Reliability Verification of Evidence Analysis Tools for Digital Forensics

디지털 포렌식을 위한 증거 분석 도구의 신뢰성 검증

Abstract

In this paper, we examine the reliability verification procedure of evidence analysis tools for computer forensics and test the famous tools for their functional requirements using the verification items proposed by standard document, TIAK.KO-12.0112. Also, we carry out performance evaluation based on test results and suggest the way of performance improvement for evidence analysis tools. To achieve this, we first investigate functions that test subjects can perform, and then we set up a specific test plan and create evidence image files which contain the contents of a verification items. We finally verify and analyze the test results. In this process, we can discover some weaknesses of most of analysis tools, such as the restoration for deleted & fragmented files, the identification of the file format which is widely used in the country and the processing of the strings composed of Korean alphabet.

본 논문에서는 TTAK.KO-12.0112 문서에 따른 컴퓨터 포렌식을 위한 디지털 증거 분석도구의 일반적인 검증 절차를 살펴보고, 제시된 검증 항목들을 이용하여 실제 증거분석 도구를 대상으로 기능 요구사항들을 테스트한다. 또한 테스트 내용을 바탕으로 대상 도구들에 대한 성능 평가를 수행하며 각 도구들의 증거 분석 기능에 대하여 향후 성능 개선 방향을 제시한다. 이는 테스트 대상 도구가 수행 가능한 기능들을 파악하고, 요구사항 문서에서 제안된 검증 절차들을 활용하여 각 기능 별로 구체적인 모의 테스트를 설계한 후, 검증 항목의 내용을 포함시킨 가상의 증거 이미지 파일들을 생성하여 도구가 분석한 결과를 검증하고 해석한다. 이 과정을 통해 대부분의 도구들에서 단편화된 삭제 파일에 대한 복구, 국내에서 널리 사용되고 있는 파일 포맷 인식, 한글 문자열 처리 기능 등에 취약점이 존재함을 확인할 수 있다.

Ⅰ. 서론

오늘날 우리는 광범위한 네트워크 속에서 고도로첨단화된 장비 및 관련 기술들을 이용하여 다양한 서비스를 제공받을 수 있게 됨으로써 , 과거의 여가 활용방식이나 비즈니스 방식에서 탈피하여 보다 윤택한 삶을 영위하기 위한 많은 혜택들을 누릴 수 있게 되었다 〔1〕. 하지만 이에 반해, IT 장치 및 기술들이 새로운범죄의 수단으로 악용됨에 따라 사이버 범죄라는 커다란 사회적 문제가 발생하게 되었다. 이는 전 세계적으로도 매년 급증하는 추세로 그 수법 또한 나날이 다양해지고 있으며, 개인용 컴퓨터는 물론 노트북, PDA, 스마트 폰 등은 이미 우리의 일상 속에서도 널리 사용되어 일반적인 범죄에서도 주요 증거 또는 단서가 컴퓨터를 포함한 각종 디지털 장치들에 보관되어 있는경우가 많아졌다〔2〕. 이에 법 집행 기관은 전통적인수사 방식을 탈피하여, 전자 매체를 이용한 관련 범죄수사의 새로운 법적 절차와 수사법을 필요로 하게 되었고, 이를 위한 해결책으로 제시할 수 있는 것이 디지털 포렌식이다. 포렌식이란 범죄수사 또는 증거를수집하기 위해 과학적이거나 기술적인 기법을 사용하는 것을 의미하며, 이를 위한 도구는 법과 기술 간의매개체가 될 수 있는 핵심 요소라 할 수 있다〔3〕. 이는 효율적인 관련 범죄 수사를 위해 디지털 포렌식 기술 및 도구 개발이 필수적임을 의미하지만, 현재 국내포렌식 관련 실정은 과도기적 단계로 수사 절차 확립및 개선 단계에 있으며, 국외의 포렌식 기술과 도구들에 대한 의존성이 강하다〔4〕. 이러한 상황은 경제적인측면에서도 국가적인 낭비이며, 해외에서 개발된 도구들의 사용은 국내 환경 에 적합하지 않은 요소들의 존재로 인해 능률적인 수사 진행에 해가 될 수 있다. 또한 포렌식 도구 개발 분야에 대한 국내 시장 자체가활성화 되지 않은 상황이기에 자체 기술 개발 및 확보를 위한 노력이 미미하며, 다양한 도구들이 경쟁적으로 개발되고 있지 않기 때문에 실무에 적용 가능한 수사 도구 선택에 있어서도 매우 제한적일 수밖에 없다. 이와 더불어 기존의 포렌식 도구들에 대한 성능과 신뢰성을 평가할만한 기준 또한 미흡하기 때문에 독자적인 신기술 개발과 도구 마련을 위하여 체계화된 평가방안을 활용한 도구 신뢰성 검증 절차와 적용 모델, 실제 도구 테스트를 통한 성능 평가 데이터 확보가 시급하다. 이러한 관점에서 본 논문에서는 TTAK.KO- 12.0112 문서에 따른 컴퓨터 포렌식을 위한 디지털증거 분석도구의 일반적인 검증 절차〔5〕를 살펴보고, 제시된 검증 항목들을 이용하여 실제 증거분석 도구를대상으로 기능 요구사항들을 테스트 하였다. 이를 위해 대상 도구의 특징 및 신뢰성 검증 항목들 간 유사성을 고려하여 분류 및 통합 과정을 통해 개 별 테스트를 설계하고, 가상의 증거 이미지 파일을 직접 생성하여 활용하였다. 또한 테스트 내용을 바탕으로 대상도구들에 대한 성능 평가를 수행하였으며, 각 도구들의 증거 분석 기능에 대하여 향후 성능 개선 방향을제시하였다. 이는 실제 신뢰성 검증을 위해 일반적인방법과 절차만을 기술하고 있는 표준의 내용을 보다적극적으로 활용을 위한 실질적인 도구 테스트 방안제시로써도 의미가 있다.

Ⅱ. 디지털 포렌식 도구

일반적인 디지털 포렌식 조사 절차는 증거 평가, 수집, 조사, 문서화 및 보고의 4단계로 진행된다. 관련사건이 발생하게 되면 위 단계에 따라 최초 사건 현장에서 범죄에 직접 사용되었거나 연관가능성이 있는 디지털 정보를 포함할 것이라 예상되는 시스템을 평가하고, 이를 대상으로 디지털 데이터를 수집하며, 수집된데이터를 이용하여 분석한 후 법적 효력을 지니는 형태의 증거로 추출한 다음 수행하였던 모든 조사과정과최종 증거물을 보고하는 일련의 과정들이 이에 포함된다〔6〕. 이 때, 대부분의 과정은 각 단계에서 필요한작업을 수행하는 디지털 포렌식 도구들을 사용하여 이루어진다. 도구들은 그 특징에 따라 조사 절차상의 각과정을 독립적으로 수행할 수도 있으며, 전체 과정을포함하는 하나의 통합 시스템 형태로 존재할 수도 있다. 이에 비추어 볼 때 , 성공적 인 증거 추출 가능 여부는 조사 과정에서 데이터 획득 및 분석에 사용되는 포렌식 도구의 성능에 따라 좌우된다고 말할 수 있으며 , 조사 기관 혹은 조사자는 존재하는 다양한 포렌식 도구들의 기능 및 신뢰성에 대해 명확한 정보를 확보해야 하며 , 상황에 적합한 도구를 선택할 수 있는 능력을 갖추어야 한다. 다음은 대표적인 디지털 포렌식 도구들이다.

2.1 상용 디지털 포렌식 도구

상용화되어 국내외에서 널리 사용되고 있는 대부분의 디지털 포렌식 도구들은 증거 수집부터 분석 및 문서화 과정을 모두 포함하는 통합 도구의 형태를 갖추고 있는 것들이 많다. 대표적인 도구로는 Guidance Software의 EnCase와 AccessData의 FTK(Fo- rensic ToolKit〕, I Look Investigator v8, Micro- soft의 COFEE (Computer Online Forensic Evidence Extractor〕 등이 있다. 국내에서 개발된 도구들로는 Final data의 Final Forensics와 A3Security의 A3-AutoWatch 등이 있으며, 상용화된 도구들은 아니지만 검찰청의 D.E.A.S(Digital Evidence Analysis System for computer forensics〕, 한국전자통신연구원(Electronics and Telecommunication Research Institute, 이하 ETRI〕의 ETRI Fo?ensics가 있다. 이 밖에도 모바일 기기에 대한 조사를 목적으로 하는 Paraben의 Cell Siezure, PDA Siezure 등의 소프트웨어와각종 휴대용 기기들과의 연결을 지원하는 툴박스 형태의 상용 제품들이 제공되고 있다.

2.2 오픈 소스 형태의 디지털 포렌식 도구

기술 개발 및 학문적인 연구를 목적으로 특정 기능이나 운영체제, 장치들을 대상으로 하여 개발되는 오픈 소스 형태의 디지털 포렌식 도구들은 크게 데이터 획득을 위한 것과 데이터 분석을 위한 도구로 분류되며, 대부분 단일 기능만을 수행하는 형태로 제작된다. 이는 보다 효율적인 기능 구현과 도구 능력 향상을 위함이며, 지속적인 연구와 업데이트가 이루어지고 있다. 데이터 획득 도구는 기반이 되는 운영체제의 종류에 따라 Windows 기반의 Forensic Acquisition Utilities, Liveview 등이 있으며, Unix 기반의 AFF(Advaced Forensic Format〕, Rdd-2.0.7 등이 있다. 데이터 분석 도구는 주요 분석 대상 및 기법에 따라 세 가지로 분류된다. 그 첫 번째는 미디어 관리 분석 도구로써 TSK(The Sleuth Kit〕, CDfs, CDrecord 등이 있으며 . 두 번째는 파일 시스템 기반의 분석 도구로 웹 브라우저를 기반으로 한 Autopsy Browser, File System Investigator, pyflag 등이 있다. 끝으로 어플리케이션 기반의 분석 도구로는 Event Log Parser, FAUST(File AUdit Security Toolkit〕 등이 있다. 이 외에도 오픈 소스 형태이지만 통합 도구로써 대부분의 기능을 갖추고 있는 네트워크 기반의 포렌식 도구인 F.I.R.E (Forensic and Incident Response Environ- ment〕가 대표적이다.

2.3 디지털 포렌식 도구 신뢰성 검증

앞서 소개한 바와 같-이 다양한 포렌식 도구들이 존재함에도 불구하고 이들은 여러가지 제한적인 요소들로 인해 실제 포렌식 조사에서 사용되지 못하고 있으며. 그 중 가장 결정적인 이유는 해당 도구를 통해 얻게 되는 디지털 증거가 법적인 증거력을 갖추기 위해도구에 대한 신뢰성 검증이 필요하지만, 이를 가능하게 하는 제도적인 장치나 표준 등이 마련되어 있지 않다는 점이다〔7〕. 이를 극복하기 위한 노.력으로 수행되었거나 진행 중인 프로젝트들은 다음과 같다.

2.3.1 N₁ST의 CFTT 및 CFReDS 프로젝트

미국 상무부 산하의 NIST(National Institute of Standards and Technology〕 에서 진행되고 있는 CFTT(Computer Forensics Tool Testing〕 프로젝트〔8〕는 포렌식 조사에서 사용되는 모든 도구들에 대해 신뢰성 기준을 제공하기 위한 방법을 연구하며 , NIJ(National Institute of Justice〕와 법무부 산하 연구 개발 조직 및 OLES (Office of Law Enforcement Std.〕, ITL(Information Technology Lab.〕에 의해 공동으로 진행되고 있다. 또한 FBI, 사이버 범죄 예방 센터 및 U.S Security Service를 포함한 여러 관련 기관들에 의해 지원되고 있다. 연구에 대한 결과물로는 2008년 1월에는 포렌식 수사 시 사용되는 문자열 검색 도구를 위한 요구사항들을 정의한 Forensic String Searching Tool Requirements Specification⑼을 발행하였으며 , 2009년 3월에는. 삭제된 파일에 대한 인식과 복구를 위해 파일 시스템의 메타데이터를 조사하는 포렌식 도구들의 요구사항을 정의한 Active File Identification & Deleted File Recovery Tool Specifi- cationLlO] 문서를 발행하였다.

CFReDS(Computer Forensic Reference Data Sets〕 프로젝트〔11〕는 실제 범죄 수사에서 획득 가능한 일련의 가상 디지털 증거 이미지들을 개발하며, 제공된 이미지 세트들은 실무 수사 인력 양성 훈련 및 포렌식 도구 적합성 테스트에 사용된다.

2.3.2 Brian Carrier's DFTTI

DFTTI (Digital Forensic Tool Testing Ima- ges〕는 공공 기관에서 이루어지는 포렌식 도구에 대한테스트 기법 연구와 비영리 단체 또는 개인에 의하여수행되는 학문적 목표를 지닌 연구들과의 격차를 줄이고자 2003년부터 진행되고 있는 공개 프로젝트이다 〔12〕. 디지털 증거 분석 도구의 핵심 기능에 초점을두어 각 기능 별로 이를 테스트 할 수 있는 가상의 증거 이미지를 게재하고, 웹 사이트 그룹을 통해 위 이미지를 이용한 도구 테스트 결과, 테스트 이미지에 대한 평가 및 개선점, 효율적인 테스트 방법에 대한 의견 등을 수렴하는 형태로 진행되고 있다.

2.3.3 국내 TTA 표준 제정

한국정보통신기술협회 (Telecommunications Technology Association, 이하 TTA〕는 2007년부터 현재에 이르기까지 디지털 포렌식과 관련하여 다양한 국가 표준을 제정하였다. 이들 중 디지털 포렌식도구들과 관련된 것은 다음과 같다.

. 컴퓨터 포렌식을 위한 디지털 데이터 수집 도구 요구사항 (TTAS.KO-12.0057)〔13〕

. 컴퓨터 포렌식을 위한 디지털 데이터 수집 도구검증규격 (TTAK.KO-12.0075N₁₄)

. 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요 eW(TTAK.KO-12.0081〕(15〕

. 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증 (TTASKCT2.0112) ⑸

본 논문에서는 디지털 증거 분석도구에 초점을 두어 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증 (TTAS.KO-12.0112〕 문서에 기재된 일반적인 검증 절차를 살펴보고, 제시된 검증 항목들을 이용하여 실제 증거 분석 도구를 대상으로 한 기능 별 구체적인 모의 테스트를 설계한 후, 테스트 적용 결과를 분석하여 성능 평기를 수행한다.

Ⅲ. 디지털 증거 분석 도구 요구사항 및 신뢰성검증

디지털 데이터는 변경이나 복제가 용이하다는 특수성으로 인해 적법한 형태의 증거로 인정을 받기 위해서는 이를 다루는 증거 획득 및 분석 도구가 정확하고. 결정적이어야 하며, 검증 가능하게 동작해야 함을의미한다〔16〕. 하지만 현재 디지털 증거 분석 작업은 도출된 결과에 대한 원인과 방법, 그 특징에 대해 명확히 설명하지 않는 특정 소프트웨어 또는 하드웨어 에의존하고 있으므로, 증거력을 부여하기 위해서는 이를 다루는 조사관 혹은 관련 종사자들이 분석 과정 각 단계의 결과, 도구의 동작 및 원리에 대해 완벽하게 이해하고 있어야 하며, 분석 도구 설계 시 적용된 개발자 고유의 공학적 메커니즘이 공개되어야 한다는 것을 뜻한다. 이는 비현실적인 일이며, 전문가라 할지라도 다양하게 존재하는 디지털 증거 분석 도구들에 대해 모두 파악하여, 그 신뢰성을 판단하기란 쉽지 않은 일이다. 그러므로 디지털 증거 분석 도구에 대한 요구사항 확립을 통해 공통의 필수 기능들을 정의하고, 정의된 기능에 대한 적합성 테스트를 수행하여 신뢰성이 보장된 도구를 이용 가능하게 함으로써 디지털 데이터에 증거력을 보다 효율적으로 부여할 수 있게 하려는 노력이 필요하다. 이러한 관점에서 제정된 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항 (TTAK.KCH₂₀081〕 표준〔15〕에서는 다음과 같은내용들을 정의하고 있다.

3.1 디지털 증거 분석 도구의 기능 요구사항

표준에서는 디지털 증거 분석 도구가 시스템 상에서 동작하는 소프트웨어로써 기본적으로 갖추어야 할일반적인 요구사항 이외에도 포렌식 조사 단계에서 증거 데이터 분석을 수행하기 위한 핵심 요소 3가지에중점을 두어 해당 기능 별 요구사항을 제시하고 있다. . 도구는 분석 대상이 되는 증거 디스크 또는 데이터 이미지 내의 모든 영역에 대해 일체 누락 없는 분석을 수행해야 한다.

. 도구는 삭제되거나 변조된 데이터 또는 파일들에 대한 탐지와 복구 기능을 제공해야 한다.

. 도구는 특정 문자열 또는 파일들을 탐색할 수 있어야 한다.

다음〔표 1〕은 표준에서 제시된 디지털 증거 분석

(표 1〕삭제 파일 복구 기능의 필수적인 요구사항

도구의 기능 요구사항들 중 삭제 파일 복구 기능에 관련된 요구사항 예시이다.

3.2 디지털 증거 분석 도구 신뢰성 검증

디지털 증거 분석 도구검증(TTAS.JKO-12.0112〕 표준은 앞서 소개한 요구사항들을 바탕으로 도구의 기능들에 대한 신뢰성 검증을 수행할 수 있도록 여러 가지 검증 항-목들과 그에 대한 테스트 절차를 제시한다. 검증 항목들을 선정함에 있어서 요구사항들 중 의미상으로 중복되거나 테스트 방법이 중첩되는 사항들은 통합하여 항목화한 것이며, 다양한 분석 시스템 환경을고려하여 테스트를 적용할 수 있도록 일반화된 테스트절차를 기술한다.

(그림 1〕 디지털 증거 분석 시스템 구성 예

다음 표들은 표준에서 제시된 검증 항목과 각 항목별 테스트 절차에 대한 예시이다. 검증 항목 표에는기반이 되는 관련 요구사항들이 함께 표기되어 있으며 . 테스트 절차 표는 대상이 되는 검증 항목, 해당 항목에 대한 테스트 방법, 테스트 수행 시 예상되는 결과를 명시한다.

(표 2〕 삭제 파일 복구 관련 기능 검증 항목

(표 3〕 검증 항목에 대한 테스트 절차

Ⅳ. 디지털 증거 분석 도구 신뢰성 테스트

본 장에서는 실제 상용 및 오픈 소스 형태의 포렌식 도구를 선정하여 테스트 대상으로 삼아, 앞서 소개한 검증 항목 및 테스트 절차를 활용하여 구체화된 모의 테스트를 설계하고 직접 수행함으로써, 향후 테스트모델 제시 및 해당 도구 장단점 평가에 대한 내용을 기술한다.

4.1 테스트 대상 도구 선정

테스트 대상은 도구의 인지도 및 보유 기능들을 고려하여, 대부분의 검증 항목들을 최대한 빠짐없이 적용해 볼 수 있도록 포렌식 절차에 필요한 전반적인 기능들을 모두 포함하고 있는 통합 도구들로 선정하였다.

〔표 4〕에서 소개된 도구들 중 ETRI Forensics는비교적 인지도가 떨어지지만, 국내 연구소에서 독자적으로 개발 중인 고속 포렌식 시스템 (High-Speed Forensic System, HSFS〕의 일부로써 타 도구들

(표 4〕 테스트 대상 도구

에 상응하는 데이터 수집 및 분석 기능들을 보유하고있으며, 특히 국내 실정을 고려하여 한글 분석 능력이강화된 고속 인덱스 생성과 하드웨어 가속을 통한 검색 기술은 매우 뛰어난 성능을 나타낸다〔17〕.

4.2 테스트 설계

최초 테스트 대상이 될 도구가 선정되면, 도구가 제공하는 모든 기능들을 파악한 후, 표준의 검증 항목표를 이용하여 테스트 가능한 기능만을 선별한다. 테스트 설계는 선출된 항목들을 각각의 테스트 케이스로 분류하고, 개별 케이스에 적용 가능한 테스트 절차를 확인하여 다양한 수행 환경에 맞게 세부적인 내용을 포함하는 증거 이미지 파일을 생성하고, 관련 사항들을 명시하는 작업을 통해 이루어진다. 다음은 테스트효율성과 대상 도구의 특성 등을 고려하여 유사성이 존재하거나 동시에 진행 가능한 항목들을 분류 및 통합한 후, 최종 설계한 테스트 케이스들이다. 이 때, MD5 해시가 테스트에서 사용된 것은 암호학적 관점에서 보안 관련 용도가 아니며 , 도구가 찾아낸 파일들이 원본과 동일한 것임을 확인하고, 분석 작업 수행 후 내용 변경이 발생하지 않는다는 간단한 무결성 검증을 위한 것이다.

(그림 2〕 ETRI Forensics 실행 화면

4.2.1 일반적인 기능 검증 항목에 대한 테스트

(1) GV_TEST_01

- 관련 검증 항목 : GV_01, 03, 04, 05, 06, 08 - 이미지 파일(〔표 5〕 참조)

. GV_TEST_01.dd(FAT, 10MB)

. MD5: b8a9381adb7a9e296elae7d5ee396892 - 확인 사항 목록

. 분석 작업 수행 후 이미지 파일에 대한 MD5 값변화 유무

〔표 5〕 GV_TEST_01.dd 내부파일 상세 표

파일 시스템 및 이미지 파일 구조, 내부 구성파일 비교

문자열 및 파일 탐색 등 수행 후 이벤트 로그 확인분석 리포트 확인, 복수 테스트 수행 후 각 결과의 동일성 비교

(2) GV_TEST_02

- 관련 검증 항목 : GV„07

- 쓰기방지장치 없이 연결된 USB 메모리 스틱 . Memorett USB Disk(FAT32, 967.5MB) . MD5:4d67bb93c9d8df799e49c0a6af956c7a - 오류가 있는 분석 작업 수행을 위하여 외부 장치 데이터에 내한 접근을 시도하고. 분석 도중 외부장치를 제거하여 고의적인 오류를 발생시킨다. - 확인 사항 목록

- 분석 작업 수행 중 발생한 도구의 오류보고를 확인

(3) GV_TEST_03

- 관련 검증 항목 : GV_02, 03

- 쓰기방지장치 없이 연결된 USB 메모리 스틱 -Memorett USB Disk(FAT32, 967.5MB) ■ MD5: 4d67bb93c9d8df799e49c0a6af956c7a - 확인 사항 목록

. 분석 작업 수행 후 USB에 대한 MD5 값 변화 O 口

- 파일 시스템 및 내부 구조(디렉터리, 파일〕 비교

4.2.2 삭제 파일 복구 기능 검증 항목에 대한 테스트

- 관련 검증 항목 : DFRV_0L 02, 04 - 이미지 파일(〔표 6〕참조)

〔표 6〕 DFRV-tEST_01.dd 내부파일 상세 표

. DFRV_TE ST„01. dd (FAT, 10MB)

. MD5:le58db962fa63edff60950766b4df01f - 확인 사항 목록

. 해당 이미지에 대한 파일 시스템과 메타데이터정보 비교

- 식별된 삭제 파일 및 디렉터리 목록, 구조 비교 . 원본과 복구된 파일들의 MD5 값 대조를 통한 동일성 비교

(2) DFRV_TEST_02

- 관련 검증 항목 : DFRV_03 - 이미지 파일(〔표 7〕참조)

-DFRV_TEST.O₂.dd(FAT, 5.9MB)

-MD5: 4aeb06ecd361777242ab78735d51 ace6 - 확인 사항 목록

. 원본과 복구된 파일들의 MD5 값 대조를 통한동일성 비교

. 비정상적으로 복구된 파일들에 대한 도구의 보고 여부

(표 7〕 DFRV_TEST_02.dd 내부파일 상세 표

4.2.3 파일 및 문자열 탐색 기능 검증 항목에 대한 테

(1) FSV_TEST_01

- 관련 검증 항목 : FSV_01, 02, 03 - 이미지 파일(〔표 8〕참조)

(표 8〕 FSV_TEST_01.dd 내부파일 상세 표

. FSV_TEST_01.dd(FAT, 10MB)

. MD5:e4b7a7e7e474981dad87098ef69584e8 - 확인 사항 목록

■ 해당 이미지에 대한 파일 시스템과 메타데이터정보 비교

. 인식된 파일 종류 및 관련 정보, 디렉터리 구조비교

(2〕 SSV_TEST_01

- 관련 검증 항목 : SSV_01, 02, 03, 04, 05 - 이미지 파일(〔표 9] 참조)

〔표 9〕 SSV_TEST_O₁.dd 내부파일 상세 표

■ SSV_TEST_01.dd(FAT, 15MB)

. MD5:cc247d7e2d2b9bd9e0aebe6199el2bfe - 확인 사항 목록

. 표기된 문자열에 대해 누락 없는 탐색 여부 . 탐색 질의 및 탐색 조건 지정에 따른 결과 확인

4.2.4 기타 기능 검증 항목에 대한 테스트

(1) AFV_TEST_01

- 관련 검증 항목 : AFV_01 - 이미지 파일(〔표 10〕참조)

〔표 10〕 AFV_TEST_O₁.dd 내부파일 상세 표

. AFV_TEST_01.dd(FAT, 1.4MB)

. MD5: 9fb582f3361ba0bc5a3b0f7cl7a082cb - 확인 사항 목록

. 분석 결과의 파일 생성 시간 정보 비교

(2) AFV_TEST_02

- 관련 검증 항목 : AFVJ2, 03. 04, 05, 06, 07 - 이미지 파일(〔표 11〕참조)

〔표 11〕 AFV_TEST_02.dd 내부파일 상세 표

■ AFV_TESTJ2.dd(NTFS, 4.0GB)

■ MD5:0f3206fb0214dc75cb5a04fa5c325410 . 분석 대상이 될 가상 시스템을 구축하기 위해서 VMware workstation을 이용하여 Windows XP를 설치하고, 인터넷 및 이메일 사용 기록과

아래 표에 기재된 파일들을 저장한다.

- 데이터 수집 도구를 이용하여 전체 디스크를 이미징 한다.

- 획T 사항 목록

- 해당 이미지의 운영 체제, 시스템/사용자 정보, 설치된 프로그램, 파일 시스템 관련 정보 비교 . 고유 정보 변경 파일에 대한 원래의 파일 타입 인식 여부

. 인터넷 및 이메일 사용 기록, 운영체제의 로그파일 분석 여부

- 분석 결과에 나타난 내부 파일들과 원본 파일의 MD5 값 비교

4.3 테스트 결과 분석

테스트는 대상 증거 분석 도구를 각각의 동작 환경에 적합한 시스템에 설치 후, 해당 테스트 케이스에 맞게 별도로 사건 파일을 만든 다음 생성한 이미지 파일들을 raw image 타입의 증거물로 등록하여 분석을 수행한 결과이다. 테스트 결과표에서 만족은 테스트 설계 시 명시하였던 확인 사항 목록의 내용들이 분석 작업을 통해 모두 확인되었음을 의미하叽 그 외누락되거나 내용이 다른 항목이 존재할 경우 불민족으로 표시하였다. 분석 결과에 대한 상세한 설명은 불만족 된 항목들을 중심으로 기술한다.

4.3, 1 EnCase Forensic L£ ver 6.0

〔표 12〕 EnCase Test 결과

- DFRV_TEST_02 :〔표 7〕에 기재된 파일들을모두 식별하였으나, 복구 후 단편화 된 파일 fragl.dat, frag2.dat, frag3.dat의 MD5 값이 원본과 일치하지 않았다.

- SSV_TEST_01 : 한글 관련 검색에 있어서 ANSIHangul. dat 파일 내 사항이 누락되었다. 키워드 검색 옵션에 ANSI Latin-1 이란 항목은 있었으나 테스트에 포함된 인코딩 타입과는차이점이 존재하여 나타난 결과라 판단된다.

EnCase의 경우 대부분의 테스트에서 만족스러운 분석 결과를 보여 주었지만 위 2가지 결과를 통해 단편화된 파일 처리 및 복구 기능에 대한 개선이 필요하며, ANSI 인코딩 타입의 한글 문자를 탐색하지 못하는 것에 대한 업데이트가 필요함을 확인하였다.

4.3.2 The Sleutti Kit-2.09 & AutoPsy-2.08

〔표 13〕 TSK & AutoPsy Test 결과

- GV_TEST_01 : 파일 구조, 파일 시스템, 내부구성 파일에 대한 정보들이 설계했던 내용과 모두 일치하였으며, 수행한 작업에 대한 이벤트 로그 역시 모두 정확하게 확인 가능하였다. 하지만 filel.hwp 파일을 Microsoft Installer로 인식하며, 한글 문자열 처리에서 불완전한 결과를나타냈다.

- GV_TEST_02. 03 : 분석 대상을 이미지 파일만으로 제한하는 도구의 특성을 고려하여 테스트를 수행하지 않았다.

- DFRV_TEST_01 : 한글파일_in_deleted_dir2. hwp 파일에 대한 인식과 복구가 정확하게 이루어지지 않았다.

- DFRV_TEST_02 : 단편화 된 파일 fragl, frag2, frag3.dat 의 MD5 값이 원본과 일치하지 않았다.

- SSV_TEST_01 : UTF-8 인코딩 타입의 한글문자열 외에는 전혀 알아볼 수 없는 형태로 처리하여.〔표 9〕에 기재된 문자열에 대한 탐색 질의결과에 누락이 발생하였다.

TSK & AutoPsy의 경우 전반적으로 파일 타입 인식과 브라우징 측면에서 취약점이 나타났으며, 특히 한글 관련 인코딩 타입 및 문자열에 대한 처리가 미흡하여 이에 대한 개선이 필요하다. 또한 EnCase와 마찬가지로 단편화된 파일 처리 및 복구 기능에 대한 개선도 이루어져야 한다.

4.3.3 ETRI Foiensics

〔표 14〕 ETRI Forensics Test 결과

GV_TEST_02 : 고의로 제거된 외부 장치에 대한 오류 메시지를 정확하게 보고하였으나, 도구가 최초 구동되는 시점에서 분석 시스템에 연결된 모든 장치 에 대한 인식을 시도하는 형태로 동작하기 때문에 사용자 편의를 위하여 실시간으로 추가 또는 제거 되는 외부 장치들에 대한 정확한 인식 여부가 가능하도록 보완될 필요성이 있다. - DFRV_TEST_02 :〔표 7〕에 기재된 파일들을 모두 식별하였으나, 복구 후 단편화 된 파일 fragl.dat, frag2.dat, frag3.dat의 MD5 값이 원본과 일치하지 않았다.

- SSV_TEST_01 : UTF16BEHangul.dat 파일 내의 문자열 탐색에 실패 하였으며 , 키워드 검색 옵션 내에 존재하지 않는 인코딩 타입이었으므로 이에 대한 추가가 필요하다.

ETRI Forensics의 경우 국내에서 개발 중인 도구답게 다른 도구들에 비해 국내에서 널리 사용되는파일 타입에 대한 인식과 브라우징 측면에서 장점을나타내었으며. 특히 한글 관련 처리가 정확하게 이루어졌다. 하지만 문자열 탐색과 관련하여 누락된 인코딩 타입에 대한 추가와 단편화된 파일 처리 및 복구기능에 대한 개선이 이루어져야 한다.

4.4 테스트 의미

디지털 증거 분석 도구의 신뢰성 검증을 위해 선정된 모든 검증 항목에 대한 테스트를 성공적으로 통과해야만 실무에 적합한 증거 분석 도구가 되는 것은 아니다. 하지만 앞서 기술된 테스트 내용들과 이를 바탕으로 한 도구의 평가는 표준에 명시된 테스트 절차에대한 구체적인 활용 방법과 하나의 기법 적용 모델 제시로써 의미를 가지며, 국내 실정 및 다양한 기술적 요소들을 고려해 볼 때 향후 보완되어야 할 사항들을 권고함에 의의를 둘 수 있다. 실제 표준의 내용을 살펴보면 증거 분석 도구의 기능들을 중심으로 신뢰성 검증이 필요한 항목들과 그 방법에 대한 일반적인 절차만을 기술하고 있기 때문에, 해당 정보를 활용하고자 하는 다양한 계층의 독자들에게 막연하게 느껴 질 수 있다. 이에 본 논문에서 기술된 테스트 설계 부분과 특히테스트를 위한 가상의 증거 이미지 파일을 생성하기위해 수행한 작업 관련 사항들은 포렌식 도구 생산자들에게 자신들이 개발 중인 제품을 테스트 할 수 있는실질적인 기법 마련에 유용하게 사용될 수 있을 것이며. 추가적인 도구 테스트를 통해 객관적인 성능 평가자료가 확보된다면 포렌식 관련 종사자들에게 도구 선택 시 활용 가능한 좋은 참고 자료♦가 될 것이다.

Ⅴ. 결론

본 연구에서는 컴퓨터 관련 범죄의 급증에 따라 중요시 되고 있는 디지털 포렌식 도구들 중 증거 분석기능에 초점을 두고, 이와 관련하여 제정된 디지털 증거 분석 도구 요구사항 및 신뢰성 검증에 대한 표준을살펴보았다. 또한 이를 바탕으로 실제 포렌식 도구인 EnCase 와 The Sleuth Kit & AutoPsy, ETRI Forensics 를 대상으로 구체적인 모의 테스트를 설계하고 직접 수행하여 각 도구 별 성능에 대한 장단점을 분석하였다.

그 결과 3가지 도구 모두 많은 부분의 테스트를 성공적으로 통과한 반면, 단편화된 삭제 파일 복구 및 처리에 있어서 기능 개선이 필요함을 확인하였다. 또한 EnCase 와 The Sleuth Kit & AutoPsy 같은 국외 도구들은 국내에서 널리 사용되고 있는 파일 타입에 대한 인식과 한글 문자열 처리가 미숙하여 이에 대한 보완이 필요함을 알 수 있었으며, ETRI Fo- rensics는 국내 개발 중인 도구답게 이러한 부분에서 강점을 나타내었으나 다양한 인코딩 타입을 추가적으로 고려해야 할 필요성이 있음을 발견하였다.

위와 같은 결과들을 통해 본 연구는 포렌식 관련 종사자 및 도구 개발자들에게 보다 상세한 정보를 제공하며 , 다양한 도구들을 대상으로 신뢰성 검증을 수행하고 평가가능하게 함으로써 도구 선택의 자유도를 높여줄 수 있을 것이다. 더불어 국내 실정을 고려한 평가 기준 마련은 독자적인 디지털 포렌식 도구 개발과관련 기술 발전에 이바지할 것이라 사료된다. 이를 토대로 국외 포렌식 기술 의존으로 인한 국가적인 낭비를 줄이고, 자체적으로 새롭게 개발되는 미래의 포렌식 도구들은 다양한 측면에서 국제적인 경쟁력을 지니며 , 관련 범죄를 처벌하고 예방하기 위한 핵심 도구로써 사용될 수 있을 것이다.

향후 연구 과제로는 다양한 도구들을 대상으로 추가적인 테스트를 수행해보면서 보다 효율적인 테스트 설계 방법을 모색하고, 개별 생성한 이미지 파일들을 보완하여 상황에 따라 유용하게 적용 가능한 증거 이미지 파일 셋을 확보할 계획이다.