프로니어| Security is a people problem....
가끔 연구를 하다 보면 외부에서 디지털 포렌식과 관련해서 문의가 오거나 분석 의뢰가 오는 경우가 있다. 분석을 위해서는 디지털 포렌식에서 항상 외치는 무결성을 보장하기 위해 쓰기 방지상태에서 이미징을 해야 한다. 이때, IDE, SATA, USB 등의 흔히 개인용 컴퓨터에서 사용하는 인터페이스는 별 문제가 되지 않는다.
하지만 SCSI가 올 때마다 보통 삽질이라고 하는 작업을 많이 하게 된다. 왜냐하면 인터페이스가 너무도 다양하기 때문이다. 알고보면 현재 50-pin, 68-pin, 80-pin 까지 나와서 셋만 고려하면 될것 같은데 외부냐 내부냐, 0.8 mm 냐, 숫놈이냐 암놈이냐 등의 사항을 고려해야 하기 때문이다.
예전에 이런 문제때문에 SCSI에 대해 이것 저것 자료를 찾아가면서 많은 지식을 축척해 뒀지만 그래도 항상 고생을 하는것 같아 이번 기회에 SCSI에 대해 이미징과 관련해서 정리를 하려고 한다.
SCSI 란?
SCSI(Small Computer System Interface)는 주변장치와 컴퓨터사이의 데이터전송을 위한 인터페이스의 하나이다. 보통 "스카시" 또는 "스커시" 등으로 발음한다. SCSI를 주변에서 보기 힘든 이유는 개인용 컴퓨터 시장은 IDE(ATA)/SATA 가 SCSI를 대신하고 있기 때문이다. 둘의 가격을 비교해보면 2009년 8월 현재 씨게이트의 320 GB(EIDE/7200/16M)의 경우 10만원에 판매되고 있는데 반해 후지쯔 300 GB(SCSI/10K/80P)의 경우 57만원에 판매되고 있다. 둘 모두 병렬 방식인데 직렬 방식의 가격을 알아보면 웨스턴디지털 1TB(SATA2/32M)이 10만원인데 반해시게이트 146 GB(SA-SCSI/15K/8M)의 경우 33만원이다. SA-SCSI는 기존의 SCSI 전송 방식을 직렬로 바꾼 방식으로 흔히 SAS(사스)라고 불린다.
그렇다면 왜 이렇게 가격 차이가 나는 것일까? 가격 차이에도 불구하고 기업의 서버환경에서 SCSI나 SAS를 고집하는 이유는 무엇일까? 그리고 SCSI 방식의 하드디스크는 300 GB 이상의 제품이 거의 없다. 1TB를 구성하기 위해 300 GB 3개를 사야 하는 것이다. 그것도 SATA2 방식의 15번 이상의 가격을 주고 말이다.
가장 큰 이유는 안정성이다. 개인용 컴퓨터의 경우 처음 샀을때 컴퓨터 속도가 엄청 빠르게 느껴지다가도 몇년 사용하다 보면 분명 어플리케이션이 크게 성능을 요구하는 것으로 바꾼것도 없는데, 포맷을 했는데도 속도가 이전보다 적게 나오는 것을 알 수 있다. 그래서 마치 컴퓨터가 오래된탓을 하고 새 컴퓨터로 바꾸곤 한다. 하지만 이럴 경우 하드디스크의 이유일 경우가 많다. 한번 새 하드를 사서 끼워보면 속도가 크게 증가하는 것을 알 수 있다. 이처럼 IDE/SATA 의 경우 오래 사용하게 되면 성능의 하락을 가져온다. (정확한 이유는 잘 모르겠으나 추후에 알아서 쓰려고 계획중..) 이러한 문제를 해결하기 위해 Low-format을 하게 되면 어느정도의 성능 향상을 볼 수 있다.
기업과 같은 서버 환경에서는 데이터의 활용면에서 봤을때 항상 고정된 성능이 필요하다. 몇년 지났다고 해서 속도가 느려진다면 데이터베이스에 사용하는 경우 서비스 속도도 느려질 것이다. 그래서 높은 가격에도 불구하고 SCSI를 사용하게 된다. 물론 탐색시간면에서도 SCSI가 우수하고 데이터의 안정성 면에서도 우수하다고 한다. 왠지 이야기가 삼천포로 빠지고 있는데 SCSI에 대한 더 자세한 내용을 원하면 Wikipedia를 참고하기 바란다. 여기서는 이미징과 관련된 이야기만 다뤄보자.
SCSI 쓰기방지장치(Write Blocker)
디지털 포렌식의 가장 중요한 의미인 증거의 무결성을 위해서 증거 이미징이나 복제를 하기 전에 항상 쓰기방지장치(Write Blocker)를 통해야 한다. 쓰기방지장치를 소프트웨어적으로 해결(읽기모드 마운트, API 후킹등의 방법을 통해 쓰기 관련 명령어 제한)하는 것은 한계가 있기 때문에 대부분 하드웨어로 제작되어 판매되고 있다. 어쩔수 없이 이미징을 위해서는 이런 쓰기 방지장치들을 구입해야 한다. SCSI를 지원하는 쓰기방지장치들은 다음과 같다.
Digital Intelligence
UltraBlock SCSI ($429.00)
(Ref. http://www.digitalintelligence.com/products/ultrablock_scsi/images/T4_small.gif)
이 제품은 SCSI 인터페이스와 직접 연결되는 것이 아니라 FireWire A/B, USB 1.x/2.0 을 이용하여 SCSI를 쓰는 시스템에서 이미지를 수집하는 것이다. 가뜩이나 대용량의 저장매체 때문에 이미징이나 복제하는데 시간이 많이 걸리는데 인터페이스 속도 때문에 매번 인내심이 필요할듯 하다.
Paralan
SCSI Write Blocker - SR14A, SR15A
(Ref. http://www.paralan.com/pix/sr15real.jpg)
(Ref. http://www.paralan.com/pix/sr14diagram2.gif)
이 제품은 두번째 그럼처럼 SCSI 하드와 직접 연결되어 쓰기방지기능을 수행하는 장치이다. 기본적으로 68-pin (female) 인터페이스를 지원하기 때문에 인터페이스가 다를 경우 컨버터가 필요하다.
ForensicPC
Ultimate Write Block Kit ($1595.00)
(Ref. http://www.forensicpc.com/prodimages/Write%20Blocking%20Solutions/uwbk_1.jpg)
SCSI 만을 위한 제품이아니라 위와 같이 별도의 쓰기방지장치 제품군으로 통합해서 판매하기도 한다. 위 제품은 IDE, SATA, SCSI 50-pin/68-pin/80-pin, USB, memory cards 등 대부분의 저장매체 인터페이스를 지원한다. 역시나 가격은 꽤 비싸다.
이외에도 쓰기방지장치 제품은 검색만 해도 많이 찾을 수 있다. 국내에서는 아직까지 개발 판매하는 회사는 없고 제트코에서 대행판매를 하고 있다.
다음 내용은 추후에 작성될 예정입니다.
SCSI 인터페이스 종류
SCSI 이미징관련 준비물
SCSI 이미징 도구
SCSI 이미징 하기
가끔 연구를 하다 보면 외부에서 디지털 포렌식과 관련해서 문의가 오거나 분석 의뢰가 오는 경우가 있다. 분석을 위해서는 디지털 포렌식에서 항상 외치는 무결성을 보장하기 위해 쓰기 방지상태에서 이미징을 해야 한다. 이때, IDE, SATA, USB 등의 흔히 개인용 컴퓨터에서 사용하는 인터페이스는 별 문제가 되지 않는다.
하지만 SCSI가 올 때마다 보통 삽질이라고 하는 작업을 많이 하게 된다. 왜냐하면 인터페이스가 너무도 다양하기 때문이다. 알고보면 현재 50-pin, 68-pin, 80-pin 까지 나와서 셋만 고려하면 될것 같은데 외부냐 내부냐, 0.8 mm 냐, 숫놈이냐 암놈이냐 등의 사항을 고려해야 하기 때문이다.
예전에 이런 문제때문에 SCSI에 대해 이것 저것 자료를 찾아가면서 많은 지식을 축척해 뒀지만 그래도 항상 고생을 하는것 같아 이번 기회에 SCSI에 대해 이미징과 관련해서 정리를 하려고 한다.
SCSI 란?
SCSI(Small Computer System Interface)는 주변장치와 컴퓨터사이의 데이터전송을 위한 인터페이스의 하나이다. 보통 "스카시" 또는 "스커시" 등으로 발음한다. SCSI를 주변에서 보기 힘든 이유는 개인용 컴퓨터 시장은 IDE(ATA)/SATA 가 SCSI를 대신하고 있기 때문이다. 둘의 가격을 비교해보면 2009년 8월 현재 씨게이트의 320 GB(EIDE/7200/16M)의 경우 10만원에 판매되고 있는데 반해 후지쯔 300 GB(SCSI/10K/80P)의 경우 57만원에 판매되고 있다. 둘 모두 병렬 방식인데 직렬 방식의 가격을 알아보면 웨스턴디지털 1TB(SATA2/32M)이 10만원인데 반해시게이트 146 GB(SA-SCSI/15K/8M)의 경우 33만원이다. SA-SCSI는 기존의 SCSI 전송 방식을 직렬로 바꾼 방식으로 흔히 SAS(사스)라고 불린다.
그렇다면 왜 이렇게 가격 차이가 나는 것일까? 가격 차이에도 불구하고 기업의 서버환경에서 SCSI나 SAS를 고집하는 이유는 무엇일까? 그리고 SCSI 방식의 하드디스크는 300 GB 이상의 제품이 거의 없다. 1TB를 구성하기 위해 300 GB 3개를 사야 하는 것이다. 그것도 SATA2 방식의 15번 이상의 가격을 주고 말이다.
가장 큰 이유는 안정성이다. 개인용 컴퓨터의 경우 처음 샀을때 컴퓨터 속도가 엄청 빠르게 느껴지다가도 몇년 사용하다 보면 분명 어플리케이션이 크게 성능을 요구하는 것으로 바꾼것도 없는데, 포맷을 했는데도 속도가 이전보다 적게 나오는 것을 알 수 있다. 그래서 마치 컴퓨터가 오래된탓을 하고 새 컴퓨터로 바꾸곤 한다. 하지만 이럴 경우 하드디스크의 이유일 경우가 많다. 한번 새 하드를 사서 끼워보면 속도가 크게 증가하는 것을 알 수 있다. 이처럼 IDE/SATA 의 경우 오래 사용하게 되면 성능의 하락을 가져온다. (정확한 이유는 잘 모르겠으나 추후에 알아서 쓰려고 계획중..) 이러한 문제를 해결하기 위해 Low-format을 하게 되면 어느정도의 성능 향상을 볼 수 있다.
기업과 같은 서버 환경에서는 데이터의 활용면에서 봤을때 항상 고정된 성능이 필요하다. 몇년 지났다고 해서 속도가 느려진다면 데이터베이스에 사용하는 경우 서비스 속도도 느려질 것이다. 그래서 높은 가격에도 불구하고 SCSI를 사용하게 된다. 물론 탐색시간면에서도 SCSI가 우수하고 데이터의 안정성 면에서도 우수하다고 한다. 왠지 이야기가 삼천포로 빠지고 있는데 SCSI에 대한 더 자세한 내용을 원하면 Wikipedia를 참고하기 바란다. 여기서는 이미징과 관련된 이야기만 다뤄보자.
SCSI 쓰기방지장치(Write Blocker)
디지털 포렌식의 가장 중요한 의미인 증거의 무결성을 위해서 증거 이미징이나 복제를 하기 전에 항상 쓰기방지장치(Write Blocker)를 통해야 한다. 쓰기방지장치를 소프트웨어적으로 해결(읽기모드 마운트, API 후킹등의 방법을 통해 쓰기 관련 명령어 제한)하는 것은 한계가 있기 때문에 대부분 하드웨어로 제작되어 판매되고 있다. 어쩔수 없이 이미징을 위해서는 이런 쓰기 방지장치들을 구입해야 한다. SCSI를 지원하는 쓰기방지장치들은 다음과 같다.
Digital Intelligence
UltraBlock SCSI ($429.00)
 |
(Ref. http://www.digitalintelligence.com/products/ultrablock_scsi/images/T4_small.gif)
이 제품은 SCSI 인터페이스와 직접 연결되는 것이 아니라 FireWire A/B, USB 1.x/2.0 을 이용하여 SCSI를 쓰는 시스템에서 이미지를 수집하는 것이다. 가뜩이나 대용량의 저장매체 때문에 이미징이나 복제하는데 시간이 많이 걸리는데 인터페이스 속도 때문에 매번 인내심이 필요할듯 하다.
Paralan
SCSI Write Blocker - SR14A, SR15A
 |
(Ref. http://www.paralan.com/pix/sr15real.jpg)
 |
(Ref. http://www.paralan.com/pix/sr14diagram2.gif)
이 제품은 두번째 그럼처럼 SCSI 하드와 직접 연결되어 쓰기방지기능을 수행하는 장치이다. 기본적으로 68-pin (female) 인터페이스를 지원하기 때문에 인터페이스가 다를 경우 컨버터가 필요하다.
ForensicPC
Ultimate Write Block Kit ($1595.00)
 |
(Ref. http://www.forensicpc.com/prodimages/Write%20Blocking%20Solutions/uwbk_1.jpg)
SCSI 만을 위한 제품이아니라 위와 같이 별도의 쓰기방지장치 제품군으로 통합해서 판매하기도 한다. 위 제품은 IDE, SATA, SCSI 50-pin/68-pin/80-pin, USB, memory cards 등 대부분의 저장매체 인터페이스를 지원한다. 역시나 가격은 꽤 비싸다.
이외에도 쓰기방지장치 제품은 검색만 해도 많이 찾을 수 있다. 국내에서는 아직까지 개발 판매하는 회사는 없고 제트코에서 대행판매를 하고 있다.
다음 내용은 추후에 작성될 예정입니다.
SCSI 인터페이스 종류
SCSI 이미징관련 준비물
SCSI 이미징 도구
'Storage Forensics' 카테고리의 다른 글
| 컴퓨터 하드웨어 (1) - 기억장치 (0) | 2009/11/16 |
|---|---|
| HPA and DCO (0) | 2009/10/14 |
| Mounted Devices GUID Analysis (2) | 2009/10/09 |
| USB 쓰기 방지 해제 (0) | 2009/10/06 |
| SCSI 이미징 하기 (0) | 2009/08/16 |
| 부팅 절차 (Boot Process) (2) | 2009/07/01 |
댓글을 달아 주세요