Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

포렌식 관점에서 차세대 파일시스템 연구 동향

  • Published : 2019.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

기존의 NTFS, HFS+, Ext4와 같은 전통적인 파일시스템들은 디스크 사용, 공간 관리, 데이터 암호화 등 여러 측면에서 한계점을 가지고 있었다. 특히 디스크 사용 측면에서 기본적으로 단일 디스크 안에서 동작하도록 설계되었기 때문에 여러 개의 디스크에서 동작하도록 하려면 RAID와 같은 별도의 구성이 필요했다. 이에 따라 주요 운영체제들은 위와 같은 기존 파일시스템들의 한계점들을 극복하도록 설계된 Pooled Storage 파일시스템들을 공개하였다. Pooled Storage 파일시스템에 관한 연구는 2017년 여름 미국 오스틴에서 열린 DFRWS 학회에서 독일의 Jan-Niclas Hilgert에 의해 발표된 이후 디지털 포렌식 학계 및 산업계에서 집중적인 연구개발이 진행되고 있다. 2017년 Hilgert는 ZFS 파일시스템에 대한 분석기능을 공개소프트웨어인 SleuthKit에 추가한 기술을 발표하였고, 2018년 DFRWS에서는 BtrFS 파일시스템에 대한 분석기능을 공개하였다. BlackBag Technologies의 Joe Syle은 APFS 파일시스템에 대한 분석기능을 SleuthKit에 추가한 결과를 DFRWS 2018에서 발표하였다. 노르웨이의 Rune Nordvik은 2019년 DFRWS에서 REFS를 역공학을 통하여 분석한 결과를 공개하였다. 국내에서는 고려대학교를 중심으로 ReFS에 대한 연구가 진행 중이다. 본 논문에서는 주요 운영체제들이 공개한 Pooled Storage 파일시스템 형태의 차세대 파일시스템인 ReFS, APFS, BtrFS를 소개하고 각 파일시스템의 특징과 주요 기능들을 설명한다.

Keywords

References

  1. Brain Carrier, File System Forensic Analysis, Addison-Wesley, 2005
  2. 주필환, 파일시스템 포렌식 분석, 케이앤피IT, 2010
  3. Jan-Niclas Hilgert et al., "Extending The Sleuth Kit and its underlying model for pooled storage file system forensic analysis", DFRWS USA 2017
  4. Jan-Niclas Hilgert et al.,, "Forensic Analysis of Multiple BTRFS Configurations using the Sleuth Kit", DFRWS USA 2018
  5. Wikipedia, "ReFS", https://en.wikipedia.org/wiki/ReFS
  6. Microsoft, "Compare Windows 10 editions", https://www.microsoft.com/en-us/windowsforbusiness/compare
  7. Microsoft, "Resilient File System (ReFS) overview", https://docs.microsoft.com/en-us/windows-server/storage/refs/refs-overview?redirectedfrom=MSDN#supported-deployments
  8. Joachim Metz, "Library and tools to access the Resilient File System(ReFS)", http://github.co m/libyal/libfsrefs
  9. Sarah Edwards, "Getting Saucy with APFS!", BsidesCharm 2018
  10. Rodeh Ohad, "B-trees shadowing, and clones", USENIX 2008
  11. Btrfs Wiki, https://wiki.archilinux.org/index.php/Btrfs, https://en.wikipedia.org/wiki/Btrfs