디지털 포렌식의 대응으로 나온 안티 포렌식(Anti-Forensic)이란 무엇인가
안티포렌식이란 데이터의 영구 삭제, 데이터 암호화, 데이터 은닉 및 조작 등을 통하여 디지털 포렌식 수사를 통해 증거가 발견되지 않도록 하기 위한 기술을 말합니다. 안티포렌식은 탐지를 회피하거나 정보 수집을 방해하고 조사관의 분석시간 증가시키는 등 수사에 어려움을 주는 등 수사를 방해하기 위한 목적으로 사용됩니다.
이 문서에서는 안티포렌식에는 어떠한 종류가 있는지 알아보고 안티 포렌식을 무력화시키는 안티 안티 포렌식에 대해 간단히 설명합니다.
안티포렌식의 목적은 무엇인가
안티포렌식은 범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단하거나 삭제, 법정 보고서나 증언으로서 가치가 없도록 증거를 훼손하는데 목적이 있습니다. 범죄자들은 증거가 수집되기 전에 정보 수집을 방해하고 디지털 포렌식 도구가 동작하지 못하도록 하거나 오류를 발생시킴으로써 범죄사실을 은닉할 수 있습니다. 이러한 행위로 조사관의 분석 시간이 증가하거나 증거를 찾지 못하여 범죄자의 신상을 파악하는데 어려움이 생길 수 있습니다.
안티 포렌식의 기술에는 어떠한 것이 있을까
안티 포렌식 기술에는 크게 데이터 삭제와 데이터 은닉 및 변조 기술로 구분할 수 있습니다. 데이터 삭제는 증거로 사용될 수 있는 데이터를 복구가 불가능하도록 삭제하여 증거 확보를 불가능하게 하는 방법이고 데이터 은닉 및 변조기술은 증거 데이터를 찾아내지 못하도록 숨겨놓거나 증거로 사용할 수 없도록 변조하는 기술을 말합니다.
데이터 삭제 기술인 디가우징(Degaussing)은 자기 테이프와 디스크 미디어에 있는 데이터나 신호들을 완전히 제거하기 위한 장치인 디가우저(Degaussers)를 이용하여 자기 장치를 강력한 자기장에 노출시켜 데이터를 영구히 삭제하는 기술입니다. 하드디스크 및 파일 와이핑(Wiping) 기술은 파일을 완전히 복구할 수 없도록 파일의 엔트리 정보를 가지고 있는 영역과 해당 클러스터 영역을 난수 혹은 0으로 중복으로 덮어쓰는 기술을 말합니다. 덮어쓰기는 목적에 따라 디스크 전체를 대상으로 하거나 특정 파일을 대상으로 할 수 있습니다.
데이터 은닉 및 변조 기술인 스테가노그래피(Steganography)는 메시지가 전송되고 있다는 사실 자체를 은닉하여 데이터를 숨기는 정보은닉 기술입니다. 주로 디지털 매체에 메시지를 은닉하여 전달하게 되는데, JPEG, BMP, WAV 등과 같은 멀티미디어 파일이나 HWP, DOC, PDF 등과 같은 문서 파일이 이용될 수 있습니다. 파일을 은닉은 디스크에도 가능한데 파티션으로 인한 슬랙 공간 등 파일 시스템 구조에서 낭비되는 영역에 데이터를 숨길 수 있습니다. 슬랙 공간(Slack Space), NTFS MFT(Master File Table), 배드 블록(Bad Block) 등이 사용될 수 있습니다.
데이터 암호화 기술로도 데이터를 은닉할 수 있습니다. 파일이나 디렉터리를 암호화하여 아무나 접근할 수 없도록 하는데, 운영체제 자체에서 지원하는 암호화 기능을 이용하거나 별도의 암호화 전용 도구를 사용하여 암호화 한 뒤 수사관이 데이터를 분석하는데 어려움을 주게 됩니다. 코드 난독화(Code Obfuscation), 실행압축(Packing), 래핑(Wrapping) 등을 이용하여 디지털 포렌식 분석 시간을 증가시키는 데이터 변조 기술도 존재합니다.
안티 포렌식의 대응인 안티 안티 포렌식은 무엇인가
안티 포렌식 기법에 대응하기 위한 안티 안티 포렌식(Anti-Anti-Fprensics) 기법에 대한 연구도 최근에 활발하게 진행되고 있습니다. 대표적인 안티 안티 포렌식 기법으로는 데이터 복구, 패스워드 크랙, 은닉 데이터 탐지, 휘발성 메모리 분석, 스테가노그래피 탐지 등이 있습니다.