1. Anti Forensics 개요

흔히 어떠한 기술의 반대적 성향을 가진 기술의 명칭에는 Anti 라는 단어가 붙어 명명되곤 한다. 또 Anti 라는 단어가 붙은 기술들을 보면 대부분 좋지 않은(보안 기술과 반대적인 크래킹 기술 등) 기술들이어서 일반적인 인식 자체가 안좋은 기술로 사람들 머리속에 자리잡게 되곤 한다. 하지만 안티 포렌식은 그렇지 않다. 안티 포렌식은 어떠한 사건을 해결하기 위한 포렌식 기술 수행을 방해하기 위한 것이 목적이므로 안티 포렌식은 좋은 기술이 될 수 없다. 현재 포렌식이 각광을 받고 있고 또 그 시장 규모가 예전에 비해 많이 팽창함에 따라 포렌식의 연구가 활발히 진행 되는 반면, 안티 포렌식에 대비하는 연구는 아직 미비하다. 대부분의 문서에서는 안티 포렌식의 예로 루트킷을 거론하곤 한다. 루트킷을 거론하는 이유는 안티 포렌식 기술의 대부분을 루트킷이 수행하기 때문이다. 그렇기에 안티 포렌식의 모음이라고 할 수 있는 루트킷을 거론하는 것이다. 하지만 이번 글에서는 안티 포렌식의 종류가 무엇이 있는지 조금 상세히 알아 볼 것이다. 또 현재 연구가 어느정도까지 진행이 되었는지, 실무에서는 실제 안티 포렌식 적용 범위가 어느정도까지 인지를 살펴 볼 것이다.


2. Anti Forensics 종류

안티 포렌식에는 여러 종류의 기술들이 존재한다. 그 기술을 수행하는데 있어 방법은 여러가지이다. 그러므로 해당 글에서는 기술의 종류만 정의 해 볼까 한다.(사실 기술의 명칭이 명명되지 않은 이유도 있다.)


1) Data Destruction

포렌식을 어렵게 하는 근본적인 이유는 데이터 부족이다. 수집 된 데이터가 부족하다면 분석 할 수 있는 범위가 그만큼으로 한정되기 때문이다. Data Destruction은 수집 될 수 있는 데이터들을 수집 되지 못하도록 완전히 삭제 하는 것을 의미한다.


2) Data Hiding

데이터를 숨기는 행위를 말한다. 데이터가 발견되지 못하게 하거나 발견하기까지 시간이 오래 걸리도록 하기 위한 목적의 기술로 대부분 파일시스템의 비 할당 영역이나 예약 영역, 슬랙 영역등에 데이터를 숨기곤 한다. 하지만 요즘은 포렌식 분석 도구들이 이런 부분도 모두 체크하여 분석 해 주기 때문에 현재의 포렌식 기술에는 크게 영향을 미치지 못한다.


3) Data Transformation

데이터의 형태를 변환하는 기술로 대표적으로 암호화를 들 수 있다. 분석가가 데이터의 원본과 의미를 알기까지의 시간을 벌거나 데이터의 본래 의미를 숨길 때 사용하는 기술이다.


4) Data Contraception

데이터를 분석이 불가능 한 위치에 저장 해 데이터를 아예 찾지 못하게 하는 기술이다. 해당 기술은 포렌식 데이터의 수집량을 줄이기 위한 것이 가장 큰 목적이다. 이 방법에 대해서는 아래 블로그를 참조하기 바란다.

http://www.anti-forensics.com/blog


5) Data Fabriacation

데이터 분석의 결과를 잘못 된 방향으로 흐르게 하는 기술 및 방법이다. 분석가가 분석하는 데이터를 임의로 조작하여 도출 되는 결과를 잘못 된 결과로 만드는 기술로서 데이터 조작에 있어 정교함이 필요한 기술이다.


6) Preventing Data Creation

포렌식 분석에 필요한 데이터 생성을 하지 않도록 시스템 설정을 변경하는 기술을 말한다. 대표적으로 타임라인 분석에 있어 필요한 타임스탬프 값의 업데이트를 방지하는 기술이 있다. Windows 시스템의 경우 레지스트리 값을 조작하여 타임스탬프의 업데이트를 하지 않도록 할 수 있다.


7) Overwriting Metadata

대부분의 파일시스템에서 데이터가 삭제 될 경우 해당 데이터의 메타데이터와 데이터가 저장 된 파일시스템 영역의 링크가 끊어져 사용자에게는 파일이 삭제 된 것처럼 보이지만 파일시스템에는 사용자가 삭제 명령을 내린 데이터가 고스란히 남아 있다. 포렌식 도구들은 이러한 원리를 이용 해 메타데이터를 분석하고 해당 메타데이터에 대한 데이터를 찾아 복원시켜준다. 해당 기술도 이런 원리를 이용 해 메타데이터를 임의의 값으로 덮어씌어 포렌식 도구나 분석가가 메타데이터를 이용 해 데이터를 찾지 못하도록 한다.


3. Anti Forensic의 현실

안티 포렌식의 기술 종류는 위와 같이 다양하다. 위 종류들의 안티 포렌식 기술들이 모두 적용 되거나 하나의 기술만이라도 완전히 적용 된다면 포렌식 수행 과정은 정말 힘들고 험난 할 것이다. 하지만, 안티 포렌식 기술의 완전한 성공은 현재로선 어렵다.

포렌식은 사실 컴퓨터를 구성하고 있는 각 부품들과 소프트웨어를 개발하는 업체들에 의해 이루어지고 있다고 해도 과언이 아닐만큼 컴퓨터 부품이나 소프트웨어에서 지원하는 기능과 데이터에 많이 의존한다. 안티 포렌식은 포렌식과 달리 받쳐주는 받침대 역할의 부품이나 소프트웨어가 턱없이 부족하기 때문에 안티 포렌식을 완전히 수행 할 수는 없다.

EXFORENSIS 블로그의 블로거는 다음과 같은 이유로 안티 포렌식이 실제 침해사고에서 완전히 성공 할 수 없다고 언급하였다.(http://exforensis.blogspot.kr/2008/10/defeating-computer-forensics.html)


 - 대부분의 파일삭제 도구들은 파일 삭제 흔적(로그 등)을 남긴다.(Some of these tools actually create a log of their activities that details exactly what they wiped and when, including file names.)


 - 대부분의 도구에는 도구가 파일삭제를 수행 할 시 원하는 행위를 하도록 하는 옵션이 존재한다. 하지만 이 옵션을 설정한다고 하더라도 도구가 설정 된 옵션에 따라 파일을 완전히 삭제하지 못할 수도 있다.(What the tools actually remove varies widely in success rate and is dependent in many cases on the options set by the user.)


 - 비 할당 영역의 데이터를 삭제 하는 일은 생각만큼 빨리 끝나지 않는다.(Wiping the unused portion of the hard drive takes a long time and few users have the patience to do it regularly.)


 - 포렌식적으로 의미가 있는 데이터를 완전히 지우는 도구는 존재하지 않는다.(None of these tools is 100% effective in wiping out all forensically useful data. You simply can't do it and still have an operational computer.)


 - 대부분의 사람들은 비밀번호로 컴퓨터를 보호하기 때문에 데이터의 대한 보안을 생각해 데이터를 주기적으로 완전히 삭제하는 일은 하지 않는다.(The average computer user is just as lazy about keeping their computer clean using these tools as they are about maintaining the security of their passwords.)


첫 번째에서 언급한 파일삭제 도구의 흔적은 우리가 흔히 알고 있는 SBS 드라마 '유령'에도 등장한다. [그림 1]은 우리가 흔히 사용하는 BCWipe 프로그램을 이용 해 결정적인 증거물을 지우려 하는 장면이다.


[그림 1 - SBS 드라마 '유령' ]


극 중에서는 파일삭제 도구를 실행한 인물이 파일을 삭제 한 뒤 그 현장을 빠져나가는 이야기가 진행 된다. 그 후 그 인물을 쫓던 인물들은 로그를 통해 어떤 파일을 지웠는지 확인한다.


[그림 2 - 파일삭제 도구 로그 확인]


이렇듯 파일삭제 도구도 기록을 남기고 어떤 파일이 지워졌는지 알아 낼 수 있다. 물론 원본 파일을 복구하지는 못하겠지만 말이다. 현재 안티 포렌식와 관련 해 최근 발표된 주제로는 "안티 포렌식 행위 탐지를 위한 퍼지 전문가 시스템" 이 있다. 퍼징 기술을 이용하여 안티 포렌식 행위를 탐지하는 방안을 제시한 학위 논문이다. 논문의 자세한 내용은 논문 제목을 클릭 해 원본을 참고하기 바란다.


4. 결론

안티 포렌식의 기술은 현재로선 완벽하지 못한 기술들이 대부분이다. 하지만 포렌식은 피의자 입장에서 생각해 봐야 하는 분야이다. 그러므로 피의자 입장에서 포렌식을 무력화 할 방법은 어떤 것이 있는지, 또 그 방법을 어떻게 찾아내고 대응해야 할 것인지에 대한 연구나 고민을 지속적으로 해봐야 할 것이다. 지구 어디에선가 안티 포렌식 기술을 연구 해 한순간에 악성코드나 불법적인 행위를 통해 공개할지도 모른다. 이렇게 될 경우 해당 안티 포렌식 기술에 대응하기 위해 연구를 진행하는 동안 또 다른 추가피해가 생기고 정상적인 침해대응 못할지도 모른다. 포렌식 연구가 활발히 진행되는 만큼 안티 포렌식과 관련된 연구도 포렌식 연구에 못지 않게 진행되어야 할 것이다.

'[+] Forensic' 카테고리의 다른 글

[Forensic Case] 기업 문서 유출 사건  (0) 2012.08.05
디스크 암호화와 디지털 포렌식  (0) 2012.07.25
Anti Forensics  (4) 2012.07.20
Windows 8 Forensic Artifact - (6)  (0) 2012.07.02
Windows 8 Forensic Artifact - (5)  (0) 2012.07.01
  1. BlogIcon pr0neer 2012.07.20 16:02

    잘 정리햇네요. 근데 요즘에는 데이터 완전삭제(Wiping) 도구가 좋은 것들이 많아서 명령줄 도구로 쉽게 메타데이터와 파일데이터를 모두 삭제할 수 있어요. 다만, 운영체제 사용 흔적($LogFile, 레지스트리, 프리패치 등)을 살펴보면 완전삭제 도구가 사용됐었다는 것을 알 수도 있지만 이 또한 명령줄 도구라면 거의 다 우회할 수 있을 듯... 그리고, 삭제된 데이터가 없는 이상 완전삭제 도구를 사용했다는 것만으로는 용의자에 대한 의심을 높이는 것 이외에는 결정적인 증거가 되지 못한다는 점에서 목적을 달성했다고 볼 수도 있을 것 같네요.

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2012.07.20 19:32 신고

      음 명령줄 도구라면 어떤게 있나요? 완전삭제 프로그램이라고는 BCWipe 밖에 모르겠네요.. ㅠㅠ;;

      그리고 그 목적이라는 것이 어떠한 상황에서도 딱 들어맞게끔 정해져있는 것이 아니라서 사실상 상황에 맞춰 그 목적이 달성되었는지 달성되지 않았는지 판단해야 할 것 같아요, 어떤 상황에서는 용의자로 정확하게 지목하는 결정적 증거가 될 수도 있을테니까요 ㅎㅎ 무튼 의견 감사합니다 ^^

  2. koha 2012.07.20 21:14

    군대에서 BCWipe로 삭제 했는데 복구 가능하더라.

+ Recent posts