[Digital Forensic] 이미지 포렌식

 

이미지 포렌식

(1) 서론

  • 디지털 포렌식은 많은 분야에 적용되어 왔지만, 모든 분야가 고루 관심을 받아 연구되어 온 것은 아님

  • 대부분 컴퓨터, 모바일, 네트워크 중심의 디지털 포렌식이 주를 이루었는데, 그 외에도 관심을 가지고 연구해야 할 분야가 많음

  • 예로 현재 주를 이루는 포렌식 분야를 제외한다면 우리가 관심 가져야 할 분야는 대표적으로 이미지, 음성 분야 등이 존재

  • 요즘은 우리 일상 속에서 디지털 이미지를 손쉽게 볼 수 있고 접할 수 있음 

  • 이런 이미지들은 우리들에게 직/간접적으로 영향을 줄 때도 있으며, 영향을 주는 이미지에 대해서는 그 진위 판별 여부가 중요

  • 예로 한 시대를 담고 있는 사진이 역사적으로 가치가 높아 진이 여부를 판별했더니 진짜 이전 시대의 사진이 맞는다고 판명이 남

  • 이런 경우 해당 사진을 기준으로 역사가 재해석 됨

그리고 계속해서 후세에 교육 되어져 오는데 만약 후세에 어떤 인물이 조금 더 발전 된 이미지 분석 기술과 논리적 증거로 해당 사진이 위조 되었다고 주장하게 되면 어찌 될까?

 

아마 많은 역사적 혼란이 초래되지 않을까?

 

예를 극단적인 예로 들었지만, 사실 충분히 있을 수 있는 일이다.

 

해당 글은 이미지 분석 기술과 이미지에서 얻을 수 있는 증거 등에 대한 내용이다.

 

컴퓨터 이미지는 사실 수학적 개념이 들어가야 하지만, 이 글에서는 수학적 개념은 되도록 들어가지 않는다.

 

예제를 통해 기술이 어떤 형태를 띄고 있는지 파악해 볼 것이다.

(2) 이미지 관련 법

  • 사실 디지털 이미지 등의 이미지를 수정하는 것은 법에 저촉되는 행위가 아님

  • 하지만, 수정 된 이미지가 배포되고 그 이미지로 인해 누군가가 피해를 입는다면 이런 경우 법을 위반하는 경우가 됨

  • 대표적인 예로 명예훼손과 초상권침해가 있음

 

2-1. 명예훼손

  • 형법상으로는 명예훼손죄, 민법상으로는 불법 행위가 성립되는 죄목

 

형법상에서 명예는 "사람의 인격적 가치에 대한 사회적 평가로 정의되고 있다."

 

세부적으로 나누면 외부적 명예(사람의 신분, 성격, 혈통, 용모, 지식, 능력, 직업, 건강, 품성, 덕행, 명성 등)와 내부적 명예(그 사람이 가지는 진가)가 있다.

 

이미지 수정으로 인한 명예훼손죄는 내부적 명예보다는 외부적 명예를 훼손했다고 볼 수 있으며, 사실 형법상에서도 내부적 명예는 관계가 없다.

 

형법상 명예훼손죄가 성립되려면 공연히 또는 불특정 다수인이 인지할 수 있는 상황에서 사실 또는 허위의 사실을 적시 해야 한다.

 

그러므로 이미지를 수정했을 때 자신만 보기 위해 배포하지 않고 있다면 형법상 명예훼손죄가 성립되지 않는다.

 

하지만 이미지 수정 후 배포하여 불특정 다수인이 그 이미지를 보게 된다면 명예훼손죄가 성립된다.

 

명예훼손죄는 반의사불론죄이며, 진실한 사실을 적시한 경우와 허위의 사실을 적시한 경우 처벌이 달라진다.

 

 

2-2. 초상권침해

  • 초상권은 자신의 초상이 허가 없이 촬영되거나 그려졌을 때 공표되지 않을 권리

 

초상권침해는 형법상 처벌 대상은 아니지만, 민법상으로 피해 보상 등의 문제를 야기시킬 수 있다.

 

디지털 기기 등이 발전되기 전에는 초상권은 그림이나 조각으로 제작 된 초상에만 적용되어 왔었는데 19세기 후반부터 사진 기술이 발전되고 디지털 기기 등의 발전으로 인해 적용 범위가 많이 확대 되고 중요성이 이전보다 더 많이 부각되었다.

 

만약 인물 사진의 얼굴을 다른 사람의 얼굴로 바꾸는 등의 이미지 합성 및 수정을 하여 배포할 경우 초상권침해 죄에 해당 된다.

(이때 이미지 내용에 따라 명예훼손 죄도 같이 해당될 수 있다.)

 

그러나 희극적 패러디, 만평 등에 이미지가 사용되었다면 새로운 저작물 창작으로 인정되어 법적 처벌을 피할 수 있다.

 

 

2-3. 그 외 기타

  • 그 외로 이미지 수정, 배포로 인해 사생활 침해, 저작권 침해 등 여러 가지 문제를 야기할 수 있음 

(3) 이미지 분석 방법 (접근법)

 

먼저 이미지를 분석하기 전, 분석가는 다음과 같은 여러 가지의 생각을 할 필요가 있다.

  • 분석하려는 이미지는 과연 진짜일까? 가짜일까?

  • 분석하려는 이미지가 진짜라면 언제, 누가, 왜, 어떻게, 무엇을, 어디서 생성 하였을까?

  • 이미지가 가짜라면 어떤 방법으로(어느 부분이) 수정이 가해졌는가?

  • 왜 이미지를 조작하였는가?

 

위와 같은 생각에 대한 해답을 찾기 위해 이미지를 분석할 때에는 대표적으로 다음과 같은 방법들을 이용해 이미지에 접근하고 분석을 시도한다.

 

 

3-1. 이미지 내용 속 관찰

  • 가장 일반적이면서 쉬운 방법

  • 이미지 내용 속에서 도움이 될 만한 것들을 찾는 것

  • 가장 쉬운 방법이지만, 쉬운 만큼 정확성이나 진정성은 보장받지 못함

  • 만약 조작된 이미지라면, 이미지 내용에 보이는 것 또한 조작 되었다는 가정이 성립되기 때문

예로 다음 이미지를 관찰해보자.

 

[그림 1] 이미지 관찰 예시

 

[그림 1]에서 분석가는 어떠한 정보를 얻을 수 있을까?

 

이미지 속 내용을 보면 '국립고궁박물관' 이라는 부분이 보이면서, 이 이미지는 '국립고궁박물관' 에서 생성되었을 가능성이 가장 높다.

(확정 짓는 것은 금물이며, 조작되었을 가능성이 있기 때문)

 

이 이미지가 생성되었던 날짜(기간)은 이미지 내용 속 광고를 기준으로 추측할 수 있다.

 

대략 2012년 12월 ~ 2013년 1월로 추정 가능하며, 날짜의 가정이 맞는다는 판단에 힘을 실어주는 사람의 복장 또한 분석가가 획득할 수 있는 정보로 볼 수 있다.

 

이렇게 이미지 속에서 이미지 별로 다르긴 하지만 여러 정보를 얻을 수 있다. (정확한 정보는 아님)

 

 

이미지 관찰 예시

  • EXIF 라는 포맷에 여러 가지 메타데이터가 저장되며, 이 메타데이터에는 시간 정보를 포함하여 GPS 정보 등이 포함

  • 그러나 이런 메타데이터 정보는 쉽게 수정이 가능하여 분석가에게 신빙성을 제공하지 못함

  • 결국 분석가는 자력으로 이미지에 나타내져 있는 장소를 찾고 이미지가 생성 된 시간을 판별해야 함

  • 이때 제일 좋은 분석 도구는 분석가의 눈이며, 부수적으로 인터넷과 여러 알고리즘이 필요

  • 요즘은 Geo-Tag가 많이 발전하여 각 지역마다 Tag가 붙어 있고 Tag를 이용해 손쉽게 장소 이미지 찾기가 가능

  • 대표적으로 Google Street View, flickr, Photobucket 등이 있으며, 우리나라의 경우에는 다음 로드뷰가 있음 

 

만약 자신이 아는 장소이거나 적어도 어느 국가인지 판단이 된다면 여러 스트리트 뷰를 통해 눈으로 해당 장소를 찾거나 그 범위를 좁힐 수 있다.

 

하지만 외국 등의 장소를 찾게 될 때는 앞서 소개 했던 여러 스트리트 뷰 또는 이미지 검색 엔진과 여러 알고리즘을 이용해 정확한 장소 이미지나 그 범위를 좁혀 볼 수 있다.

 

여러 알고리즘에는 Color Histograms, Texton Histograms, Line Features, Gist Descriptor+Color, Geometric Context 등 다양한 알고리즘이 존재한다.

 

[그림 2] 눈으로 확인한 국가별 창문

 

이미지에 포함되어 있는 특정 물체 등을 보면 각 지역을 추측할 수 있는데 [그림 2]는 그 예시이다.

 

[그림 3] 알고리즘으로 확인한 비슷한 장소 예시

 

[그림 3]은 왼쪽 상단 위의 이미지 장소를 특정 알고리즘을 사용하여 찾은 이미지를 나열 해놓은 것이다.

 

오른쪽 상단의 지구 모양은 실제 육지에서의 장소를 나타낸 것이며, 아래에는 가장 흡사한 장소들을 나열 해둔 것이다.

 

 

3-2. 이미지 퀄리티 향상 기법

  • 요즘은 카메라 화질이 좋아져서 이미지가 흐리거나, 깨지는 일이 자주 발생하지 않음

  • 하지만, 간혹 카메라 화질이 좋지 않거나 여러 번 수정되어 이미지의 화질이 손상되어 분석하기 어려운 이미지들이 존재

  • 이런 이미지들을 분석할 때에는 기본적으로 이미지의 화질을 향상시킨 후 분석을 수행해야 함 

이미지 향상 기법에는 여러 가지 기법들이 있는데 하나씩 알아보도록 하자.

 

이미지 향상 기법의 대부분은 포토샵으로 가능한 기법들이지만, 기법들의 방법을 다루기에는 그 양이 굉장히 많다.

 

 

Motion Deblurring

  • 해당 기술은 이미지를 생성하는 과정에서 사용자의 잘못된 기기 사용법이나 기기 자체의 문제로 인해 이미지가 흐릿하거나 흔들린 상태에서 생성된 이미지를 원래의 피사체와 동일하게끔 만드는 기술

  • 이러한 기술은 Motion Deblurring이라 하며, 간단히 Deblurring 이라고도 함

[그림 4] Motion Deblurring 예제

 

[그림 4]는 현재 Blurring이 적용되어 있는 사진이다.

 

위 그림을 증거로 사용하기 위해 자동차의 번호판을 촬영하였거나, CCTV에서 용의자의 얼굴을 확인해야 하는데 이미지가 Blurring 되어 있으면, 굉장히 난감할 것이다.

 

이때 Motion Deblurring 기술을 사용하여 해당 이미지를 원본에 가깝게 복원할 수 있다.

 

[그림 5] Motion Deblurring 적용

 

[그림 5]가 [그림 4]보다는 좀 더 확연하게 우리가 확인하고자 하는 정보가 보인다.

 

 

좀 더 확실히 구분하기 위해 다음 예제를 살펴보자.

 

[그림 6] Motion Deblurring 두 번째 예제

 

 

UnDistort

  • 해당 기술은 렌즈로 인해 생기는 이미지의 왜곡 현상을 제거해주는 기술

  • 왜곡으로 인해 식별이 불편했던 이미지 등에 적용하면 이미지 식별이 쉽거나 수월해 짐

 

다음 예제를 살펴보자.

 

[그림 7] UnDistort 예제

 

[그림 7]에서 왼쪽이 렌즈 왜곡 현상이 있는 이미지이고, 오른쪽이 제거 된 이미지이다.

 

구분이 가지 않는다면, 체크판의 각 변들을 보면 조금은 이해가 갈 것이다.

 

왼쪽 그림을 보면 체크판의 왼쪽 변이 휘어져 있는 것을 볼 수 있다.

 

 

Periodic Noise Removal

  • 해당 기술은 정규 패턴으로 이루어져 있는 노이즈를 이미지에서 지워주는 기술

  • 대표적인 예로 우리가 쉽게 접하는 지폐에서 지문을 채취할 때 사용할 수 있음

 

다음 예제 이미지를 살펴보자.

 

[그림 8] Periodic Noise Removal 예제

 

세로로 이루어져 있는 물결 무늬가 보이며, 이 무늬는 우리 지폐에서 볼 수 있는 흔한 워터 마킹 중 하나이다.

 

하지만, 이 물결 무늬로 인해 지문이 잘 보이지 않는다.

 

이제 [그림 8]에 해당 기술을 적용해 보자.

 

[그림 9] Periodic Noise Removal

 

[그림 9]에 빨간 박스로 강조해 놓은 영역을 보면 지문을 볼 수 있다.

 

약간 흐릿하지만 이 정도의 선명도로 지문 인식을 하는 데에는 문제 없다.

 

 

Rational Sharpening

  • 이 기술은 각 컬러가 비슷한 부분을 동시에 강조해주는 부분

  • 이 기술에서 필요한 값으로는 Strength, Attenuation, Iterations 가 있음

  • 각 값은 이미지의 픽셀 값을 조정해 주는데 사용

 

그림 예제를 살펴보자.

 

[그림 10] Rational Sharpening 예제

 

[그림 10]에는 해당 기술을 적당히(세 가지 값을 이용) 적용하면, 다음과 같이 각 이미지의 요소들(사람, 가로등, 도로의 물고임 등)이 픽셀 별로 구분이 되는 것을 볼 수 있다.

 

[그림 11] Rational Sharpening 적용 예제

 

만약 이 세 가지 값이 불균형을 이루게 되면 다음과 같이 이미지를 전혀 알아볼 수 없도록 픽셀들이 폭주하게 된다.

 

[그림 12] Rational Sharpening 잘못 적용

 

 

Contrast / Brightness

  • 해당 기술은 이미지의 명암을 조절하는 기술

  • 우리도 일상적으로 이미지를 꾸미거나 할 때 사용하는 기술

  • Contrast는 컬러의 옅음과 짙음을 조절하는 것

  • Brightness는 이미지 자체의 밝기를 조절하는 기술

 

그림 예제를 살펴보자.

 

[그림 13] Contrast / Brightness 예제

 

[그림 13]에는 하늘은 밝지만, 이미 시간이 지나 밤으로 가고 있는 어슴푸르한 주변 빛 때문에 사람의 얼굴이 잘 보이지 않는다.

 

이때 해당 기술을 사용하면 사람의 얼굴을 확인할 수 있다.

 

[그림 14] Contrast / Brightness 적용 예제

 

[그림 14]를 보면 사람의 얼굴이 선명하게 보이는 것을 확인할 수 있다.

 

 

Line Shift

  • 일부 비트가 옆으로 이동되어 정상적인 이미지가 아닐 때 정상적인 이미지로 복원하기 위해 사용하는 기술

 

설명 보다는 예제를 보는 것이 이해가 더 빠르니 예제를 살펴보자.

 

[그림 15] Line Shift 예제

 

[그림 15]는 CCTV의 일부 화면이다.

 

가로로 비트 줄이 보이는데, 해당 비트 줄들이 주변 비트들과 울리지 않고 옆으로 이동되어 이미지 내용이 깨져 보이는 것을 볼 수 있다.

 

이런 이미지에 해당 기술을 사용하면 원본에 가까운 이미지를 얻을 수 있다.

 

[그림 16] Line Shift 적용 예제

 

 

3-3. 동영상 퀄리티 향상 기법

  • 동영상 분석의 기본은 프레임 별 분석

 

프레임 별로 동영상을 나누어 분석을 수행하며, 이 프레임의 화질을 어떻게 향상 시켜 분석에 도움이 되게 하는지 알아보자.

 

 

Frame Averaging

  • 동영상 프레임은 굉장히 짧은 시간의 장면을 나눈 단위로 생각할 수 있음

  • 이런 프레임의 값이 각 프레임 별로 모두 다를 경우 사람이 동영상을 인지하는데 굉장히 어려움을 겪을 수 있음

 

이런 이유로 동영상의 프레임 평균을 구하여 모든 프레임이 적용시키면, 사람이 지속적으로 안정적인 프레임을 주시할 수 있기 때문에 화질이 좋지 않는 동영상에는 이 기술을 사용하면 어느 정도의 화질 향상 효과를 볼 수 있다.

 

[그림 17] Frame Averaging 예제

 

[그림 17]은 해당 기술을 적용하기 전의 모습이다.

 

이미지의 노란색 박스에 무엇인가 적혀져 있는 듯 하지만, 그 내용을 정확히 파악하기에는 아직 어려운 상황이다.

 

[그림 17]에 해당 기술을 적용하면 어떻게 화질이 향상되는지 살펴보도록 하자.

 

[그림 18] Frame Averaging 적용 예제

 

[그림 18]을 보면, 노란색 박스에 어떤 글씨가 [그림 17]보다 좀 더 잘 보이는 것을 느낄 수 있다.

 

정확히는 아니지만, "525257", 또는 "526257" 로 보인다.

 

해당 이미지를 조금 더 정확히 파악하기 위해서는 다음 기술을 적용햐면 된다.

 

 

Histogram Equalization

  • Histogram은 명암의 분포도를 파악하는 것

  • 간혹 어떤 동영상이나 이미지의 경우 픽셀이 집중 포화되어 있는 영역이 존재

  • 이럴 때 우리가 파악하려는 물체와 그 주변 물체들과 겹치거나 비슷한 색상이어서 구분이 잘 되지 않음

이럴 때 해당 기술을 사용하는데 해당 기술은 픽셀이 집중되어 있는 영역의 픽셀을 다시 골고루 재배치하여 영상의 화질을 향상시킨다.

 

이제 [그림 18]에 해당 기술을 적용 시켜 보자.

 

[그림 19] Histogram Equalization 적용

 

[그림 19]가 [그림 18]보다 조금 더 선명하게 보이면서, 해당 기술을 적용함으로써 노란 박스에 "526257" 이란 숫자가 적혀져 있다는 것을 정확하게 확인할 수 있다.

(4) 기타 이미지 분석 기술

 

위 절에서는 이미지, 동영상에 대한 화질 향상 기술에 대해서 알아보았다.

 

이미지(동영상)의 화질(퀄리티)를 향상 시킨다고 하여 합성 여부까지 판단할 수 있는 것은 아니다.

 

이 부분에서는 합성에 대한 이미지(동영상)에 대해 알아보고자 한다.

 

여기서 소개하는 기술들은 이미지와 동영상 모두에 해당하므로 구분 없이 생각하면 된다.

 

 

4-1. Vanishing Point

  • 해당 기술은 4개의 포인트를 정하고, 정해진 포인트를 직선으로 이어 겹치는 중앙 원점을 찾음

  • 그 원점을 기준으로 이미지를 이동시켜 측면의 이미지가 정면으로 오게끔 하여 사용자가 이미지를 정면에서 볼 수 있도록 해주는 기술

 

그림 예제를 살펴보자.

 

[그림 20] Vanishing Point 예제

 

[그림 20]을 보면 자동차의 번호판이 측면에서 찍혀 정확히 번호판의 내용이 보이지 않는다.

 

하지만 번호판의 각 꼭지점을 직선으로 연결하면 번호판 중간에 중앙 원점이 만들어지는데 해당 원점을 기준으로 번호판을 이동시키면 된다.

 

[그림 21] Vanishing Point 적용 예제

 

번호판의 측면이 정면으로 바뀌면서 번호판의 내용을 확인할 수 있는 것을 [그림 21]에서 볼 수 있다.

 

이렇듯 해당 기술은 측면의 이미지를 정면의 이미지로 변경하여 이미지의 내용을 정확히 파악할 수 있도록 도와준다.

 

 

4-2. Measure

  • 해당 기술은 이미지 내에 있는 물체의 길이를 재는 기술

  • 이 기술의 결과는 수치로 그 수치의 오류율은 크지 않다.

  • 따라서 이 기술은 용의자의 인상착의를 파악하는데 꽤 유용하게 작용

 

만약 다음과 같이 사람이 찍힌 이미지가 있다고 가정해보자.

 

[그림 22] Measure 예제

 

[그림 22]만 보고 사람의 키를 가늠할 수 있을까?

 

발판 위에 올라가 있어 그 키를 가늠하기가 매우 어렵다.

 

[그림 22]에 해당 기술을 사용하여 조금 더 정확한 사람의 키를 알아보자.

 

[그림 23] Measure 적용 예제

 

기술을 적용시켜본 결과, 사람의 키는 178cm 인 것으로 파악이 되었다.

 

또 위 예제에서 사용된 기술은 Measure 3D 기술이고 Measure 1D, 2D 기술도 있다.

 

아래 예제에서 그 차이를 확인할 수 있다.

 

[그림 24] Measure 1D 예제

 

[그림 25] Measure 2D 예제

 

 

4-3. 이미지 파일 메타데이터

  • 요즘 디지털 기기로 인해 생성되는 이미지 파일에는 EXIF라는 메타데이터 포맷이 존재

  • EXIF 포맷에는 사진의 화질과 관련된 기본 정보부터 시작하여 이미지 파일을 생성한 디지털 기기의 명칭(모델명), 생성 날짜, 기기의 렌즈 종류, GPS 정보 등의 많은 정보들이 저장되어 있음

  • EXIF 포맷은 간단한 툴로 확인이 가능하며, 확인할 때 사용하는 도구들은 셀 수 없이 많으므로 어떤 도구를 사용하는가는 전적으로 사용자 취향

 

다음 그림은 GUI 형태의 EXIFtool로 확인한 어떤 이미지 파일의 EXIF 메타데이터 정보이다.

 

[그림 26] EXIF 메타데이터

 

한 눈에 봐도 굉장히 많은 정보가 보이지만, EXIF 메타데이터의 가장 큰 단점이 있다.

 

다른 곳에 존재하는 메타데이터처럼 수정이 쉽다는 점과 수정된 메타데이터는 복구가 불가능하다는 점이다.

 

메타데이터가 수정되었다는 것을 증명할 방법으로는, 확실한 방법은 아니지만 일반적인 방법으로 이미지 관찰 방법과 메타데이터 정보를 상호 분석하는 방법이 있다.

 

EXIF에서 가장 많이 변경되는 메타데이터가 GPS 정보와 시간 정보이다.

 

GPS 정보의 경우, 그 장소를 미리 인터뎃 등으로 검색하여 본 후 GPS 장소와 이미지에 찍힌 장소가 동일한지 비교하는 방법이 있다.

 

만약 다르다면 GPS 정보는 변경되었다고 할 수 있다.

 

그럼 이미지 분석에 있어 EXIF 메타데이터 정보는 쓸모 없는 정보일까? 라는 의구심이 들 수도 있다.

 

왜냐하면 수정이 쉽고 복구가 불가능하기 때문에 누군가 이미지의 픽셀이나 메타데이터 수정을 한번이라도 했다면 해당 이미지의 신뢰성은 보장되지 못하기 때문이다.

 

 

이제 메타데이터를 이용하여 누군가 이미지를 조작하였는지 판단할 수 있는 방법을 알아보도록 하자.

 

1) 수정 여부 판별 방법

  • 처음 사진 파일을 접했을 때 그 누구도 어떠한 검증 방법을 거치지 않는 이상 그 사진 파일의 데이터가 수정 되지 않았다거나 수정되었다고는 확신할 수 없음

  •  하지만 해당 방법을 통해 이미지 파일이 수정되었다는 것을 의심할 수 있고 그 의심을 증명할 수 있음

 

EXIF에는 3개의 타임스탬프 값이 저장된다.

 

  • DataTime(Tag ID : 132) : 디지털 카메라 디바이스 내에서의 사진 파일 생성 시각을 나타냄

  • DateTimeOriginal(Tag ID : 9003) : 사진을 찍힌 대상이 촬영 된 시각을 나타냄

  • DateTimeDigitized(Tag ID : 9004) : 사진을 찍힌 대상이 디지털 이미지로 처리 된 시각을 나타냄

 

위 3개 필드의 타임스탬프 값은 기본적으로 동일한 시간 정보를 갖게 된다.

 

아래는 샘플 사진을 EXIF Viewer로 열어 각 정보를 확인해 본 모습이다.

 

[그림 27] EXIF Viewer로 본 EXIF 정보

 

빨간 박스로 하이라이트 되어 있는 부분들은 위에서 언급한 타임스탬프 필드들이며, 동일한 시간 값을 볼 수 있다.

 

EXIF 파일의 사진 정보를 수정하기 위해서는 첫 번째 단계로 자신의 PC나 또 어떠한 PC로 사진 파일을 이동하는 행위이다.

 

이 행위에서 이 시간 값들은 부동적이다.

 

첫 번째 단계를 진행하게 되면 NTFS에서는 사진 파일에 대한 MFT 엔트리를 생성하고 MFT 엔트리에 시간 정보를 저장하게 된다.

 

이때 수정 날짜만 EXIF 내에 저장되어 있는 시간 값을 따라 저장되고 나머지 시간 정보인 생성 시간과 접근 시간은 파일이 복사되거나 이동하는 시간을 참고해 저장되게 된다.

 

[그림 28] 사진 파일을 컴퓨터로 이동했을 때의 시간 정보

 

즉, EXIF 데이터가 들어있는 사진 파일을 컴퓨터로 이동해 사진 파일을 열어 보기만 하거나 수정을 하지 않는다면 사진 파일의 시간 정보는 수정 시간이 생성 시간과 접근 시간보다 무조건 몇 분이나 몇 시간 전이어야 하고, 생성 시간과 접근 시간이 동일하여야 한다.

 

현재 상태에서 사진 파일의 데이터를 조작하면 수정 시간만 업데이트 되게 된다.

 

 

다음은 사진 파일에 0x00이란 데이터를 추가 했을 때의 시간 정보이다.

(크기를 보면 918,977 바이트에서 918,978 바이트로 1바이트 추가된 것을 확인할 수 있음)

 

[그림 29] 사진 파일 데이터 수정 시

 

사진 파일 데이터가 조작 되었을 때에는 조작을 수행한 시간이 저장되는데 일단 이 정보를 EXIF에 저장된 정보와 비교를 하여 동일하지 않다면 해당 사진 파일이 수정되었다고 판단할 수 있다.

 

속성에서 보이는 시간 값은 MFT 메타데이터이기 때문에 업데이트가 되지만, EXIF의 시간 정보는 파일 구조에 저장되어 있는 값이기 때문에 인위적으로 조작하지 않는 이상 변하지 않는다.

 

그런데 EXIF 시간 값 자체가 수정 되었다면 어떻게 확인을 할 수 있을까? 사진을 수정한 사용자가 EXIF 구조를 알고 있어 모두 똑같은 임의의 시간으로 변경하였다면 매우 까다로운 조건이 걸리기 때문에 쉽사리 시간 값을 조작하지 못한다.

 

EXIF의 시간 값을 조작하면 계속해서 파일 시스템의 해당 파일의 메타데이터에 포함되어 있는 수정 시간이 업데이트 된다.

 

여기서 더 한번 사용자가 머리를 써 파일 시스템의 수정 시간을 예측해 EXIF 포맷의 시간 값을 파일 시스템의 수정 시간과 동일하게 수정한다면 이때는 MFT 엔트리에 FNA(File Name Attribute) 시간 값을 참고하면 된다.

 

그러나 파일 시스템의 수정 시간을 예측해 수정하는 방법에는 한 가지 문제점이 존재하며, 바로 자신의 알리바이이다.

 

자신의 알리바이 시간까지 고려해 수정을 해야만 파일의 수정하지 않았다는 것을 정확히 증명할 수 있다.

 

cron과 같은 예약 프로그램을 쓰면 되지 않을까? 라고 생각할 수 있지만, 프로그램을 사용하면 그 흔적 또한 남기 때문에 적절한 방법이 아니다.

 

만약 시간 값을 수정한 사용자는 어떠한 시간에 누구와 같이 있었거나 컴퓨터를 만지지 않았음에도 불구하고 파일의 시간이 그 때의 시간을 가리키고 있다면 이는 수정 된 시간으로 볼 수 있다.

 

즉 사용자는 시간을 수정하기 위해서는 여러 가지 제한 사항을 고려해야만 하기 때문에 섣불리 시간을 조작해서도 안되고 조작하더라도 여러 가지 난관에 부딪혀 결국 시간 조작에 실패하고 말 것이다.

 

 

정리를 해보면 사진 파일의 데이터가 수정 되지 않은 파일들의 시간적 특징은 다음과 같다.

(디지털 카메라 디바이스에서 NTFS 파일 시스템으로 파일을 복사하거나 이동했다고 가정 했을 때)

 

  • EXIF 3개 필드 시간 값이 동일

  • 파일 시스템의 파일 생성 시간과 접근 시간이 동일하며, 수정 시간은 EXIF의 3개 필드 시간 값과 동일

  • 파일 시스템의 파일 생성 시간과 접근 시간이 수정 시간보다 느림 

 

위 3개의 조건이 공개된 지금 사진 파일 데이터를 수정하던 사용자는 위 조건에 맞는 시간 값을 생각해 파일 시스템과 EXIF의 시간 값도 수정하려고 할지 모른다.

 

하지만, 시간 값 수정에는 많은 조건이 따르기 때문에 자신의 상황을 생각해 수정하려 할 때 많은 생각을 하게 되며 섣불리 시간 값을 수정하지 못할 것이다.

 

또 수정한다고 하더라도 파일 시스템 메타데이터 시간 값이 존재하기 때문에 그 시간 값을 또 생각해야 하며 생각한 파일 시스템 메타데이터 시간 값을 수정하기 위해서는 파일 시스템 레벨의 도구를 사용해 수정해야만 한다.

 

하지만 이 또한 프리패치 등의 흔적으로 발견되며, 프리패치를 지운다고 하여도 복구가 가능하고 하기 때문에 여러 가지 면들을 생각한다면 결국 수정을 포기하게 되고 만다.

 

이러한 방법으로 사진 조작 여부를 판별하고 해당 사진의 분석을 진행할 것인지, 아니면 조작 되었으므로 분석을 진행하지 않거나 해당 파일의 조작 여부 자체를 증거로 제출한 것인지 판단할 수 있다.

 

 

4-4. Image Search

  • 해당 내용은 기술보다는 이미지 분석을 수행하기 전에 간단한 방법으로 이미지 분석의 절차를 간소화하는 방법

  • 이미지 분석에 있어 정말 정밀하게 조작된 이미지는 분석 결과가 정확하지 않을 수 있음

  • 이런 경우 법원에 제출하여 증거로 채택 받는 것이 힘들어지는데, 혹시나 모를 이미지의 다른 조작 이미지를 찾게 된다면 조작 결과의 근거로 찾은 이미지를 제출할 수 있음 (미국의 경우이며, 우리나라는 아직 사례 없음)

  • 이미 검색 기술이 발전하여 이미지만을 가지고 검색을 할 수 있게 되었으며, 대표적으로 Tineye와 Google 검색 엔진이 존재

 

그림 예시를 통해 한 번 살펴보자.

 

[그림 30] 이미지 검색 결과

 

[그림 30]을 보면 하나의 이미지가 조작되고 합성되고 인용되는 것을 볼 수 있다.

 

만약 이런 결과물들을 검색 엔진을 통해 얻을 수만 있다면 정말 정밀하게 조작된 이미지라도 부정확한 분석 결과에 신빙성을 더해 줄 수 있게 된다.

 

 

4-5. Camera 기종에 따른 이미지 분석

  • 요즘은 디지털 카메라가 보편화 되어 있다는 것을 누구나 알고 있지만, 분석가는 이런 시대적 현상이 달갑지만은 않음

  • 이유는 디지털 카메라의 제작 규격이 표준화 되어 있지 않기 때문에 그 모양이 모두 다르기 때문

  • 모양으로 인해 플래시 위치가 제각각 이어서 피사체의 그림자 위치가 모두 달라짐

  • 그러므로 분석가는 각 렌즈 위치 별 그림자 위치를 모두 파악하고 있어야 이미지 분석에 있어 조금 더 정확하고 신빙성 있는 결과를 도출할 수 있음 

[그림 31] 플래시 위치가 제각각인 디지털 카메라들

 

조금 더 직관적인 예를 들어보자면, 다음 그림은 동일한 위치에서 동일한 피사체를 촬영한다는 가정하에 제작된 3D 이미지이다.

 

[그림 32] 예시 3D 이미지

 

[그림 32]를 보면 동일한 위치에서 촬영을 했음에도 불구하고 피사체의 그림자 위치가 다른 것을 확인할 수 있다.

 

왼쪽의 피사체의 그림자는 오른쪽으로 치우쳐져 있고 오른쪽 피사체의 그림자는 왼쪽으로 치우져져 있다.

 

 

다음 이미지를 본다면 왜 위치가 이렇게 달라지는지 한 눈에 파악할 수 있다.

 

[그림 33] 플래시 위치에 따른 그림자 위치

 

왼쪽 피사체 그림자의 경우 왼쪽에 플래시가 위치한 디지털 카메라로 촬영 했다고 가정하에 이미지를 생성한 것이고, 오른쪽 피사체 그림자의 경우 오른쪽에 플래시가 위치한 디지털 카메라로 촬영 했다고 가정하고 이미지를 생성한 것을 알 수 있다.

 

빛의 시작 위치가 달라 그 빛을 받고 만들어지는 그림자의 위치가 달라지게 되는 것이다.

 

이런 이유로 카메라의 플래시 위치는 상당히 중요하다.

 

플래시 위치는 결국 빛의 시작 위치라고 말할 수 있기 때문이다.

 

 

4-6. Shadow Analysis

  • 이미지 합성 여부를 가리는 가장 대표적인 방법으로 그림자 분석(Shadow Analysis) 기술이 있음

  • 그림자는 아주 자연스러운 자연 현상으로, 모든 피사체가 빛을 만났을 때 피사체의 크기와 비슷하게 그늘이 지는 영역 또는 현상

  • 대부분의 이미지 합성을 시도하는 자들은 그림자를 간과하게 됨

  • 조금 신경을 쓴다고 하여 그림자를 삽입한다 하더라도 정확하게 자연 현상의 그림자를 표방하여 합성을 시도하기란 여간 쉬운 일이 아님

 

그림 예제를 통해 살펴보도록 하자.

 

[그림 34] shadow 1번

 

[그림 35] shadow 2번

 

얼핏 보면 동일한 두 예제는 자세히 보면 탁자에 올려져 있는 초록색 병의 그림자 방향이 다른 것을 알 수 있다.

 

여기서 두 예제에 대해서 합성 또는 조작 진위 여부를 생각한다면 우리는 총 네 가지의 경우의 수를 생각할 수 있다.

 

[그림 34]가 진짜이거나 [그림 35]가 진짜일 수도 있고, 둘 중 하나가 진짜일 수도 있다.

 

또, 두 개가 모두 가짜일 수도 있다.

 

하지만, 두 개 모두 진짜일 수는 없으며, 그림자는 하나의 자연 현상이므로 동일한 환경에서 두 가지의 그림자가 나타날 수는 없기 때문이다.

 

여기서 그림자의 특성을 생각해보면, 그림자는 빛에 의해 생겨나는 것으로 빛은 한 곳에서 분산되어 피사체에 비춰진다.

 

그러므로 여러 조명이 있지 않고 하나의 조명이 있거나 야외에서 찍힌 피사체의 이미지라고 생각한다면, 이미지에 표현되어 있는 그림자는 모두 한 곳에서 비추어지는 빛에 의해 생겨난 그림자라고 생각할 수 있다.

 

 

이런 논리를 통해 두 이미지의 빛의 발원지를 추적해 선으로 연결 해보면 다음과 같은 차이점을 발견할 수 있다.

 

[그림 36] shadow 1번 분석

 

[그림 37] shadow 2번 분석

 

선으로 각 그림자를 빛의 발원지로부터 이어보면 [그림 36, 37]처럼 확연히 차이가 나는 것을 볼 수 있다.

 

[그림 36]의 경우 정확하게 식탁 위 조명에서 빛이 발산되어 그림자를 생성한 것을 확인할 수 있는 반면, [그림 37]의 경우 초록색 병의 그림자가 초록색 병과 이었을 경우 빛의 발원지인 조명일 빗겨 간다는 것을 볼 수 있다.

 

즉, 초록색 병이 다른 이미지에서 잘려 현재 이미지와 합성되었다는 것을 입증하는 것이다.

 

여기서는 예제를 만들어 알아보았지만, 실제로 해당 기법을 통해 분석을 할 수 있는 합성 논란 이미지나 동영상은 많이 존재한다.

 

 

한 가지 실제 예를 살펴보도록 하자.

 

[그림 38] 예제 유튜브 동영상 캡처

 

인터넷 포털 사이트에서 핫이슈로 네티즌들 사이에서 화제가 되었던 유튜브 동영상으로 독수리가 공원에서 놀고 있는 아기를 낚아 채 납치하는 동영상이다.

 

[그림 39] 그림자 분석

 

처음 공개가 되었을 때에는 동영상을 보고 네티즌들은 놀랍다는 반응이었지만, 시간이 지나자 일부 네티즌들은 합성을 제기하였다.

 

하지만 그 누구도 뚜렷한 합성의 논리적 근거를 밝히지는 못하였는데 해당 동영상은 간단한 분석으로 합성 여부를 판단할 수 있는 사례이다.

 

독수리가 아기를 낚아 챌 때 지면에 생기는 그림자를 포착하여 분석하면 위 [그림 39]와 같은 결과가 나오게 된다.

 

 

합성의 여지가 있는 독수리와 일반 사람들의 그림자를 대상으로 빛의 발원지를 추적하여 보면 독수리의 그림자와 사람들의 그림자가 서로 다른 빛을 받아 생겼다는 것을 확인할 수 있다.

 

어떤 피사체가 원본 피사체이고 원본 피사체에 합성된 피사체가 어떤 것인지는 정확히 판별할 수 없지만, 적어도 의심이 가는 일반 사람들 피사체 또는 독수리의 피사체는 같은 공간에서 찍히지 않았다는 것은 증명할 수 있는 셈이다.

(5) 이미지 분석 도구

  • 아직까지 디지털 이미지 포렌식을 전문적으로 지원하는 도구는 그리 많지 않음

  • 대표적으로 AmpedSoftware사에서 개발한 Amped Five가 디지털 이미지 포렌식 도구라고 할 수 있음

  • 또, 전문적인 도구는 아니지만, Adobe사에서 개발한 PhotoShop이 있음

 

PhotoShop은 전문적인 디지털 포렌식 도구는 아니지만, 현재까지 연구되었던 대부분의 기술들이 집약되어 있는 도구이기 때문에 디지털 이미지 포렌식을 수행하는 데 큰 어려움이 없다.

(6) 결론

 

지금까지 디지털 이미지 포렌식에 대한 여러 기술들을 알아 보았다.

 

사실 위 기술들은 디지털 이미지 포렌식의 기술들이기 보다는 이미지 프로세싱에 포함되는 기술들이 대부분이다.

 

이미지 프로세싱에 대한 기술 연구는 외국뿐만 아니라 우리나라에서도 많이 연구되고 있는 한 분야로 우리나라의 기술 수준 또한 외국 기술 수준에 비해 전혀 뒤쳐지지 않는다.

 

하지만, 이런 기술 수준을 디지털 포렌식에 접목하는 시도는 아직까지 우리나라에서 찾아보기가 힘들다.

 

현재로서는 미국에서 이미지 프로세싱을 디지털 포렌식에 결합하여 연구하고 있는 것이 전부이며, 해당 연구원들은 이런 연구를 포토 포렌식(Photo Forensic)이라고 부르고 있기도 하다.

 

앞으로 이런 연구가 우리나라에서도 활발히 진행되어 우리나라의 독자적인 디지털 이미지 포렌식 기술과 도구가 나와야 하겠다.

# Reference

 

http://www.yes24.com/Product/Goods/8511539

저작자표시

'Digital Forensics > Forensic Theory' 카테고리의 다른 글

[Digital Forensic] 악성코드 포렌식  (1) 2020.05.20
[Digital Forensic] 클라우드 보안과 디지털 포렌식  (0) 2020.05.17
[Digital Forensic] 디지털 포렌식 관련 법규  (0) 2020.05.11
[Digital Forensic] 디지털 포렌식 어카운팅  (0) 2020.05.11
[Digital Forensic] 디지털 포렌식 준비도  (0) 2020.05.11

+ Recent posts

티스토리툴바