 운영체제를 위한 FTK 버전들도 올해 말부터 나올 것이라고 말한다.)
한편 리눅스 서버를 운영하는 기업의 포렌식 조사는 TCT(The Coroner’s Toolkit)로 알려진 소스-공개 프로그램으로 시작할 수 있다고 앳스테이크의 조사 과학자인 브라이언 캐리어는 말한다. 캐리어의 팀은 자체 분석 능력을 높이는 한편 TCT를 토대로 도구킷을 새로 개발했다. 또 그의 회사는 팜 OS 기기들로부터 데이터를 복구하기 위해 PDD(Palm Disk Duplicator)라 불리는 도구도 개발했다.
그런 분석 능력을 계속 높이는 일은 아주 중요하다. 포렌식 조사자들은 이 분야의 최대 도전이 갈수록 커지는 일반 PC나 노트북의 저장용량에 발을 맞추는 것이라고 말한다.
중요한 사항중 하나는 대규모의 데이터를 조직하고 자세하게 조사할 수 있는 능력이라고 로스앤젤레스 소재의 핑커튼 컨설팅 & 인베스티게이션社 부사장인 제임스 고든은 말한다.
“중요한 이슈는 검토해야 할 정보의 양이 늘어나고 있다는 것이며, 따라서 이런 측면에서 디지털 문서 관리가 정말 치명적인 요소가 된다.”고 그는 말한다. “3년 전 나는 10기가바이트의 하드디스크를 사용했다. 현재 내 노트북에는 40기가바이트의 하드디스크가 장착되어 있다. 이 모든 정보를 분석하고 처리하는 능력은 정말 중요하다.”
2. 조사자들은 네트웍도 감시하고 있다
포렌식 증거를 찾는 일은 용의자의 하드디스크를 조사하는 일을 넘어서고 있다.
모토로라의 내부 포렌식 팀을 이끌고 있는 보니는 컴퓨터 포렌식이 범죄 행위를 문서화해야 하는 법률 집행기관의 수요를 넘어 성장하고 있다고 말한다. 그러나 기업의 포렌식 사용은 웹 사이트 변형 같은 네트웍 침입을 조사하는 기업의 능력에 초점이 맞춰져야만 한다. 누가 어떻게 그런 짓을 저질렀는가를 파악하기 위해서는 누가 그런 짓을 했으며, 미래에 어떻게 그것의 재발을 방지할 것인가를 푸는 일에서 시작되어야 한다.
보안 전문가들은 보안 소프트웨어가 네트웍 성벽의 초병처럼 역할하고 있다고 말한다. 일리노이 주 알링톤 하이츠 소재의 보안 및 컨설팅 업체인 알라딘 날리지 시스템즈社 인터넷 보안 기술 경영부사장인 시몬 그루퍼는 자사가 리눅스 쉐어웨어와 프리웨어 도구들을 사용해 인터넷 악당과 바이러스의 활동을 파악하고 감시해 그들의 근원지를 추적하고 있다고 말한다.
샌프란시스코 소재의 가던트(Guardent)社 보안 설계사인 더그 바빈은 이런 종류의 네트웍 모니터링 도구들을 사용함으로써 악의적인 행동을 하기 위해 자신의 작업장 이메일 계정을 해킹하려던 직원을 간파하는 등 사건을 사전에 방지하고 있다고 말한다. 이 경우, 바빈은 다양한 로그(이메일 서버, VPN 연결선 등)를 조사한 후 개별 작업자들의 활동을 조사했다. 이후 그는 그 근원지를 역추적해 해당 직원의 작업장 PC와 집 PC를 알아냈다.
“네트웍 포렌식은 항상 시작점이다. 그러나 법정에서의 최종 판결을 끌어내는 것은 (용의자의 컴퓨터에서 일어난 활동을 얘기해 주는) 그 같은 정적인 포렌식이다.”라고 바빈은 말한다.
컴퓨터 포렌식이 네트워킹에서 활용되는 또 다른 방식이 있다. 지난 3월, 가이던스 소프트웨어는 로스앤젤레스의 조사관들이 광역망이나 지역망을 통해 뉴욕 시에 있는 용의자의 컴퓨터를 조사할 수 있게 해 주는 자사의 인케이스 포렌식 패키지의 엔터프라이즈 에디션을 베타 테스트하기 시작했다. 가이던스의 영업/운영 이사인 빌 툴로스는 이 제품의 기업체 테스터들을 통해 그 애플리케이션과 관련된 사용 용이성과 네트웍 제한 등에 대한 이슈가 해결될 것이라고 말한다. 그러나 그는 대부분의 고객이 컴퓨터가 많이 사용되지 않는 밤이나 특정 시간대를 이용함으로써 광역망을 통한 조사를 무리없이 할 수 있을 것이라고 기대하고 있다.
3. 컴퓨터 포렌식 기술을 사용하는 방법은 한 가지만이 아니다.
포렌식 전문가들은 나쁜 일들이 좋은 컴퓨터 시스템들에 일어날 때에만 그들이 간여하게 되느냐는 질문을 받으면 대체로 재미있다는 반응을 보인다. 그러나 사실 업체와 조사자들 모두 포렌식 도구는 다른 용도로도 활용될 수 있는 아주 편리한 도구라고 말한다. 예를 들면, 부주의하게 삭제된 중요한 문서를 복구해야 할 때나, 컴퓨터가 있는 건물이 큰 피해를 입었을 때나, 중요한 정보를 상실했거나, 적절하게 백업을 받지 못했을 때 등과 같은 경우를 들 수 있다.
이처럼 컴퓨터 포렌식은 최후의 백업 수단이다. 하지만 계속 발전중인 컴퓨터 포렌식과 관련해 큰 문제가 있다. 전문가들은 CIO들에게 디지털 증거를 수집하는데 따른 표준이 비교적 결여되어 있으며, 조사자들을 위한 확인 절차가 결여되어 있다는 점을 명심하라고 말한다.
“만약 당신이 인사 문제나 적대적인 직원 진술 등을 다루기 위해 지속적인 모니터링이 필요할 경우, 이런 컴퓨터 포렌식 도구는 아주 유용할 수 있다.”고 포렌식 조사자인 로젠은 말한다. 그러나 그는 이런 인력을 내부적으로 키우는 것과 법정이 요구하는 바에 맞춰 이런 포렌식 결과들을 증거로서 제출하는 것 사이에는 큰 차이가 있다고 부언한다. 양쪽 경우 모두 기술 업체의 제품, 훈련 코스, 컨설턴트의 서비스에 대한 확실한 참고 자료가 요구된다.
다른 CIO와 IT 실무자들이 제공하는 참고자료는 기술 선택시 가장 유용한 정보다. 그리고 만약 당신이 컴퓨터 포렌식 분석에 따라 나온 디지털 결과들에 따라 법정 소송을 하게 된다면, 당신의 결과들에서 흠을 찾아내기 위해 다른 보안 컨설턴트와 포렌식 전문가들과 협력하는 상대방 변호사들에 대항해 말을 잘하는 것도 중요하다고 뉴저지 주 웨스트 오렌지 소재의 베더슨 앤 코社 파트너이자 기술위원회 의장인 매튜 슈왈츠는 말한다. “당신은 특정 사건이나 특정 소송인에 대해 알지 않아도 되지만, 서면 계획을 짤 필요는 있다. 당신은 그 절차를 어떻게 아주 세부적으로 문서화할 것인가? 이런 문서가 잘 되어 있으면, 우리는 당신이 이것을 만들었다고 말하는 누군가를 법정에 세우지 않아도 된다.”고 슈왈츠는 말한다.
|
