[데브피아세미나]디지털 포렌식 기술을 활용한 시스템 조사방법

보안인이야기 2009. 11. 29. 02:37
이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
11월 28일 선릉역에 위치한 포스코센터 5층 한국 마이크로소프트 건물에서 데브피아가 진행한 세미나가 있었습니다. 고려대 정보보호대학원 박사과정이자 디지털 포렌식 연구센터에서
나오셔서 포렌식에 대한 세미나를 하였습니다.



각각 한시간씩 네개의 세션으로 나뉘어져 있었으며, 저같이 아무것도 모르는 초보들을 위해
포렌식에 대한 개념부터 하나하나 설명해주시는 점이 참 인상깊었습니다.

자세한 설명은 좋았지만 도중에 많이들 집에 가시는 경우도 발생하여서 처음에는 꽉 차 있었던 세미나장이 점점 한산해지는 분위기도 연출되었습니다. 그럼에도 불구하고 사람이 모두 앉기에는 부족에서 나중엔 옆 세미나룸까지 트인후에 세미나를 진행하였습니다.



첫번째 시간은 디지털 포렌식이 무엇이고 왜하는지에 대한 내용이 주를 이루었습니다.
기본적인 이론이라 약간 따분한 느낌이 있기도 하였지만, 저와같이 관심만 있고 처음 접하는 부분이 많았던 사람에게는 기초 개념을 잡는 중요한 시간이었던것 같습니다.

세부 목차는 다음과 같았습니다. 더불어 포렌식이 어떻게 증거로 인정이 되는지에까지
간략한 설명도 있었던 시간이었습니다.



두번째 시간은 활성 시스템 조사방법 즉 포렌식 기법에 있어서 현재 저장매체들의 대용량화로
인하여 무결성을 유지시키는 상황하에서 증거를 확보할때 걸리는 시간의 비효율성을해결하기 위한 방법이었습니다. 활성 시스템은 Live를 뜻하는 것이더군요. 

증거 확보를 위하여 어느정도의 변형은 하용하는 한도내에서 증거를 신속하게 수집하는 방법과 그 필요성에 대하여 역설을 하였던 시간이었습니다. 꼭 시간 단축 뿐만이 아니라 현재 시스템의 상태를 그대로 증거로 확보하기 위하여 현장에서 바로 시스템에 대한 정보들을 확보하는것 또한 Live 포렌식의 영역에 들어간다는 설명도 덧붙이셨습니다.

실제로 현장에서 500GB 정도의 하드디스크를 증거로 확보하기위하여 이미징처리란것을 했을때에 8시간 정도가 걸렸다는 경험담도 들을 수 있었습니다.



세번쨰 세션은 드디어 실전으로 들어가는 부분이었습니다. 윈도우의 레지스트리값들을 분석하여서 사용자가 사용한 응용 프로그램이나 작업등을 역으로 추적하는 방법들에 대하여 설명이 이루어졌습니다. 레지스트만으로도 다음과 같이 많은것을 알아낼 수 있다는 것을 배울 수 있었던 시간이었습니다.

시스템을 언제/누가 설치했는가?
시스템 사용자의 패스워드는 무엇인가?
시스템 사용자가 최근에 어떠한 문서를 사용했는가?
사용자가 최근 접속한 웹 사이트는 무엇인가?
시스템에 설치된 소프트웨어는 무엇인가?
사용자가 실행한 프로그램횟수 그리고 마지막 실행 시간은?
시스템에 연결됐던 외부저장장치는 무엇인가?
인터넷 브라우저에 저장된 자동완성기능 정보는 무엇인가?
윈도우에서 제공하는 네트워크 및 검색 기능을 사용한 흔적은 무엇인가?




네번째 세션은 세번째 세션의 내용에서 조금은 발전한 내용들이었습니다. 주로 인터넷사용
정보를 조사하는 방법에 대한 설명이 이루어졌습니다. 사용자의 검색기록과 방문 페이지는
물론 메신져를 통하여 이루어졌던 대화나 교환했던 파일에 대한 복구방법 등에 다루었습니다.

프로그램을 삭제하는 경우에 있어서 우리가 하는 일반적인 삭제작업을 했음에도 불구하고
어떻게 복구를 할 수 있었는지 궁금했는데, 그에대한 설명도 아주 자세하게 덧붙여 주셨죠.
실제로는 파일에 대한 정보는 하드에 남아있고 단시 파일이 존재여부를 나타내는 헤더(Header) 와 푸터(Footer)에 지웠다는 표시만 하는 것이기 때문에 해당 섹터에 다른데이터를
덮어쓰거나 그부분까지 찾아서 작정하고 지우지 않는한 복구가 가능하다는 것이었습니다.

개인적으로 메신져의 로그인 ID 와 PWD 가 레지스트리의 형태로 저장이 되어있는것을보고
약간의 신선한 충격과 잠깐의 나쁜 생각에 빠져들기도 했었습니다.

전체적으로 무거운 느낌의 세미나 였던것 같습니다. 저와 몇분을 제외하고는 나이도 지긋하신 분들더 많았었구요 아마도 현직에서 뛰는 분들이나 개발자분들도 많이 오셨기 때문이라고
생각이 됩니다. 세미나를 통하여 그동안 막연히 동격을 가지고 바라보고 하고 싶다고 생각했었던 포렌식에 대하여 조금이나마 전문적인 정보를 얻을 수 있었던 좋은 세미나 였다고 평가합니다. 강의자료는 용량관계로 부득이하게 다운로드 링크를 걸어놓도록 하겠습니다.


이포스팅은 호환의IT이야기(http://tigernet.tistory.com)에 공동기재되고 있습니다.

저작자표시 비영리 동일조건
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 53PE
,

티스토리툴바