I. 디지털 포렌식에 대한 안티 포렌식의 개요
가. 안티 포렌식(Anti-Forensic)의 정의
- 사이버 범죄와 더불어 디지털 포렌식에 대한 대응으로, 자신에게 불리한
증거물을 차단하기 위한 데이터 삭제, 은닉 및 변조 등의 기술 및 일련의 행위
나. 디지털 포렌식의 수사 절차
- 범죄현장 수사관 파견 à 증거자료 수집 à 증거자료 확보(On/Off-Line)
à 증거 분석 및 보고서 작성 à 증거자료 채택
다. 안티 포렌식의 목적
|
구분 |
설명 |
|
증거자료 수집방해 |
- 범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단, 우회, 삭제 |
|
시간확보 |
- 증거물 분석 기간을 증가시켜 대응시간 확보 |
|
분석 방해 |
- 디지털 포렌식 도구가 동작하지 못하도록 하거나 오류를 발생 - 법정 보고서나 증거로서 가치가 없도록 증거물 훼손 |
II. 안티 포렌식의 기술
가. 데이터 삭제 기술
|
기술 |
내용 |
도구 |
|
데이터 영구삭제 (Degaussing) |
- 디가우저(Degausser)를 이용하여 자기 장치를 강력한 자기장에 노출시킴으로 데이터를 영구 삭제하는 기술 |
AC Erasure : 강한 자성에 여러 번 노출시키는 방법 DC Erasure : 영구자석으로 자기적 매체를 초기화 |
|
디스크 및 파일 와이핑 (Wiping) |
복구가 불가능하도록 해당 디스크 영역에 난수 혹은 0으로 중복으로 덮어쓰는 기법 |
Drive Cleanser, Final Eraser, BlackMagic |
|
증거 데이터 자동 삭제 |
- 웹페이지, 문서, 레지스트리, 쿠키, 히스토리 등 사용자의 개인 정보 또는 증거물이 될 만한 모든 데이터를 삭제하는 행위 |
CCleaner, Evidence Eliminator, Windows Washer |
나. 데이터 은닉 및 변조 기술
|
기술 |
내용 |
도구 |
|
스테가노그래피(Steganography) |
- 메시지가 전송되고 있다는 사실 자체를 숨기는 정보 은닉 기술 |
이미지 및 오디오 파일과 같은 다양한 디지털 매체 |
|
디스크 내 데이터 은닉 |
- 파티션으로 인한 슬랙공간 등 파일시스템 구조에서 낭비되는 영역에 데이터를 숨기는 기술 |
슬랙 공간(Slack Space), NTFS MFT(Master File Table), 배드 블록(Bad Block), ext3 저널 파일, inode 예약된 공간, HPA(Host Protected Area), DCO(Device Configuration Overlay) 영역 등에 데이터를 숨김 |
|
데이터 암호화 |
- 파일이나 디렉토리를 암호화하여 아무나 접근할 수 없도록 하는 기술 - 운영체제 자체에서 지원하는 암호화 기능을 이용하거나 별도의 암호화 전용 도구를 사용할 수 있음. 또한, 응용프로그램 자체적으로 암호화 기능을 지원하기도 함 |
운영체제 자체적으로 지원하는 암호화 기능은 대표적으로 EFS(Encrypting File System), BitLocker가 있고, 암호화 전용 도구로는 TrueCrypt, Disk Utility, GNU Privacy Guard, AxCrypt가 있음 |
|
데이터 변조 |
- 원본 파일의 내용과 시스템에서 인식되는 파일 형식을 다르게 함 |
코드 난독화(Code Obfuscation), 실행압축(Packing), 래핑(Wrapping) 등 |
III. 안티 포렌식의 대응기술, Anti-안티 포렌식
|
구분 |
설명 |
|
스테가노그래피 탐지 (Steganalysis) |
- 원본파일과 비교하여 단 하나라도 다른 정보가 있는지 확인 - 압축률이 높은 파일은 은닉이 어렵기 때문에 높은 압축률로 압축을 하여 숨겨진 데이터를 찾음 |
|
데이터 검색 및 탐지 |
- Index 탐색 : 모든 파일을 훑으면서 키워드를 찾음, 특정파일의 포맷에 관계없이 관련된 모든 파일을 검색할 수 있음. - Bitwise방법 : 디스크 내의 섹터나 슬랙 공간에서 찾을 수 있는 비 할당 영역에 존재하는 간단한 텍스트나 특정 표현을 찾는 방법, Index탐색보다 속도가 매우 느림. |
|
데이터 복구 |
일반적으로 파일이 삭제되었다는 것은 파일로의 링크가 삭제 된 상태이기 때문에 새로 덮여 쓰여지지만 않았다면 디스크 에 남아 있을 수 있음 |
|
패스워드 검색 |
- 무작위 공격(Brute Force Attack) : 패스워드를 추측하기 위해 모든 가능한 값을 체계적으로 생성하여 패스워드를 찾음 - 사전 공격(Dictionary Attack) : 높은 가능성을 지니고 사용되 는 단어(이름, 장소 등)들을 사용하여 가능한 모든 패스워드를 체계적으로 찾음 |
“끝”
'정보관리기술사 > 디지털보안' 카테고리의 다른 글
| DRM(Digital Rights Management) (0) | 2014.09.11 |
|---|---|
| DDoS (0) | 2014.08.31 |
| SSL (0) | 2014.06.25 |
| 아이핀(i-PIN) (0) | 2014.05.31 |
| AAA(Authentication, Authorization, Accounting) (0) | 2014.02.13 |
