Mobile Forensic

Introduction to Mobile Forensics

liqu3ur 2025. 3. 4. 22:12
반응형

Mobile forensics

모바일 포렌식은 디지털 포렌식의 한 분야로, 모바일 기기에서 디지털 증거를 복구하는 작업을 다룬다. 디지털 포렌식 세계에서는 특정 포렌식 기술이나 방법론이 적합하고 정당하다는 것을 의미하는 법적 무결성이 매우 중요하다. 디지털 증거에 대한 무결성 있는 포렌식 수사의 주요 원칙은 원본 증거를 절대 수정하지 않는 것이다. 하지만 모바일 기기에서는 이 원칙을 지키기가 상당히 어렵다. 일부 포렌식 도구는 모바일 기기와의 통신이 필요하므로, 표준 쓰기 방지가 포렌식 데이터 획득 중에 작동하지 않을 수도 있다. 모바일 기기의 설정을 변경하지 않고 데이터를 획득할 수 없다면, 해당 절차와 변경 사항을 반드시 테스트, 검증, 문서화해야 한다. 적절한 방법론과 지침을 따르는 것이 가장 가치있는 데이터를 확보하기 위해 필수적이다. 

모바일 포렌식 과정은 세 가지 주요 단계로 구성된다.

  • Seizure (압수)
  • Acquisition (획득)
  • Examination/Analysis (검사 및 분석)

모바일 기기를 압수하는 과정에서 모바일 기기가 꺼진 상태로 발견되면, 기기가 자동으로 켜질 경우 데이터를 변경하는 것을 방지하기 위해 Faraday bag에 기기를 넣어야 한다. Faraday bag은 네트워크로부터 기기를 완전히 차단하는 특수 제작된 가방이다.

기기가 켜진 상태로 발견되면 전원을 끄는 것에 대한 여러 우려가 존재한다. 기기가 PIN, 비밀번호, 암호화로 잠겨 있으면 수사관은 잠금을 우회하거나, PIN을 찾아야 한다. 모바일 기기는 네트워크에 연결된 장치로, 통신 시스템, Wi-Fi, Bluetooth 등을 통해 데이터를 주고받을 수 있다. 기기가 켜진 상태에서는 범죄자가 원격 삭제 명령을 실행해 데이터를 안전하게 지울 수도 있다. 따라서 기기가 켜진 상태일 경우에도 빠르게 Faraday bag에 넣어야 한다. 가능하면 Faraday bag에 넣기 전, 비행기 모드를 활성화하고, Wi-Fi, GPS, 핫스팟 등 모든 네트워크 연결을 비활성화해 데이터를 보호하고, 배터리 소모를 방지하는 것이 좋다.

올바르게 모바일 기기를 압수했다면, 데이터를 획득하고 분석하기 위해 다양한 포렌식 도구가 필요할 수 있다.

 

어려운 모바일 장치의 디지털 증거 확보

  • 하드웨어의 다양성
    - 시장에는 다양한 제조업체에서 출시한 수많은 모바일 기기 모델이 존재한다. 각 모델은 크기, 하드웨어, 기능, 운영체제가 다르므로, 포렌식 수사관은 각기 다른 특징에 난황을 겪는다. 게다가 제품 개발 주기가 짧아 새로운 모델이 자주 출시되므로, 모바일 기기 포렌식 기술에 대한 최신 정보를 지속적으로 습득하고, 변화에 적응하는 것이 매우 중요하다.
  • 모바일 운영체제
    - 개인용 컴퓨터에서는 Windows가 오랜 기간 시장을 지배해 왔지만, 모바일 기기에서는 다양한 운영체제가 사용되고 있다. 예로 Apple의 iOS, Google의 Android, RIM의 BlackBerry OS, Microsoft의 Windows Phone OS, HP의 webOS 등이 있다. 심지어 동일한 운영체제 내에서도 여러 버전이 존재하기 때문에 더욱 복잡하다.
  • 모바일 플랫폼의 보안 기능
    - 현대 모바일 기기에는 사용자 데이터와 개인정보를 보호하기 위한 보안 기능이 기본적으로 내장되어 있다. 이러한 보안 기능은 포렌식 데이터 획득 및 분석 과정에서 큰 장애물이 된다. 최신 모바일 기기들은 하드웨어부터 소프트웨어까지 암호화 메커니즘을 기본적으로 탑재하고 있다. 포렌식 수사관은 데이터를 추출하기 위해 이러한 암호화 장치를 해제해야 할 수도 있다. 
  • 데이터 변경 방지
    - 포렌식의 기본 원칙 중 하나는 기기에 있는 데이터를 수정하지 않는 것이다. 즉, 데이터를 추출하는 모든 시도가 기기의 데이터를 변경하지 않아야 하는 것이다. 하지만 모바일 기기 특성 상 이 원칙을 지키기 어렵다. 기기의 전원을 켜는 것만으로도 데이터가 변경될 수 있다. 심지어 기기가 꺼진 상태처럼 보여도 백그라운드 프로세스가 실행되고 있을 수 있다. 예로 대부분의 모바일 기기에서는 전원이 꺼진 상태에서도 알람 기능이 작동한다. 기기가 갑자기 한 상태에서 다른 상태로 전환되면 데이터가 손실되거나 변경될 위험이 있다.
  • 안티포렌식 기법
    - 데이터 숨기기, 데이터 난독화, 데이터 위조, 안전한 데이터 삭제와 같은 안티포렌식 기술은 디지털 미디어 수사를 어렵게 만든다.
  • 비밀번호 복구
    - 기기가 비밀번호로 보호되어 있을 경우, 포렌식 수사관은 기기의 데이터를 손상시키지 않으면서 접근해야 한다. 화면 잠금을 우회하는 기술이 존재하지만, 모든 기기나 운영체제 버전에서 작동하는 것은 아니다.
  • 자원 부족
    - 앞서 말했듯이 모바일 기기의 수가 증가함에 따라 포렌식 수사관에게 필요한 도구도 다양해지고 있다. 포렌식 데이터 획득을 위해서는 각종 USB 케이블, 배터리, 충전기 등의 액세서리를 유지 및 관리해야 한다.
  • 증거의 동적 특성
    - 디지털 증거는 의도적이든 비의도적이든 쉽게 변경될 수 있다. 예로 모바일 기기에서 애플리케이션을 실행하는 것만으로도 해당 애플리케이션이 저장한 데이터가 변경될 수 있다.
  • 실수로 인한 초기화
    - 모바일 기기에는 모든 데이터를 초기화하는 기능이 있다. 포렌식 과정 중 기기를 실수로 초기화하게 되면 중요한 데이터를 완전히 잃을 수 있다.
  • 기기 변경
    - 기기 변경은 애플리케이션 데이터 이동, 파일 이름 변경, 제조사의 운영체제 수정 등 다양한 방식으로 이루어질 수 있다. 이 과정에서 용의자의 기술 수준도 고려해야 한다.
  • 통신 차단
    - 모바일 기기는 셀룰러 네트워크, Wi-Fi, Bluetooth, 적외선 등을 통해 데이터를 송수신한다. 기기의 통신 상태가 데이터에 영향을 미칠 수 있기 때문에, 기기를 압수한 후 추가 통신 가능성을 완전히 제거해야 한다.
  • 도구의 부족
    - 모바일 기기의 종류가 매우 다양하기 때문에, 하나의 도구가 모든 기기를 지원하거나 필요한 모든 기능을 수행하지 못한다. 따라서 여러 도구를 결합해 사용하는 것이 필수적이며, 특정 기기에 적합한 도구를 선택하는 것도 어렵다.
  • 악성 프로그램
    - 기기에 바이러스나 트로이목마와 같은 악성 소프트웨어가 존재할 수도 있다. 이러한 악성 프로그램은 유선 또는 무선 인터페이스를 통해 다른 기기로 전파될 수 있다.
  • 법적 문제
    - 모바일 기기가 연루된 범죄는 종종 여러 국가의 경계를 넘을 수 있다. 이러한 다중 관할권 문제를 해결하기 위해, 포렌식 수사관은 범죄의 성격과 해당 지역의 법률에 대해 충분히 숙지해야 한다.

 

The mobile phone evidence extraction process

각 모바일 기기의 증거 추출 및 포렌식 수사는 기기마다 다를 수 있다. 하지만 일관된 검증 절차를 따르는 것은 포렌식 수사관이 각 기기에서 추출한 증거를 체계적으로 문서화하고, 결과의 재현성과 신뢰성을 확보하는 데 큰 도움이 된다.

현재까지 모바일 포렌식에 대한 확립된 표준 절차는 없지만, 아래 과정은 모바일 기기에서 증거를 추출할 때 고려해야 할 절차를 보여준다. 모바일 기기에서 데이터를 추출할 때 사용하는 모든 방법은 반드시 테스트되고, 검증되며, 철저하게 문서화되어야 한다.

모바일 기기 증거 추출 프로세스

위 이미지에서 볼 수 있듯이 모바일 기기의 포렌식에서는 증거 수집 단계부터 보관 단계까지 여러 단계가 존재한다.

 

The evidence intake phase

증거 수집 단계는 포렌식 절차의 시작 단계로, 요청서와 서류 작업을 통해 기기 소유 정보와 해당 모바일 기기가 관련된 사건의 유형을 문서화하는 과정이다. 또한, 의뢰자가 찾고자 하는 데이터나 정보의 종류를 명확히 규정한다. 이 단계에서 가장 중요한 부분은 각 수사의 구체적인 목표를 설정하는 것이다. 이를 통해 수사관의 목적을 명확히 하고, 수사를 체계적으로 진행할 수 있다.

기기를 압수하는 과정에서 기기에 저장된 데이터를 절대 수정하지 않도록 주의해야 한다. 동시에, 수사에 도움이 될 수 있는 기회를 놓치지 않도록 해야 한다. 예로 기기를 압수할 때 기기가 잠금 해제된 사태였다면, 가능한 한 비밀번호 설정을 비활성화하는 것이 바람직하다.

 

The identification phase

포렌식 수사관은 모바일 기기를 검사할 때 아래와 같은 세부 사항을 식별해야 한다.

  1. 법적 권한
    - 포렌식 수사관은 기기의 획득 및 검사를 위한 법적 권한이 무엇인지, 그리고 기기 검사 전에 매체에 부여된 제한 사항을 파악하고 문서화하는 것이 중요하다. 예로 모바일 기기가 영장에 따라 검색되고 있다면, 수사관은 영장의 제한 사항을 준수하여 검색 범위를 제한해야 한다.
  2. 검사의 목표
    - 수사관은 요청된 데이터를 바탕으로 검사가 얼마나 깊이 이루어져야 하는지를 파악한다. 검사의 목표는 기기를 검사하는 데 사용할 도구와 기법을 선택하는 데 중요한 차이를 만들며, 검사 과정의 효율성을 높이는 데 기여한다.
  3. 기기의 제조사, 모델 및 식별 정보
    - 검사의 일환으로, 기기의 제조사와 모델을 식별하는 것은 해당 기기에서 사용할 수 있는 도구를 결정하는 데 도움이 된다. 모든 기기에서 제조사, 모델 번호, 통신사, 현재 기기와 연결된 전화번호를 식별하고 문서화해야 한다.
  4. 제거 가능한 외부 데이터 저장소
    - 많은 모바일 기기에는 Trans Flash Micro SD 메모리 확장 카드와 같은 제거 가능한 저장장치를 통해 메모리를 확장할 수 있는 옵션이 제공된다. 이러한 카드가 검사를 위해 제출된 모바일 기기에서 발견된 경우, 해당 카드는 제거하여 전통적인 디지털 포렌식 기법을 사용해 처리해야 한다. 또한, 카드가 모바일 기기에 있는 상태에서 데이터를 확보하는 것이 좋으며, 이를 통해 핸드셋 메모리와 카드에 저장된 데이터가 연결되어 보다 용이한 분석을 할 수 있다.
  5. 잠재적인 다른 증거 출처
    -모바일 기기는 지문 및 기타 생물학적 증거의 좋은 출처가 된다. 이러한 증거는 모바일 기기를 검사하기 전에 수집해야 하며, 기기에 손상을 주지 않는 한 오염 문제를 피하기 위해 수집하는 것이 중요하다. 수사관은 증거를 처리할 때 장갑을 착용해야 한다.

The preparation phase

모바일 기기의 모델이 확인되면 준비 단계에서는 해당 모바일 기기에 대한 연구와 데이터를 획득하고 검사하는 데 사용할 적절한 방법과 도구에 대한 조사가 이루어진다. 이는 일반적으로 장치 모델, 해당 운영체제, 버전 등을 바탕으로 진행된다. 또한, 모바일 장치를 검사할 도구의 선택은 검사 목표, 사용 가능한 자원, 검사할 셀룰러 기기의 유형, 외부 저장 기능의 유무 등 여러 요인에 따라 결정된다.

 

The isolation phase

모바일 기기는 설계상 셀룰러 네트워크, 불루투스, 적외선 및 Wi-Fi 기능을 통해 통신할 수 있도록 되어 있다. 기기가 네트워크에 연결되면, 수신 통화, 메시지 및 애플리케이션 데이터가 기기에 추가되어 증거를 수정한다. 원격 액세스나 원격 삭제 명령을 통해 데이터가 완전히 삭제될 수도 있다. 이러한 이유로, 장치의 획득 및 검사를 진행하기 전에 장치를 통신 소스로부터 격리하는 것이 중요하다. 네트워크 격리는 기기를 전파 차단 천에 넣고 비행기 모드 또는 항공기 모드로 설정하여 격리할 수 있다. 비행기 모드는 셀룰러 라디오, Wi-Fi 및 블루투스와 같은 장치의 통신 채널을 비활성화한다. 그러나 장치가 화면 잠금되어 있는 경우, 이는 불가능하다. 또한 Wi-Fi가 이제 비행기에서 사용 가능하므로 일부 장치는 비행기 모드에서도 Wi-Fi 액세스를 허용할 수 있다. 대체 솔루션으로 기기를 전파 신호를 차단하는 Faraday bag에 넣어 격리하는 방법이 있다. Faraday bag은 외부 정적 전기장(무선파 포함)을 차단하는 재료를 포함하고 있기 때문에 압수된 모바일 장치가 외부 간섭을 받지 않도록 차단하여 데이터 삭제 및 추적을 방지한다. 압수된 장치를 보다 편리하게 다루기 위해서 Faraday tent와 Faraday room도 존재한다.

 

The processing phase

기기가 통신 네트워크에서 격리되면, 실제 모바일 기기의 처리가 시작된다. 기기는 반복 가능하고 가능한 한 포렌식적으로 안전한 검증된 방법을 사용하여 획득해야 한다. 물리적 획득이 선호되는 방법이며, 이는 raw 메모리 데이터를 추출하고 장치가 일반적으로 획득 과정 중에 전원이 꺼지기 때문이다. 대부분의 장치에서는 물리적 획득 중에 장치에 발생하는 변화가 가장 적다. 물리적 획득이 불가능하거나 실패하는 경우, 모바일 장치의 파일 시스템을 획득하려는 시도를 해야 한다. 논리적 획득도 반드시 수행해야 하며, 이는 데이터가 분석된 형태로만 포함되어 있을 수 있으며, raw 메모리 이미지를 분석하는 데 필요한 포인터를 제공할 수 있다.

 

The verification phase

기기를 처리한 후, 수사관은 기기에서 추출된 데이터의 정확성을 검증하여 데이터가 수정되지 않았음을 확인해야 한다. 추출된 데이터의 검증은 여러 가지 방법으로 수행할 수 있다.

  1. 추출된 데이터를 핸드셋 데이터와 비교
    - 추출된 데이터가 장치에서 표시된 데이터와 일치하는지 확인한다. 추출된 데이터는 장치 자체나 논리적 보고서와 비교할 수 있으며, 이는 선호하는 방식에 따라 달라질 수 있다. 단, 원본 장치를 다루는 과정에서 증거인 장치 자체에 변화가 생길 수 있다는 점을 기억해야 한다.
  2. 여러 도구를 사용하고 결과 비교하기
    - 정확성을 보장하기 위해 여러 도구를 사용하여 데이터를 추출하고 결과를 비교한다.
  3. 해시 값 사용하기
    - 모든 이미지 파일은 수집 후 해시를 생성하여 데이터가 변경되지 않았음을 확인해야 한다. 파일 시스템 추출이 지원되는 경우, 수사관은 파일 시스템을 추출한 후 추출된 파일의 해시를 계산한다. 이후, 개별적으로 추출된 파일의 해시 값을 계산하고 원본 값과 비교하여 무결성을 검증한다. 해시 값에 불일치가 있을 경우, 그 차이는 설명 가능해야 한다(장치가 켜져 있다가 다시 수집되면 해시값이 다를 수 있음).

The documenting and reporting phase

포렌식 수사는 수집 및 조사 과정에서 수행한 작업에 대한 동시 기록 형태의 문서를 작성해야 한다. 수사가 완료되면, 결과는 데이터가 확인되고 조사가 완료되었는지 확인하기 위해 동료 검토를 거쳐야 한다. 수사관의 노트와 문서화된 내용에는 아래와 같은 정보가 포함될 수 있다.

  • 조사 시작 날짜와 시간
  • 기기의 물리적 상태
  • 기기 및 개별 부품의 사진
  • 수령 당시 기기의 상태(켜짐/꺼짐)
  • 기기 제조사 및 모델
  • 수집에 사용된 도구
  • 수사에 사용된 도구
  • 수사 중 발견된 데이터
  • 동료 검토에서 나온 노트

The presentation phase

수사 과정 동안, 모바일 장치에서 추출하고 문서화한 정보가 다른 수사관이나 법정에 명확하게 제시될 수 있도록 하는 것이 중요하다. 수집 및 분석 중 모바일 장치에서 추출된 데이터에 대한 포렌식 보고서를 작성하는 것이 중요하다. 이 보고서는 종이와 전자 형식 모두 포함할 수 있다. 결과는 법정에서 증거가 스스로를 증명할 수 있도록 명확하고 간결하며 반복 가능한 방식으로 문서화하고 제시해야 한다. 결과는 명확하고 간결하며 반복 가능해야 한다.

타임라인 및 링크 분석은 많은 상용 모바일 포렌식 도구에서 제공하는 기능으로, 여러 모바일 장치에서의 결과를 보고하고 설명하는데 유용하다. 이러한 도구는 수사관이 여러 장치 간의 통신 방법을 연결하는 데 도움을 준다.

 

The archiving phase

모바일 기기에서 추출한 데이터를 보존하는 것은 전체 과정에서 중요한 부분이다. 또한, 데이터가 향후 법정 절차에서 사용되거나 현재 증거 파일이 손상될 경우를 대비하여 사용 가능한 형식으로 보관되는 것이 중요하다. 또한 기록 보관 요구 사항을 충족하기 위해서도 데이터를 보관해야 한다. 법정 사건은 최종 판결에 도달할 때까지 수년이 걸릴 수 있으며, 대부분의 관할 구역에서는 항소를 위해 데이터를 오랜 기간 보관해야 한다. 또한, 분야와 방법이 발전함에 따라 raw physical image에서 데이터를 추출하는 새로운 방법이 나타날 수 있으며, 이 경우 수사관은 보관된 데이터에서 복사본을 추출하여 데이터를 다시 확인할 수 있다.

 

Practical mobile forensic approaches

모든 포렌식 수사와 마찬가지로, 모바일 기기에서 데이터를 취득하고 분석하는 데 사용될 수 있는 여러 접근법이 있다. 모바일 기기의 종류, 운영체제, 보안 설정 등이 일반적으로 포렌식 절차에서 따를 절차를 결정한다. 각 수사는 고유한 상황을 가지고 있기 때문에 모든 경우에 대해 단일한 확정적인 절차적 접근법을 설계하는 것은 불가능하다.

 

Overview of mobile operating systems

모바일 기기의 데이터 취득 및 분석/수사에서 중요한 요소 중 하나는 운영체제이다. 저가형 모바일 기기에서 스마트폰에 이르기까지, 모바일 운영체제는 많은 기능을 갖추고 발전해왔다. 모바일 운영체제는 포렌식 수사관이 모바일 장치에 어떻게 접근할 수 있는지에 직접적인 영향을 미친다. 예로 Android OS는 터미널 수준의 접근을 허용하지만, iOS는 그런 옵션을 제공하지 않는다. 모바일 플랫폼에 대한 종합적인 이해는 포렌식 수사관이 신뢰할 수 있는 포렌식적 결정을 내리고 수사를 마무리하는 데 도움이 된다. 현재 스마트폰 시장에서 BlackBerry의 퇴출로 두 개의 주요 운영체제인 Google의 Android와 Apple의 iOS가 시장을 지배하고 있으며, Windows Phone은 그 뒤를 따르고 있다.

더 많은 정보를 아래에서 확인할 수 있다.

IDC - Smartphone Market Insights - Home

 

Android

안드로이드는 리눅스 기반의 운영체제이며, 구글의 오픈소스 모바일 플랫폼이다. 안드로이드는 세계에서 가장 널리 사용되는 스마트폰 운영체제이다. 자료에 따르면, 애플의 iOS가 두 번째를 차지하고 있다. 안드로이드는 구글이 하드웨어 제조업체와 통신사를 위해 오픈소스이자 무료 옵션으로 개발한 운영체제이다. 이는 새로운 운영체제를 처음부터 개발하지 않고도 스마트 장치에 맞춤형, 경량화된 저비용 운영체제를 요구하는 기업들에게 적합한 선택이 된다. 안드로이드의 개방적인 특성은 개발자들이 많은 애플리케이션을 개발하고 구글 플레이에 업로드하도록 장려했으며, 최종 사용자는 안드로이드 마켓에서 해당 애플리케이션을 다운로드할 수 있다. 안드로이드의 강력한 특성을 만들고 있는 요소이다.

 

iOS

iOS는 이전에 아이폰 운영체제라고 알려졌던 모바일 운영체제로, Apple Inc.에서 개발하고 독점적으로 배포한다. iOS는 아이패드, 아이팟 터치, 아이폰과 같은 모든 애플 모바일 장치를 위한 범용 운영체제로 발전하고 있다. iOS는 OS X에서 파생되었으며, OS X와 다윈 기반을 공유하기 때문에 Unix 유사 운영체제다. iOS는 장치 하드웨어를 관리하고 네이티브 애플리케이션을 구현하는 데 필요한 기술들을 제공한다. 또한, iOS는 Mail과 Safari와 같은 다양한 시스템 애플리케이션을 가본으로 제공하며, 사용자에게 표준 시스템 서비스를 제공한다. iOS 네이티브 애플리케이션은 애플에서 엄격하게 모니터링하는 AppStore를 통해 배포된다. 

 

Windows Phone

Windows Phone은 마이크로소프트가 스마트폰과 포켓 PC를 위해 개발한 독점 모바일 운영체제이다. Windows Mobile의 후속작으로, 주로 기업 시장보다는 일반 소비자 시장을 대상으로 한다. Windows Phone OS는 Windows 데스크톱 OS와 유사하지만, 저장 용량이 제한된 장치에 최적화되어 있다.

 

Mobile forensic tool leveling system

모바일 포렌식에서의 데이터 획득과 분석은 수작업과 자동화 도구의 활용을 필요로 한다. 다양한 모바일 포렌식 도구들이 존재하며, 각각의 장단점이 있다. 모든 목적을 완벽하게 충족하는 단일 도구는 없으므로, 여러 종류의 모바일 포렌식 도구를 이해하는 것이 포렌식 수사관에게 중요하다.

모바일 기기의 포렌식 데이터 획득과 분석에 적합한 도구를 식별할 때, 아래 이미지와 같은 Sam Brothers가 개발한 모바일 기기 포렌식 도구 분류 체계가 수사관에게 유용하다.

모바일 기기 포렌식 도구 분류 체계

위 모바일 기기 포렌식 도구 분류 체계의 목표는 수사관이 도구의 검사 방법론에 따라 포렌식 도구를 분류할 수 있도록 하는 것이다.

하단에서 상단으로 갈수록 도구와 방법은 점점 더 기술적이고 복잡해지며, 법적으로 신뢰할 수 있는 수준도 높아지고, 분석 시간도 길어지는 경향이 있다. 각 레이어에서 분석을 수행하는 데는 장단점이 있고, 이를 추분히 인지한 상태에서 필요한 수준의 추출만 수행해야 한다. 부적절한 도구 사용이나 잘못된 방법론 적용은 증거 데이터의 완전한 손실을 초래할 위험이 있으며, 위로 올라갈수록 그 위험은 커진다. 따라서 높은 수준의 데이터 추출 성공률을 위해서는 적절한 교육과 숙련도가 필수이다. 기존 모바일 포렌식 도구는 이 다섯 가지 레벨 중 하나 또는 여러 레벨에 속할 수 있다. 

 

Manual extraction

수동 추출 방법은 기기의 키패드나 터치스크린을 사용하여 장치의 데이터를 직접 확인하는 방식이다. 발견된 정보는 사진으로 문서화하는 방법을 사용한다. 이 추출 과정은 빠르고 사용이 간편하며, 거의 모든 기기에서 작동한다. 하지만 이 방법은 사람의 실수에 취약하며, 인터페이스에 대한 이해 부족으로 인해 일부 데이터를 높칠 가능성이 있다. 또한 삭제된 데이터를 복구하거나 모든 데이터를 완전히 추출하는 것이 불가능하다. 수동 추출을 효율적으로 문서화할 수 있도록 돕는 도구로 Project-A-Phone 같은 것이 있다. 그러나 수동 추출 과정에서 데이터가 변경될 위험성도 존재한다. 예로 읽지 않은 문자 메시지를 확인하는 것만으로도 해당 메시지가 읽음 상태로 변경될 수 있다. 

 

Logical extraction

논리적 추출은 USB 케이블, RJ-45 케이블, 적외선, Bluetooth 등을 통해 모바일 기기를 포렌식 하드웨어나 포렌식 워크스테이션에 연결하는 방식이다. 연결이 완료되면 컴퓨터가 명령을 보내고 기기 프로세서가 이를 해석한 뒤, 요청된 데이터를 기기 메모리에서 받아와 포렌식 워크스테이션으로 전송한다. 이후 수사관이 데이터를 검토하는 절차를 거친다.

현재 대부분의 포렌식 도구들이 이 논리적 추출 방식을 사용한다. 이 방식은 빠르고 사용이 간편하며, 수사관이 많은 교육을 받지 않아도 쉽게 사용할 수 있는 장점이 있다. 하지만 이 과정에서 모바일 기기에 데이터가 쓰여질 가능성이 있어, 증거의 무결성이 훼손될 위험이 존재한다. 또한 일반적으로 삭제된 데이터를 복구하거나 접근하는 것이 어렵다.

 

Hex dump

헥스 덤프는 물리적 추출 방식으로도 불리며, 기기를 포렌식 워크스테이션에 연결하고 서명되지 않은 코드나 부트로더를 기기에 주입한 후 기기의 메모리를 컴퓨터로 덤프하는 과정이다. 이 과정에서 생성되는 데이터는 바이너리 형식의 raw image이므로, 해석 및 분석을 위해 고도의 기술적 전문성이 필요하다. 장점은 비용이 저렴하고, 보다 많은 데이터를 추출 가능하며, 기기의 비할당 공간에 남아 있는 삭제된 파일을 복구할 수 있다. 이 방식은 삭제된 데이터를 복원하고 기기의 메모리를 완전하게 분석해야 할 때 매우 유용한 방법이다.

 

Chip-off

Chip-off는 기기의 메모리 칩을 물리적으로 분리하고, 칩 리더기 또는 다른 기기를 사용해 데이터를 직접 추출하는 방식이다. 다양한 종류의 메모리 칩이 사용되므로 전문적인 기술이 필요해 기술적 난이도가 높고, 메모리 칩의 납땜 제거 및 가열 과정이 필요해 비용이 많이 든다. 잘못된 절차를 따르면 메모리 칩이 손상되어 데이터 복구가 불가능하기 때문에 하드웨어 지식이 필수적이다. 파괴적인 방법이기에 마지막 수단으로 사용하는 것이 바람직하며, 추출된 데이터는 raw 형식이므로 parsing, decoding, interpretation 과정이 필요하다. 예로 기기의 메모리 상태를 정확히 보존해야 하는 상황이나 기기는 손상되었지만 메모리 칩이 온전한 경우(유일한 방법으로) 활용할 수 있다.

장치의 칩은 종종 JTAG(Joint Test Action Group) 방식을 사용하여 읽는다. 이 방식은 기기의 TAP(Test Access Ports)에 연결하고 프로세서에 메모리 칩에 저장된 raw 데이터를 전송하도록 한다. 또한 기기가 작동하지만 표준 도구로 접근이 불가능한 경우에 유용하며, 특히 기기의 화면이 잠겨 있는 경우에도 작동 가능하다.

 

Micro read

마이크로 리드 과정은 메모리 칩에서 본 데이터를 수동으로 보고 해석하는 방식이다. 수사관은 전자 현미경을 사용하여 칩의 물리적 게이트를 분석한 후, 그 게이트 상태를 0과 1로 변환하여 결과적인 ASCII 문자를 도출한다. 이 과정은 시간이 많이 소요되고 비용이 많이 든다. 또한 메모리와 파일 시스템에 대한 깊은 지식과 훈련이 필요하다. 이 과정은 극단적인 기술적 어려움이 따르므로 모든 다른 방법이 소진된 후, 국가 안보와 같은 중요한 사례에서만 시도되며, 드물게 수행되고, 잘 문서화되지 않았다. 현재 마이크로 리드를 수행할 수 있는 상용 도구는 존재하지 않는다.

 

Data acquisition methods

데이터 수집은 디지털 장치와 그 주변 장치 및 미디어에서 정보를 이미징하거나 추출하는 과정이다. 모바일 기기에서 데이터를 수집하는 것은 표준 하드 드라이브의 포렌식 수집만큼 간단하지 않다. 아래 모바일 기기 포렌식 수집 방법 세 가지를 나눠 설명하겠다. 어떤 수집 방법을 사용하는지에 따라 수집할 수 있는 데이터의 양과 유형이 달라질 수 있다. 

 

Physical acquisition

모바일 장치의 물리적 수집은 물리적 저장 장치의 비트 단위 복사에 불과하다. 물리적 추출은 장치의 플래시 메모리에 직접 접근하여 정보를 수집한다. 플래시 메모리는 비휘발성 메모리로, 주로 메모리 카드와 USB 플래시 드라이브에서 고체 상태 저장 장치로 사용된다. 이 과정은 컴퓨터 포렌식 수사에서 사용하는 접근 방식과 유사하게 전체 파일 시스템의 비트 단위 복사본을 생성한다. 물리적 수집은 장치에 있는 모든 데이터를 수집할 수 있으며, 삭제된 데이터와 대부분의 장치에서 할당되지 않은 공간에 대한 접근도 포함된다.

 

Logical acquisition

논리적 수집은 파일 시스템에 존재하는 파일과 디렉토리와 같은 논리적 저장 객체를 추출하는 과정이다. 모바일 기기의 논리적 수집은 장치 제조업체의 애플리케이션 프로그래밍 인터페이스를(API)를 사용하여 기기의 내용을 컴퓨터와 동기화하는 방식으로 수행된다. 많은 포렌식 도구들이 논리적 수집을 수행한다. 논리적 수집을 통해 추출된 데이터를 정리하고 제시하는 것이 훨씬 더 쉬운 작업이다. 그러나 포렌식 수사관은 수집이 어떻게 이루어지는지, 과정 중에 모바일 기기가 수정되는지 여부를 이해해야 한다. 사용된 기기와 포렌식 도구에 따라 일부 또는 전체 데이터가 수집된다. 논리적 수집은 수행이 간단하며, 모바일 기기에 있는 파일만 복구할 수 있고, 할당되지 않은 공간에 있는 데이터는 복구하지 못한다.

 

Manual acquisition

수동 수집은 앞서 언급한 두 가지 수집이 어려울 경우 마지막 수단으로 사용하는 것이 정신 건강에 좋다. 논리적 수집과 수동 수집은 물리적 데이터에서 발견된 결과를 검증하는 데 사용할 수 있다. 수동 수집 중에는 수사관이 사용자 인터페이스를 사용하여 기기의 메모리 내용을 수사한다. 키패드나 터치스크린, 메뉴 탐색을 통해 기기를 정상적으로 사용하며, 각 화면에 표시되는 내용을 사진으로 기록한다. 이 방법은 인간의 실수로 인한 위험성이 높고, 증거가 삭제될 가능성도 있다. 수동 수집은 수행이 쉽지만, 모바일 기기 화면에 보이는 데이터만 획득할 수 있다는 한계가 있다.

 

Potential evidence stored on mobile phones

모바일 기기 데이터 추출 도구는 기기 메모리에서 데이터를 복구하며, 증거 수집 중에 복구되는 데이터는 모바일 기기 모델에 따라 달라질 수 있지만, 일반적으로 아래와 같은 데이터가 모든 모델에서 공통적으로 발견되며 증거로 유용하다. 대부분의 데이터는 날짜와 타임스탬프가 포함되어 있다. 

  • 주소록 : 연락처 이름, 전화번호, 이메일 주소 등
  • 통화 기록 : 발신, 수신, 부재중 및 통화 시간
  • SMS : 보낸 문자 메시지와 받은 문자 메시지
  • MMS : 보낸 사진 및 비디오, 받은 사진 및 비디오
  • 이메일 : 보낸 이메일, 임시 저장된 이메일, 받은 이메일
  • 웹 브라우저 기록 : 방문한 웹사이트의 기록
  • 사진 : 모바일 기기의 카메라로 촬영한 사진, 인터넷에서 다운로드한 사진, 다른 기기에서 전송된 사진
  • 비디오 : 모바일 기기의 카메라로 촬영한 비디오, 인터넷에서 다운로드한 비디오, 다른 기기에서 전송된 비디오
  • 음악 : 인터넷에서 다운로드한 음악 파일 및 다른 기기에서 전송된 음악 파일
  • 문서 : 디바이스의 애플리케이션으로 생성한 문서, 인터넷에서 다운로드한 문서, 다른 기기에서 전송된 문서
  • 캘린더 : 일정 항목 및 약속
  • 네트워크 통신 : GPS 위치 정보
  • 지도 : 사용자가 방문한 장소, 길찾기 기록, 검색 및 다운로드한 지도
  • 소셜 네트워킹 데이터 : Facebook, Twitter, LinkedIn, Google+, WhatsApp 등의 애플리케이션에 저장된 데이터
  • 삭제된 데이터 : 모바일 기기에서 삭제된 정보

Examination and analysis

 이 단계는 디바이스에 존재하는 데이터를 발견하고 수사하는 최종 단계이다. 검증된 과학적 방법을 사용해 확실한 결과를 도출하며, 분석 단게에서는 사건과 관련된 데이터를 선별하고 그 중 가치 있는 정보를 깊이 있게 수사한다. 수사는 위에서 설명한 기법을 통해 수집한 증거의 복사본으로 시작되며, 일반적으로 타사 포렌식 도구를 사용해 기기 메모리 덤프를 가져와 자동으로 데이터를 추출하고 분석한다. 사건의 본질을 충분히 이해하는 것도 중요하다. 예로 아동 음란물 사건의 경우 기기의 이미지 파일에 집중하는 것이 중요할 것이다. 

수사관은 사용 중인 포렌식 도구의 작동 방식을 잘 이해하고 있어야 한다. 도구의 기능을 숙지하고 효율적으로 사용할 수 있다면 수사 속도가 크게 향상된다. 하지만 소프트웨어의 결함으로 인해 도구가 데이터를 정확하게 해석하지 못하는 경우도 있으므로, 수사관은 이러한 상황을 인지하고 다른  도구나 방법을 사용해 문제를 해결할 수 있어야 한다. 

범죄자가 의도적으로 기기의 데이터를 조작하거나 삭제, 은닉할 수 있으므로, 수사관은 도구의 한게를 이해하고 이를 보완할 방법을 찾아 최상의 결과를 도출해야 한다. 

미국 법무부에서 발행한  Forensic Examination of Digital Evidence - A Guide for Law Enforcement에 따라 디지털 증거를 효과적으로 분석하기 위한 주요 권장 방법은 아래와 같다.

  • 소유권 및 접근 기록 분석 (Ownership and Possession)
    - 누가 파일을 생성, 수정, 접근했는지 식별
    - 특정 시간과 날짜에 디바이스를 사용한 주체와의 연관성 확보
    - 비정상적인 위치에 저장된 파일 탐지
    - 비밀번호 복구를 통해 데이터 소유권 확인
    - 특정 사용자와 관련된 파일 내용 식별
  • 애플리케이션 및 파일 분석 (Application and File Analysis)
    - 파일 내용 수사 및 설치된 애플리케이션과의 연관성 분석
    - 파일 간의 관계 파악(예: 이메일 본문과 첨부 파일)
    - 알 수 없는 파일 형식의 중요성 판단
    - 시스템 설정 및 파일 메타데이터(예: 문서 작성자 정보) 수사
  • 시간대 분석 (Timeframe Analysis)
    - 시스템에서 발생한 이벤트의 시점 파악
    - 파일 시스템 내 로그와 타임스탬프 확인(마지막 수정 시간 등)
    - 통화 기록, 메시지 및 이메일의 날짜/시간과 내용을 분석해 사용자와의 연관성 확인
    - 서비스 제공업체의 청구 및 가입자 기록과 데이터 일치 여부 확인
  • 데이터 은닉 분석 (Data Hiding Analysis)
    - 파일 헤더와 확장자 불일치로 의도적 데이터 은폐 여부 탐지
    - 비밀번호로 보호되거나 암호화, 압축된 파일 접근
    - 이미지에서 스테가노그래피 기법으로 숨겨진 정보 확인 및 복구

 

 

Rules of evidence

법정에서는 모바일 기기에서 확보한 정보가 중요한 증거로 점점 더 많이 사용되고 있다. 법적 효력을 가지는 증거를 확보하기 위해서는 증거의 원칙을 정확히 이해하는 것이 필수적이다. 모바일 포렌식은 비교적 새로운 분야이기 때문에 각국의 증거 관련 법규가 다를 수 있지만, 디지털 포렌식에서는 일반적으로 아래 다섯 가지 원칙을 준수해야 한다. 이 원칙을 무시하면 증거로 인정되지 않을 수 있으며, 사건이 기각될 위험도 있다. 

  1. Admissible (수용 가능성)
    - 가장 기본적인 원칙으로, 증거의 유효성과 중요성을 판단하는 기준이다. 
    - 증거는 법정에서 사용될 수 있도록 적법한 절차에 따라 보존 및 수집되어야 한다.
    - 불법적인 방법으로 수집된 증거는 일반적으로 법정에서 수용되지 않는다.
  2. Authentic (진정성)
    - 증거는 사건과 명확한 연관성을 가지고 있어야 하며, 사건을 입증할 수 있어야 한다.
    - 포렌식 수사관은 증거의 출처와 수집 과정을 명확히 설명하고 책임질 수 있어야 한다.
  3. Complete (완전성)
    - 제시된 증거는 사건의 전체적인 맥락을 명확하게 보여줘야 한다.
    - 사건의 한 부분만을 보여주는 불완전한 증거는 오히려 잘못된 판단을 유도할 위험이 있다.
  4. Reliable (신뢰성)
    - 수집된 증거는 신뢰할 수 있어야 하며, 이는 사용된 도구와 방법론에 달려 있다.
    - 증거 수집 및 분석 절차가 재현 가능해야 하며, 비파괴적 방법이 선호된다.
    - Chip-Off와 같은 파괴적 방법이 사용될 경우, 해당 절차에 대한 명확한 지침이 필요하다.
  5. Believable (신빙성)
    - 포렌식 수사관은 사용한 절차와 증거 보존 방법을 명확하고 간결하게 설명할 수 있어야 한다.
    - 제시된 증거는 배심원 또는 판사가 쉽게 이해하고 신뢰할 수 있어야 한다.

 

Good forensic practice

포렌식 우수 사례는 증거의 수집 및 보존 과정에 적용된다. 이러한 우수 사례를 준수하면, 법정에서 증거가 진정성과 정확성을 인정받을 가능성이 높아진다. 의도적이든 우발적이든 증거가 변조되면 사건의 신뢰성에 중대한 영향을 미칠 수 있으므로, 포렌식 수사관이 이러한 최선의 절차를 이해하고 따르는 것이 매우 중요하다.

 

Securing the evidence

Find My iPhone과 같은 고급 스마트폰 기능과 원격 삭제 기능으로 인해, 모바일 기기가 원격으로 삭제되지 않도록 안전하게 확보하는 것이 매우 중요하다. 또한, 모바일 기기가 켜져 있고 서비스에 연결된 상태에서는 지속적으로 새로운 데이터를 수신하므로, 적절한 장비와 기술을 사용해 모든 네트워크로부터 기기를 격리시켜야 한다.

기기를 격리하면 새로운 데이터 수신으로 인해 활성 데이터가 삭제되는 상황을 방지할 수 있다. 사건에 따라서는 전통적인 포렌식 절차인 지문이나 DNA 검사도 필요할 수 있으며, 이를 통해 모바일 기기와 소유자 간의 연관성을 확립할 수 있다. 기기가 안전하게 취급되지 않으면 물리적 증거가 의도치 않게 훼손되어 무용지물이 될 수 있다.

또한, 현장에서 주변 기기, 관련 미디어, 케이블, 전원 어뎁터 및 기타 액세서리를 모두 수집하는 것도 중요하다. 만약 기기가 개인용 컴퓨터에 연결된 상태로 발견되었다면, 바로 연결을 해제하면 데이터 전송이 중단될 수 있다. 따라서 기기를 분리하기 전에 PC의 메모리를 먼저 확보하는 것이 권장되며, 이 과정에서 중요한 세부 정보를 얻을 수 있는 경우가 많다.

 

Preserving the evidence

증거를 수집할 때, 법정에서 인정될 수 있도록 상태를 보존해야 한다. 증거의 원본을 직접 다루면 증거가 변경될 수 있기 때문에, 원본 이미지를 복구하거나 파일을 복사한 후에는 read-only master copy(읽기 전용 마스터 복사본)을 만들고 이를 복제해야 한다. 증거가 법적으로 인정되려면, 제출된 증거가 원본과 정확히 일치한다는 것을 검증할 수 있는 방법이 있어야 한다. 이를 위해 해시 값을 생성할 수 있다. 해시는 이미지를 암호학적으로 강력하고 역으로 해석할 수 없는 값으로 계산하여, 증거의 무결성을 보장하는 데 사용된다.

원본 및 복사본에 대해 해시 값을 계산하고 검증하여 증거의 무결성이 유지되도록 확인해야 한다. 해시 값에 변경이 있을 경우, 이를 문서화하고 설명할 수 있어야 한다. 이후의 모든 처리나 수사는 증거의 복사본에서만 수행해야 하며, 기기를 사용할 경우 handset에 저장된 정보가 변경될 수 있으므로 꼭 필요한 작업만 수행해야 한다.  

 

Documenting the evidence and changes

가능한 경우, 모든 가시적 데이터를 기록으로 남기는 것이 좋다. 모바일 기기와 함께 발견된 다른 미디어(케이블, 주변 장치 등)를 촬영하는 것이 권장된다. 이는 이후 환경에 대해 질문이 제기될 경우 유용할 수 있다. 기기를 촬영할 때는 손이나 손가락을 기기에 직접 대지 않도록 해야 한다.

증거를 수집하고 추출하는 데 사용된 모든 방법과 도구를 문서화해야 한다. 다른 수사관이 이를 재현할 수 있도록 자세한 노트를 남겨야 한다. 재현할 수 없다면 판사가 이를 증거로 인정하지 않을 수 있다.

회수 과정 전체를 문서화하는 것이 중요하다. 예로 데이터 추출을 위해 사용된 포렌식 도구가 디스크 이미지를 잘라서 저장했다면, 이를 반드시 문서화해야 한다. 기기와 관련된 모든 변경 사항(전원 주기, 동기화 등)을 사건 노트에 기록해야 한다. 

 

Reporting

보고서는 수사의 일환으로 수행된 모든 단계와 도출된 결론에 대한자세한 요약을 준비하는 과정이다. 보고서에는 수사관이 수행한 중요한 작업, 수집 결과, 그리고 결과로부터 도출된 추론에 대한 세부 사항이 포함되어야 한다. 대부분의 포렌식 도구에는 자동 생성 기능이 내장되어 있으며, 동시에 맞춤 설정을 할 수 있는 범위도 제공한다. 일반적으로 보고서에는 아래와 같은 세부 사항이 포함될 수 있다.

  • 보고 기관의 세부 사항
  • 사건 식별자
  • 포렌식 수사관
  • 제출자의 신원
  • 증거 접수 일자
  • 수사 대상 기기의 세부 사항 (일련 번호, 제조사, 모델 등)
  • 수사에 사용된 장비 및 도구에 대한 세부 사항
  • 수사 중 수행된 단계에 대한 설명
  • 증거물 관리 기록(Chain of Custody)
  • 발견된 내용 또는 식별된 문제에 대한 세부 사항
  • 수사 중 복구된 증거 (채팅 메시지, 브라우저 기록, 통화 기록, 삭제된 메시지 등)
  • 수사 중 캡처된 이미지
  • 수사 및 분석 정보
  • 보고서 결론

 

 

반응형

'Mobile Forensic'의 다른글

  • 현재글Introduction to Mobile Forensics

티스토리툴바