디지털 포렌식에서 추출하는 메타테이타 내용분석

[김근수(G.S.Kim)]

지우개들이 정성을 다해서 지우고 지나가니 문득 좀더 자세하게 메타데이타에 대하여 기술하고 싶어졌습니다.

보통의 경우 아래한글이나 마이크로 소프트사의 워드를 사용해서 문서를 작성하게 되면 문서의 생성시간과

문서의 이름을 확인할 수 있습니다.

이정도의 데이타는 작성한 문서에 마우스를 대고 오른쪽 마우스를 클릭하여여 맨마지막에 속성을 선택하면

만든날짜, 수정한 날짜, 액세스한 날짜, 파일크기 등을 볼 수 있습니다. 이러한 내용이 일반적인 메타데이타입니다.

소천하신 목사님의 노트북에는 080531***대담.doc 파일이 있는데 이파일을 예를들어 가상적인 메타테이타를 

분석해보겠습니다.

메타테이타 예제(파일로 부터 속성값을 추출하는 전문 프로그램 사용할 경우)

아래 메타데이타는 제가 임의로 데이타를 넣은 것이니 실제값과 차이가 많이 있습니다.

(1)080531***대담.doc 파일 분석

- 작성자 : ***

- 마지막 작성자 : ***

- 파일크기 : 40,450

- 만든날짜 : 2008/05/31 12:00:10

- 수정한 날짜 : 2008/06/01 13:05:25

- 마지막 프린트 날짜 : 2008/05/31 14:12:00

- 수정 횟수 : 12번

- 총 수정시간 : 5.4시간

- 페이지 수 : 4

- 해시값 : 1234dc87js9900eij27f62oo994d1

(2)메일을 보내는 원로목사님 아웃룩 익스프레스 분석

- 첨부파일 발송시간 : 2008/06/01 13:10:00

- 첨부파일의 해시값 : 1234dc87js9900eij27f62oo994d1 (원본파일과 첨부파일의 해시값이 같아야 조작이 없는것임)

(3)비서 컴퓨터에 저장된 080531***대담.doc 파일 분석

- 메일 수신시간 : ?

- 첨부파일 080531***대담.doc 해시값: ? (기존에 발송된 첨부파일의 해시값과 다르면 비서 컴퓨터가 조작된 것임)

- 비서는 두번이나 발송한 메일을 받은 적이 없고 한번만 받았다고 진술했으니 한번 받은 첨부파일을 분석해보면 

  어떤일이 일어났는지 알 수 있습니다.

(4)교회 메일 서버

- 보통의 경우 아웃룩 익스프레스를 사용하여 메일 가져오기를 누르면 서버에 남아 있는 파일은 모두 사용자 컴퓨터로

  옮겨 오기 때문에 서버에는 특별한 데이타는 남아있지 않고 다만 메일서버의 로그 파일에는 언제 메일이 발송되었고

  언제 비서가 수신을 했는지 여부를 알 수 있는 시간 로그파일만 남아있습니다.

  추정하건데 이러한 로그파일은 시간이 오래 지나면 업데이트가 되어서 자동으로 지워지거나 관리자가 임의로 삭제가

  가능합니다.

저는 추정하건데 국립과학수사대의 디지털 포렌식팀은 제가 언급한 내용을 포함된 더 자세하게 분석 결과를 내놓을 

것으로 생각하고 그 결과를 기다리고 있습니다.

여러가지 디지털 포렌식에서 분석하는 내용이 있으나 너무 복잡하고 제가 설명하는 능력이 떨어져서 더이상 자세하게

기술하지 않겠습니다.

[하늘한자락]

그 편지는 당연히 옥목사님이 쓰신걸로 최종 판명이 나겠지만, 사실은 누가 그 편지를 썼느냐 보다, 그 편지 내용에 해당하는 자가 오목사라는 사실이 더 중요합니다.

[마당쇠]

맞습니다.
아마 모든 사람들이 그 자한데 글을 쓴다면 옥목사님과 꼭 같은 생각으로 "오 XX 도대체 너의 정체가 무엇이냐?"
라고 썼을 것 입니다.

[sooG4]

진실을 밝히는데는 시간이 걸리는 법입니다
오래 참고 인내하고 기다리시면 선하게 인도하십니다