로카르드의 교환법칙

작성자 : EvilWinFe ( lscpjyoon@gmail.com )

편집자 : 엔시스(sis@sis.pe.kr)

- 목차 -

1. 디지털 포렌식이란 무엇인가?

->  1-1. 로카르드 교환법칙(Locard's exchange Principle)

2. 디지털 포렌식 분석을 위한 기초 지식

3. 디지털 포렌식의 기술 동향

4. 디지털 포렌식 도구 분석 ( Encase 등등)

5. 개발자 관점에서 보는 디지털 포렌식 기술

   5-1. Registry Hive  
   5-2. Web Log
   5-3. System Log

6. 향후 디지털 포렌식에 관한 견해 

※ 목차는 변경 될 수 있습니다

디지털 매체를 이용하는 범죄가 늘어 남에 따라 범죄에 사용된 디지털 매체의 자료가 수사를 해결 하는데 

결정적인 역할을 하고 있다.

 

또한 범죄 수사가 미궁 속으로 빠져들수록 사건과 관련된 증거물은 수사를 해결 하는데 실마리를 제공 

해 주는 단서가 된다.

 

증거물의 중요성에 관한 법칙이 수사 관련 드라마와 영화에서 많이 언급 되었으며, 전세계 과학수사요원들

이 원칙으로 삼는 법칙 있다.   

 

바로 프랑스의 범죄학자인 에드몽 르카르드(Dr. Edmond Locard, 1877~1966)가 말한 '접촉하는 두 개체는

서로의 흔적을 주고 받는다.'라는 로카르드의 교환 법칙(Locard's exchange Principle)이다.

 

디지털 포렌식(Disital Forensic)에서도 이 법칙을 근간으로 삼아, 디지털 매체에 남은 흔적과 증거를 통해서

사건의 전모를 밝혀 낸다.

 

지금부터  로카르드의 교환 법칙(Locard's exchange Principle)에 따라 디지털 포렌식(Disital Forensic)을

자세히 알아 보도록 하자.

 

현재 사용자가 가장 많이 사용 하고 있는, 운영체제인 Windows에서는 웹 로그, 이벤트 로그,  레지스트리,

시스템 로그 등 다양한 흔적들이 시스템에 남겨져 있다.

 

마이크로 소프트에서는 대부분의 로그 파일들을  처리 속도 향상, 문제 해결  위한 로그 등의 목적으로 

사용하고 있다.

 

디지털 포렌식 관점에서 보면, 로그 파일에 기록된 메시지들은 컴퓨터 이용자와 컴퓨터 간의 접촉을 통해서얻어진 흔적들이 저장 되어 있기 때문에, 수사관들이 로그 메시지 분석을 통하여, 유용한 정보를 획득 할 수있는 방법 중 하나 이다. 

       [그림 1] USB를 이용한 내부 문서 유출 파일 시나리오.

조금 더 예를 들어서, 자세히 살펴 보도록 하자.

한 기업내의 직원이 USB를 이용하여, 컴퓨터에 중요한 문서를 유출 했다고 가정을 하자.

수사관이 조사를 할 때 사건이 발생한 시간, 이동 디스크의 종류 등 세부적인 정보를 자세히 

알아 낼 수 있을까?

 

Windows 운영체제에서는 로그 파일인 Setupapi.log에 USB 이동식 저장 장치 설치 문제 해결을 위한 

메시지를 기록해 놓는다.

                                                        [그림 2] setupapi에 대한 MSDN 설명.

또한, 서비스 팩 설치 및 핫픽스 설치와 같은 주요 시스템 변경 사항에 대한 정보가 들어 있어,

setupapi.log 파일은 수사관들에게 유용한 정보를 제공 해준다.

Setupapi.log를 자세히 살펴 보면, 일반적으로 OS 버전, 플랫폼 ID, 아키텍처 등 기본적인 

정보를 알 수 있으며, USB가  연결 했을 경우에 대한 시각과, USB의 고유 식별 번호를 알 수 있다.

고유 식별 번호는 USB 제조사에서 USB를 생산하여 판매 할 경우, [제조 회사명] [ PID] [VID] [USB Identity] 형태로 등록 하기 때문에, USB를 식별 할 수 있다. 

                                                       [ 그림 3] Setupapi.log의 세부적인 로그 메시지.

USB가 처음 연결된 시각이 표시 되어져 있으며, USB를 식별 할 수 있는 USB Identity값들이 있다.

따라서 수사관들은 Setupapi.log를 통해서 USB의 종류, USB 장치가 연결된 시점을 알 수 있으며,

나아가 레지스트 분석을 통하여 LastWrite(USB 장치에 마지막으로 기록한 시각),USB제거 시점을 알 수 있다.

                                        [그림 4] USB의 기본적인 정보를 추출하는 프로그램

 

[그림 4]은 직접 만든 프로그램을 통해 USB를 연결 했을 때에 발생하는 이벤트를 처리하고,USB NAME, VID, PID, USB Identity 정보를 얻은 후 다이얼로그에 표시한 것이다.

 

범죄 컴퓨터의 Setupapi.log에 기록 된 USB의 정보와 [그림4]와 같이 디지털 포렌식 관련 툴을 이용하여

얻은 USB정보가 서로 일치 할 경우, 범죄 현장에서 사용된 USB 장치라고 추측 할 수 있다. 

 

또한 다른 예로 살펴 보면  수사관이 구동중인 시스템과 상호 작용 할 때 여러 곳에 흔적들을 남겨 

처음 의도 했던 것 과는 다르게 수사를 하던 도중에 운영체제에 변화가 발생 할 수 있다.

 

이런 변화들은 영구적으로 저장 되어, 디지털 증거의 무결성에 영향을 줄 수 있기 때문에,

수사관이 르카르드의 교환법칙을 항상 인식 하여, 훼손의 가능성을 줄여야 한다.

       

이와 같이 접촉하는 두 개체는 서로의 흔적을 주고 받는다.라는 르카르드의 교환 법칙을 설명 해 보았다.

앞으로도, 르카르드의 교환 법칙(Locard's exchange Principle)을 근간으로 하여, 디지털 포렌식을 바라 봤으면 좋겠다.