컴퓨터포렌식이란?
하드 디스크 등 컴퓨터 저장매체에 들어있는 데이터를 대상으로 복구, 검색 그리고 수사하는 기법
수사준비단계->증거물획득단계->증거물보관 및 이송단계->증거물분석단계->보고서작성단계
참고삼아 우리나라 디지털포렌식 현황에 대해 알아보면,(아래는 경찰청 뉴스 발췌문)
증거분석센터는 디지털 증거의 분석 복구 및 관련 기술개발을 통하여 디지털 증거분석 절차의 표준화를 유도하고 국제적으로 공신력 있는 증거분석 자료를 생산하는 등 법집행 기구와 검증기구로서의 역할을 동시에 수행하게 된다.
.................중략
디지털 증거분석센터는 8억원을 투자해 증거 수집과 분석 서버 및 시스템 포렌식(증거분석) 프로그램과 로그분석 프로그램 그리고 HDD 복제 및 초기화 장치 및 현장 출동용 포렌식 장비 등 첨단 장비를 갖추고 있으며 초고속 네트워크를 통해 원격지의 수사현장 및 14개 지방경찰청에서도 효과적으로 이용할 수 있으며 센터내에는 전문 연구원과 베테랑 사이버범죄 수사관 등 경찰 내의 최고 전문가 13명이 배치되어 범죄 수사중 확보된 디지털 매체에 대한 분석과 복구 및 시스템·네트워크 포렌식 등 각 분야별 디지털포렌식 기법 연구와 함께 사이버범죄 네트워크 추적기술을 개발하고 디지털 포렌식 표준화 활동을 벌임으로써 법집행 기구와 검증기구로서의 역할을 담당한다.
향후에는 지방청 단위까지 증거분석실을 설치하여 증거분석요원을 배치하고 이동형 증거분석 차량과 현장증거 수집을 위한 초동조치용 디지털 현장 증거분석세트를 개발 보급할 예정이다.
http://npa.news.go.kr/warp/webapp/news/view?section_id=b_sec_1&id=13209c0773583bd41b4878d3
포렌식관련 기관에서 가장많이 사용하는 솔루션제품으로는 Guidance社의 EnCase제품군이다. 대부분의 하드디스크포맷을 지원하고 암호화된 데이터 복호화기능,파일복구,레지스트리분석,타임라인뷰,슬랙스페이스탐색,보고서작성기능등 포렌식툴로 최적화된 솔루션으로 전세계적으로 가장 많이 쓰고 있다.
(아래 사진은 기본적인 포렌식장비들)
[디스크 이미징 장비]
[디지털 증거 보관 Case]
증거물이송도중 전자기소자(Deguasser)등으로 인한 데이터파괴공작 예방용
![](https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fblogfiles16.naver.net%2Fdata14%2F2006%2F1%2F21%2F191%2Fforensic6-navycode.jpg)
보통 안티포렌식이라는 용어는 자신에게 불리한 증거자료를 사전에 차단할려는 기술이나 행위를 말합니다. 그리고 개인이나 단체의 기밀자료 보호라는 명목으로도 이용합니다;주로 기밀이 생명인 군대나 기관에서도 중요한 기술일 것입니다.
앞서 그 연구원이 취한 행동도 일종에 안티포렌식입니다.좀 더 강도가 높은 안티포렌식을 취했다면,아마 검찰은 데이터를 복구하는데 어려움을 겪거나 아니면 불가능 했을지도 모릅니다.
미국방성 DoD에서는 기밀자료 삭제를 위한 표준(DoD5220,22-M)에서 복구불가능한 완전 삭제에 대한 제시를 하고 있습니다.
1.임의의 문자로 데이터를 덮어쓴다
2.첫번째 문자의 보수로 덮어쓴다
3.다시 임의의 문자로 데이터를 덮어쓴다
4.이 과정을 7번 반복한다
*이것이 국내에 일반일들에게 알려진 DoD5220,22-M중 하드디스크 완전삭제 기본메커니즘입니다.그리고 거의 대부분의 안티포렌식툴(삭제전용프로그램)은 이 미국방부 표준 "Dod5220.22-M"을 따릅니다.
이 지침문서의 실제는 아래와 같습니다.
" DoD 5220.22-M National Industrial Security Program Operating Manual (NISPOM) January 1995
Department of Defense - Department of Energy - Nuclear Regulatory Commission - Central Intelligence Agency
U.S. Government Printing Office ISBN 0-16-045560-X "
즉, 1995년 1월에 DoD에서 배포한 국가 산업보호 프로그램 운영 지침서입니다.
국가 산업과 관련된 거의 모든 것에 대한 시큐리티 지침서입니다.
1995년에 작성된 지침서이지만 아직까지 유효하며 산업보안에 대한 기본방향을 제시해주고 있습니다.
이 지침서의 "Maintenance" 섹션 즉 저장장치 파트에 자세히 나와 있습니다.
Mainterance범위로는 하드디스크뿐만 아니라 자기테이프,자기디스크,플로피디스크,각종 롬과 램,심지어 출력장치로 프린터기와 CRT모니터까지 포함됩니다.
중간 도표는 각 저장매체에 대응하는 Clear 과 Sanitize 방법을 a부터 q까지 나열하고 있습니다.
(도표아래 Clearing and Sanitization Matrix 그리고 도표는 각 미디어제품에 맞게 최적화된 방법을 나열한 것입니다)
Clear보다는 Sanitize가 가장 확실하면서 최후의 수단이기도 합니다.
도표에서 Sanitize부분에 대부분 M이 들어간걸 볼 수 있습니다.
m. Destroy - Disintegrate, incinerate, pulverize, shred, or melt.
말그대로 그냥 부시고 지지고 볶으라는 뜻이지요 :)
(a,b의 Degausser는 전자기소자를 이용해서 데이터를 파괴시키는 장비입니다;병원에서 심장에 사용하는 순간충격기 같은게 이에 해당됩니다;아래처럼요;전자레인지도 디가우저일까요?)
바로가기: 용어 디가우저(Degausser)
최근 금융권에서도 디가우저를 이용한 저장매체보안에 나서고 있습니다.
"삼성화재 `디가우저` 도입 금융권 첫…데이터 완전소거로 정보유출 방지" - 디지털타임스 -
.......................중략
10일 삼성화재해상은 폐기업체를 통해 저장장치를 로우 포맷한 뒤 물리적으로 분쇄하던 기존 방식 대신 저장장치에 디가우저를 적용, 데이터 소거를 마친 뒤 폐기업체에 넘기도록 해 정보유출 사태에 대비키로 했다고 밝혔다.
삼성화재해상은 우선 폐기 처분할 PC 6000대의 HDD에 디가우저 장치를 적용해 데이터를 소거할 방침이며 향후 서버, 스토리지, 테이프 저장장치 등 모든 저장장치를 폐기할 때 반드시 디가우저를 통한 데이터 소거 과정을 거치게 할 방침이다.
http://www.dt.co.kr/contents.htm?article_no=2005111102010660704002
보통 Clearing단계는 Sanitization단계보단 덜 확실하지만 빠르고 신속합니다.
Clear단계에서는 최근 기술로 복구가 가능한 경우도 있으나 Sanitization단계에서 최후의 방법으로 쓰는 M번째 방법을 쓴다면 100%복구 불가능 합니다.당연하겠조~ 부시고 지지고 볶는데 살아남을 저장매체가 어디 있겠습니까:)
but, 앞으로 나노기술이 엄청 발전한다면 미세한 흔적만으로도 복구하는 기술이 나올지 그 누구도 장담할 수 없겠지만요,인간은 항상 불가능해 보이는 것에 도전을 하니까요 :-)
아무튼,
일반적으로 최대한 99.9999999999999%라도 복구불가능하게 만들려면 최소7번이상 루프를 돌면서 덮어쓰기를 해야 그나마 안전하다고 할 수 있을 것입니다.7번,8번 덮어쓰기도 100%복구가 불가능한것이 아니고 변수에 따라 복구가 가능한 데이터도 더러 있을 수 있지만 어디까지나 기준입니다.상황에 따라 선택은 본인이 하는 거겠지요~결과는 장담못하지만
현재 시중에 나온 제품중 예를들면 HP StorageWorks XP Data Shredder 제품은 8번 덮어쓰기를 하며 Final ERaser라는 제품은 36번 덮어쓰기를 합니다.
마지막으로 로우포맷을 하면 되지 않느냐라고 하실지 모르시겠지만,
로우포맷도 이미 복구가능한 기술이 있으며 100%는 아니지만 어느정도 복구할 수 있는 방법이 있습니다.(국내기술은 아직 모르겠지만 미국에선 가능하다고 합니다)
보통 하드디스크 데이터전문 복구업체나 기관에서는 삼성이나 하이닉스반도체 연구소처럼 방진복을 입고 특수전자현미경으로 복구를 합니다;미세먼지하나가 데이터복구에 큰 영향을 미치기 때문이지요~
![](https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fblogfiles2.naver.net%2Fdata13%2F2006%2F1%2F21%2F241%2Fforensic11_1-navycode.gif)
또 전자기소자를 이용한 데이터파괴방법인 Degaussing도 100%데이터를 파괴한다고 볼 수 는 없습니다..마찬가지로 가장 확실하고 100%의 방법은 M번째 방법일 것입니다;
하지만 각 저장매체별 최적화된 위 도표를 이용하는것이 좋겠지요;무작정 부시고 파괴하는건 최후의 방법이지 최초의 방법은 아니겠지요 그리고 자원낭비아니겠습니까 :)-
아무쪼록 지금까지 정보보안측면에서 포렌식과 안티포렌식에 대해 살펴보았습니다.
최근에 많이 사용하는 MP3,PMP,PSP,PDA나 핸드폰등의 모바일 제품에도 기본적으로 소형램이나 하드디스크가 달려있고 심지어 PDP TV에도 기본적으로 램이나 하드디스크가 달려나오고 있습니다.그리고 앞으로 유비쿼터스 시대에는 거의 대부분의 전자제품에 램이나 하드디스크가 달려나올것입니다.그 만큼 정보보안측면에서는 보호해야할 범위가 넓어지겠조;
고장난제품,고장난 하드디스크,롬,기타 저장매체 어느것 하나 함부로 버리지 마십쇼;
폐기처분할때는 위 방법을 이용하시길 권장드립니다.
21c 정보화 시대에 정보를 보호하고 관리하는 것은 당신의 몫일 것입니다.
보안은 생명이고 재산이다 :)-