[Digital Forensic] 안티 포렌식(Anti Forensics)

 

안티 포렌식

 

흔히 어떠한 기술의 반대적 성향을 가진 기술 명칭에는 Anti 라는 단어가 붙어 명명되곤 한다.

 

또 'Anti'라는 단어가 붙은 기술을 보면 대부분 좋지 않은(보안 기술과 반대적인 크래킹 등) 기술들이어서 일반적인 인식 자체가 좋지 않은 기술로 사람들 머리 속에 자리잡게 되곤 한다.

 

하지만 안티 포렌식은 그렇지 않다.


(1) 안티 포렌식이란? 

  • 어떠한 사건을 해결하기 위한 포렌식 기술 수행을 방해하기 위한 것이 목적이므로 좋은 기술이 될 수 없음

  • 현재 포렌식이 각광을 받고 있고 또 그 시장 규모가 예전에 비해 많이 팽창함에 따라 포렌식 연구가 활발히 진행

  • 반면에 안티 포렌식에 대비하는 연구는 아직 미비

  • 대부분의 문서에서는 안티 포렌식의 예로 루트킷을 거론하곤 함

루트킷을 거론하는 이유는 안티 포렌식 기술의 대부분을 루트킷이 수행하기 때문이다.

 

그렇기에 안티 포렌식의 모음이라고 할 수 있는 루트킷을 거론하는 것이다.

 

안티 포렌식에는 여러 종류의 기술들이 존재한다. 그 기술을 수행하는데 있어 방법은 여러 가지이다.

 

그러므로 이 섹션에서는 기술의 종류만 정의할 것이다. (기술의 명칭이 명명되지 않은 이유도 있다)

 

 

1-1. Data Destruction

  • 포렌식을 어렵게 하는 근본적 이유는 데이터 부족

  • 수집된 데이터가 부족하다면 분석할 수 있는 범위가 그만큼 한정되기 때문

  • Data Destruction은 수집될 수 있는 데이터들을 수집되지 못하도록 완전히 삭제 하는 것을 의미

 

데이터 완전 삭제는 일반적으로 Wiping이라고 불린다.

 

그런데 대부분의 문서를 보면 Wiping의 수행 횟수를 제시한다.

 

왜 1번이 아니라 여러 번을 시도하라고 권장하고, 기존 데이터를 다른 데이터로 덮어씌우는 Wiping은 1번만 해도 그 데이터가 완전 삭제되는 것이 아니던가?

 

이유는 바로 요즘 출시되는 하드 디스크의 특성 때문이다.

 

요즘 하드 디스크의 플래터에는 강한 자성을 이용해 데이터를 저장하려고 플래터 표면에 코발트, 크롬, 산화 알루미늄과 같은 자성 물질을 코딩시켜 두는데 이 자성 물질에 데이터가 저장되게 되면 데이터가 저장된 자성 물질 부분에 데이터가 저장되지 않은 자성 물질과 높낮이 차이가 생기게 된다.

 

[그림 1] 데이터가 저장된 자성 물질의 높낮이

 

[그림 1] 상태에서 데이터를 삭제하기 위해 Wiping을 수행하게 되면 자성 높이가 조금은 낮아지게 된다.

 

하지만 기존 자성 물질들과의 높낮이 차이는 아직 있기에 몇 번의 Wiping을 수행해 그 높낮이 차이를 해소하고 자성 물질의 높낮이 차이를 이용해 데이터를 복구할 수 있다는 이론이 존재하기 때문에 혹시라도 모르는 상황을 대비해 여러 문서에서는 최소 3번 이상의 Wiping을 권고하고 있다.

 

[그림 2] Wiping 수행 후 자성 물질의 높낮이 차이

 

 

1-2. Data Hiding

  • 데이터를 숨기는 행위

  • 데이터가 발견되지 못하게 하거나 발견하기까지 시간이 오래 걸리도록 하기 위한 목적의 기술

  • 대부분 파일 시스템의 비할당 영역이나 예약 영역, 슬랙 영역 등에 데이터를 숨기고는 함

  • 요즘은 포렌식 분석 도구들이 이런 부분도 모두 체크하여 분석해주기 때문에 현재의 포렌식 기술에는 크게 영향을 미치지 못함 

 

1-3. Data Transformation

  • 데이터의 형태를 변환하는 기술

  • 대표적으로 암호화를 들 수 있음

  • 분석가가 데이터의 원본과 의미를 알기까지의 시간을 벌거나 데이터의 본래 의미를 숨길 때 사용하는 기술

 

1-4. Data Contraception

  • 데이터를 분석이 불가능한 위치에 저장해 데이터를 아예 찾지 못하게 하는 기술

  • 해당 기술은 포렌식 데이터의 수집량을 줄이기 위한 것이 가장 큰 목적

 

1-5. Data Fabriacation

  • 데이터 분석의 결과를 잘못된 방향으로 흐르게 하는 기술 및 방법

  • 분석가가 분석하는 데이터를 임의로 조작하여 도출되는 결과를 잘못된 결과로 만드는 기술

  • 데이터 조작에 있어 정교함이 필요한 기술

 

1-6. Preventing Data Creation

  • 포렌식 분석에 필요한 데이터 생성을 하지 않도록 시스템 설정을 변경하는 기술

  • 대표적으로 타임라인 분석에 있어 필요한 타임 스탬프 값의 업데이트를 방지하는 기술

  • Windows 시스템의 경우 레지스트리 값을 조작하여 타임스탬프의 업데이트를 하지 않도록 할 수 있음

 

1-7. Overwriting Metadata

  • 대부분의 파일 시스템에서 데이터가 삭제될 경우 해당 데이터의 메타데이터와 데이터가 저장된 파일 시스템 영역의 링크가 끊어져 사용자에게는 파일이 삭제된 것처럼 보임

  • 파일 시스템에는 사용자가 삭제 명령을 내린 데이터가 고스란히 남아 있음

  • 포렌식 도구들은 이러한 원리를 이용해 메타데이터를 분석하고 해당 메타데이터에 대한 데이터를 찾아 복원시켜줌

  • 해당 기술도 이런 원리를 이용해 메타데이터를 임의의 값으로 덮어 씌워 포렌식 도구나 분석가가 메타데이터를 이용해 데이터를 찾지 못하도록 함

 

1-8. Degaussing

  • 앞에서 언급한 기술들이 모두 소프트웨어적 기술이면 디가우징은 하드웨어적 기술

  • 하드 디스크는 일반적으로 자기성분을 이용해 데이터를 디스크에 쓰는데, 이 자기성분보다 더 강한 자기성분을 디스크에 씌우면 디스크는 자기성분을 이기지 못하고 모든 데이터를 휘발시켜 버림

  • 예전의 일반적인 디가우저(디가우징 장비)는 대상 하드 디스크의 데이터를 모두 삭제 시키고 해당 하드 디스크를 사용하지 못하게 했음

  • 요즘 디가우저는 DDOS라는 기술을 사용해 디가우징이 이루어지고 난 후에도 해당 디스크를 재활용할 수 있게 함

  • 원래 디가우징 기술은 안티 포렌식이 아닌 관공서나 군부대 등에서 비밀을 유지하고 정보 유출 방지를 위해 사용되었지만 요즘은 안티 포렌식에도 가끔 사용

 

안티 포렌식의 기술 종류는 위처럼 매우 다양하다.

 

위 종류들의 안티 포렌식 기술들이 모두 적용되거나 하나의 기술만이라도 완전히 적용 된다면 포렌식 수행 과정은 정말 힘들고 험난할 것이다.

 

하지만, 안티 포렌식 기술의 완전한 성공은 현재로서는 어렵다.

 

포렌식은 사실 컴퓨터를 구성하고 있는 각 부품들과 소프트웨어를 개발하는 업체들에 의해 이루어지고 있다고 해도 과언이 아닐만큼 컴퓨터 부품이나 소프트웨어에서 지원하는 기능과 데이터에 많이 의존한다.

 

안티 포렌식은 포렌식과 달리 받쳐주는 받침대 역할의 부품이나 소프트웨어가 턱없이 부족하기 때문에 안티 포렌식을 완전히 수행할 수는 없다.

 

 

EXFORENSIS 블로그의 블로거는 다음과 같은 이유로 안티 포렌식이 실제 침해사고에서 완전히 성공할 수 없다고 언급하였다.

 

  • 대부분의 파일 삭제 도구들은 파일 삭제 흔적(로그 등)을 남긴다.

  • 대부분의 도구에는 도구가 파일 삭제를 수행할 시 원하는 행위를 하도록 하는 옵션이 존재하지만 이 옵션을 설정한다고 하더라도 도구가 설정된 옵션에 따라 파일을 완전히 삭제하지 못할 수도 있다.

  • 비할당 영역의 데이터를 삭제하는 일은 생각만큼 빨리 끝나지 않는다.

  • 포렌식적으로 의미가 있는 데이터를 오나전히 지우는 도구는 존재하지 않는다.

  • 대부분의 사람들은 비밀번호로 컴퓨터를 보호하기 때문에 데이터의 대한 보안을 생각해 데이터를 주기적으로 완전히 삭제하는 일은 하지 않는다.

 

첫 번째에서 언급한 파일 삭제 도구의 흔적은 우리가 일반적으로 알고 있는 완전 삭제 프로그램인 BCWipe에서도 찾아볼 수 있다.

 

[그림 3] BCWipe 프로그램을 이용한 완전 삭제 시도 장면

 

위 [그림 3]은 BCWipe 프로그램을 이용해 결정적인 증거물을 지우려는 장면이다.

 

BCWipe의 로그는 사실 설정이 필요한 부분이지만, 로그 기능을 지원한다는 점을 중요하게 생각해야 한다.

 

개인이 사용할 때에는 로그 기능을 사용하지 않겠지만, 공공기관이나 기업체에서 사용할 때에는 기록이 중요하기 때문에 로그 기능을 활성화해 두는 일이 많다.

 

[그림 4] BCWipe Log 파일 설정 화면

 

위 설정을 통해 파일 삭제 도구도 기록을 남기고 어떤 파일이 지워졌는지 알아낼 수 있다.

 

물론 원본 파일을 복구하지는 못하겠지만 말이다.

 

안티 포렌식의 기술은 현재로선 완벽하지 못한 기술들이 대부분이다.

 

하지만 포렌식은 피의자 입장에서 생각해봐야 하는 분야이다.

 

그러므로 피의자 입장에서 포렌식을 무력화할 방법은 어떤 것이 있는지, 또 그 방법을 어떻게 찾아내고 대응해야 할 것인지에 대한 연구나 고민을 지속적으로 해야할 것이다.

 

지구 어디에선가 안티 포렌식 기술을 연구해 한 순간에 악성코드나 불법적인 행위를 통해 공개할 수 있다.

 

이렇게 될 경우 해당 안티 포렌식 기술에 대응하기 위해 연구하는 동안 또 다른 추가 피해가 생기고 정상적 침해에 대한 대응을 못할 수도 있다.

 

포렌식 연구가 활발히 진행되는 만큼 안티 포렌식과 관련된 연구도 진행되어야 할 것이다.


# Reference

 

http://www.yes24.com/Product/Goods/8511539

+ Recent posts