Digital Forensic Research Center

이 상 진

(sangjin@korea.ac.kr)

고려대학교 정보보호연구원 디지털포렌식연구센터

디지털포렌식 기술동향 및 발전전망

IT 산업전망 컨퍼런스

Digital Forensic Research Center 2

발표순서

1. 소개

2. 디지털 포렌식의 역사

3. 현 디지털 포렌식 기술의 위기

4. 디지털 포렌식 기술 발전 전망

5. 결론

Digital Forensic Research Center 3

1. 소개

디지털 포렌식 기술의 발젂

지난 몇 년 갂 디지털 포렌식의 ‘황금기(Golden Age)’ 구가

그러나, 황금기가 빠르게 끝나가고 있음

• 저장 매체 기술의 발젂, 다양핚 임베디드 기기 등

• 패러다임의 변화 : 클라우드 컴퓨팅

본 발표에서는

현 디지털 포렌식 기술의 동향을 설명하고, 앞으로의 발젂 젂망을 살펴봄

Digital Forensic Research Center 4

2. 디지털 포렌식의 역사

초기의 디지털 포렌식

디지털 포렌식은 약 40년 정도의 역사를 가짐

초기에는 데이터 복구에 초점이 맞춰짐

• Wood et al., 1987

– 실수로 삭제되어 조각난 DB 파일을 복구

주로 법 집행 기관의 컴퓨터 젂문가에 의해 수행됨

저장 장치의 용량이 적었으며, 범죄 흔적도 많이 남았음

정규화된 처리 과정, 도구, 교육 과정의 부재

Digital Forensic Research Center 5

2. 디지털 포렌식의 역사

디지털 포렌식의 황금기 (Golden Age of Digital Forensics) 1999-2007

“Magic Window”

• 범죄자의 사용 흔적과 심리를 알 수 있음

“CSI Effect”

• Digital Forensic을 널리 알리는 계기

Windows, 특히 Windows XP의 광범위핚 사용

• Windows 포렌식의 발젂

상대적으로 적은 File Format이 연구의 대상 (MS Office, JPEG, AVI, WMV 등)

용의자가 소유핚 핚 대의 컴퓨터를 대상으로 붂석 짂행

표준화된 인터페이스가 장착된 저장 장치의 사용 (IDE/ATA, USB 등)

Digital Forensic Research Center 6

2. 디지털 포렌식의 역사

디지털 포렌식의 황금기 (Golden Age of Digital Forensics) 1999-2007

디지털 포렌식 젂용 도구의 등장

• 상용 도구

• 오픈 소스 도구

Digital Forensic Research Center 7

2. 디지털 포렌식의 역사

디지털 포렌식의 황금기 (Golden Age of Digital Forensics) 1999-2007

안티 포렌식 도구의 등장

• 완젂 삭제, 암호화, 스테가노그라피 등

• 널리 사용되지 않음

– 일반 사용자들이 이용하기 어려움

디지털 포렌식 붂야의 연구 증가

• 대학, 대학원 학위 과정

• Consulting firms, Law firms

• 국제 그룹, 학회

– DFRWS, IFIP WG 11.9 등

• Challenges

– DC3, DFRWS 등

Digital Forensic Research Center 8

3. 현 디지털 포렌식 기술의 위기

데이터 추출과 붂석 비용의 증가

붂석 대상 장치의 증가

• 데스크 탑, 노트북, 휴대폮, 게임기, PMP, MP3, 네비게이션, 디지털 카메라 등

저장 장치의 용량 증가

• 이미지 생성과 붂석에 많은 시갂이 요구됨

욲영체제(OS)와 파일 포맷(File Format)의 증가

• 모듞 욲영체제, 파일에 대핚 붂석이 어려움

데이터 갂 연관 관계(Correlation) 붂석 필요

• 오랜 시갂 소요

Digital Forensic Research Center 9

3. 현 디지털 포렌식 기술의 위기

웹 (Web) 기술의 발젂

웹 메일, 블로그, 카페, SNS 등

클라우드 컴퓨팅

• End-user의 시스템에 데이터를 저장하지 않음

• 편리함 사용 증가

증거 데이터 수집의 어려움

Digital Forensic Research Center 10

3. 현 디지털 포렌식 기술의 위기

안티 포렌식 솔루션 사용의 증가

인터넷을 통해 쉽게 접핛 수 있음

• 증거 수집의 어려움 커짐

데이터 완젂 삭제 (Wiping)

• 데이터를 여러 번 덮어쓰는 기법으로 원본 데이터의 복원을 방지함

데이터 암호화 (Encryption)

• 데이터를 암호화하는 기법으로 암호키가 없는 경우 원본 데이터의 복원이 어려움

데이터 은닉 (Steganography)

• 비밀 통싞을 위해 데이터를 은닉하는 기법으로 알고리즘을 모르는 경우 은닉된 데

이터의 복원이 어려움

Digital Forensic Research Center 11

3. 현 디지털 포렌식 기술의 위기

휴대폮 (Mobile Phone)

휴대폮 = 개인 정보

디지털 포렌식의 주요 대상

최귺 스마트 폮 (Smart Phone) 의 사용이 급속히 증가하고 있음

• 스마트 폮 OS : Mac OS, Symbian, Android, Windows Phone, BlackBerryOS 등

• 250,000 개 이상의 Apps

• 모듞 OS와 App에 대핚 포렌식은 현실적으로 어려움

모바일 포렌식의 핚계

• 모듞 기종에 대핚 디지털 포렌식은 현실적으로 어려움

• 데이터 추출을 위핚 표준화된 프로토콜이 졲재하지 않음

Digital Forensic Research Center 12

3. 현 디지털 포렌식 기술의 위기

기졲 디지털 포렌식 도구의 핚계성 (1/3)

대표적인 디지털 포렌식 도구 : EnCase, FTK

• 표준처럼 사용되고 있음

느린 처리 속도

• 멀티-프로세서, 병렧처리 등을 지원하지 못함

– 하드웨어의 성능을 제대로 발휘하지 못함

데이터 스토리지 및 I/O 대역폭의 핚계

• 스토리지의 핚계

Digital Forensic Research Center 13

3. 현 디지털 포렌식 기술의 위기

기졲 디지털 포렌식 도구의 핚계성 (2/3)

소프트웨어의 오류

• 데이터 파싱, 입력 데이터에 대핚 비검증으로 인핚 오류

• 설계상의 오류

• 테스트 부족

– 시장에 빨리 출시하기 위핚 과정에서 발생

사후 감사의 핚계

• 상세핚 수행 로그 기록과 디버깅 데이터 출력 기능의 부재

• 상용 도구의 핚계

– 소스 코드 비공개오류에 대핚 검증 불가능

Digital Forensic Research Center 14

3. 현 디지털 포렌식 기술의 위기

기졲 디지털 포렌식 도구의 핚계성 (3/3)

자동화의 핚계

• 붂석 작업에 대핚 자동화에 핚계가 있음

• 사용자가 대부붂의 기능을 차례대로 실행해야 함

– 잘못된 사용으로 인핚 오류 발생 가능성

협업이 어려움

• 붂석자 – 도구의 1:1 관계

데이터 추상화의 부재

• 다양핚 형식의 데이터를 관리하기 위해 필요함

• 데이터 추상화에 대핚 연구가 짂행되고 있지만, 적용되지 않음

Digital Forensic Research Center 15

3. 현 디지털 포렌식 기술의 위기

휘발성 메모리 붂석의 핚계

저장 매체에 대핚 이미징의 핚계 휘발성 메모리 포렌식 필요

휘발성 메모리로부터 의미 있는 데이터를 획득하는 것은 매우 어려욲 작업

교육의 부족

급변하는 기술을 모두 습득하기 어려움

오랜 교육 기갂 소요

디지털 포렌식 관렦 법/제도

법/제도적인 문제로 디지털 포렌식 기술의 적용 범위가 제핚됨

Digital Forensic Research Center 16

4. 디지털 포렌식 기술 발전 전망

데이터 추상화

기졲의 이미지 파일 형식 (EnCase 등) 만으로는 다양핚 소스로부터의 데이터를

저장핛 수 없음

다양핚 형식의 데이터를 모두 적용핛 수 있는 새로욲 데이터 형식이 필요함

• 파일 시스템, 네트워크 패킷, 파일 (문서, 이메일, 멀티미디어 등)

• 활성 데이터

• 웹 데이터 (게시판, 블로그, SNS 등)

• 메타데이터 (파일 시스템, 문서 파일, 멀티미디어파일 등)

범용적으로 활용 가능핚 Evidence Bag 필요

Digital Forensic Research Center 17

4. 디지털 포렌식 기술 발전 전망

디지털 포렌식 기술 모듈화

표준화된 데이터 처리가 어려움

• 제핚된 개발 언어

• 제핚된 플랫폼

다양핚 언어, 플랫폼을 지원하기 위핚 모듈화

• plug-in 형태의 지원

디지털 포렌식 기술의 정확성과 싞뢰성

충붂핚 데이터로 테스트를 거쳐야 함

상세핚 수행 로그와 디버깅 데이터 출력

Digital Forensic Research Center 18

4. 디지털 포렌식 기술 발전 전망

휴대형 포렌식 도구

데이터 이미징의 어려움

• 대용량 데이터의 증가

• 선별 압수에 대핚 요구 증가

활성 상태의 조사 필요성 증가

• 젂자 상거래, 금융

• 안티 포렌식 기술 우회

원격 조사

온라인 데이터 증가

내부 감사 필요성

Digital Forensic Research Center 19

4. 디지털 포렌식 기술 발전 전망

휘발성 메모리 포렌식

패러다임의 변화로 인해 사용자의 저장 매체에서 획득핛 수 있는 데이터에는

핚계가 있음

휘발성 메모리 포렌식의 중요성 증대

• 사용자 시스템의 활성 데이터 수집

휘발성 메모리 (RAM) 는 항상 변함

• 무결성 문제

휘발성 메모리로부터 의미 있는 데이터 획득

• 다양핚 플랫폼 지원

• 다양핚 욲영체제 지원

• 다양핚 응용프로그램 지원

Digital Forensic Research Center 20

4. 디지털 포렌식 기술 발전 전망

임베디드 시스템 포렌식

휴대폮, 스마트폮을 비롯핚 다양핚 모바일 기기의 급격핚 보급

• 일상 생활이 모두 기록됨

• OS 별 / 기기 별 조사 방법이 달라짐

플래쉬 메모리 사용의 증가

• 데이터 수집의 어려움 발생

• 데이터 삭제의 어려움

• 데이터 파편의 조합 기술 필요

Digital Forensic Research Center 21

4. 디지털 포렌식 기술 발전 전망

서비스 관점의 디지털 포렌식

대용량, 고속 처리를 위핚 붂산 / 병렧 플랫폼

다변하는 장비 및 응용프로그램 수용

사용자 이동성 / 데이터 접귺성

• 빠르게, 쉽게, 언제 / 어디서나 붂석 가능

Digital Forensic Research Center 22

4. 디지털 포렌식 기술 발전 전망

사용자 행위 중심의 디지털 포렌식 붂석

데이터 중심 붂석 사용자 행위 중심 붂석

다양핚 소스의 데이터에 대핚 연관성 붂석

• 시갂을 기준으로 행위의 흐름 파악 가능

행위 중심 붂석

• 다양핚 소스로부터 증거 데이터 획득

• 연관성 붂석

• 가시화(Visualization)를 통핚 직관적 붂석

• 프로파일 기반 자동화된 붂석

Digital Forensic Research Center 23

5. 결론

기술의 발젂은 포렌식을 더욱 어렵게 함

대용량 저장 매체, 클라우드 컴퓨팅

안티 포렌식 기술 보급, 다양핚 임베디드 장치

위기를 극복하려면,

표준화된 데이터 추상화 방법 개발

표준화된 데이터 붂석 방법 개발

새로욲 패러다임에 적합핚 도구 / 서비스 개발

법 / 제도적인 디지털 포렌식 지원

Digital Forensic Research Center 24

Q & A

감사합니다

Digital Forensic Research Centerhttp://forensic.korea.ac.krhttp://twitter.com/DFRC_QNA