본문 바로가기

[+] Forensic

GPS(Global Positioning System) Forensics

 대부분의 사람들은 GPS라는 단어를 알고 있다. 알고 있는 이유 중 가장 큰 것은 우리가 매일 사용하고 있는 스마트폰에 GPS 기능이 있기 때문일 것이다. 이렇듯 GPS는 우리 생활 깊숙히 들어와 있지만 대부분의 사람들은 GPS의 중요성을 인식하지 못하고 있고, 위험성 또한 인식하지 못하고 있다.


 GPS를 쉽게 설명하자면 "인공위성을 통해 우리들의 위치를 파악해주는 기술 또는 장치" 라고 할 수 있다. 좀 더 학문적인 의미를 들여다 보면 다음과 같다.


GPS(Global Positioning System 글로벌 포지셔닝 시스템) 또는 범지구위치결정시스템은 현재 완전하게 운용되고 있는 유일한 범지구위성항법시스템이다.


GPS는 초기에 미국 국방부에서 군사목적으로 개발하였지만, 기술이 발전하여 지금은 여러 곳에서 활용되고 있다. 초기 개발을 미국 국방부에서 하여 현재까지도 GPS에 전반적인 관리는 미국 공군 제50우주비행단에서 하고 있다. 


 위치를 파악하는 원리는 의외로 간단하다. 인공위성에서 발사한 전파를 GPS 수신기가 수신하고 관측점 까지의 전파 도착 소요시간을 측정하여 위치를 구하는 원리이다.


 그렇다면 디지털 포렌식에서는 왜 GPS가 중요한 것일까? GPS는 특정인의 동선과 위치를 파악 할 수 있는 직관적이면서 정확한 정보이기 때문에 수사관점이나 침해사고 분석 관점에서 굉장히 중요하다고 할 수 있다. 각각의 예를 들어보자면 다음과 같다.


1) 수사 관점(가상)

 - 범죄자 차량에 부착되어 있던 블랙박스 또는 네비게이션의 GPS 정보를 분석하면 범죄자의 동선을 파악할 수 있다.


2) 침해사고 분석 관점(실제)

 - 어떤 침해사고 범죄자가 웹 사이트 관리자를 우롱하기 위해 자신의 여자친구 사진을 해킹한 웹 사이트 메인에 걸어두었다. 하지만 이 사진에는 GPS 정보가 포함되어 있었고 이 정보로 인해 범죄자는 검거 되었다.


 위 예시들에서 보듯이 GPS 정보는 누군가를 찾아가기 위해서는 절대적으로 필요한 정보이다. 이런 이유로 디지털 포렌식에서는 GPS와 관련된 연구가 중요하다. GPS Forensic은 공인된 명칭은 아니다. 때로는 GPS Exploitation, 위성 항법 수사 등으로 불리기도 한다.


 이번 글에서 전반적인 GPS Forensics에 대해서 알아 볼까 한다.


1. GPS 시스템 구성

 GPS의 구성은 총 3가지의 영역으로 구성 된다. 


 1.1 Space Segment(SS, 우주 영역)

 GPS가 지구 주위를 돌고 있을 때의 궤도와 GPS 위성들을 의미한다. 해당 영역에는 현재 총 30개 이상의 위성이 고루 분포 되어 있고 이 위성들 중 24개의 위성이 항법에 사용되어 우리가 지구 어디서든 GPS를 사용 할 수 있게 지원한다. 아래 그림을 보면 대략적으로 우주 영역을 파악 할 수 있다.


그림 1 - 우주 영역 애니메이션(출처 위키)


 1.2 Control Segment(CS, 제어 영역)

 해당 영역은 GPS 위성을 관리하고 추적하는 지상의 제어국을 의미한다. 지상의 제어국은 하와이, 콰절런, 어센션 섬, 디에고 가르시아 섬과 콜로라도 스프링스에 있고 다섯 군데의 제어국에서 미국 지리정보국의 운영 하에 위성을 추적한다. 위성을 추적한 정보는 콜로라도 스프링스의 슈리버 공군기지로 전송된다. 콜라라도 스프링스의 수리버 공군기지를 제외한 네 군대 제어국은 부 제어국으로 분류되고 슈리버 공군기지는 주 제어국으로 분류 된다. 참고로, 주 제어국은 미국 공군 제 2 우주 작전 대대에서 운영한다.


 1.3 User Segment(US, 사용자 영역)

 사용자 영역은 GPS 수신기를 의미한다. 예를 들어 우리가 지금 이 시간에 사용하고 있는 스마트폰이 대표적으로 우리에게 친숙한 사용자 영역이라고 할 수 있다. GPS 수신기는 GPS 위성에서 송신하는 주파수에 동조된 안테나, 수정발진기등을 이용한 정밀한 시계, 수신된 신호를 처리하고 수신기 위치의 좌표와 속도 벡터 등을 계산하는 처리장치, 계산된 결과를 출력하는 출력장치 등으로 이루어져 있다.


2. GPS 원리

 위에서도 간단하게 GPS 원리를 설명하였지만 조금 더 자세히 설명해보도록 하겠다. 위치 계산은 인공위성이 보낸 신호를 수신기가 받을 때 시간 계산으로 구해지게 되는데 이때 인공 위성과 수신기는 시간의 오차를 줄이기 위해서 GPS 위성은 고정밀의 원자 시계를 가지고 있으며, GPS 수신기는 필요한 정밀도에 따라 원자 시계 또는 수정발진기를 이용한 시계를 가지고 있다. 


 인공위성으로부터 반송파에 실려 보내진 C/A 코드를 GPS 수신기가 감지하면 똑같은 코드를 생성해 두 코드의 시간차를 측정한다. 측정 된 두 코드의 시간차에 전파속도(빛의속도)를 곱하면 GPS 위성과 수신기 사이의 거리가 구해진다. 하지만 이는 정확하지 않은 의사거리(pseudorange)이므로 GPS 위성으로부터 수신한 신호에 포함되어 있는 항법 메시지 계수를 이용해 보정한다. 이런 이유로 우리는 쉽게 GPS 반경의 오차가 있다는 메시지를 확인 할 수 있는 것이다.


 계산 된 위치는 세계측지계인 WGS84 좌표법에 따라 계산된다. WGS84는 국제 표준이며 각 장비는 자신이 사용하고자 하는 좌표계로 해당 좌표를 쉽게 변환 할 수 있다.


3. GPS 활용 범위

 GPS는 정말 많은 부분에서 활용되고 있다. 간단하게 그림으로 표현하면 다음과 같다.


그림 2 - GPS 활용 범위


 휴대용 가전제품은 말할 것도 없이 스마트 폰, 디지털 카메라 등에서 사용되고 있는 GPS 기능을 생각하면 되고, 요즘 출시 되는 자동차는 네트워크 기능이 탑재되어 있어 GPS 기능도 지원을 하고 있다. 해양 부분은 선박의 위치를 파악하기 위해 GPS를 사용하고 있는 것을 생각하면 된다. 마지막으로 항공은 우리가 비행기를 탔을 때 휴대폰을 잠시 꺼두라는 승무원의 이야기를 들었다면 쉽게 이해가 갈 것이다. 이는 휴대폰에서 나오는 전파로 인해 비행기가 관제탑과의 교신, GPS 위치 계산에 방해를 받지 않기 위함이다.


4. 디지털 포렌식 관점에서의 GPS 정보

 사실 GPS 자체의 정보라기 보다는 GPS 기능을 사용하는 장비가 가지고 있는 정보라고 봐야 한다. 하지만 대부분 GPS 기능을 이용함으로써 생성되는 정보이기 때문에 GPS 정보라고 통칭하도록 하겠다. 정보들을 나열 해 보면 다음과 같다.


 1) 추적로그 : 간혹 어떤 장비들은 GPS 정보들을 로깅하기도 한다. 이 정보는 분석가가 직접 GPS 정보를 트래킹 할 필요를 없애주는 아주 중요한 정보이다.


 2) 경로 중간점 및 동선 : 경로 중간점은 대략적인 경로의 방향을 알 수 있는 부분이고, 동선은 정확히 어떤 경로를 이용하였는지 알 수 있는 정보이므로 굉장히 중요한 정보이다. 이 정보를 장비 자체에서 제공하는 경우도 있고 아닌 경우도 있으니 참고하기 바란다.


 3) 사용자가 저장한 위치(즐겨찾기) 또는 최근 경로 : 이 정보의 대표적인 예로는 네비게이션을 이용 할 때 사용자가 자주 가는 곳을 사용자가 직접 저장하는 경우와 네비게이션의 최근 목적지 저장 기능이 있다. 간혹 네비게이션이 자체적으로 경로들을 카운팅하여 사용자의 자주 가는 목적지 등을 판별 해주기도 한다.


 4) MAC ID : 이 정보는 기기의 고유성을 입증해주는 정보이다.


 5) 기타 : 이외에도 동영상, 사진 및 오디오 등이 있으며 기기 자체적인 로그가 있다.


5. GPS 데이터 포맷

GPS 데이터 포맷은 정확히 말하자면 업체 장비 별로 다르다. 하지만 전체적인 데이터 포맷은 표준을 따르고 있어 크게 다르지 않다. 대표적으로 NMEA 0183, GGA & GSA, GSV, RMC, VTG, RINEX 등이 있다. 각 데이터 포맷중에서 NMEA 0183이 사실상 산업표준이고, 또 분석가에게도 분석하기 쉬운 포맷이다. 그 이유는 데이터 포맷 자체가 ASCII 폼을 사용하고 있기 때문에 각 필드의 의미만 알면 분석 할 수 있기 때문이다.


각 데이터 포맷은 여기를 참고하기 바란다. 예시와 함께 설명이 잘 되어 있다.


6. GPS Forensics Tool

 이미 해당 분야에 많은 연구가 이루어져 있어 분석 도구가 출시되어 있다.


 - Magellan MapSend Manager

해당 도구는 경로 확인은 물론 편집 기능과 데이터 포맷을 변환할 수 있다.


그림 3 - MapSend Manager


 - EasyGPS

앞서 소개했던 도구와의 데이터 이동이 가능한 특징이 있으며, GPS 경로의 시각화를 지원한다. 또 GPS 데이터와 편집한 중간지점에 대한 백업 기능을 지원한다.


그림 4 - EasyGPS


 - GPS Utility

해당 도구는 GPS 기기와 동기화 된다는 것이 특징이다. 해당 도구도 위 도구와 마찬가지로 시각화를 지원하는데 다른 점이라면 2차원 지도 위에서 시각화를 지원해 좀 더 정확한 경로 파악이 가능하다는 점이다.


그림 5 - GPS Utility


 - Forensic Analyser

직관적인 UI가 특징이다. 네비게이션에 특화되어 있으며 장치를 자동으로 분석하여 경로를 표시하여 준다.


그림 6 - Forensic Analyser


 - TomTology

 위 도구들은 GPS 시각화 도구였다면 이번에 소개할 도구는 전문적인 GPS 장비 포렌식 도구이다. 데이터의 실시간 디코딩은 물론 장비 내에 저장공간에서 삭제된 경로 정보등을 복구 해 주어 분석을 도와준다. 경로나 위치는 구글 어스를 통해 사용자에게 시각화하여 준다.


6. GPS Forensics 고려사항

 디지털 데이터는 수정이 쉽다는 것이 특징이다. GPS 정보 또한 디지털 데이터이므로 변조가 가능하다. 과연 어떻게 우리가 분석할 정보들을 신뢰할 수 있을까? 육로에서는 가장 쉬운 것이 CCTV와의 대조이다. 특히 우리나라는 하루평균 CCTV에 한사람이 노출되는 횟수가 27번 정도에 달한다. 그러므로 자동차의 경로나 사람의 경로를 추적 할 때 CCTV와 대조해본다면 쉽게 데이터 조작 여부를 판단 할 수 있다.


 외국에서는 데이터 조작 뿐만이 아닌 기기 자체의 변조여부도 생각하여 비영리단체에서 네비게이션을 위주로 해시셋을 만드는 활동이 진행 중이다. GPS Forensics.org에서 해당 활동을 하고 있는데 여기에서 생성한 해시셋은 우리나라에는 적용이 되지 않으므로 우리나라 또한 해시셋을 생성하여 비영리목적으로 제공하는 활동이 필요해 보인다.


7. 마치며

 GPS Forensics는 수사나 침해사고 분석에 있어서 필수적인 요소는 아니지만 부가적인 분석을 통해 그 이상의 가치를 찾을 수 있는 과정이기 때문에 필요한 연구가 미리 선행되어야 한다고 본다. 하지만 아직까지 우리나라에서 사용되는 여러 제품들에 대한 깊이 있는 연구와 매뉴얼이 부족하므로 누군가가 발벗고 나서서 이러한 연구를 주도해야 한다고 생각한다. 외국처럼 해시셋은 둘째치고 각 제품들의 특징과 분석 매뉴얼, 분석 자동화에 대한 연구가 하루 빨리 진행되었으면 하는 바람이다.