2011 디지털포렌식 기술 워크샵 후기(2011 The Workshop of Digital Forensics postscript)

어제 디지털포렌식 기술 워크샵을 다녀왔습니다. 올해는 다양한 기관에서 논문 발표가 이루어져 기대가 컸으나 다소 실망한 부분이 조금 많았습니다. 하지만 국내 포렌식 환경이 아직 부족한 만큼 좀 더 저변이 넓어진다면 질과 규모면에서 좋은 행사가 될 것 같았습니다. 후기라고 한다면 행사 사진이 많아야 겠지만 아쉽게도 발표 듣고, 오랜만에 뵙는 분들과 이런 저런 이야기를 나누다보니 사진을 한장도 못찍고 왔습니다.  그래서 발표된 각 논문 주제에 대해 이야기해 볼까 합니다.

행사는 총 4개의 세션, 16개의 발표가 이루어졌습니다. 그리고 중간에 특별 강연도 포함되어 있었고, 6개 업체에서 진행한 포렌식 제품에 대한 전시회도 있었습니다. 참여 인원은 작년에 비해 다소 적은 70명 내외였습니다. 발표장이나 전시장에 대해서 궁금하신 분은 작년 글(http://forensic-proof.com/archives/558)을 참고하시기 바랍니다.
 
 

세션 1. 디지털 증거 확보 기술

# 형사소송법 일부개정법률안에 따른 디지털 포렌식 연구

최근 개정된 형사소송법에 따른 디지털 포렌식 조사의 한계와 고려사항에 대해 살펴본 내용이다. 개정된 형사소송법은 2012년 1월 1일부터 시행할 예정이다. 개정 내용 중 큰 이슈는 디지털 증거 수집 시 범위를 용의자의 혐의 사실과 관련된 부분만 허용하도록 강화한 내용이다. 각 조항의 해석이 어떻게 실효될지는 모르겠지만 현재의 검사나 판사들이 이해하고 있는 디지털 포렌식에 비해 너무 앞서가는 것이 아닌가 하는 걱정이 든다. 논문의 내용은 현재의 포렌식 조사 방법에서 선별적 디지털 증거 수집의 한계성을 집어보고 제도적 뒷받침이 필요하다고 강조하는 내용이다.

 
# 모바일 백업 프로토콜을 이용한 아이폰 활성 데이터 수집 기법

아이폰은 물리적으로 덤프하는 것이 아직은 어려운 만큼 소프트웨어적인 덤프를 이용하거나 백업된 파일을 분석하는 것으로 포렌식 조사가 이루어진다. 이 때 아이튠즈를 이용한 백업 파일을 사용하지 않고, 백업하는 과정에서 사용하는 프로토콜을 이용하여 직접 백업 데이터를 파일로 저장하는 방식이다. 프로토콜을 이용해 덤프한 데이터가 백업된 데이터와 다르지 않다는 점에서 이점이 없어보인다.

 
# 가상화 기술 및 클라우드 컴퓨팅에 대한 포렌식 방안 연구

최근 화두가 되는 가상화/클라우드 상의 포렌식 조사 방법에 대해 연구한 논문이다. 하지만 가상화 환경에 대한 포렌식 방법은 절차를 제시하였지만 클라우드에 대해서는 단순 사례만 나열하였다. 가상화/클라우드 환경에서 현재 서비스되고 있는 다양한 응용프로그램을 분석한 후 그에 따른 통합적인 절차를 제시하거나 문제점 제시 및 해결 방안을 이야기 했었으면 하는 바람이다.

 
# 휴대폰 PCB 상의 JTAG 핀맵 식별 방법 연구

휴대폰의 물리메모리 덤프는 JTAG를 이용한 방식이 많이 활용되고 있다. 이 방식은 피쳐폰에서는 많이 사용되지만 스마트폰에서는 아직 뚜렷할만한 성과가 없다. 논문은 피쳐폰 상에서 JTAG 핀들을 자동으로 구분해주는 방법을 소개했다. JTAG로 덤프를 뜨기 위해서는 단순히 JTAG 부분만 찾는 것이 아니라 각 단자들을 정확하게 구분해야 한다. 보통 JTAG 단자는 8~10개가 사용된다. 단자로는 TDI, TDO, TMS, TRST, RTCK, nSRST, VCC 등이 있다. 8개의 단자만 있다고 하더라도 각 단자들을 정확하게 구별하기 위해서는 8!의 시도가 필요하다. 물론 이것은 경험적인 방법으로 적은 시도내에서 할 수 있겠지만 논문에서는 자동화할 수 있는 방법을 소개했다. 우선 ADC(Anolog to Digital Convertor)를 이용해 각 단자의 풀업, 풀 다운 전압차를 측정하는 것이다. 측정된 전압을 휴리스틱한 방법으로 나온 결과를 토대로 그룹화 시킨다. 이후에 바이패스 명령을 통해 각 단자를 식별한다.

이러한 방식으로 다음과 같은 JTAG 단자 식별 장치를 개발하였다. JTAG를 이용한 이미징은 JTAG 단자를 찾는게 어렵다기 보다는 각 단자의 역할을 구별하는게 쉽지 않았던 만큼 큰 역할을 할 것으로 기대된다. 좀 더 연구를 지속하여 스마트폰에 대해서도 지원 가능하도록 발전시켰으면 한다.

특별 강연

# 네트워크 포렌식

특별 강연은 네트워크 포렌식이라는 주제로 코어시큐리티의 김태일 씨가 해주셨다. 대용량의 패킷을 wireshark로 올리기는 어려우므로 전처리 분석을 위해 세션을 분리하는 방법과 tshark을 이용해 패킷에서 서버 정보, 아이디/패스워드 등의 정보를 추출하는 방법, passive os fingerprinting, 가상화 환경에서의 패킷 유형 등에 대해 1시간 넘게 직접 실습을 통해 강의해주셨다.
 
 

세션 2. 디지털 증거 조사 분석 1

# Cloud Computing Forensics

논문의 내용은 클라우드 컴퓨팅 환경에 대해 소개하고 SaaS, IaaS 환경의 대표적인 서비스들을 클라이언트 관점에서 상세하게 분석한 내용이다. 그리고 분석 시 고려사항과 클라우드 환경에서의 분석 절차에 대해 제시하고 있다.

SaaS – Hancom Thinkfree, Google Docs, Zoho Office, MS Live Office

IaaS – Amazon EC2/S3, Rockspace, Dropbox, NHN N Drive, KT uCloud

문제는 클라우드의 포렌식은 궁극적으로 서버에 저장된 용의자의 데이터를 보기 위한 과정이라는 점이다. 이런 점에서 클라이언트에서 남긴 흔적을 가지고 서버의 데이터를 추가 압수하려면 단순한 로그인 및 사용 흔적이 아닌 서버의 데이터를 확실히 알 수 있는 흔적이 있어야 할 것이다. 서버에 저장된 용의자 파일의 제목이 흔적으로 남았다고 해서, 이 제목만으로 해당 파일의 추가 압수 신청이 받아들여 질것인가? 이것만으로는 힘들겠지만 시간 정보가 함께 남았다면? 각 흔적들을 대상으로 고민해볼 필요가 있을 것 같다.

 
# 디지털포렌식 수사를 위한 키워드 후보 생성 기법

논문의 내용은 선별적 수집을 위해 증거 수집 전 각 파일의 제목에서 키워드를 추출해 통계를 내는 방식을 소개하였다. 하지만, 별도의 도구로 개발하기로는 큰 한계가 있어 보였다. GUI이므로 활성 상태에서 사용하기에도 부담이고, 비활성에서 분석한다고 해도 단순한 키워드 통계이기 때문에 큰 의미가 없어 보였다. 기존의 포렌식 도구에서 각 제목을 대상으로 분류할 수 있는 기법들이 많기 때문에 그것을 활용하는 것이 좀 더 현실적인 방안일 것이다.

 
# Recognizing the Numbers frm the Low-Resolution Patterns in Digital Images

워크샵 전체 발표 중 2개의 논문이 영어로 발표되었다. 그 중 하나의 논문으로 디지털 이미지에서 해상도의 차이를 이용해 눈으로 구별하기 힘든 화면에서 글자를 구별해내는 방식이다. 이 부분은 현재 연구가 어디까지 진행된지는 모르겠으나 제안된 방식의 결과로 보면 조금 오류가 있었지만 대단히 의미있는 연구였다.

 
# 디지털 포렌식과 SI 관점의 도전 과제

이 논문은 현재 대검에서 SI 사업을 진행함에 있어 고려된 내용을 소개한 것이었다. 하지만 기존의 포렌식 분야에서 모두 대두된 문제나 방안들을 나열한 것으로 밖에 안보였다.

세션 3. 디지털 증거 조사 분석 1

# 웹 포렌식을 통한 범죄 프로파일링

해당 발표는 저자 대신 다른 분이 발표하게 되었는데 제한된 발표 시간에 여담과 디지털 포렌식의 소개로 너무 많은 시간을 소비하였다. 해당 워크샵에 디지털 포렌식이 무엇이고 어떻게 발전되었는지를 모르고 참여한 사람이 없음에도 불구하고 너무 많은 시간을 소개로 보낸 것 같다. 이 때문에 잠시 나갔다 온 사이에 발표가 끝나버렸다. 논문이 프로시딩에 실리지 못한 관계로 소개할 수는 없을 것 같다.

 
# 사례로 본 디지털 프로파일링

7.7 DDoS와 3.4 DDoS가 동일범의 소행이라는 결론이 나올 수 있던 다양한 분석 내용을 프로파일링이라는 이름을 붙여 발표하였다. 분석 내용으로는 공격 대상, 코드 분석을 통한 유사성, 설계 방식, 암호화, 인증, 오류시 처리방법, C&C IP의 중복등이 있었다. 디지털 상에서 프로파일링이라는 것이 전통적인 프로파일링 기법 보다는 크게 축소되겠지만 그렇다고 해도 프로파일링이라는 제목에 비해 내용이 단순한 비교 분석에 해당한다는 점에서 조금 아쉬운 면이 있다.

 
# 웹 사용기록 데이터의 시각화 분석

다양한 웹 사용 기록을 시각화하여 보여주기 위한 방법을 연구한 내용이다. 웹 사용 기록을 별도의 포맷(시간, 형식, 행위, 내용, 세부정보, 계정, 컴퓨터 이름, 사용자 식별값)으로 수집한 후 이를 통해 시각화한 예를 보여주었다. 크게 2개의 분류로 나누었는데 페이지 접속수에 기반한 시각화와 시간대별 웹 사용 이력에 대한 시각화이다. 분석을 위해 사용하기 위해서는 좀 더 많은 분류 방법이 필요할 것으로 보인다.

 
# 네트워크 포렌직 현황과 기법

네트워크 포렌식에 대해 소개한 후 분석을 위해 갖추어야 할 기능을 중심으로 와일드 패킷 네트워크 포렌직 솔루션을 소개하였다.

 

세션 4. 디지털 증거 조사 분석 1

# TrueCrypt & BitLocker의 암호화된 볼륨 증거 분석 기법

실제 사건에서 마주쳤던 TrueCrypt & BitLocker 사례와 메모리에서 키를 찾아 복구하였던 방식을 소개하였다. 현재 상용화되어 있는 도구들이 상용화되기 이전에 마주친 문제들이라 현장에서 분석해야 했던 경험들을 실제 사례와 함께 소개해주어서 흥미롭게 들을 수 있었다.

 
# Analysis of Forgery Detection

이 논문도 영어로 발표되었다. 이미지의 연관관계를 분석한 후 재샘플링을 통해 위조된 사진의 흔적을 찾는 방법이었다. 이미지 처리에 대한 지식이 부족한 것이 아쉬웠지만 흥미로운 내용이었다.

 
# 스키마 패턴 분석을 이용한 SQLite 데이터베이스 삭제 레코드 추출 기법 연구

SQLite의 포맷 분석을 통해 삭제된 삭제 레코드를 추출하는 방법이었다. 포맷 분석으로만은 내부 오프셋 정보가 초기화될 경우에는 삭제된 정보를 복구하기 어렵다는 단점이 있다. 이를 해결하기 위해 포맷 정보에 따른 복구가 아닌 스키마 정보를 기반으로 데이터를 복구해내는 기법이다. 이를 활용하면 조각난 SQLite 파일에서도 복구가 가능할 것으로 보여진다.

 
# 가상드라이브에 은닉/우류된 범행과정 증거 분석 사례

이 발표는 이전에 다른 발표에서 들었던 내용을 포함하고 있어 약간 지루한 느낌이었다. 그리고 사례 소개이기는 하지만 특별한 방법이 사용되기보다는 그냥 일반적인 사례를 소개한 내용이어서 좀 아쉬웠다.
 
 
워크샵과 관련된 발표 자료 및 논문은 곧 관련 홈페이지(http://forensic.korea.ac.kr)를 통해 공개될 것이다. 워크샵 중 아쉬웠던 점이 있다면 논문 중 몇몇 내용은 논문이라고 하기에는 많이 부족해 보이는 내용이었다는 점이다. 꼭 어떤 특별한 방법이나 분석이 이루어져야 하는 것은 아니지만 상당히 양보를 하고서라도 아쉬운 점은 어쩔 수 없을 것 같다. 하지만 몇몇 발표는 이와 다르게 상당히 의미있는 내용들도 있었다. 그치만 많은 논문이 프로시딩에 실리지 않은 점은 정말 아쉬웠다. 시간이 촉박해서 인지 공개하기 어려운 내용인지는 모르겠지만 워크샵이라는 이름에 걸맞지 않는 일이다. 이러한 점은 좀 더 보완되었으면 한다.

아직까지 국내 시장이 크지 않은 만큼 워크샵의 수준이 평준화되지는 않은 면이 있지만 해를 거듭할 수도록 관심이 늘어나고 있는 만큼 좋은 행사로 거듭나길 바란다.