2014년 4월 25일 금요일

PFP 소개(4) - 디지털 포렌식 기술 지원 플랫폼 PFP

Page info


PFP 소개(4) - 디지털 포렌식 기술 지원 플랫폼 PFP(본포스트)


PFP의 목적정의

PFP는 디지털 포렌식 기술에 관련된 정보를 체계적으로 축적제공하기 위한 디지털 포렌식 기술 관리 플랫폼이다. 

이전 글에서 논한 바와 같이 디지털 포렌식 기술은 그 특성상 개발과 습득, 활용에 어려움이 따르기 마련이다. 

이로 인해 기존의 전문가들은 새로운 기술을 습득하는데 불편함을 느끼는 한편, 입문자들에게는 이와 같은 어려움이 진입장벽으로도 작용하고 있다.

결국, 전문가들의 역량이 불필요하게 낭비되고 감각이 뛰어난 예비 분석가가 점점 포렌식 분야에 진입하기 힘들어지고 있다는 사실은, 보안 산업과 디지털화된 사회에 큰 손실이라 생각된다.

PFP는 이러한 포렌식 기술 활용의 어려움을 줄여보고자 기획된 프로젝트이며, 포렌식 전문가들이 분석과 연구에 더욱 집중하는데 도움이 되길 희망하며 진행되고 있다. 

PFP는 포렌식 정보와 기술을 실무에서 직접적으로 참고.활용이 가능하도록 가공하여 전달하므로 실무형 레퍼런스로서의 활용이 가능하다. 

또한, 공급되는 컨텐츠 이외에도 사용자가 직접 컨텐츠를 추가하여 사용할 수 있도록 설계되었기 때문에 사용자의 목적에 따라 유연한 활용이 가능하다.



PFP 구성

PFP의 구성은 아래 개념도와 같다. 물론, 아래 내용을 몰라도 플랫폼을 사용하는 데에는 전혀 무리가 없지만, 기술 축적 체계를 궁금해하는 분들의 이해를 돕기 위해 간략히 내용을 기술한다. 

    개념도에 따라, PFP를 이루는 주요 요소는 크게 아래와 같다.
    • UIGraphic User Interface 통한 직관적인 인터페이스 제공한다.(세부기능, 사용 설명서 참조)
      PFP 메인 화면
    • 포렌식 기술 관리 DB : 디지털 포렌식 기술에 관한 정보를 체계적으로 저장하고, 제공하기 위해 사용된다. 기본적으로 수집.분석 기술의 분류와 분류에 따른 분석 대상, 분석시 확보해야하는 정보, 관련 분석 도구등에 관한 정보를 정규화된 형태로 저장.제공한다.
      포렌식 기술 관리 DB 개념도

    • 포렌식 모듈(도구)과 관리 DB : 안정적인 도구의 활용을 위해서는 플랫폼 제공 모듈, 3rd Party(CLI, GUI, Script) 모듈에 대한 통일된 운용환경의 필요하다. PFP는 이러한 모듈들을 관리하기 위한 데이터 베이스를 운용하며, 현존하는 다양한 디지털 포렌식 분석 도구에 관한 목록과 속성 정보를 보관.활용하기 위한 목적으로 사용한다.
    • 제어시스템 : UI와 밀접하게 존재하며 PFP제공 컨텐츠를 효율적으로 활용하도록 하기 위한 목적으로 존재한다. 제어 시스템은 사용성으로 고려하여 지속적으로 추가 개발될 예정이다


    프로젝트 기대 효용

    PFP의 개발은 초심자의 디지털 포렌식 진입장벽 완화와 실무 전문가들의 지속적이고 광범위한 정보 습득에 도움이 되고자 하는 목적으로 진행된다.

    또한 PFP를 이용하는 모든 포렌식인들이, 정보의 수집에서 활용까지의 과정과 시간을 최소화하여 디지털 포렌식 연구, 분석의 효율이 더욱 증진되길 희망한다.


      PFP 관련 정보

      PFP 프로젝트는 본 블로그를 비롯하여, 아래 경로에서 종합적인 정보를 제공한다.


        2014년 4월 24일 목요일

        PFP 소개(3) - 디지털 포렌식 기술과 이슈

        Page info


        PFP 소개(3) - 디지털 포렌식 기술과 이슈(본포스트)
        PFP 소개(4) - 디지털 포렌식 기술 지원 플랫폼 PFP

        
        image from - http://www.studyintheunitedstates.com/

        디지털 포렌식 전문가와 디지털 증거에 대한 소개에 이어, 본 페이지에서는 디지털 포렌식 전문가가 소화해야 하는 기술의 특징과 그에 따라 발생하는 여러가지 이슈에 대해 이야기 한다.

        또한, 본 페이지에서 논하는 여러가지 디지털 포렌식 기술 관련 이슈(문제점)들은 PFP 프로젝트를 시작한 이유이기도 하므로, 관심있게 살펴봐 주길 바란다.


        다양한 디지털 포렌식 분석 기술

        디지털 포렌식 조사에 임할 때, 하나의 사건을 분석하기 위해서는 아래와 같이 다양한 기술을 응용하여 종합적인 결과를 도출하는 것이 일반적이다. 때에 따라서는, 특정 데이터에 대한 집중적인 분석만이 필요한 조사도 있지만, 대 부분의 조사에서는 확인 가능한 모든 데이터를, 가능한 모든 기술을 이용하여 분석한 결과가 요구되기 마련이다. 

        • 디스크 이미징
        • 활성 상태의 데이터 수집 기술
        • 디스크 해석 및 복원
        • 물리 메모리 분석
        • 네트워크 데이터 수집 및 분석
        • 파일 시스템 분석
        • 파일 포맷 해석
        • 시스템 아티팩트 수집 및 분석
        • 암호화된 데이터 해독
        • 삭제된 데이터 복구 

        물론, 나열된 기술 이외에도 포렌식 조사를 위한 기술은 세부적으로 수 없이 존재한다. 

        결국, 실제로 디지털 포렌식 조사가 진행될 때는 담당하는 분석가의 역량에 따라 사건의 결론이 크게 달라질 수도 있다는 것이다. 이 때문에 디지털 포렌식 전문가는 올바른 분석 결과를 도출하기 위해서, 지속적으로 다양한 분야의 전문가들과 소통하며 넓은 기술 스펙트럼에 대한 이해를 게을리 해서는 안된다. 


        디지털 포렌식 기술 관련 이슈

        하지만, 모든 분석 기술의 이해와 습득이 말처럼 쉽지만은 않다. 

        이제는 전 사회에 디지털 데이터가 범람하고 스마트폰, PC 같은 디지털 기기가 1인당 최소 1 이상씩 보유되는 추세이다. 

        또한, 단순한 절도, 폭행사건에서도 디지털 기기에 저장된 데이터가 사건의 시시비비를 가려주기도 하며, 출력물 형태로 존재하는 자료는 대부분 임시 보존 폐기되는 경우가 많다. 세상의 거의 모든 기록들이 디지털화 되고 있는 것이다


        이러한 현상을 뒷받침 하기 위해 디지털 데이터를 다루는 신기술도 지속적으로 등장하고 있다. 그리고 이렇게 등장한 새로운 운영체제, 새로운 프로그램 등은 또 다시 새로운 형태의 디지털 데이터 양산한다. 

        새로운 디지털 데이터는 기존의 기술로는 분석 할 수 없는 경우가 많고, 이로 인해 새로운 분석 기술의 개발이 필요하게 된다. 

        디지털 증거 분석 기술은 비가시성, 휘발성, 대규모성 등과 같은 디지털 증거의 특성으로 인해 기술 개발에 더욱 많은 노력이 필요하다. 더불어, 해석된 결과에 대한 신뢰를 줄 수 있는 하위 기술의 개발이 병행되어야 한다.  


        결국, 디지털 포렌식 기술은 끊임 없이 개발되어야 하는 속성에 비해 그 개발과 습득이 쉽지 않기에, 노력만으로는 현존하는 디지털 포렌식 기술들을 전부 소화하기가 점점 힘들어 지고 있다. 


        디지털 포렌식 분석 관련 이슈

        어렵게 개발된 분석 기술은, 분석가들이 이를 활용하고자 할 때 다시 한 번 어려움에 봉착한다. 

        일반적으로 포렌식 조사는 다양한 기술을 종합적으로 활용하여, 데이터간의 연관 관계를 유추하고 근거를 제시하는 과정을 거쳐 이루어진다. 

        이 때, 자주 반복되는 현상들은 일부 분석 과정이 자동화되기도 하지만, 역시나 정확한 현상 파악을 위해서는 분석가가 직접 요소 기술을 활용하여 분석해야 한다. 

        하지만, 분석에 활용되는 요소 기술을 분석가 개개인이 모두 개발하기에는 사회적 낭비가 심하고 효율 또한 좋지 않다. 현명한 분석가라면 전세계 포렌식 전문가들에 의해 기 개발된 분석 도구를 활용하며, 부족한 부분에 대해서만 직접 자신의 분석 기술을 이용한 분석을 진행할 것이다. 

        이와 같은 경우 최신 개발된 기술을 뒤쳐지지 않고 활용해야만 더욱 효율적인 분석이 가능하다. 

        또한, 모든 분석 도구가 완전할 수 없기 때문에, 동일한 분석 대상에 대해서도 다양한 도구를 활용하여 비교.분석을 해야하며 새로운 정보를 찾을 수 있는 분석 대상도 놓치지 말고 살펴야 한다. 

        물론, 이와 같은 넓은 범위의 분석 기술을 체계적으로 소화하는 것 역시 말처럼 쉽지는 않고, 실제로 많은 포렌식 전문가들이 자신의 스킬셋에 새로운 기술을 채워 넣거나 분석에 이용하는데 어려움을 겪을때가 종종 있다. 

        이에 더해, 처음 디지털 포렌식 분야에 입문하는 사람들은, 기본적인 분석 대상과 관련 분석 기술을 파악 하는데에도 상당한 시간을 소비하고 있는 실정이다. 

        그리고 이와 같은 현상은 디지털 포렌식 기술의 발달에 따라 더욱 심화될 것으로 예상된다. 

        PFP 이러한 디지털 포렌식 분석가들이 겪는 고질적인 문제를 줄이고자 고안된 플랫폼이다. 

        PFP 소개의 마지막인 다음 페이지에서 PFP의 개발 목적과 사용 방안을 확인하여 조금 더 효율적인 분석 환경을 만드는데 도움을 얻길 바란다. 

        2014년 4월 23일 수요일

        PFP 소개(2) - 디지털 증거

        Page info


        PFP 소개(2) - 디지털 증거(본포스트)
        PFP 소개(4) - 디지털 포렌식 기술 지원 플랫폼 PFP















        지난 글에서는 디지털 포렌식 전문가에 관해 알아보았다. 

        이번에는 디지털 포렌식 전문가라면 누구나 한 번쯤 짚고 넘어가야 하는 '디지털 증거'에 관해 잠시 알아보자. 

         


        디지털 포렌식 전문가와 디지털 증거

        초기의 디지털 포렌식은 디지털 데이터를 기반으로 사건의 그림을 그리고 그 내용을 법정에서 입증하기 위한 증거를 채득하기 위해 발달했다. 그렇게 발달한 기술이 현재에는 법조계에 국한되지 않고 침해사고 대응, 보안 감사, 보안사고 예방, 데이터복구 다양한 분야에서 활용되기에 이른다. 

        이에 따라, 디지털 포렌식 전문가의 활동 범위도 점차 넓어지고 있으며, 개중에는 디지털 증거 채득과는 전혀 무관한 분야도 존재한다. 

        하지만 어떤 분야에서 종사를 하더라도, 디지털 포렌식 기술이 디지털 증거 채득을 위한 목적으로 개발되기 시작한 만큼 디지털 증거에 대한 이해가 바탕이 되어야, 핵심 기술에 대한 이해가 용이하므로 한번 쯤은 그 특징을 살펴볼 필요가 있다.


        디지털 증거의 정의

        디지털 증거는 컴퓨터 또는 기타 디지털 저장 매체에 저장되거나 네트워크를 통해 전송 중인 자료로 법정에서 신뢰할 수 있는, 증거가치가 있는 정보를 말한다. 

        이런 디지털 증거는 여타 증거들과 다르게 0 1 논리적인 조합으로 이루어져 있으며 전기신호 등으로 해석되기 때문에 물리적인 실체가 존재하지 않아 법적 고려사항이 많다. 


        보관 증거와 생성 증거

        디지털 증거는 크게 보관증거와 생성증거 두가지로 구분된다. 우선 보관증거란, 디지털 증거 중 사람이 직접 작성한 데이터를 의미하며 작성자의 사상, 감정이 표현되어 있는 경우가 많다. 

        그리고 생성 증거는, 보관 증거와 다르게 미리 정해진 알고리즘에 의해 작성자가 개입하지 않더라도 여러 가지 디지털 데이터 생성 과정에서 자동으로 생성된 증거를 의미한다. 

        하나의 예로, 문서파일이 하나 작성되었을 때, 사용자가 직접 작성한 글과 그림 등의 내용은 보관증거가 된다. 반면, 문서 파일의 생성, 수정시간 정보와 같은 여러가지 속성 정보는 생성 증거가 된다. 

        이와 같이 디지털 증거의 유형을 구분하는 이유는, 정당한 법 집행을 위해 보관 증거로 분류되는 내용은, 작성자 동의 없이는 증거로 인정되지 않기 때문이다. 이와 같은 경우 생성증거를 활용해 주변 정황을 파악, 진정성을 입증하여 증거로 사용 해야한다.

        다시 예를 들자면, 증거가 문서파일의 내용(보관 증거)을 작성, 수정한 혐의를 입증하려 , 용의자가 혐의를 부인 한다면, 용의자의 알리바이와 컴퓨터 사용 흔적, 그리고 해당 시간대의 문서 파일 수정 시간 정보(생성 증거)등을 종합하여 혐의를 입증하는 것이 이에 해당 한다. 



        디지털 증거의 특성

        디지털 증거는 여타 증거들과 다르게 아래와 같은 특징을 가진다. 

        • 비가시성눈에 보이지 않는 0 1 논리적인 조합으로 디지털 매체에 저장되어 있음
        • 변조가능성전산상 오류나 의도적인 변조가 상대적으로 쉬운 , 또한 변조 사실을 입증하기 어려워 조작 논란에 휩싸이는 경우가 많음
        • 복제용이성원본과 동일하게 복제하는 것이 가능하며, 원본과 동일한 복제본은 증거 능력을 가짐
        • 휘발성운용중인 시스템에는 시간 내에 영원히 소실되는 휘발성 데이터가 존재, 신속한 수집 필요
        • 대규모성과거 서버 군에서도 이미 GB, TB이상의 정보를 저장 왔으며, 2010 이후로는 빅데이터로 불리는, 크기를 가늠하기 힘든 데이터 처리 기술이 이슈가 될 만큼 대용량 데이터를 처리하고, 사건에 관련된 데이터를 빠르게 분류해내는 기술이 각광 받게
        • 초국경성인터넷으로 세계의 네트워크가 연결되고, 클라우드 서비스가 등장하며, 디지털 데이터는 생성하는 자의 국가에 종속되지 않고 원거리에 저장되어 있는 경우가 많음. 따라서 전산, 해킹사고에서는 국가간의 공조 수사가 요구되거나 재판 관할권의 문제가 종종 발생함

        특히 초국경성, 복제용이성과 같은 특징은 디지털 시대 이전에는 고려될 필요가 없었던 내용이기에, 디지털 시대에 알맞는 법 집행을 위해 관련 법제도 전문가들이 지속적으로 보완하고 있다.

        디지털 포렌식 기술 역시 위와 같은 디지털 증거의 특징을 모두 고려하여 개발되고 있으며, 디지털 데이터에 대한 분석 결과가 정당성을 입증받을 수 있도록 하기 위한 노력이 앞으로도 꾸준히 이어질 전망이다.


        증거능력 보존에 관하여

        디지털 증거는 앞서 설명한 특성 변조가능성에 따라 법정에서 종종 증거에 대한 신뢰성 문제가 발생하게 된다. 

        물론, 디지털 데이터에 대한 신뢰성을 문제 삼으려면, 데이터가 조작되었다는 정확한 근거가 필요하다.

        하지만 어떠한 상황에도 대비하기 위해, 디지털 포렌식 전문가는 각각의 조사 수행 과정에서 무결성 보장을 위한 장치를 마련하는 등, 항상 증거의 수집과 분석 과정에서 데이터가 변조, 조작되지 않았음을 입증할 수 있도록 노력해야 한다. 

        단, 침해사고 조사와 같이 사고 원인 규명 및 대응책 마련 목적으로 신속한 조사가 필요한 경우에는 데이터 무결성에 관한 고려가 생략되기도 한다.