태블로 이미징 도구 호환성(Tableau Imager Compatibility)

얼마전에 페북으로 쓴 글이지만 다시 한번 이야기하고자 한다. 페북의 타임라인이 지나가버리면 찾기가 힘든것이 단점이다.

앞서 인터페이스와 이미징(http://forensic-proof.com/archives/2731) 포스팅에서 하드웨어 간에 호환성에 대해서 간단히 언급했다. 하지만 이미징에는 하드웨어 간의 호환성 뿐만아니라 하드웨어와 소프트웨어 간의 호환성도 중요하다.

이미징 소프트웨어는 대표적으로 FTK Imager가 많이 사용되고 있다. 최근에는 Tableau社에서 자사의 쓰기방지장치(Write Blocker)와 최적화되어 있다고 홍보하는 Tableau Imager를 내놓았다. 하지만 소프트웨어와 하드웨어의 호환성이 그렇게 성능에 영향을 미칠까?

이런 궁금증은 그냥 넘기는 성격이 아니라 바로 시험을 해보았다. 실험 환경은 8 GB의 USB 메모리를 3개의 대표적인 이미징 도구를 이용해 E01 이미지 포맷으로 이미징해보았다. 이때 E01의 압축은 사용하지 않았다.

• Target : 8GB USB Memory
• Method : E01 Imaging (no compression)

실험 결과는 다음과 같았다.

Tableau Imager는 쓰기방지장치가 연결되지 않으면 이미징 작업을 수행할 수 없기 때문에 호스트에 직접 붙였을 때 시간은 측정하지 못했다. 하지만, 호스트에 직접 붙였을 때에도 FTK Imager보다 EnCase의 이미징 성능이 더 좋았다.

다음으로 호스트와 USB 중간에 쓰기방지장치인 Tableau Forensic USB Bridge를 장착한 후 이미징을 수행해보았다. 결과에서 볼 수 있듯이 FTK Imager와 EnCase의 성능은 쓰기방지장치를 장착하지 않았을 때보다 더 큰 성능차이가 있었으며 Tableau Imager를 두 소프트웨어보다도 훨씬 성능이 좋았다.

8 GB의 USB만 대상으로한 제한적인 실험이지만 ATA/SATA, SCSI/SAS 와 같은 주 저장매체 인터페이스에서도 큰 차이는 없을 것이다. 용량이 커지면 커질 수록 성능의 차이는 더욱 벌어질 것이다. 최근 대용량의 저장매체를 이미징할 때 고민이 이미징 시간이 너무 많이 걸린다는 단점이다.

이 때문에 형사소송법 개정안에도 일부 포함되어 있듯이 전체 이미징이 아닌 선별적인 수집과 같은 방안도 대두되고 있지만 아직까지는 이르다. 이런 상황에서 이미징 시간을 단축시키는 것은 성능 좋은 시스템을 도입한다고 해결되는 것은 아니다. 하드웨어와 하드웨어, 하드웨어와 소프트웨어에 대한 성능 측정을 통해 각 인터페이스에 적합한 이미징 환경을 마련하는 것이 필요하다.

그리고 무료이고  손쉽게 사용할 수 있어 FTK Imager를 많이 사용하기는 하지만 위와 같은 성능으로 볼 때, FTK Imager에 대한 사용을 재고해봐야 할 것이다.

예전에 봤던 예능에서 한 연예인이 나와 이런 이야기를 했다. 그 연예인은 설문조사 결과 연예인들 사이에서 워스트 드레서로 뽑혔다. 자신은 전혀 이런 사실을 이해할 수 없다면서 옷은 자주 구입하는 편은 아니지만 매번 신경써서 고른다고 했다. 그러면서 하는 말이,

“백화점이나 길을 가다가 정말 예쁜 자켓이 있어서 산다. 그리고 몇달이 지나 정말 예쁜 바지를 구입했다. 그리고 몇 달 지나 정말 예쁜 구두를 구입했다. 그래서 어느날 정말 예쁜 자켓과 정말 예쁜 바지와 정말 예쁜 구두를 입고 사람들은 만나러 갔다. 그런데 사람들이 옷을 가지고 놀렸다는 것이다”

“이해할 수가 없다. 정말 예쁜 자켓과 정말 예쁜 바지와 정말 예쁜 구두를 입었는데 왜 ……”

결론은, 정말 좋은 시스템과 정말 좋은 이미징 장비와 정말 좋은 소프트웨어를 구입한다고 정말 좋은 성능을 내는 것은 아니다.