이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
11월 28일 선릉역에 위치한 포스코센터 5층 한국 마이크로소프트 건물에서 데브피아가 진행한 세미나가 있었습니다. 고려대 정보보호대학원 박사과정이자 디지털 포렌식 연구센터에서
나오셔서 포렌식에 대한 세미나를 하였습니다.



각각 한시간씩 네개의 세션으로 나뉘어져 있었으며, 저같이 아무것도 모르는 초보들을 위해
포렌식에 대한 개념부터 하나하나 설명해주시는 점이 참 인상깊었습니다.

자세한 설명은 좋았지만 도중에 많이들 집에 가시는 경우도 발생하여서 처음에는 꽉 차 있었던 세미나장이 점점 한산해지는 분위기도 연출되었습니다. 그럼에도 불구하고 사람이 모두 앉기에는 부족에서 나중엔 옆 세미나룸까지 트인후에 세미나를 진행하였습니다.



첫번째 시간은 디지털 포렌식이 무엇이고 왜하는지에 대한 내용이 주를 이루었습니다.
기본적인 이론이라 약간 따분한 느낌이 있기도 하였지만, 저와같이 관심만 있고 처음 접하는 부분이 많았던 사람에게는 기초 개념을 잡는 중요한 시간이었던것 같습니다.

세부 목차는 다음과 같았습니다. 더불어 포렌식이 어떻게 증거로 인정이 되는지에까지
간략한 설명도 있었던 시간이었습니다.



두번째 시간은 활성 시스템 조사방법 즉 포렌식 기법에 있어서 현재 저장매체들의 대용량화로
인하여 무결성을 유지시키는 상황하에서 증거를 확보할때 걸리는 시간의 비효율성을해결하기 위한 방법이었습니다. 활성 시스템은 Live를 뜻하는 것이더군요. 

증거 확보를 위하여 어느정도의 변형은 하용하는 한도내에서 증거를 신속하게 수집하는 방법과 그 필요성에 대하여 역설을 하였던 시간이었습니다. 꼭 시간 단축 뿐만이 아니라 현재 시스템의 상태를 그대로 증거로 확보하기 위하여 현장에서 바로 시스템에 대한 정보들을 확보하는것 또한 Live 포렌식의 영역에 들어간다는 설명도 덧붙이셨습니다.

실제로 현장에서 500GB 정도의 하드디스크를 증거로 확보하기위하여 이미징처리란것을 했을때에 8시간 정도가 걸렸다는 경험담도 들을 수 있었습니다.



세번쨰 세션은 드디어 실전으로 들어가는 부분이었습니다. 윈도우의 레지스트리값들을 분석하여서 사용자가 사용한 응용 프로그램이나 작업등을 역으로 추적하는 방법들에 대하여 설명이 이루어졌습니다. 레지스트만으로도 다음과 같이 많은것을 알아낼 수 있다는 것을 배울 수 있었던 시간이었습니다.

시스템을 언제/누가 설치했는가?
시스템 사용자의 패스워드는 무엇인가?
시스템 사용자가 최근에 어떠한 문서를 사용했는가?
사용자가 최근 접속한 웹 사이트는 무엇인가?
시스템에 설치된 소프트웨어는 무엇인가?
사용자가 실행한 프로그램횟수 그리고 마지막 실행 시간은?
시스템에 연결됐던 외부저장장치는 무엇인가?
인터넷 브라우저에 저장된 자동완성기능 정보는 무엇인가?
윈도우에서 제공하는 네트워크 및 검색 기능을 사용한 흔적은 무엇인가?




네번째 세션은 세번째 세션의 내용에서 조금은 발전한 내용들이었습니다. 주로 인터넷사용
정보를 조사하는 방법에 대한 설명이 이루어졌습니다. 사용자의 검색기록과 방문 페이지는
물론 메신져를 통하여 이루어졌던 대화나 교환했던 파일에 대한 복구방법 등에 다루었습니다.

프로그램을 삭제하는 경우에 있어서 우리가 하는 일반적인 삭제작업을 했음에도 불구하고
어떻게 복구를 할 수 있었는지 궁금했는데, 그에대한 설명도 아주 자세하게 덧붙여 주셨죠.
실제로는 파일에 대한 정보는 하드에 남아있고 단시 파일이 존재여부를 나타내는 헤더(Header) 와 푸터(Footer)에 지웠다는 표시만 하는 것이기 때문에 해당 섹터에 다른데이터를
덮어쓰거나 그부분까지 찾아서 작정하고 지우지 않는한 복구가 가능하다는 것이었습니다.

개인적으로 메신져의 로그인 ID 와 PWD 가 레지스트리의 형태로 저장이 되어있는것을보고
약간의 신선한 충격과 잠깐의 나쁜 생각에 빠져들기도 했었습니다.

전체적으로 무거운 느낌의 세미나 였던것 같습니다. 저와 몇분을 제외하고는 나이도 지긋하신 분들더 많았었구요 아마도 현직에서 뛰는 분들이나 개발자분들도 많이 오셨기 때문이라고
생각이 됩니다. 세미나를 통하여 그동안 막연히 동격을 가지고 바라보고 하고 싶다고 생각했었던 포렌식에 대하여 조금이나마 전문적인 정보를 얻을 수 있었던 좋은 세미나 였다고 평가합니다. 강의자료는 용량관계로 부득이하게 다운로드 링크를 걸어놓도록 하겠습니다.


이포스팅은 호환의IT이야기(http://tigernet.tistory.com)에 공동기재되고 있습니다.

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by NIMD4

댓글을 달아 주세요

  1. Favicon of http://dododo7.tistory.com BlogIcon 도로상 2009.12.01 11:23 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다~
    전 포렌식이 몬지만 알고있는 ..초보입니다 ㅠㅠ

  2. Favicon of http://boanin.tistory.com BlogIcon John_G 2009.12.05 11:14 신고  댓글주소  수정/삭제  댓글쓰기

    증거 수집분야는 상당히 봅잡한 절차가 있지 않나요?
    하드디스크 복구관련 역시 상당히 궁금하기도 하구요 ^^
    좋은 세미나 다녀오셨네요 ^^

    • Favicon of http://boanin.tistory.com BlogIcon NIMD4 2009.12.05 16:10 신고  댓글주소  수정/삭제

      예전에는 무결성같은것을 지키기 위하여 절차와 허가를 맡았다구 하더라구요 그런데 요즘은 그 상황하에서 바로 증거확보를 해야하는 경우도 많아져서 어느정도는
      눈을 감는 경우도 있다고 해요 ㅎㅎ 정말 좋은 세미나였죠
      제가 못알아들은것만 뺴곤.....ㅠㅠ

  3. Favicon of http://www.sis.pe.kr BlogIcon 엔시스 2009.12.06 15:42 신고  댓글주소  수정/삭제  댓글쓰기

    아직까지 포렌식이 그다지 시장이 많이 활성화 되지는 않았습니다. 하지만 추후 많은 수요가 있으리라 생각은 드는데 그리 빨리 확산이 되지는 않는군요..

    하지만 첨단 해킹 기법이 자꾸 발전하면 그것을 추척하는 것도 하나의 포지션으로 자리잡을수 있겠지요. 꾸준한 세미나와 포스팅 감사드립니다. 노력하시는 만큼 결과가 있으리라 생각합니다.

    • Favicon of http://boanin.tistory.com BlogIcon NIMD4 2009.12.06 17:43 신고  댓글주소  수정/삭제

      언제나 포스팅마다 빠지지않고 격려의 글을 달아주셔서

      항상 감사합니다. 그날 세미나에서도 미국과 한국의

      시장규모비교분석도 있었는데 정말 미국등 다른 나라들과

      비교하여서 우리나라는 아직도 인프라를 제하고는

      볼모지라는것을 느꼈습니다.

  4. Favicon of http://extraman.tistory.com BlogIcon ^________________^ 2009.12.07 09:45 신고  댓글주소  수정/삭제  댓글쓰기

    등록을 해놨었는데.결혼식일정이랑 좀 안 맞아서 참석을 못해서 아쉬웠는뎅..
    아직은 포렌식이 활성화되지 않았는데..향후 많은 수요가 예상되는 분야중 한곳이죠..
    잘 읽었습니다.자료도 감사~

    • Favicon of http://boanin.tistory.com BlogIcon NIMD4 2009.12.07 15:09 신고  댓글주소  수정/삭제

      ㅎㅎ정말 예상보다 너무나도 작은 규모에
      아직도 보조적인 수단으로 생각한다는 인식이
      팽배해있다는것이 조금 충격이었습니다.