해킹피해시스템증거물 확보및복원에관한연구 · 요 약 문 1.11..1. 제목...
TRANSCRIPT
최종연구보고서최종연구보고서최종연구보고서최종연구보고서 해킹바이러스연구해킹바이러스연구해킹바이러스연구해킹바이러스연구 02-0502-0502-0502-05
해킹피해시스템 증거물해킹피해시스템 증거물해킹피해시스템 증거물해킹피해시스템 증거물
확보 및 복원에 관한 연구확보 및 복원에 관한 연구확보 및 복원에 관한 연구확보 및 복원에 관한 연구
A Study on Computer ForensicsA Study on Computer ForensicsA Study on Computer ForensicsA Study on Computer Forensics
수탁기관 천안대학교수탁기관 천안대학교수탁기관 천안대학교수탁기관 천안대학교::::
2002. 11.2002. 11.2002. 11.2002. 11.
제 출 문제 출 문제 출 문제 출 문
한국정보보호진흥원 원장 귀하한국정보보호진흥원 원장 귀하한국정보보호진흥원 원장 귀하한국정보보호진흥원 원장 귀하
본 보고서를 해킹피해시스템 증거물 확보 및 복원에 관한 연구 의 최종연구개발 결과보고" "
서로 제출합니다.
년 월 일년 월 일년 월 일년 월 일2002 11 302002 11 302002 11 302002 11 30
수탁 기관수탁 기관수탁 기관수탁 기관 :::: 천안대학교천안대학교천안대학교천안대학교
연구책임자연구책임자연구책임자연구책임자 :::: 교 수 이 정 진 천안대학교 정보통신학부교 수 이 정 진 천안대학교 정보통신학부교 수 이 정 진 천안대학교 정보통신학부교 수 이 정 진 천안대학교 정보통신학부( )( )( )( )
참여연구원참여연구원참여연구원참여연구원 :::: 교 수 이 형 우 천안대학교 정보통신학부교 수 이 형 우 천안대학교 정보통신학부교 수 이 형 우 천안대학교 정보통신학부교 수 이 형 우 천안대학교 정보통신학부( )( )( )( )
연 구 원 고 병 진 천안대학교 정보통신학부연 구 원 고 병 진 천안대학교 정보통신학부연 구 원 고 병 진 천안대학교 정보통신학부연 구 원 고 병 진 천안대학교 정보통신학부( )( )( )( )
연 구 원 도 성 욱 천안대학교 정보통신학부연 구 원 도 성 욱 천안대학교 정보통신학부연 구 원 도 성 욱 천안대학교 정보통신학부연 구 원 도 성 욱 천안대학교 정보통신학부( )( )( )( )
연 구 원 이 종 훈 천안대학교 정보통신학부연 구 원 이 종 훈 천안대학교 정보통신학부연 구 원 이 종 훈 천안대학교 정보통신학부연 구 원 이 종 훈 천안대학교 정보통신학부( )( )( )( )
연 구 원 전 창 진 천안대학교 정보통신학부연 구 원 전 창 진 천안대학교 정보통신학부연 구 원 전 창 진 천안대학교 정보통신학부연 구 원 전 창 진 천안대학교 정보통신학부( )( )( )( )
연 구 원 김 현 진 주 파이별데이터 개발부연 구 원 김 현 진 주 파이별데이터 개발부연 구 원 김 현 진 주 파이별데이터 개발부연 구 원 김 현 진 주 파이별데이터 개발부(( ) )(( ) )(( ) )(( ) )
연 구 원 이 용 순 주 파이널데이터 개발부연 구 원 이 용 순 주 파이널데이터 개발부연 구 원 이 용 순 주 파이널데이터 개발부연 구 원 이 용 순 주 파이널데이터 개발부. (( ) ). (( ) ). (( ) ). (( ) )
연 구 원 송 기 혁 주 파이널데이터 기술부연 구 원 송 기 혁 주 파이널데이터 기술부연 구 원 송 기 혁 주 파이널데이터 기술부연 구 원 송 기 혁 주 파이널데이터 기술부(( ) )(( ) )(( ) )(( ) )
요 약 문요 약 문요 약 문요 약 문
제목제목제목제목1.1.1.1.
해킹피해시스템 증거물 확보 및 복원에 관한 연구
연구개발의 목적 및 중요성연구개발의 목적 및 중요성연구개발의 목적 및 중요성연구개발의 목적 및 중요성2.2.2.2.
해킹과 같이 컴퓨터를 매개체로 하여 범죄가 발생하는 경우 컴퓨터내에 있는 자료 디지털, (
전자자료 를 근거로 하여 증거물을 확보하여야 한다 그러나 컴퓨터의 주 메모리 또는 보조) .
메모리 등에 기록되어 있는 자료는 생성 변경 삭제 전송 등이 매우 용이하므로 법정증거자/ / /
료로 활용되기 위해서는 특별한 절차와 방법들이 필요하게된다 또한 방대한 메모리 공간에.
서 필요한 증거물을 효과적으로 찾아내기 위해서는 적절한 도구와 방법들이 고안되어야 한
다.
연구개발의 내용 및 범위연구개발의 내용 및 범위연구개발의 내용 및 범위연구개발의 내용 및 범위3.3.3.3.
본 연구의 내용 및 범위는 컴퓨터 포렌식스 현황 조사 와 증거물 확보 및 복원 기술을 연구
하는 것이다.
컴퓨터 포렌식스 현황 조사-
해킹피해시스템 증거물 확보에 관한 연구-
해킹피해시스템 증거물 복원 기술 연구-
해킹피해시스템의 증거물 분석기술 연구-
연구결과연구결과연구결과연구결과4.4.4.4.
최종연구결과로서 다음과 같은 연구 결과를 얻었다, .
컴퓨터 포렌식스 개념 컴퓨터 포렌식스의 유형 및 컴퓨터 포렌식스의 절차와 방법에 대- , ,
해서 정리
컴퓨터 포렌식스 관련 기술 현황 파악-
컴퓨터 범죄 조사 및 증거력 확보 방안 수립-
해킹의 현황 유형 해킹에 대한 증거능력 확보에 문제점 파악- , ,
해킹피해시스템의 증거물 확보 기술 파악-
전자우편 및 웹 관련 범죄에서 증거물 분석 방법 파악-
컴퓨터 범죄에 대한 증거물 획득 모델 안 과 분석 모델 안 수립- ( ) ( )
활용에 대한 건의활용에 대한 건의활용에 대한 건의활용에 대한 건의5.5.5.5.
컴퓨터 포렌식스는 정보화 시대에 있어서 매우 중요한 역할을 해야 함에도 불구하고 국내,
의 관련 제도 및 기술 등은 매우 낙후되어 있다는 것이 확인되었다 따라서 국내에서도 관.
련 범죄에 대한 압수수색 등에 있어서 시급히 적절한 가이드라인이 설정되어야하고 이러,
한 절차와 방법은 관련 전문가들의 공감대를 형성하여 법정에서도 증거물로 받아 들여 지도
록 해야 할 것이다 본 연구의 결과는 이러한 가이드라인의 설정 교육제도 연구 기술개발. , ,
의 방향 설정에 활용 할 수 있을 것으로 기대된다.
기대효과기대효과기대효과기대효과6.6.6.6.
최종연구 결과물로서 본 연구를 통해 컴퓨터 범죄의 특징을 조사하고 선진 증거물 처리방, ,
법 등을 소개함으로서 우선 컴퓨터 포렌식스를 연구하거나 제품을 개발하는 연구개발자들,
에게 적절한 정보를 제공할 것으로 기대된다 컴퓨터 증거물 압수수색 방법에 대한 선진.
방법을 소개함으로서 국내 관련 분야의 발전에 많은 기여를 할 것으로 기대된다.
SUMMARYSUMMARYSUMMARYSUMMARY
1. Title1. Title1. Title1. Title
A study on computer forensics
2. Purpose of the study2. Purpose of the study2. Purpose of the study2. Purpose of the study
Computer forensics is important in that it provides evidential value to the digital data
that has properties which can be easily created, modified, transferred, and deleted. Thus,
special procedures and methods are required to hold evidential value of digital data. We
need good searching tools to find evidence data from the large diskspace.
3. Contents and scope3. Contents and scope3. Contents and scope3. Contents and scope
The scope of this research is to survey computer forensics and research the acquisition
and recovery of evidential data. The research includes following topics:
- computer forensics concept
- acquisition of evidential data from e-mail and web
- recovery of evidential data
- analysis of evidential data
4. Results of the study4. Results of the study4. Results of the study4. Results of the study
As a result of this research, we have identified
- computer forensics concept and technologies are identified.
- procedures and methods to hold evidential value from a compromised system
- file and e-mail recovery technologies
- acquiring technology of evidential data from e-mail and web
- system logs related to hacking and virus and developed
- acquisition model and analysis model.
5. Expected effects and applications5. Expected effects and applications5. Expected effects and applications5. Expected effects and applications
A special care is needed to hold evidential value of digital data because it has properties
which can be easily created, modified, transferred, and deleted. In this research, we
surveyed computer forensics status such as acquiring digital evidences, preservation,
examination and analysis, and reporting to a court. Unfortunately, we have found that
domestic computer forensics is not good compared to brilliant IT progress. It is partly
due to the different legal system from USA. Because we have closely examined
advanced forensictechnologies and developed relevant two models, this research result
could be used as a baseline of computer forensics research and development. And it will
provide useful information to the police and prosecutor to make a guideline for computer
seizure and investigation.
목 차목 차목 차목 차
제 장 서 론제 장 서 론제 장 서 론제 장 서 론1111
제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황2222
제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요1111
컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념1.1.1.1.
컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형2.2.2.2.
제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술2222
국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황1.1.1.1.
국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황2.2.2.2.
제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론3333
개요개요개요개요1.1.1.1.
준비단계준비단계준비단계준비단계2.2.2.2.
증거물 획득 단계증거물 획득 단계증거물 획득 단계증거물 획득 단계3.3.3.3.
증거물 분석 단계증거물 분석 단계증거물 분석 단계증거물 분석 단계4.4.4.4.
제 장 컴퓨터 범죄제 장 컴퓨터 범죄제 장 컴퓨터 범죄제 장 컴퓨터 범죄3333
제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황1111
컴퓨터 범죄의 정의컴퓨터 범죄의 정의컴퓨터 범죄의 정의컴퓨터 범죄의 정의1.1.1.1.
컴퓨터 범죄의 특성컴퓨터 범죄의 특성컴퓨터 범죄의 특성컴퓨터 범죄의 특성2.2.2.2.
제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형2222
컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류1.1.1.1.
컴퓨터 범죄사례컴퓨터 범죄사례컴퓨터 범죄사례컴퓨터 범죄사례2.2.2.2.
제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안3333
컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차1.1.1.1.
컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보2.2.2.2.
제 장 해킹 피해 시스템 증거물 확보 기술제 장 해킹 피해 시스템 증거물 확보 기술제 장 해킹 피해 시스템 증거물 확보 기술제 장 해킹 피해 시스템 증거물 확보 기술4444
제 절 해킹 피해 시스템 현황제 절 해킹 피해 시스템 현황제 절 해킹 피해 시스템 현황제 절 해킹 피해 시스템 현황1111
해킹의 정의해킹의 정의해킹의 정의해킹의 정의1,1,1,1,
해킹에 대한 취약성해킹에 대한 취약성해킹에 대한 취약성해킹에 대한 취약성2.2.2.2.
제 절 해킹 의 유형제 절 해킹 의 유형제 절 해킹 의 유형제 절 해킹 의 유형2222
해킹 방식 분류해킹 방식 분류해킹 방식 분류해킹 방식 분류1.1.1.1.
해킹 사례해킹 사례해킹 사례해킹 사례2.2.2.2.
제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안3333
해킹으로 인한 증거능력해킹으로 인한 증거능력해킹으로 인한 증거능력해킹으로 인한 증거능력1.1.1.1.
해킹에 대한 증거 확보해킹에 대한 증거 확보해킹에 대한 증거 확보해킹에 대한 증거 확보2.2.2.2.
제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술5555
제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원1111
증거물 복원 개요증거물 복원 개요증거물 복원 개요증거물 복원 개요1.1.1.1.
파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능2.2.2.2.
파일 복구 절차 및 방법파일 복구 절차 및 방법파일 복구 절차 및 방법파일 복구 절차 및 방법3.3.3.3.
기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류4.4.4.4.
제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석2222
로그 개요로그 개요로그 개요로그 개요1.1.1.1.
유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석2.2.2.2.
로그파일 저장 및 분석로그파일 저장 및 분석로그파일 저장 및 분석로그파일 저장 및 분석3. WinNT/20003. WinNT/20003. WinNT/20003. WinNT/2000
제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술6666
제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석1111
전자우편 시스템 개요전자우편 시스템 개요전자우편 시스템 개요전자우편 시스템 개요1.1.1.1.
전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석2.2.2.2.
제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석2 Web2 Web2 Web2 Web
기반 시스템의 특징기반 시스템의 특징기반 시스템의 특징기반 시스템의 특징1. Web1. Web1. Web1. Web
기반 범죄 유형기반 범죄 유형기반 범죄 유형기반 범죄 유형2. Web2. Web2. Web2. Web
기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보3. Web3. Web3. Web3. Web
제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석3333
개요개요개요개요1.1.1.1.
컴퓨터 자료의 증거력컴퓨터 자료의 증거력컴퓨터 자료의 증거력컴퓨터 자료의 증거력2.2.2.2.
컴퓨터 범죄 증거물 획득 모델 안컴퓨터 범죄 증거물 획득 모델 안컴퓨터 범죄 증거물 획득 모델 안컴퓨터 범죄 증거물 획득 모델 안3. ( )3. ( )3. ( )3. ( )
컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안4. ( )4. ( )4. ( )4. ( )
제 장 결 론제 장 결 론제 장 결 론제 장 결 론7777
참고문헌참고문헌참고문헌참고문헌
부록 파일 포맷부록 파일 포맷부록 파일 포맷부록 파일 포맷Outlook express DBXOutlook express DBXOutlook express DBXOutlook express DBX
부록 파일 포맷부록 파일 포맷부록 파일 포맷부록 파일 포맷Outlook PSTOutlook PSTOutlook PSTOutlook PST
부록 추적 기술부록 추적 기술부록 추적 기술부록 추적 기술IPIPIPIP
ContentsContentsContentsContents
Chapter 1. IntroductionChapter 1. IntroductionChapter 1. IntroductionChapter 1. Introduction
Chapter 2. Status of Computer forensicsChapter 2. Status of Computer forensicsChapter 2. Status of Computer forensicsChapter 2. Status of Computer forensics
Section 1. Introduction to Computer forensicsSection 1. Introduction to Computer forensicsSection 1. Introduction to Computer forensicsSection 1. Introduction to Computer forensics
1. Concept of computer forensics1. Concept of computer forensics1. Concept of computer forensics1. Concept of computer forensics
2. Type of computer forensics2. Type of computer forensics2. Type of computer forensics2. Type of computer forensics
Section 2. Technology of Computer forensicsSection 2. Technology of Computer forensicsSection 2. Technology of Computer forensicsSection 2. Technology of Computer forensics
1. Status of domestic computer forensics1. Status of domestic computer forensics1. Status of domestic computer forensics1. Status of domestic computer forensics
2. Status of oversee computer forensics2. Status of oversee computer forensics2. Status of oversee computer forensics2. Status of oversee computer forensics
Section 3. Methodology of computer forensicsSection 3. Methodology of computer forensicsSection 3. Methodology of computer forensicsSection 3. Methodology of computer forensics
1. Introduction1. Introduction1. Introduction1. Introduction
2. Preparation2. Preparation2. Preparation2. Preparation
3. Acquisition of evidence3. Acquisition of evidence3. Acquisition of evidence3. Acquisition of evidence
4. Analysis of evidence4. Analysis of evidence4. Analysis of evidence4. Analysis of evidence
Chapter 3. Computer CriminalsChapter 3. Computer CriminalsChapter 3. Computer CriminalsChapter 3. Computer Criminals
Section 1. Status of Computer CriminalsSection 1. Status of Computer CriminalsSection 1. Status of Computer CriminalsSection 1. Status of Computer Criminals
1. Definition of computer criminals1. Definition of computer criminals1. Definition of computer criminals1. Definition of computer criminals
2. Characteristics of computer criminals2. Characteristics of computer criminals2. Characteristics of computer criminals2. Characteristics of computer criminals
Section 2. Type of Computer CriminalsSection 2. Type of Computer CriminalsSection 2. Type of Computer CriminalsSection 2. Type of Computer Criminals
1. Classification of computer criminals1. Classification of computer criminals1. Classification of computer criminals1. Classification of computer criminals
2. Examples of computer criminals2. Examples of computer criminals2. Examples of computer criminals2. Examples of computer criminals
Section 3. Evidence of Computer CriminalsSection 3. Evidence of Computer CriminalsSection 3. Evidence of Computer CriminalsSection 3. Evidence of Computer Criminals
1. Search of computer criminals1. Search of computer criminals1. Search of computer criminals1. Search of computer criminals
2. Evidence of computer criminals2. Evidence of computer criminals2. Evidence of computer criminals2. Evidence of computer criminals
Chapter 4. Evidence from Compromised SystemChapter 4. Evidence from Compromised SystemChapter 4. Evidence from Compromised SystemChapter 4. Evidence from Compromised System
Section 1. Status of computer intrusionsSection 1. Status of computer intrusionsSection 1. Status of computer intrusionsSection 1. Status of computer intrusions
1. Definition of hacking1. Definition of hacking1. Definition of hacking1. Definition of hacking
2. Vulnerability about hacking2. Vulnerability about hacking2. Vulnerability about hacking2. Vulnerability about hacking
Section 2. Type of HackingSection 2. Type of HackingSection 2. Type of HackingSection 2. Type of Hacking
1. Classification of hacking techniques1. Classification of hacking techniques1. Classification of hacking techniques1. Classification of hacking techniques
2. Examples of hacking2. Examples of hacking2. Examples of hacking2. Examples of hacking
Section 3. Acquiring Evidence from compromised systemSection 3. Acquiring Evidence from compromised systemSection 3. Acquiring Evidence from compromised systemSection 3. Acquiring Evidence from compromised system
1. Evidential value from compromised system1. Evidential value from compromised system1. Evidential value from compromised system1. Evidential value from compromised system
2. Acquiring evidence from compromised system2. Acquiring evidence from compromised system2. Acquiring evidence from compromised system2. Acquiring evidence from compromised system
Chapter 5. Recovery of Compromised SystemChapter 5. Recovery of Compromised SystemChapter 5. Recovery of Compromised SystemChapter 5. Recovery of Compromised System
Section 1. Recovery of evidenceSection 1. Recovery of evidenceSection 1. Recovery of evidenceSection 1. Recovery of evidence
1. Introduction to evidence recovery1. Introduction to evidence recovery1. Introduction to evidence recovery1. Introduction to evidence recovery
2. Recovery softwares and their major services2. Recovery softwares and their major services2. Recovery softwares and their major services2. Recovery softwares and their major services
3. Steps of file recovery3. Steps of file recovery3. Steps of file recovery3. Steps of file recovery
4. File recovery softwares4. File recovery softwares4. File recovery softwares4. File recovery softwares
Section 2. Log file and AnalysisSection 2. Log file and AnalysisSection 2. Log file and AnalysisSection 2. Log file and Analysis
1. Introduction to logs1. Introduction to logs1. Introduction to logs1. Introduction to logs
2. Unix and Linux logs2. Unix and Linux logs2. Unix and Linux logs2. Unix and Linux logs
3. Windows NT/2000 logs3. Windows NT/2000 logs3. Windows NT/2000 logs3. Windows NT/2000 logs
Chapter 6. Analysis of Compromised SystemChapter 6. Analysis of Compromised SystemChapter 6. Analysis of Compromised SystemChapter 6. Analysis of Compromised System
Section 1. Gathering Evidence from E-mailSection 1. Gathering Evidence from E-mailSection 1. Gathering Evidence from E-mailSection 1. Gathering Evidence from E-mail
1. Introduction to E-mail system1. Introduction to E-mail system1. Introduction to E-mail system1. Introduction to E-mail system
2. Gathering and Analysis of E-mail evidence2. Gathering and Analysis of E-mail evidence2. Gathering and Analysis of E-mail evidence2. Gathering and Analysis of E-mail evidence
Section 2. Analysis of Web EvidenceSection 2. Analysis of Web EvidenceSection 2. Analysis of Web EvidenceSection 2. Analysis of Web Evidence
1. Characteristics of Web system1. Characteristics of Web system1. Characteristics of Web system1. Characteristics of Web system
2. Type of Web criminals2. Type of Web criminals2. Type of Web criminals2. Type of Web criminals
3. Acquiring evidence from web system3. Acquiring evidence from web system3. Acquiring evidence from web system3. Acquiring evidence from web system
Section 3. Analysis of Computer Criminal EvidenceSection 3. Analysis of Computer Criminal EvidenceSection 3. Analysis of Computer Criminal EvidenceSection 3. Analysis of Computer Criminal Evidence
1. Introduction1. Introduction1. Introduction1. Introduction
2. Evidential value of computer files2. Evidential value of computer files2. Evidential value of computer files2. Evidential value of computer files
3. Acquisition model of computer evidences3. Acquisition model of computer evidences3. Acquisition model of computer evidences3. Acquisition model of computer evidences
4. Analysis model of computer evidences4. Analysis model of computer evidences4. Analysis model of computer evidences4. Analysis model of computer evidences
Chapter 7. ConclusionChapter 7. ConclusionChapter 7. ConclusionChapter 7. Conclusion
ReferencesReferencesReferencesReferences
Appendix Outlook express DBX file formatAppendix Outlook express DBX file formatAppendix Outlook express DBX file formatAppendix Outlook express DBX file format
Appendix Outlook PST file formatAppendix Outlook PST file formatAppendix Outlook PST file formatAppendix Outlook PST file format
Appendix IP trace technologyAppendix IP trace technologyAppendix IP trace technologyAppendix IP trace technology
그 림 목 차그 림 목 차그 림 목 차그 림 목 차
그림 디지털 증거물 획득그림 디지털 증거물 획득그림 디지털 증거물 획득그림 디지털 증거물 획득( 2-1)( 2-1)( 2-1)( 2-1)
그림 네트워크 모니터링그림 네트워크 모니터링그림 네트워크 모니터링그림 네트워크 모니터링( 2-2)( 2-2)( 2-2)( 2-2)
그림그림그림그림( 2-3) HTCN Homepage( 2-3) HTCN Homepage( 2-3) HTCN Homepage( 2-3) HTCN Homepage
그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예( 2-4)( 2-4)( 2-4)( 2-4)
그림 해시 계산의 예그림 해시 계산의 예그림 해시 계산의 예그림 해시 계산의 예( 2-5) MD5( 2-5) MD5( 2-5) MD5( 2-5) MD5
그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람( 2-6) EnCase( 2-6) EnCase( 2-6) EnCase( 2-6) EnCase
그림 파일 포맷그림 파일 포맷그림 파일 포맷그림 파일 포맷( 2-7) EnCase( 2-7) EnCase( 2-7) EnCase( 2-7) EnCase
그림 의 예그림 의 예그림 의 예그림 의 예( 2-8) Escript( 2-8) Escript( 2-8) Escript( 2-8) Escript
그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적( 4-1) IP( 4-1) IP( 4-1) IP( 4-1) IP
그림 패킷 역추적 기술그림 패킷 역추적 기술그림 패킷 역추적 기술그림 패킷 역추적 기술( 4-2) IP( 4-2) IP( 4-2) IP( 4-2) IP
그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적( 4-3)( 4-3)( 4-3)( 4-3)
그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템( 4-4)( 4-4)( 4-4)( 4-4)
그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템( 4-5)( 4-5)( 4-5)( 4-5)
그림 물리 구조그림 물리 구조그림 물리 구조그림 물리 구조( 5-1) MTFS( 5-1) MTFS( 5-1) MTFS( 5-1) MTFS
그림 구조그림 구조그림 구조그림 구조( 5-2) MFT( 5-2) MFT( 5-2) MFT( 5-2) MFT
그림 유닉스 파일 시스템그림 유닉스 파일 시스템그림 유닉스 파일 시스템그림 유닉스 파일 시스템( 5-3)( 5-3)( 5-3)( 5-3)
그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조( 5-4)( 5-4)( 5-4)( 5-4)
그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리( 5-5) FAT( 5-5) FAT( 5-5) FAT( 5-5) FAT
그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리( 5-6) NTFS( 5-6) NTFS( 5-6) NTFS( 5-6) NTFS
그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조( 5-7)( 5-7)( 5-7)( 5-7)
그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리( 5-8) UNIX( 5-8) UNIX( 5-8) UNIX( 5-8) UNIX
그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약( 5-9)( 5-9)( 5-9)( 5-9)
그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기( 5-10)( 5-10)( 5-10)( 5-10)
그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기( 5-11)( 5-11)( 5-11)( 5-11)
그림 에디터그림 에디터그림 에디터그림 에디터( 5-12) FAT( 5-12) FAT( 5-12) FAT( 5-12) FAT
그림 복구결과 보고서 출력그림 복구결과 보고서 출력그림 복구결과 보고서 출력그림 복구결과 보고서 출력( 5-13)( 5-13)( 5-13)( 5-13)
그림 손상된 파일복구그림 손상된 파일복구그림 손상된 파일복구그림 손상된 파일복구( 5-14)( 5-14)( 5-14)( 5-14)
그림 캡션 저장 기능그림 캡션 저장 기능그림 캡션 저장 기능그림 캡션 저장 기능( 5-15)( 5-15)( 5-15)( 5-15)
그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색( 5-16)( 5-16)( 5-16)( 5-16)
그림 파일 비교 도구그림 파일 비교 도구그림 파일 비교 도구그림 파일 비교 도구( 5-17)( 5-17)( 5-17)( 5-17)
그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차( 5-18)( 5-18)( 5-18)( 5-18)
그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법( 5-19)( 5-19)( 5-19)( 5-19)
그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법( 5-20)( 5-20)( 5-20)( 5-20)
그림 파티션 포맷 찾기그림 파티션 포맷 찾기그림 파티션 포맷 찾기그림 파티션 포맷 찾기( 5-21)( 5-21)( 5-21)( 5-21)
그림 파일 포맷 찾기그림 파일 포맷 찾기그림 파일 포맷 찾기그림 파일 포맷 찾기( 5-22)( 5-22)( 5-22)( 5-22)
그림 손상된 파일 확인그림 손상된 파일 확인그림 손상된 파일 확인그림 손상된 파일 확인( 5-23)( 5-23)( 5-23)( 5-23)
그림 손상된 파일 복구그림 손상된 파일 복구그림 손상된 파일 복구그림 손상된 파일 복구( 5-24)( 5-24)( 5-24)( 5-24)
그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어( 5-25) R-Studio( 5-25) R-Studio( 5-25) R-Studio( 5-25) R-Studio
그림 예그림 예그림 예그림 예( 5-26) sh_history( 5-26) sh_history( 5-26) sh_history( 5-26) sh_history
그림 명령 수행의 예그림 명령 수행의 예그림 명령 수행의 예그림 명령 수행의 예( 5-27) lastlog( 5-27) lastlog( 5-27) lastlog( 5-27) lastlog
그림 로그 파일의 종류그림 로그 파일의 종류그림 로그 파일의 종류그림 로그 파일의 종류( 5-28)( 5-28)( 5-28)( 5-28)
그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예( 5-29) grep( 5-29) grep( 5-29) grep( 5-29) grep
그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예( 5-30) last( 5-30) last( 5-30) last( 5-30) last
그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인( 5-31) ipconfig( 5-31) ipconfig( 5-31) ipconfig( 5-31) ipconfig
그림 파일 내용 예그림 파일 내용 예그림 파일 내용 예그림 파일 내용 예( 5-32) boot.ini( 5-32) boot.ini( 5-32) boot.ini( 5-32) boot.ini
그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예( 5-33)( 5-33)( 5-33)( 5-33)
그림 쿠키 파일의 예그림 쿠키 파일의 예그림 쿠키 파일의 예그림 쿠키 파일의 예( 5-34)( 5-34)( 5-34)( 5-34)
그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예( 5-35) Cookie Viewer( 5-35) Cookie Viewer( 5-35) Cookie Viewer( 5-35) Cookie Viewer
그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예( 5-36)( 5-36)( 5-36)( 5-36)
그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예( 5-37)( 5-37)( 5-37)( 5-37)
그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예( 5-38)( 5-38)( 5-38)( 5-38)
그림 전자메일 구성도그림 전자메일 구성도그림 전자메일 구성도그림 전자메일 구성도( 6-1)( 6-1)( 6-1)( 6-1)
그림 로그의 예그림 로그의 예그림 로그의 예그림 로그의 예( 6-2) SMTP( 6-2) SMTP( 6-2) SMTP( 6-2) SMTP
그림 로그의 예그림 로그의 예그림 로그의 예그림 로그의 예( 6-3) Pop3( 6-3) Pop3( 6-3) Pop3( 6-3) Pop3
그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원( 6-4)( 6-4)( 6-4)( 6-4)
그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원( 6-5)( 6-5)( 6-5)( 6-5)
그림 전자우편 복원 과정그림 전자우편 복원 과정그림 전자우편 복원 과정그림 전자우편 복원 과정( 6-6)( 6-6)( 6-6)( 6-6)
그림 드라이브 선택그림 드라이브 선택그림 드라이브 선택그림 드라이브 선택( 6-7)( 6-7)( 6-7)( 6-7)
그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기( 6-8)( 6-8)( 6-8)( 6-8)
그림 편지함 검색그림 편지함 검색그림 편지함 검색그림 편지함 검색( 6-9)( 6-9)( 6-9)( 6-9)
그림 전자우편 메시시의 예그림 전자우편 메시시의 예그림 전자우편 메시시의 예그림 전자우편 메시시의 예( 6-10)( 6-10)( 6-10)( 6-10)
그림 로그파일 설정의 예그림 로그파일 설정의 예그림 로그파일 설정의 예그림 로그파일 설정의 예( 6-11)( 6-11)( 6-11)( 6-11)
그림 웹로그 파일의 예그림 웹로그 파일의 예그림 웹로그 파일의 예그림 웹로그 파일의 예( 6-12)( 6-12)( 6-12)( 6-12)
그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예( 6-13) IP( 6-13) IP( 6-13) IP( 6-13) IP
그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예( 6-14) IP( 6-14) IP( 6-14) IP( 6-14) IP
그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안( 6-15) ( )( 6-15) ( )( 6-15) ( )( 6-15) ( )
그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안( 6-16) ( )( 6-16) ( )( 6-16) ( )( 6-16) ( )
그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집( 6-l7)( 6-l7)( 6-l7)( 6-l7)
표 목 차표 목 차표 목 차표 목 차
표 해킹피해 사례표 해킹피해 사례표 해킹피해 사례표 해킹피해 사례[ 1-1][ 1-1][ 1-1][ 1-1]
표 데이터 디들링 수사표 데이터 디들링 수사표 데이터 디들링 수사표 데이터 디들링 수사[ 3-1][ 3-1][ 3-1][ 3-1]
표 트로이 목마 수사표 트로이 목마 수사표 트로이 목마 수사표 트로이 목마 수사[ 3-2][ 3-2][ 3-2][ 3-2]
표 트랩도어 수사표 트랩도어 수사표 트랩도어 수사표 트랩도어 수사[ 3-3][ 3-3][ 3-3][ 3-3]
표 스케빈징 수사표 스케빈징 수사표 스케빈징 수사표 스케빈징 수사[ 3-4][ 3-4][ 3-4][ 3-4]
표 데이터 리키지 수사표 데이터 리키지 수사표 데이터 리키지 수사표 데이터 리키지 수사[ 3-5][ 3-5][ 3-5][ 3-5]
표 와이어 태핑 수사표 와이어 태핑 수사표 와이어 태핑 수사표 와이어 태핑 수사[ 3-6][ 3-6][ 3-6][ 3-6]
표 의 시스템 파일 들표 의 시스템 파일 들표 의 시스템 파일 들표 의 시스템 파일 들[ 5-1] NTFS[ 5-1] NTFS[ 5-1] NTFS[ 5-1] NTFS
표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구[ 5-2][ 5-2][ 5-2][ 5-2]
표 로그파일 종류 및 기능표 로그파일 종류 및 기능표 로그파일 종류 및 기능표 로그파일 종류 및 기능[ 5-3][ 5-3][ 5-3][ 5-3]
표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일[ 5-4][ 5-4][ 5-4][ 5-4]
표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물[ 6-1][ 6-1][ 6-1][ 6-1]
표 파일 헤더 구성표 파일 헤더 구성표 파일 헤더 구성표 파일 헤더 구성[ 6-2][ 6-2][ 6-2][ 6-2]
표 전자우편 메시지 구조표 전자우편 메시지 구조표 전자우편 메시지 구조표 전자우편 메시지 구조[ 6-3][ 6-3][ 6-3][ 6-3]
표 전자우편 복구기능 비교표 전자우편 복구기능 비교표 전자우편 복구기능 비교표 전자우편 복구기능 비교[ 6-4][ 6-4][ 6-4][ 6-4]
표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용[ 6-5][ 6-5][ 6-5][ 6-5]
표 실행 예표 실행 예표 실행 예표 실행 예[ 6-6] whois[ 6-6] whois[ 6-6] whois[ 6-6] whois
제 장 서 론제 장 서 론제 장 서 론제 장 서 론1111
정보화 시대가 본격적으로 도래되면서 정보통신 기술은 인간의 생활을 풍요롭게 하는 많은
긍정적인 것들을 발전시켜왔다 특히 컴퓨터 기술과 통신 기술의 융화는 기존의 대부분의.
업무처리 방식을 전적으로 변화시켜 가고 있으며 이제는 정보통신망은 전화나 교통망과 같,
이 실생활에없어서는 안될 주요한 국가 인프라로 인식되고 있는 실정이다.
한편 현재 구축되어 운영되고 있는 컴퓨터 망 인터넷 은 일종의 실험적 기술이- (TCP/IP)
진일보하여 일반에게 보편적으로 사용하게된 기술로서 그 근본 설계사상이 전화망과 같이
안정성과 안전성을 확보하기보다는 새로운 기술의 적용가능성을 실험하는 것이었으므로 오,
늘날과 같이 대규모의 불특정 다수가 이 컴퓨터망에 접속하여 사용되는 경우에는 많은 문제
가 발생할 수 있는 문제점을 이미 안고 있었다.
이러한 상황에서 컴퓨터 및 망 기술을 조금만 공부하여도 인터넷을 이용하여 제공하는 서비
스를 무력화하거나 컴퓨터 내에 저장되어 있는 귀중한 자료를 불법으로 접근 변조 또는 삭,
제 유포 등의 다양한 불법행위를 할 수 있게 되었다 아이러니컬하게도 이러한 해킹 기술, .
및 도구들은 컴퓨터망을 통하여 자유로이 유포되고 있는 실정이기도 하다 신고된 년. 2001
해킹사고 피해 유형과 발생빈도를 보면 다음과 같이 나타나고 있으며 신용상의 문제를 우,
려하여 신고하지 않은 경우까지를 고려한다면 상당한 범죄가 일어나고 있다고 볼 수 있다[18].
초심자에 의해서 자행되는 이러한 범법행위들은 기본적으로 국민 윤리적 차원에서 교육과
계몽으로 줄여나가야 되겠지만 불순한 의도로 저질러지는 행위는 엄정한 법 기준에 의해,
단호하게 처리되어야만 현재 성숙되어 가고 있는 정보통신 인프라에 대한 안전성을 확보할
수 있을 것으로 생각된다.
표 해킹피해 사례표 해킹피해 사례표 해킹피해 사례표 해킹피해 사례[ 1-1][ 1-1][ 1-1][ 1-1]
스캐닝불법침입
불법변조
불법사용
서비스무력화
정보유출
시스템파괴
계
3.664 1.240 271 86 58 7 4 5,333
그러나 컴퓨터 또는 인터넷상에서 일어나는 행위에 대한 증거는 대부분 전자적 현상으로 나
타났다가 사라지거나 광 자기 기록매체에 남겨지는 정도이다 또한 기록매체에 남겨진다하/ .
더라도 피의자가 손쉽게 이를 삭제하거나 훼손할 수 있으므로 이를 근거로 피의자를 기소,
하는 등의 사법 절차를 유지하는 것이 매우 어렵게 된다 컴퓨터는 잠재적으로 순식간에 대.
규모의 데이터를 처리할 수 있으므로 초등 수사에서 수사관의 간단한 실수도 중요한 증거를
인멸하거나 무력화될 수 있으므로 상당한 주의가 필요하게 된다.
일반 범죄 수사에서 지문 등의 경우 증거물 획득 처리 보관 분석 등의 처리과정 및 방법, , ,
이 잘 확립되어 있듯이 컴퓨터 관련 수사에 있어서도 증거물 처리에 대한 절차와 방법이,
확립되어야 하며 이러한 과정을 통하여 나온 결과 및 결론은 대단히 합리적 이어서 관련,
전문가들뿐만 아니라 법정에서도 동의할 수 있어야 할 것이다.
인터넷의 특성상 국가 간의 경계가 별로 의미가 없는 사이버 공간에서 발생하는 범죄를 해
결하기 위해서는 국제적 공조가 절실하게 필요하게 된다 컴퓨터 포렌식스 컴퓨터 수사 절. (
차와 방법 가 잘 발달되어 있는 서양 등과 마찰이 일어나는 일어날 경우 만일 우리의 컴퓨) ,
터 증거물에 대한 처리과정이 확립되어 있지 않았다며 우리의 컴퓨터 범죄에 대한 사법처,
리를 불신하게 만들고 결국 국제적 공조가 어렵게되는 결과를 초래할 수 있게 된다, .
따라서 겉만 강국이 아니라 그것을 바쳐주는 각종 제도를 정비하고 기술 및 인적자원을IT ,
확보하여 내실을 기해야만 끊임없이 변화는 정보화 시대를 선도하는 국가로서 도약할 수 있
게 될 것이다.
제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황제 장 컴퓨터 포렌식스 현황2222
제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요제 절 컴퓨터 포렌식스 개요1111
컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념컴퓨터 포렌식스 개념1.1.1.1.
사전적으로 포렌식스 는 법정의 변론에 적합한 등의 뜻을 갖는 단어로서(forensics) " ", " "
은 법의학이라는 의미가 된다 최근 컴퓨터가 일상 생활에 밀접하게"forensics medicine" .
사용되면서 컴퓨터에 저장되어 있는 자료가 법정에서 다루어지는 경우가 많이 발생하였고,
이에 관련된 분야를 컴퓨터 포렌식스 라고 불리워지고 있다(Computer Forensics) . [l, 2, 3, 5]
최근 일반적인 컴퓨터뿐만 아니라 휴대폰 전자수첩 등PDA(Personal Digital Assistant), ,
다양한 정보기기들이 일반사용자에 의해서 보편적으로 사용되고 있으며 이러한 기기들을,
사용하면 개인이 기록하거나 타인과 주고받는 정보의 대부분이 디지털 정보로 이루어지게
된다 종이에 잉크 등으로 쓰여진 정보와 다르게 전자적으로 기록 처리 전송되는 디지털 정. / /
보는 간단한 조작만으로도 생성 복사 변경 삭제 전송 등을 할 수 있으므로 이들 정보가 법/ / / / ,
적인 증거력을 갖게 하기 위해서는 특별한 절차와 방법을 따라야 할 필요가 있게된다.
디지털 형태의 증거자료는
잠재성 자료의 확인을 위해서는 판독 장치가 있어야 함- (Latent):
취약성 위변조 및 삭제 등이 용이- (Fragile):
디지털 과의 의 조합으로 원본과 복사본의 구분이 어려움- (Digital): 0 1
방대성 방대한 자료로 이루어지므로 찾기 도구 필요- (Massive):
등의 특징을 갖고 있으므로 초기 증거자료 수집 분석 보관 등의 과정이 여타의 증거물과, ,
매우 다르게 처리해야 그 증거력을 유지할 수 있게 된다.
이와 같이 컴퓨터 포렌식스는 정보처리 기기를 통하여 이루어지는 각종행위에 대한 사실관"
계를 확정하거나 증명하기 위해 행하는 각종 절차와 방법 이라고 정의 할 수 있다 그러므" .
로 컴퓨터 포렌식스는 단순히 과학적인 컴퓨터 수사 방법 및 절차뿐만 아니라 법률 제도,
및 각종 기술 등을 포함하는 종합적인 분야라고 할 수 있다[6, 12].
컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형컴퓨터 포렌식스 유형2.2.2.2.
컴퓨터 포렌식스의 유형으로는
디스크 포렌식스- (Disk forensics),
네트워크 포렌식스- (Network forensics),
전자우편 포렌식스- (E-mail forensics),
인터넷 또는 웹 포렌식스- (Internet or WWW forensics),
원시코드 포렌식스- (Source code forensics),
휴대 정보기기 포렌식스- (Mobile device forensics),
멀티미디어 포렌식스- (Multimedia forensics)
등으로 구분하여 볼 수 있다 각 유형별 특징은 다음과 같다. .
가 디스크 포렌식스가 디스크 포렌식스가 디스크 포렌식스가 디스크 포렌식스....
정보기기의 보조 기억장치에 저장되어 있는 데이터 중에서 어떤 행위에 대한 증거자료를 찾
아서 분석한 보고서를 제출하는 절차와 방법을 말한다 디스크 포렌식스에서 중요한 점은.
획득 분석 보고 등의 전 과정에서 증거물인 디스크 의 내용이 중간에 변경되지 않아야 한/ / " "
다는 것이다 이를 위한 방법으로는 우선 하드디스크를 똑같이 복사하여 복사디스크에서 분.
석작업을 수행하도록 하는 방법과 등에서와 같이 증거물인 디스크에서 분석컴퓨터EnCase ,
로 디스크의 이미지를 읽어서 내부에 파일로 저장한 후에 이 파일 상에서 분석작업을 수행
하도록 하는 방법이 있다 두 방법 모두 분석작업 중간 또는 종료 후에는 원본과 복사본 디.
스크의 전 데이터에 대한 해쉬값을 계산하여 복사본이 원본과 일치한다는 것을 항상 확인,
할 수 있게 하여야 한다.[19, 19, 20, 26]
만일 삭제된 파일 또는 폴더가 있는 경우에는 이를 복구하여 분석하며 발견된 데이터는 그,
논리적 및 물리적 위치에 대한 정보를 함께 보고서에 기재하여 언제라도 필요시 재현이 가
능하게 한다 이 디스크 포렌식스는 여타의 컴퓨터 포렌식스에 비해 방법론과 도구들이 잘.
발달되어 있을 뿐만 아니라 다른 컴퓨터 포렌식스와 일부분이 되기도 한다.
그림 디지털 증거물 획득그림 디지털 증거물 획득그림 디지털 증거물 획득그림 디지털 증거물 획득( 2-1)( 2-1)( 2-1)( 2-1)
그림 은 사의 이라는 쓰기 방지장치를 이용하여 디( 2-1) Guidance Software Inc., FastBloc
스크로부터 데이터를 획득하는 과정이다 증거물을 획득하는 방법은 장 절에서 자세히 설. 6 3
명한다.
나 네트워크 포렌식스나 네트워크 포렌식스나 네트워크 포렌식스나 네트워크 포렌식스....
네트워크 상에서 전송되고 있는 데이터를 갭춰하여 분석 보고하는 형태로서 통신비밀보호, ,
법을 침해할 위험성이 매우 큼으로 사전에 필요한 수색영장을 발부 받아서 실행하여야 한다[4] 로그 분석 등을 먼저 수행하여 필요한 정보 예 수상한 주소 또는 사고 현황 등 를 확. ( , IP )
보한 후 등과 같은 네트워크 모니터링 도구 등을 이용하여 수행한다sniffer[16,17, 21]
대부분.
의 네트워크 모니터링 소프트웨어들은 네트워크상에서 송수신되는 모든 데이터를 수집하여
분석할 수 있는 능력을 갖고 있으므로 해킹피해 또는 범인 색출에 없어서는 안될 중요한 도
구이다.
그림 네트워크 모니터링그림 네트워크 모니터링그림 네트워크 모니터링그림 네트워크 모니터링( 2-2)( 2-2)( 2-2)( 2-2)
그림 는 을 모니티링 하여 특정 주소로 접속 요구가 있음을 보여주는 예이( 2-2) LAN TCP
다.
현재 공개되어 있는 소프트웨어 또는 상용의 네트워크 모니터링 소프트웨어들은tcpdump
현재 사용되는 대부분의 프로토콜을 디코드 할 수 있는 기능을 갖고 있으므로 프로토콜에
대한 기본적인 이해만 되어 있어도 캡춰된 데이터를 분석할 수 있게된다.
다 전자우편 포렌식스다 전자우편 포렌식스다 전자우편 포렌식스다 전자우편 포렌식스....
전자우편을 이용한 사기 공갈협박 불법문서유포 등에 관련된 범죄가 많이 발생하고 있으므/ /
로 송수신되는 전자메일의 내용뿐만 아니라 실질적인 송신자 수신자를 식별하는 과정에, ,
많은 노력이 기울여 진다 전자메일에 대한 법적 증거력을 유지하기 위해서는 해당 전자메.
일이 경유한 시스템에서 로그 데이터를 확보하는 것이 매우 중요하다 이러한 로그를 통하.
여 메시지의 전달된 경로와 시간 등을 정확히 파악할 수 있으며 또한 이들 로그 데이터는,
증거력이 있는 것으로 받아들여지고 있는 실정이다[7, 8] 전자우편에 증거물 확보 및 분석은.
장에서 자세하게 설명한다6 .
라 웹 포렌식스라 웹 포렌식스라 웹 포렌식스라 웹 포렌식스....
사용자가 웹 상의 홈페이지를 방문하거나 및 게시판 등에 글을 올리거나 읽는 것을 파악하
고 필요한 증거물을 확보하는 과정이다 주로 웹 서버 프로그램에서 남기는 로그 등을 분석.
하거나 네트워크 포렌식스 기술을 이용하여 사용자를 추적하기도 한다 익명을 사용하는 경.
우에는 실제의 사용자를 파악하기 위해서는 등의 협조가 필ISP (Internet Service Provider)
요하다 현재 국내에서는 로부터 통신사실확인을 받기 위해서는 수색영장 또는 관할지. ( ISP
역 검사장의 승인을 받아야 한다 인터넷 포렌식스는 장에서 자세하게 설명한다.) 6 .
마 원시코드 포렌식스마 원시코드 포렌식스마 원시코드 포렌식스마 원시코드 포렌식스....
소프트웨어 불법복제 바이러스 프로그램 제작 유포 등의 범인을 색출하기 위한 과정이다, / .
단순히 소스코드만을 보고 원 개발자의 것인지를 확인하는 것은 쉽지 않으며 주변의 관련,
정보 인쇄물 컴퓨터통신로그 등 등을 확보 분석함으로써 어느 정도 확인할 수 있으( , CD, )
나 아직 정확한 방법론이 알려져 있지 않은 상태이다, .
사 휴대 정보기기 포렌식스사 휴대 정보기기 포렌식스사 휴대 정보기기 포렌식스사 휴대 정보기기 포렌식스....
휴대폰 전자수첩 등과 같이 휴대용 정보기기에서 필요한 정보를 입수하여 분석하는PDA, ,
과정이다 최근 휴대폰 및 의 보급이 활발해 지면서 이들의 수사단서 확보 및 법정증. PDA
거자료로서의 중요성이 매우 증대되고 있는 실정이다 이러한 기기들의 특징은 전원이 장시.
간 동안 공급되지 않으면 내장되어 있던 자료가 소멸될 위험이 있으므로 이들로부터 자료,
를 획득하여 증거자료로 이용하기 위해서는 특별한 주의와 장치들이 필요하게 된다 현재.
시리즈에 대한 증거물 획득 및 분석방법은 부터 지원되고 있다Palm EnCase V3.2 .
아 멀티미디어 포렌식스아 멀티미디어 포렌식스아 멀티미디어 포렌식스아 멀티미디어 포렌식스....
디지털화되어 컴퓨터에 파일형태로 저장되는 사진 오디오 비디오 자료에 대해서 증거력을, ,
확보하는 것이다 종래에 일반 사진 녹음 비디오등의 자료는 사실상 위변조가 쉽지 않고. , , ,
원본과 사본의 구분이 용이하므로 특별한 경우가 아니면 증거력이 있는 것으로 간주되어,
왔다 그러나 최근 디지털 카메라 및 디지털 녹음기뿐만 아니라 디지털 캠코더 등이 보급되.
면서 이들로부터 획득된 자료는 일반 컴퓨터의 자료와 다르지 않게 된다 즉 원본과 복사본, .
의 구분이 어렵고 변조 등이 용이하므로 증거력 측면에서 보아 컴퓨터 포렌식스 영역에서, ,
다시 검토되어야 하는 실정이다.
제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술제 절 컴퓨터 포렌식스 기술2222
국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황국내 컴퓨터 포렌식스 현황1.1.1.1.
국내의 법체계가 절차를 중시하는 영미 법체계와 다를 뿐만 아니라 수사방법에 있어서도,
사립탐정 보다는 검경에 의해 직접 수사가 이루어지므로 증거물을 다루는 기준도 다르게
발전되어왔다[12] 그러나 다른 증거물과는 다르게 디지털 증거물은 취급상에 약간의 실수만.
발생해도 그 증거력을 잃을 우려가 있으므로 지금부터라도 적절할 방법과 절차가 마련되어
야 할 것이다.
대부분의 컴퓨터 포렌식스에 관련된 기술은 디지털증거물을 확보하고 인증하기보다는 수사
단서를 확보하기에 필요한 도구들에 집중되어 있는 것으로 보인다 주로 파일복구 소프트웨.
어 네트워크 감시 추적 도구 등이 수사에 활용되고 있다, / .
그러나 만일 피의자가 이러한 약점을 알고 끝가지 범행을 부인하면 관련 전문가들이 동의,
할 수 있는 수준의 디지털증거력을 확보하여야 하는데 초등 수사에서 증거물 확보절차에,
문제가 있었다면 재판에서 불리해 질 수 있는 상황에 처하게된다.
현재 국내에서의 컴퓨터 포렌식스 관련 기술 제도 및 법률 등을 발전시키기 위하여 본 연,
구책임자를 포함하여 주요 수사기관들의 요원들이 모여서 컴퓨터 포렌식스 연구회를 운영하
고 있다.
국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황국외 컴퓨터 포렌식스 현황2.2.2.2.
사립탐정제도 및 절차를 중시하는 영미를 중심으로 컴퓨터 포렌식스가 잘 발전되어 있는
상황이다 초기에서부터 컴퓨터의 사용이 생활화되어 있었으므로 이와 관련된 범죄 등도 많.
이 나왔고 이를 해결하기 위해서 관련 제도 기술 교육 등 관련 분야에서 괄목할 만한 발, , ,
전을 이룩하였다.
가 컴퓨터 포렌식스 제도가 컴퓨터 포렌식스 제도가 컴퓨터 포렌식스 제도가 컴퓨터 포렌식스 제도....
구미 선진국의 제도의 큰 특징중의 하나는 어떤 일에든지 절차와 방법을 설정하여 놓고 이,
를 따라서 업무를 처리하도록 하는 데에 있다고 해도 과언이 아닐 것이다.
그림그림그림그림( 2-3) HTCN Homepage( 2-3) HTCN Homepage( 2-3) HTCN Homepage( 2-3) HTCN Homepage
정확한 방법과 절차를 만들 수 없는 경우에는 최소한 기본적인 원칙들로 구성되는 안내서
를 만들어서 사용하도록 하고 있다(Guidelines)[14]또한 주목할 만한 사실은 법무부에서 범죄.
수사에 있어서 전자증거물에대한 압수수색을 어떻게 할지를 안내하는 장편의 가이드를 발
행하여 수사 관계자들이 참고할 수 있게 하여 큰 방향을 잡아가고 있다는 것이다 [7].
비영리 기구로서 등의 협회에서는 컴퓨터 포랜High-Tech Crime Network (www.htcn.org)
식스에 관련된 교육 및 테스팅 기관 정보 컨퍼런스 세미나 등 교육정보 컴퓨터 포렌식스, , ,
관련 도구 및 기술자료들에 정보를 제공하고 있다 또한 이 기관의 중요한 업무중에 하나는.
컴퓨터 포렌식스에 전문가를 인증하는 것이다 및. Certified Computer Crime Investigator
두 종류의 전문가 인증 업무를 하고있다 그림Certified Computer Forensic Technician . 2-1
은 컴퓨터 수사 전문가 인증서의 한 예이고 그림 은 의 홈페이지 화면의 예이( 2-3) HTCN
다.
미국 컴퓨터 포렌식스 제도에서 한 특이한 점은 많은 일반 영리업체에서 컴퓨터 포렌식스
서비스를 제공하고 있다는 점이다 한 예로 의 경우 컴퓨터 포랜식스에 대한 컨설. OnTrack
팅 데이터 수집 데이터보관 삭제된 파일 복구 데이터 분석 법원에서의 전문가 증언 및, , , , ,
보고 등의 서비스를 제공하고있다.
그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예그림 컴퓨터 수사 전문가 인증 예( 2-4)( 2-4)( 2-4)( 2-4)
나 컴퓨터 포렌식스 교육나 컴퓨터 포렌식스 교육나 컴퓨터 포렌식스 교육나 컴퓨터 포렌식스 교육....
컴퓨터 포렌식스 관련 교육 제도는 크게 대학에서 대학원 학기 코스로 진행하는 방식과 컴1
퓨터 포렌식스 도구를 개발하는 업체 또는 전문 교육 서비스 제공기관에서 영리를 목적을
하는 방식으로 나뉘어 진다.
개발업체에서 개설하는 교육과정은 보통 초급 중급 고급과정으로 구분하여 각각 약 일간/ / 2-4
의 교육으로 이루어지며 해당 제품을 이용하여 수사하는 방법 또는 법정 제출용 보고서를,
작성하는 방법 등을 가르치고있다 대학원 코스에서는 한 예로 스탠포드 법과대학원에 설치. ,
된 과정에서는INFORMAT10N SCIENCES AND ELECTRONIC COMMERCE
- Cyberlaw Clinic
- Crime on the High-Tech Frontier
- Electronic Commerce: Law and Business in Cyberspace
- Law in Virtual Worlds
- Legal Issues in Cyberspace
- Open Sources
- Telecommunications Policy
등의 과목 등을 개설하고 있다 좀더 전문적으로 대학원의 컴. University of Central Florida
퓨터 포렌식스 과정에서는
- Topics in Forensic Science
- The Forensic Expert in the Courtroom
- Computer Forensics I: Seizure and Examination of Computer Systems
- Computer Forensics II: Network Security, Intrusion Detection, and Forensic Analysis
- Advanced Topics in Computer Security and Computer Forensics
- The Forensic Collection and Examination of Digital Evidence
등의 과목을 개설하고 있다.
다 컴퓨터 포렌식스 기술다 컴퓨터 포렌식스 기술다 컴퓨터 포렌식스 기술다 컴퓨터 포렌식스 기술....
현재 컴퓨터 포렌식스라는 단어로 제목 또는 부제목으로 나와있는 도서가 여권 이상이 출10
간되어 있으며 다수의 관련 논문 및 세미나 자료 등이 발표되어 있다 주기적으로 각종 세, .
미나 및 컨퍼런스 등이 미국뿐만 아니라 유럽 각지에서 개최되고 있으며 많은 전문가들이
참석하고 있는 것으로 알려져 있다[24, 28]
.
컴퓨터 포렌식스에 필요한 기술은 크게 디지털 증거물을 획득하기 위한 기술과 이들을 분석
하기 위한 기술로 나눌 수 있다.
디지털 증거물 획득 기술디지털 증거물 획득 기술디지털 증거물 획득 기술디지털 증거물 획득 기술(1)(1)(1)(1)
가 우발적으로 디스크의 내용이 변경되는 것을 방지하는 디스크 쓰기 방지 기술가 우발적으로 디스크의 내용이 변경되는 것을 방지하는 디스크 쓰기 방지 기술가 우발적으로 디스크의 내용이 변경되는 것을 방지하는 디스크 쓰기 방지 기술가 우발적으로 디스크의 내용이 변경되는 것을 방지하는 디스크 쓰기 방지 기술( )( )( )( )
그림 참조- FastBloc ( 2-1) ,
수정된 또는- BIOS DOS[26]
나 디스크 이미지 또는 파일을 비트스트림으로 복제하는 기술나 디스크 이미지 또는 파일을 비트스트림으로 복제하는 기술나 디스크 이미지 또는 파일을 비트스트림으로 복제하는 기술나 디스크 이미지 또는 파일을 비트스트림으로 복제하는 기술( )( )( )( )
- dd [37] - UNIX/Linux disk image copy tool
- Safeback [29] - Disk image backup tool
에서 기능 자체 파일포맷 사용_ EnCase Evidence Acquire ( )[19]
다 증거물에 대해서 해시를 계산한 후 원래의 계산 값과 비교하여 내용이 변경되지다 증거물에 대해서 해시를 계산한 후 원래의 계산 값과 비교하여 내용이 변경되지다 증거물에 대해서 해시를 계산한 후 원래의 계산 값과 비교하여 내용이 변경되지다 증거물에 대해서 해시를 계산한 후 원래의 계산 값과 비교하여 내용이 변경되지( ) ,( ) ,( ) ,( ) ,
않았음을 보장하는 메시지 다이제스트 기술않았음을 보장하는 메시지 다이제스트 기술않았음을 보장하는 메시지 다이제스트 기술않았음을 보장하는 메시지 다이제스트 기술
_ MD5 - 128bit message digest
_ SHA - 160bit message digest
그림 는 파일에 대해서 해시를 계산하여 나타낸 예이다 일반적으로( 2-5) counter1.txt MD5 .
는 데이터가 변경되었다는 사실을 발견하기 위한 용도이고 또는 는 데이터CRC , MD5 SHA
가 고의적 또는 우발적으로 변경되지 않았다는 사실을 보증하기 위한 기술이다 따라서 사.
용되는 해시값의 길이도 및 비트가 사용된다128 160 .
라 일회용 쓰기 시스템 또는 저장 매체 기술라 일회용 쓰기 시스템 또는 저장 매체 기술라 일회용 쓰기 시스템 또는 저장 매체 기술라 일회용 쓰기 시스템 또는 저장 매체 기술( )( )( )( )[40][40][40][40]
서버- Log
등- CD-R, DVD-R,
등으로 나뉘어 진다.
그림 해시 계산의 예그림 해시 계산의 예그림 해시 계산의 예그림 해시 계산의 예( 2-5) MD5( 2-5) MD5( 2-5) MD5( 2-5) MD5
디지털 증거물 분석 기술디지털 증거물 분석 기술디지털 증거물 분석 기술디지털 증거물 분석 기술(2)(2)(2)(2)
증거물 분석 기술은 분석 시스템의 종류 및 대상에 따라 달라지지만 일반적으로 사용되는
분석 기술 및 방법은 다음과 같다.
디렉토리 파일목록 열람- , (Folder browsing)
디렉토리 또는 파일명 소유자 생성 변경시간 기타 정보를 나열하여 내용을 확인할 수 있, , / ,
게 한다 원하는 필드로 정렬하여 볼 수 있게 하고 기타 부수적인 정보를 선택적으로 볼 수. ,
있게 하여 편리하게 단서 또는 증거물을 찾을 수 있게 한다.
로그 분석- (Log analysis)
감사증적 또는 디버깅 목적으로 만들어지며 통상 시스템에서 수행된 작업의 요청 수행 결과, / /
에 대해서 간단한 메시지를 특정파일에 남긴 것을 분석하는 것이다 시스템 및 서비스에 따.
라 남겨지는 로그파일의 위치와 내용이 약간씩 다르므로 각각에 대한 이해가 필요하다 주.
로 라는 스크립트 언어를 이용하여 분석perl (Practical Extraction and Report Language)
도구를 만들어 사용한다 등이 많이 이용된다. logwatch .
프로세스 분석- (process analysis)
현재 컴퓨터에서 수행되고 있는 프로세스 또는 과거에 수행된 프로세스에 대한 정보를 분석
하는 것이다 구체적으로 관련된 로그를 통하여 프로세스 정보를 획득하지만 프로세스의 수.
행의 다양성을 분석하기 위해서는 별도의 프로그램이 개발되어 사용되고 있다 일반적으로.
현재 사용자 정보를 알려주는 자원점유율 순으로 프로세스를 보여주는 등이 많이 사w, top
용되고 전문적으로는 등을 통하여 과거의 프로세스 이미지의 내용을 확인할 수 도, swap file
있다.
검 색- (Search)
방대한 자료들로 채워져 있는 대용량 디스크에서 증거가 될 만한 단서를 찾기는 그리 쉽지
않다 따라서 강력한 검색기능이 요구되며 용도에 따라서 다양한 종류의 검색도구들이 소개.
되고있다 대부분의 분석도구에서는 나름대로의 분석방법을 제공하고 있으며 유닉스 및 리. ,
눅스에서는 명령이 많이 사용된다grep .
열람 프로그램 호출- (Invoking viewer eg. word, image, ... )
별도의 외부 프로그램을 호출하여 내용을 볼 수 있게 하는것이다 대부분의 오피스 파일 압. ,
축 복원파일 이미지 파일 등의 내용을 확인하기 위해서는 해당 프로그램을 호출해야 한다/ , .
외부프로그램을 호출하여 수행하는 경우 자칫 잘못하면 증거물에 쓰기가 발생하여 증거물이
훼손될 수 있으므로 안전을 먼저 확인한 후에 수행하거나 안전한 장소로 옮긴 후에 실행해
야한다.
해시 분석- (Hash analysis)
각 파일에 대해서 해시 값을 계산한 후에 미리 계산해서 보관하고 있는 해시 값들과 비교하
여 파일내용이 같은 것을 쉽게찾을 수 있게 하는 검색 보조 기법이다 이미지 또는 오디오.
파일과 같이 인간의 눈으로 직접 확인해야하는 파일이 검색에 유용하게 사용될 수 있으며,
해당 파일이 분석작업 도중에 변경되었다는 것을 확인 할 수도 있다 단 이 목적만을 위해( ,
서는 가 많이 사용됨 그림 는 각각의 파일에 대해 해시를 계산하여 결과를 나타CRC ) ( 2-5)
내 보이고 있다.
시그니처 분석- (Signature analysis)
파일의 용도를 숨기기 위해서 확장자를 가끔 변경해 놓는 경우가 있는데 이를 찾아내기 위
한 방법이다 파일유형에 따라 확장자에 관계없이 파일의 처음 부분에 파일의 종류를 나타.
내는 문자열을 삽입하는 것이 많으므로 이와 확장자를 비교하여 그 결과를 나타내는 것이
다 그림 에서 파일의 확장자를 로 변경해 놨는데 시그니처 분석을. ( 2-5) JPEG counter1.txt ,
통하여 정확한 확장자를 찾아서 보여주고 있다.
시계열 분석- (Timeline analysis)
파일이 생성된 시간 변경된 시간 사용된 시간 및 삭제된 시간 등을 시간축상에 일목요연하, ,
게 나타내서 특정 사건에 관련된 파일을 쉽게 파악할 수 있게 하는 것이다.
삭제된 파일 복구- (Recover deleted folder and file)
삭제되거나 손상된 파일을 복원하는 기술로서 증거물 확보에 있어서 매우 중요한 위치를 차
지한다 파이널데이터 등 전문적인 도구 나와서 사용되고 있다 이는 제 장에서 자세하게. . 5
설명된다.
삭제된 전자우편 복구- (Recover E-mail messages)
아웃룩 익스프레스 등의 사용자메일 프로그램에서 송신 또는 수신된 메일 중에서 삭제되고
삭제메일함까지 비운 경우에 삭제된 메일 메시지를 복원하는 것이다 이는 제 장에서 자. 6
세하게 설명된다.
삭제된 데이터베이스 복구- (Recover DB record)
데이터베이스의 내용이 파일단위 또는 레코드 단위로 삭제된 경우에 이를 복원할 수 있게
하는 기술이다 복원된 레코드는 레코드 파일로 저장됨으로 이들을 직접 분석하거나 또는.
데이터베이스시스템에 로딩한 후 의 명령을 이용하여 분석할 수도 있다 파이, DMBS SQL .
널데이터의 파이널데이터베이스라는 제품이 시중에서 판매되고 있다.
암호화된 파일 복호화 및 패스워크 크랙- (password cracking)
일반적으로 많이 사용되는 또는 로그인 등에 대한 패스워드를 알아내zip access, Windows
는 기술이다 많은 프로그램들이 개발되어 판매되고 있다. .
증거물 저장 및 관리 기능-
디지털 증거물을 보관하고 관리하는 기능이다 대용량의 디스크에서 획득한 증거물을. CD-R
또는 등에 저장하기 위해서 여러 개의 파일로 분할하거나 분석을 위해서 합치는DVD-R
등의 기능을
수행한다 또한 효율적인 보관을 위해서 데이터 압축기능 등이 포함되기도 한다. .
보고서 작성 및 생성 기능-
보고서 생성기능은 포렌식스에서 매우 중요한 기능 중에 하나로 대부분의 포렌식스 분석소
프트웨어는 다양한 형태의 보고서 작성 및 생성 기능을 제공한다.
기타 부가기능-
기능 추가 또는 기능 등을 사용하기 편리하도록 조합( )
컴퓨터 관련 연구소 또는 대학의 연구실 등에서 필요한 도구들이 많이 개발되고 있다 개발.
업체로는
- Guidance Software - EnCase 3, FastBloc,
(www.guidancesoftware.com)
및 관련- Access Data Co. - ForensicToolkit, Password recovery, utilities
(www.accessdata.com)
외 다수의 도구들- New Technology Inc. - SafeBack, CRCMD5 (www.forensics
-intl.com)
외 다수의 도구- DIBS USA Inc., - DIBS Analyser , Forensics
workstation(www.dibsusa.com)
- Vogon (UK) - Imaging, processing, investigation
software(www.vogon-computer-evidence.com)
에서 수행되는 도구- @stake - Linux, Mac OS X, Open & FreeBSD, Solaris forensics
(www.atstake.com)
등이 활동하고 있다.
이 외에 패스워드를 크랙 하거나 암호를 무력화시키는 소프트웨어를 개발하는 업체들이 많
이 활동하고 있다 이들 업체 중에서 또는 등은 컴퓨터 포렌식스 업무 즉 증. EnCase FTK ,
거물 획득 주로 하드디스크 에서 부터 다양한 분석 및 보고서 작성에 이르기까지의 전 컴퓨( )
터 포렌식스 업무를 한 소프트웨어에서 수행할 수 기능을 포함하고 있어서 비교적 편리하고
안전하게 작업을 수행할 수 있게 한다 소프트웨어의 특징을 간단하게 나열하면 다. EnCase
음과 같다.
직관적 그래픽 사용자 환경- (GUI)
그림 는 환경에서 수행되는 를 이용하여 증거물 자료를 열람하는 화( 2-6) Window EnCase
면의 한 예이다.
그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람그림 를 이용한 증거자료 열람( 2-6) EnCase( 2-6) EnCase( 2-6) EnCase( 2-6) EnCase
원 증거물 대신에 복제된 디스크 이미지에서 수행-
증거물로부터 내부 파일포맷으로 이미지를 복제하여 이 이미지 상에 분석을 작업EnCase ,
을 수행하게 한다 파일포맷은 그림 과 같이 이미지가 분석자업 도중에 변경되. EnCase ( 2-7)
지 않았음을 증명하기 위하여 이미지 전체에 대한 해시를 계산하고 또한 일부가 변경MD5 ,
되어 해시 값이 변경되는 경우 그 위치를 쉽게 찾기 위해 블록단위의 를 포함64Kbyte CRC
한다.
한번에 여러 드라이브를 지원-
여러 드라이브 및 미디어로부터 획득한 증거물에 대해서 한번에 검색할 수 있게 한다.
그림 파일 포맷그림 파일 포맷그림 파일 포맷그림 파일 포맷( 2-7) EnCase( 2-7) EnCase( 2-7) EnCase( 2-7) EnCase
강력한 검색기능 지원- (grep, UNICODE, HEX Values)
이미지에서 선택된 영역을 대상으로 다양한 검색 기능 제공한다 검색영역은 전체파일 또는.
개발파일 삭제된 파일 스랙 클러스터에서 미사용 부분 등을 별도로 지정할 수 있으며 검, , ( ) ,
색시 각 파일에 대해 및 시그니처 분석을 동시에 하도록 지정할 수 있다 검색에 사용MD5 .
된 검색조건과 그 결과는 북마크에자동으로 저장되어 향후 재 사용하거나 보고서 출력 등,
에 이용될 수 있다.
물리적 또는 논리적 수준에서 미디어 열람-
파일단위 또는 디스크의 섹터단위로 증거물의 내용을 열람 파일단위로 열람시 각 파일에,
대한 를 계산하여 변조 또는 찾고자 하는 파일과 일치하는 파일 찾을 수도 있다MD5 .
북마킹 및 보고 기능-
분석과정 또는 분석과정에서 발견된 내용을 북마킹하여 나중에 재활용할 수 있게 하며 또,
한 이 북마크 정보를 이용하여 보고서를 출력할 수 있게 한다.
지 원- NTFS, RAID(Redundant Array of Inexpensive Disks)
유닉스 파일 시스템 지원-
압축된 파일에 대한 검색-
등으로 압축된 파일에 대해서 검색기능 지원zip
내부파일 및 메타데이터에 대한 고급 복구-
삭제되거나 같은 메타데이터에 대한 복구 기능INFO
내장된 레지스트리 열람 기능-
프로그램을 수행하지 않고 레지스트리 데이터에 대해서RegEdit ,
와 유사한 열람기능 제공RegEdit
다양한 증거물 획득 방법 및 기능-
데이터 이미지를 파일 포맷으로 추출 압축모드 선택 계산 및 파일EnCase ( , MD5 ) EnCase
포맷의 데이터를 디스크 이미지로 복원기능 제공
시계열 파일 열람기능-
파일의 생성시간 변경시간 등에 따라 시간대별로 표시,
기능 지원-'EScript'
원하는 기능을 사용자가 일종의 프로그램으로 직접 작성하여 사용할 수 있게 한다 (JAVA
언어와 유사 그림 은 한 예로파일들 중에서 그래픽 이미지 파일들만을 추출하여 화). ( 2-8) ,
면에 그림으로 출력하는 의 예이다EScript .
그림 의 예그림 의 예그림 의 예그림 의 예( 2-8) Escript( 2-8) Escript( 2-8) Escript( 2-8) Escript
제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론제 절 컴퓨터 포렌식스 방법론3333
개요개요개요개요1.1.1.1.
컴퓨터 포렌식스 방법론은 범죄의 종류 및 수사자의 컴퓨터 활용능력에 따라 다르게 된다.
최근 컴퓨터 관련 기술의 발전이 너무 빠르고 관련 범죄의 유형도 다양하고 고도화되어 가
고 있으므로 모든 경우에 대해서 상세한 규정을 만들어서 시행하기보다는 각 기관 또는 부,
서별로 최적의 규정을 만들어서 사용하는 것을 권고하고 있다[5, 14] 이때 공통적으로 포함되.
어야 하는 주요한 내용은 다음과 같다 각 단계에 작업자는 항상 기록을 남겨야 하며 이 기. ,
록은 증거물의 증거력을 유지하는데 있어서 매우 중요한 역할을 하게 된다 특히 작업과정.
이 복잡하고 전문적일수록 문서를 남기는 것은 관련자의 동의를 얻는데 있어서 필수적 사안
이 된다.
준비단계준비단계준비단계준비단계2.2.2.2.
이 단계는 실제 증거물을 수색 압수하기 전에 준비는 과정으로 매우 주요한 과정 중에 하나/
로서 다음과 사항들을 점검해야 한다 내부 규정에 의해 불필요시 제거할 수 있으나 그러. (
한 경우에는 적정한 사유가 있어야 한다. )
증거물 조사 및 압수를 위한 수색영장 또는 관리자 승인- ,
현장에서 관계자로부터 받을 진술서 양식- ,
현장을 기록하기 위한 사진기 녹음기 노트 등- , ,
예상치 않은 문제를 당면했을 때 자문을 구할 전문가 연락처-
각종 증거물 획득 및 분석을 위한 하드웨어 및 소프트웨어 들 하드웨어 및 소프트웨어 도- (
구들을 미리 시험되고 검증되어있어야 함)
피의자의 컴퓨터에서 증거물을 분석하는 경우 증거물 훼손의 우려가 있으므로 반드시 분-
석용 컴퓨터를 준비한다.
증거물 획득 단계증거물 획득 단계증거물 획득 단계증거물 획득 단계3.3.3.3.
현장 또는 네트워크상으로 필요한 증거를 확보하는 단계이다 증거물 유형에 따라 적절한.
도구를 사용하여 증거물을 입수한다 대상 시스템이 네트워크에 연결되어 있거나 또는 복잡.
하게 구성되어 있는 경우 그 구성도 등을 사진으로 남기거나 기록으로 남겨서 나중에 재현,
할 수 있게 하여야 한다 화면에 나타나는 내용이 단순한 것이 아니면 이들도 사진 또는 화.
면 캡춰 등의 방법으로 기록을 남긴다 네트워크 포렌식스 또는 다중 사용자 환경에서 증거.
물을 확보해야 하는 경우 네트워크연결을 먼저 제거하여 고의적 또는 우발적으로 각종 사용
자파일 또는 로그파일들이 손상이 되지 않도록 한다.
유닉스 시스템 등에서 증거물을 확보하는 경우에는 대표적인 로그파일 해당 사용자의 홈,
디렉토리 등의 파일 등을 먼저 확보한 후에 이들파일에 대해서 또는 등으로 해, MD5 SHA
시를 계산하여 기록으로 남긴다[8, 9]
필요시 작업에 관련자를 참관시키고 확인서명을 받는. ( ,
다 디지털 증거물의 특성상 조사자 또는 외부인에 의해서 그 내용이 조작될 수 있는 경우.)
가 있었다면 사실상 그 증거물의 증거능력을 상실된다고 보아야 할 것이다.
획득된 증거물은 정해진 안전한 용기에 넣어서 관리한다 관리 및 취급상에 문제가 발생하.
면 증거력이 상실될 수 있으므로 증거물의 분석등위 위해 반출 반입 등은 엄격한 통제 하에
서만 실시하여야 한다.
증거물 분석 단계증거물 분석 단계증거물 분석 단계증거물 분석 단계4,4,4,4,
증거물 분석과정은 시스템의 종류 범죄의 유형 분석 도구 등에 따라그 방법이 매우 다르지, ,
만 일반적으로 지켜야 할 규칙은 다음과 같은 것들이 있다,[6].
분석과정이 명확하고 적절한 기록을 남겨야 한다- .
분석자 성명 분석 일자 분석 방법 등* , , , ...
제 의 분석자에 의해서도 같은 결과가 나올 수 있어야 한다- 3 .
결정적 증거물 내용 나왔으면 그것이 위치하고 있는 논리 및 물리적 주소를 기록해야 한- ( )
다.
분석과정에서 증거물이 변경되지 않아야 한다- .
삭제된 파일을 복원 암호화된 파일을 복호화 하여 분석한다- , .
분석내용은 기본적으로 행위자 시간 내용 등의 순으로 파악하고 가능하면 사건을 재현- , , ,
할 수 있도록 한다. [15, 6].
제 장 컴퓨터 범죄제 장 컴퓨터 범죄제 장 컴퓨터 범죄제 장 컴퓨터 범죄3333
제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황제 절 컴퓨터 범죄의 현황1111
컴퓨터 범죄의 정의컴퓨터 범죄의 정의컴퓨터 범죄의 정의컴퓨터 범죄의 정의1.1.1.1.
오늘날 컴퓨터와 정보통신기술이 발달함에 따라 컴퓨터에 의한 대량정보의 처리와 전달이
시간과 공간의 제약 없이 가능하게 되었다 현재 컴퓨터 이용의 범위는 급격히 확산되고 있.
으나 다음과 같은 문제를 발생시키고 있다 첫째 사람에 의한 업무처리가 컴퓨터에 의해 대. ,
체되어 자동화되어 기존의 범죄 유형 또는 방식이 달라졌다 둘째 종래에 문서 등의 형태로. ,
보존되었던 정보가 이제는 불법적으로 개조 삭제 및 복사가 가능하게 되어 기존의 방식과,
는 다른 대응 방법이 필요하게 되었다 셋째 컴퓨터에 의한 범죄에 있어서 사건의 피해액은. ,
범행의 계획성 반복성 때문에 다른 범죄유형과 비교하여 크게 증가하였고 범죄의 발견 및,
증거물 확보가 상당히 어렵게 되었다 따라서 점차적으로 정보화가 진전될수록 컴퓨터에 대.
한 의존도는 높아질 것이며 결과적으로 컴퓨터 범죄 역시 커다란 사회적 문제를 야기할 것
으로 예상된다.
컴퓨터 범죄를 정의하기 위해서는 먼저 컴퓨터란 무엇인가 를 명백히 하여야 한다 일반적" " .
으로 컴퓨터는 전자의 원리를 이용하여 제시된 처리순서에 따라 자료를 처리하여 필요한 정
보를 만들어 내주는 기계 기술을 말한다 그러나 컴퓨터 범죄의 방지를 위해서는 이들이 컴, .
퓨터의 범주에 포함되느냐 또는 제외되느냐를 결정할 것이 아니라 그 기기가 사용되는 방법
또는 용도 등의 측면에 유의하여 이들 기기들이 컴퓨터 범죄상의 컴퓨터에 해당되느냐를 결
정할 필요가 있다고 하겠다.
컴퓨터 범죄에 대한 개념정의는 범죄현상의 과학적인 연구와 이에 대한 입법의 필요에 따라
구체적으로는 컴퓨터와 관련하여 발생하는 범죄실태를 분석하고 형사학적 규제방법을 모색
하는데 필요 불가결한 것이라 하겠다 그러나 컴퓨터 범죄의 정의에 관한 명백한 법적인 용.
어정의는 아직 없으며 학자간에도 여러 가지 학설이 대립되어 있다 컴퓨터 범죄를 정의하, .
는 것은 범죄의 방법이 교묘하고 다양하기 때문에 더욱 곤란하며 컴퓨터의 방지와 대응책,
을 마련하는데 있어서 범위를 법적으로 한정시키기에 어려움이 있기 때문이라 하겠다.
컴퓨터 범죄를 인정하는 입장에도 그 의미를 넓게 보는 견해와 좁게보는 견해로 나누어진
다 컴퓨터 범죄를 컴퓨터가 직접적 혹은 간접적으로 어떠한 형태로 컴퓨터와 관련하여 피. "
해자에게 입히거나 입힐 가능성이 있고 가해자가 이익을 얻거나 얻을 가능성이 있는 의도,
적 행위 컴퓨터가 행위의 수단 또는 목적인 모든 범죄적 현상 컴퓨터를 행위의 수단으", " ", "
로 하거나 목적으로 하여 형사 처벌되거나 형사 처벌할 가치가 있는 행위의 총체 라고 정의"
하는 견해가 광의의 입장이고 컴퓨터 자료와 관련하여 발생한 재산적 침해행위를 야기하, "
는 고의의 범죄행위의 총체 라고 정의하는 견해가 협의의 입장이다" .
컴퓨터 범죄에 대한 정의로는 년 월 파리에서 개최된 세계경제협력기구1983 5 (OECD: The
는 데이터의 자동 처리와 전송Organization for Economic Cooperation and Development) '
을 수반하는 불법적 비윤리적 권한 없는 행위를 컴퓨터 범죄라고 선언하여 컴퓨터의 자, , ' '
료 에 대한 비정상적인 행위로 규정하고 있다 이에 대하여 컴퓨터 범죄를 연구하는 학자들' .
중 지베르 와 뉴만 은 전산자료와 관련하여 발생한 재산(Ulrich Sieber) (Peter G. Neumann) '
권 침해행위로 정의하여 경제와 관련행위에 한정하고 있고 스와이저' ' ' , (James A. Sweizer)
는 컴퓨터를 사용하거나 컴퓨터 단말기 통신망 등 컴퓨터의 구성요소에 대한 접근을 요소' , ,
로하는 범죄 즉 컴퓨터를 사용하지 않고서는 행할 수 없는 범죄라고 단정하여 현행법상, ' '
범죄행위로 처벌되는 것에 한정함으로써 컴퓨터 범죄의 범위를 좁게 해석하고 있다 베케' .
이 처럼 재산이나 서비스의 취득 또는 정치적 경제적 이득을 얻기 위한 기(August Bequai) '
망 은폐 위장에 컴퓨터를 사용하는 것 이라거나 맨델 과 같이 법과 도, , ' , (Steven L. Mendel)
덕을 구별하면서 처벌법규의 존재 여부를 떠나 학문적으로 별도의 개념을 정립하여야 한다
는 논리아래 컴퓨터를 사용함으로써 같은 조건에서 컴퓨터를 사용하지 않는 경우보다 큰'
위험을 일으킬 비난 가능성이 있는 행위라고 하여 넓게 해석하는 학자도 있다' .
컴퓨터 범죄의 특성컴퓨터 범죄의 특성컴퓨터 범죄의 특성컴퓨터 범죄의 특성2.2.2.2.
오늘날 컴퓨터 범죄의 건수는 다른 일반적인 범죄의 수보다 급격히 증가하고 있기 때문에
컴퓨터 범죄에 관하여 크게 관심과 우려를 갖고 있다 구체적인 이유를 제시한다면 첫째 컴.
퓨터의 사회적 영향력이 높아가고 있으며 그 부정사용에 따라 사회적으로 파급효과가 크게,
미치고 있고 둘째 컴퓨터 범죄의 발생비율이 점차로 증가추세에 있으며 셋째 컴퓨터범죄는, ,
다른 일반범죄에 비하여 발견하기가 매우 곤란하다는 것을 들고 있다.
가 컴퓨터 범죄의 성격가 컴퓨터 범죄의 성격가 컴퓨터 범죄의 성격가 컴퓨터 범죄의 성격....
컴퓨터 범죄의 주역들은 범죄를 저질렀다는 의식이 전혀 없고 오히려 자신의 우월한 능력,
을 과시할 수 있다고 해서 영웅심에 사로잡히기도 하고 대단한 만족을 느끼기도 한다 행위.
자는 컴퓨터에 대한 지식과 경험이 풍부하고 머리도 좋다 도전자 정신이 왕성하고 혹자는" . (
개척정신이라고도 한다 게임이나 도박을 즐긴다 경제적으로 빈곤하지 않지만 사회에 불만.) .
을 갖고 있어서 무언가 타인과는 다른 행위를 통해 자신을 인정받고 싶어하는 자기 과시 욕
이 강하다 는 공통된 유형을 갖고 있다 더욱더 문제가 되는 것은 컴퓨터를 사용하는 대다" .
수의 사람들이 이러한 컴퓨터 범죄를 범죄시하지 않고 오히려 그들의 뛰어난 능력을 부러워
하므로 더욱 위험하다 하겠다.
나 범행의 반복 영속성나 범행의 반복 영속성나 범행의 반복 영속성나 범행의 반복 영속성. ,. ,. ,. ,
컴퓨터 범죄로서 다른 재산범죄와 뚜렷이 구별되는 것으로 컴퓨터 조작에 의한 범죄의 가장
현저한 특징은 행위의 계속적 효과 또는 계속성으로 표현되는 현상이다 특히 허무인의 수, .
령인에 대한 월간지불위탁과 같은 반복된 자료의 조작의 경우에는 컴퓨터 범죄의 전형적인
계속적 효과가 나타난다 컴퓨터 조작행위의 반복가능성을 컴퓨터 영역에서 그 진행과정이.
규칙적으로 엄격히 조직되어 있어서 행위자가 일단 취약점을 발견한 이상 이를 임의로 이용
할 수 있기 때문이다.
다 발견과 입증의 곤란다 발견과 입증의 곤란다 발견과 입증의 곤란다 발견과 입증의 곤란....
컴퓨터 조작에 의한 경우 우선 컴퓨터에 의해 단시간 내에 처리되는 개별적인 수량이 대단
하기 때문에 이를 사후에 자세히 검사하여 잘못을 가려낸다는 것은 사실상 불가능하다고 이
를 실행한다 하더라도 경제적인 큰 손실을 가져오므로 범죄로서 발각되기가 어렵다 행위와.
행위효과의 상호분리는 발각을 더욱 곤란하게 한다 또한 범행이 현장에서 타인에게 노출되.
지 않는 것이 범인이 직원들과 같이 업무처리를 할 때는 정상적인 업무처리인지 범행을 저
지르고 있는지 쉽게 판단되지 않을뿐더러 타인은 쉽게 알 수 없는 것이 일반적이기 때문이
다.
제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형제 절 컴퓨터 범죄의 유형2222
컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류컴퓨터 범죄 유형 분류1111
해킹 등 컴퓨터 관련 범죄가 올 상반기 중 작년 같은 기간의 배 가량 발생한 것으로 집계3
됐다 대검찰청 중앙수사부는 올 들어 지난 월까지 검찰에 적발된 전자문서 위변작 전산. 6 ,
업무방해 컴퓨터 사용사기 등 각종 컴퓨터 관련 범죄는 모두 건으로 작년 상반기, 2,520 (815
건 보다 배가량 증가했다고 밝혔다 범죄자수는 작년 건에서 올해 건으로 구속자) 3 . 1067 3303 ,
수는 건에서 건으로 늘었다122 281 .
유형별로는 해킹을 포함한 정보통신망법 위반은 모두 건이 적발돼 작년 건 의 배2,092 (500 ) 4▲
를 넘었으며 전자문서 관련 죄는 작년 건에서 올해 건으로 배 컴퓨터 사용사기, 36 90 2.5 ,▲ ▲
는 작년 건에서 올해 건으로 배 가량 증가했다202 290 1.4 .
컴퓨터의 중앙처리 장치인 는 우리가 명령한 일을 아주 정직하게 수행한다 즉 입력된CPU .
자료에 의하여 소프트 화된 프로그램을 통하여 계산이나 기타 처리를 한 후 출력 장치 모니(
터 프린터 를 통하여 그 결과를 정확히 제시한다 그러나 이 과정에서 컴퓨터가 속이는 것, ) .
이 아니라 사람들이 고의적이든 아니든 잘못된 입력 잘못된 프로그램 잘못된 출력의 결과, ,
로 인해 컴퓨터를 이용한 실수나 범죄가 가능하다.
이들 컴퓨터 범죄의 특징은 컴퓨터의 보편화 및 컴퓨터 상호간의 연동으로 여러 사람들이
공동 운영할 수 있게 됨에 따라 피해규모가 엄청나게 커질 수 있으며 고도의 전문성으로 불
법행위를 적발하기가 쉽지 않다.
가 입력 조작가 입력 조작가 입력 조작가 입력 조작....
컴퓨터를 만질 수 있는 사람이면 누구나 가장 쉽게 저지를 수 있는 범죄의 유형이다 입력.
조작은 불법적인 목적을 달성하기 위하여 입력될 자료를 허위 입력함으로 거짓 처리 결과를
만들어내게 하는 것으로 가장 기본적인 컴퓨터 범죄의 유형이다, .
이러한 입력 부분의 조작은 대부분이 입력 자료를 구성하고 검사하는 자료 편집인에 의하여
행해지지만 그 외에도 오퍼레이터나 외부의 제 자가 행위자가 되는 경우도 있다, 3 .
나 프로그램 조작나 프로그램 조작나 프로그램 조작나 프로그램 조작....
프로그램의 변조는 컴퓨터를 직접적으로 다루는 사람들 중에 프로그래머에 의하여 일어날
수 있는 범죄이다 처음부터 프로그램의 거짓 판단으로 잘못된 결과를 얻어내는 범죄의 유.
형이다 가장 흔히 이용되는 프로그램의 변조로서는 금융 기관이나 회계 처리를 담당하는.
곳에서 발생하는 예로서 은행의 경우 허위 구좌나 사람을 만들어놓고 금액을 조금씩 옮기,
는 살라미 기술 방법이 있다 특히 이자 계산 연금 계산 할인액 계산 등(Salami Technique) . , ,
의 과정에서 조금씩 적게 계산하고 그 금액을 허위 계좌로 옮겨놓는 경우 그 적발이 매우
어렵다.
이러한 경우 일반적인 수사 방법으로 접근할 수 없으며 범인을 찾아내기도 어렵다 가상 자.
료를 입력하고 그 결과를 출력함으로써 프로그램의 정상 작동을 알아내는 방법뿐이다 그러.
나 항상 프로그램을 잘못된 상태로 운영하는 것이 아니라 일시적으로 프로그램을 조작했다
가 복귀시키면 발견하기도 매우 어렵다 컴퓨터의 범죄 중 가장 기술적인 유형의 범죄이다. .
다 콘솔 조작다 콘솔 조작다 콘솔 조작다 콘솔 조작....
화일의 변조는 대부분 트랜잭션 조작이나 프로그램 변조로 이루어지기 때문에 앞에 언급한
형태와 유사하다 그러나 프로그램의 조작으로 이루어지지 않으며 컴퓨터의 내부 혹은 외부.
의 기억 장치에 기억된 자료를 변경하거나 어떤 자료를 처리할 때 방해하거나 반복하거나,
빠뜨리는 등의 형태이다.
업무를 처리하는 기본적인 프로그램이 아닌 유틸리티나 다른 프로그램들을 이용하여 데이터
나 기본 프로그램을 잘못 동작하게 만드는 경우를 말한다 이러한 범죄의 가능성을 줄이기.
위해서는 화일에 대한 접근 통제를 강화해야 하는데 화일의 내부 또는 외부에 을Labeling
하는 것에 관해서는 찬반이 엇갈리고 있다 그것은 데이터를 변경하지 못하는 대신 입력된.
데이터를 재차 확인하기 어려우며 데이터의 활용을 제한하기 때문이다 역시 콘솔의 조작에.
서도 프로그래머에 의하여 얼마든지 프로그램이 변경될 수 있는 것과 마찬가지로 아무리,
데이터를 통제하지 못하게 만든다 하더라도 계속하여 이어지는 불편함과 그 자체의 결함을
이용한 또 다른 범죄의 유형이 생겨나게 마련이다.
라 출력 조작라 출력 조작라 출력 조작라 출력 조작....
출력 조작은 일반적인 문서 위조와 같은 맥락에서 생각하면 된다 컴퓨터의 출력은 모니터.
스크린이나 특별한 인쇄 용지를 제외하고 일반적인 출력 매체 즉 프린터의 종이 카드 마그, ,
네틱테이프 디스크 등에 의하여 행해진다 위에서 언급한 것과 같이 컴퓨터 속에서 이루어, .
지는 발생과정이 아니므로 컴퓨터의 내부와 아무 관계가 없는 범죄이다 컴퓨터의 출력 결.
과라는 점에서 쉽게 믿을 수 있는 점을 악용하여 출력 상태를 가지고 변조하는 범행을 말한
다 이 경우 특별한 컴퓨터 지식이 필요하지 않으므로 입력 변조와 같이 쉽게 저지르기 쉬.
운 범죄의 유형이다.
컴퓨터를 이용하거나 컴퓨터 시스템 자체를 대상으로 하여 행해지는 컴퓨터범죄는 컴퓨터기
술의 발달 및 인터넷과의 연계에 의하여 매우 다양한 형태로 나타나고 있는바 현재까지 분,
류되어 논의되고 있는 컴퓨터 범죄의 유형은 다음과 같다.
마 범죄 유형마 범죄 유형마 범죄 유형마 범죄 유형....
인터넷 해킹인터넷 해킹인터넷 해킹인터넷 해킹(1)(1)(1)(1)
인터넷의 개방성과 정보공유 및 교환의 용이성으로 인해 인터넷상의 해킹사건은 날로 그 빈
도 수가 높아가며 그 유형 또한 고도화하고 그로 인한 피해의 심각성은 하루가 다르게 변모
하고 있다 해커란 원래 컴퓨터에 정열을 가지고 열심히 몰두하는 사람들을 뜻하며 언론에. ,
서나 일상에서 말하여지는 해커는 크래커 나 시스템침입자 를 의미(Cracker) (system intruder)
한다 인터넷이 확산됨에 따라 이러한 해킹범죄는 더욱 많아질 것으로 보인다. .
컴퓨터 바이러스컴퓨터 바이러스컴퓨터 바이러스컴퓨터 바이러스(2)(2)(2)(2)
컴퓨터 바이러스는 컴퓨터에서 실행되는 프로그램의 일종으로 다른 프로그램들과는 달리 사
용자 몰래 자기 자신을 다른 곳에 복사하는 명령어를 가지고 있다 바이러스라는 이름이 붙.
은 이유는 생물학적인 바이러스가 자기 자신을 복제하는 유전인자를 가지고 있는 것처럼 컴
퓨터 바이러스도 자기 자신을 복사하는 명령어를 가지고 있기 때문이다 따라서 컴퓨터 바.
이러스라는 말보다는 컴퓨터 바이러스 프로그램이라는 말이 더 정확한 표현이다' ' .
통신을 통한 불법행위통신을 통한 불법행위통신을 통한 불법행위통신을 통한 불법행위(3) PC(3) PC(3) PC(3) PC
현재 컴퓨터의 보급대수가 만대를 돌파하였고 통신가입자 및 인터넷가입자수가 기하급수500
적으로 늘어나고 있어 통신을 매개체로 하는 범죄가 점차 증가추세에 있다 접속장소에 제.
약을 받지 않는 통신의 특성상 전국을 무대로 범죄가 발생하고 있는바 현재까지 드러난 통,
신이용범죄유형으로는 음란물 판매 불법 복제물 배포 명예훼손 및 모욕 사기 성폭력 행, , , ,
위 타인 도용행위 등이 있다, ID .
인터넷 포르노 사이트 운영인터넷 포르노 사이트 운영인터넷 포르노 사이트 운영인터넷 포르노 사이트 운영(4)(4)(4)(4)
최근 인터넷 사용자가 급격히 늘어나면서 소자본으로도 자신만의 사이트를 구축하거나 웹호
스팅 등의 방법을 통하여 포르노 사이트를 운영하는 경우가 늘고 있다 이들은 주로 손님으.
로 접속하면 회원가입을 유도하기 위한 누드사진 정도를 보여주다가 일정액을 납부하고 정
식회원이되면 외국의 인터넷 사이트 등을 통해서 구한 성행위 등이 노골적으로 표현된 포르
노 사진들을 제공한다.
프로그램 크랙킹프로그램 크랙킹프로그램 크랙킹프로그램 크랙킹(5)(5)(5)(5)
인터넷 사이트나 사설 중에는 등록번호를 넣은 정품프로그램이나 기간의 제한이 있는BBS
프로그램을 크랙 하여 무제한으로 사용할 수 있도록 개조한 프로그램들을shareware (crack)
유포시키는 곳이 있다 주로 학생층등 재정적으로 풍부하지 못한 사람들이 공짜로 프로그램.
을 사용하기 위해 주로 작업하고 최근에는 홈페이지에 관련 자료가 있는 사이트들을 모아
링크시켜 놓기도 한다[8, 16]
.
스팸메일스팸메일스팸메일스팸메일(6)(6)(6)(6)
특정 시스템을 정지시키는 방법중의 하나로 전자메일 폭탄이 있다 이는 메일시스템이 감당.
하기 어려울 정도로 덩치 큰 자료를 전자메일로 보냄으로써 시스템에 과부하가 걸려 결국
시스템을 정지시키는 행위이다.
컴퓨터시스템 불법침입파괴-
컴☞ 퓨터시스템 해킹 중요정보의 위변조 삭제 유출, , ,사회기반시설에 대한 사이버테러-
☞ 컴퓨터바이러스 전자메일폭탄 등을 이용하여 사회기반시설을 통제하는 정보통신시스템,파괴음란폭력물 게시 유통- ,
☞ 인터넷을 통한 음란물 폭력물 게시 판매, ,공공개인정보 오남용-
☞ 정보통신망을 통한 개인 신용정보 공공정보의 유출,인터넷을 이용한 범죄-
☞ 사이버 스토킹 인터넷 스와핑 매매춘 인터넷 사기 사이버도박, , , ,
지적재산권 침해-
웹 콘텐츠 통신인터세상의 전자문서 무단전재 도용S/W, , PC ,☞
컴퓨터바이러스 제작유포-
컴퓨터바이러스에 의한 중요정보 파괴 업무장애,☞
전자상거래 침해-
전자문서의 위변조 허위정보 입력,☞
컴퓨터통신을 이용한 사기-
통신을 이용한 물품대금 사기 등☞
통신을 이용한 명예훼손 등-
공인에 대한 명예훼손 악성루머 유포 개인 사생활정보 유통, ,☞
컴퓨터 범죄 사례컴퓨터 범죄 사례컴퓨터 범죄 사례컴퓨터 범죄 사례2.2.2.2.
가 사이버스파이가 사이버스파이가 사이버스파이가 사이버스파이....
사이버스파이란 사용자 와 비밀번호를 알아내 전산시스템을 장악 정보를 빼내는 테러리스ID ,
트들이다 통신케이블에서 흘러나오는 전자파를 잡아내 전송되는 정보를 빼내는 밴엑크. 「 」
란 수법은 사이버스파이들이 즐겨 쓰는 기법이다 통신망을 통하여 타인의 컴퓨터시스템에.
침입하여 그곳의 시스템운영 시스템을 정지시키거나 그곳의 파일들을 절취 파괴하는 등의,
행위를 컴퓨터 해킹이라고 말한다 해킹사건은 미국의 뻐꾸기알 사건이 효시이고 우리나. " '
라에서는 시스템공학연구소의 슈퍼컴센터내에 해커가 침입해 시스템을 교란한 사례 서울대,
학교 전산센터에 해커들이 서울대의 에 침입하여 워크스테이션 대의 모든 하드디스크LAN 6
를 지워버린 사례 서강대학교의 아키서버에 침투해 디스크를 지워버린 사건 등이 있다, .
나 비밀번호 도용을 통한 청와대 사칭사건나 비밀번호 도용을 통한 청와대 사칭사건나 비밀번호 도용을 통한 청와대 사칭사건나 비밀번호 도용을 통한 청와대 사칭사건....
년 월 김재열씨가 청와대의 천리안 를 도용하여 예금을 인출하려는 사건이 발생하였93 2 ID
다 우리나라 최초의 해커에 의한 범행으로 기록될 이 사건은 청와대 금융기관 등 국가주요.
기관과 정보통신회사의 전산망관리에 허점이 있음을 보여 주었다 또 이번 사건은 국내정보.
통신회사가 개발한 전산망이 외국 서적에 소개된 것과 비슷할 경우 컴퓨터 관련 외국서적,
에 익숙한 사람에 의해 손쉽게 침해될 수 있다는 문제점을 드러냈다 이 밖에 국제심판소의.
통신망을 이용했는데도 데이콤이 별다른 확인절차 없이 청와대비밀번호를 변경해 준 것도
전산망 관리의 허점을 보여준 것이다 컴퓨터 해커들의 해킹유형은 주로 통신서비스의 불법.
적인 사용과 통신망을 통한 시스템의 무단접속으로 하여 이루어진 경우가 대부분이다 특히.
학교나 공공 기관 등에서의 문제가 많이 발생하고 있으며 특히 자체 교육 자료가 파손될,
경우에는 복구도 어려울 것이거니와 국가적으로 피해가 심각해질 것이다 그리고 특히 통신.
망 서비스기관의 보다 확실한 정보보안관리가 요구된다고 하겠다.
제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안제 절 컴퓨터 범죄에 대한 증거능력 확보 방안3333
컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차컴퓨터 범죄에 대한 조사 절차1111
컴퓨터를 이용한 범죄행위는 전통적인 범죄와 달리 비교적 간단한 조작과 적은 노력으로 막
대한 금원을 획득할 수 있으므로 컴퓨터 해킹은 범죄자들에게 매혹적인 범죄수단이 될 것,
이다 컴퓨터 범죄에서는 고도로 복잡한 기술적 지식이 사용되는 경우가 많아 범행이 발견.
되기 어려울뿐만 아니라 범행이 순식간에 이루어져 발각 전에 도피할 수 있다.
따라서 컴퓨터를 수단으로 한 범죄를 조사하기 위해서는 컴퓨터의 원리자체에 대한 이해와
컴퓨터로 처리되는 업무의 성질을 파악할 필요가 있기 때문에 종래의 전통적인 범죄에 대한
조사 절차와는 다른 특징을 갖고 있다.
먼저 증거수집절차상의 특징을 살펴보면 다음과 같다 우선 작동 운영중인 컴퓨터를 정지시. ,
키지 않고 범죄의 증거를 발견하는 것이 바람직하다 할 것이다 컴퓨터 시스템을 정지시켜.
수색압수하는 것이 불가능한 것은 아니지만 네트워크화 온라인 화된 컴퓨터 시스템의 정, ,
지로 증거에 대한 입증이 불가능할 경우에는 시스템을 중지하지 않는 것이 바람직하다.
따라서 범죄나 오류의 원인이 발견될 수 있다고 생각되는 정보에 대해서는 백업 등을 수행
하여 조사하는 것이 바람직하다 컴퓨터의 테이프나 기록된 정보량이 방대하다는 것도 컴퓨.
터 수사의 특징에 해당한다 따라서 어떤 정보가 범죄와 관계 있는가를 손쉽게 조사할 수.
없는 경우가 있을 수 있고 일반적인 문서자료 중에서 범죄에 관련되는 정보를 수색하는 것,
이 어렵기 때문에 결과적으로 압수물의 범위 및 수사 절차에 대해 명확히 해야 할 것이다.
컴퓨터 범죄의 발견과 수사를 어렵게 하는 또 하나의 요인으로는 범인이 쉽게 데이터를 삭
제하여 증거를 인멸할 수 있다는 것이다 만일 이와 같은 경우 컴퓨터 작동 과실로 인해 증.
거가 삭제된 것처럼 주장할 경우 이에 대한 반증이 어렵기 때문에 더욱더 문제가 된다 특.
히 범죄의 증거를 빨리 처분하는 것이 범죄 은폐에 유리할 경우 실제 수사 직전에 단말기,
를 조작하여 정보를 미리 제거할 것이다.
이제는 컴퓨터 범죄가 발생하였을 경우 단계적인 조사 과정을 제시해 보고자 한다 우선 컴.
퓨터 하드웨어 환경에 대한 파악부터 시작하게 된다.
가 컴퓨터 하드웨어 파악가 컴퓨터 하드웨어 파악가 컴퓨터 하드웨어 파악가 컴퓨터 하드웨어 파악....
해킹 피해가 발생한 시스템에 대해 우선 하드웨어 상태를 파악한다 윈도우 시스템인 경우.
내컴퓨터 등록정보를 이용하여 하드웨어에 관련된 시스템 정보를 파악할 수 있다 유닉스.
시스템인 경우 명령어를 사용하여 설치된 하드웨어를 확인할 수 있다dmesg .
나 컴퓨터 소프트웨어 파악나 컴퓨터 소프트웨어 파악나 컴퓨터 소프트웨어 파악나 컴퓨터 소프트웨어 파악....
이제는 컴퓨터에 연결된 소프트웨어 현황을 파악할 필요가 있다 윈도우 시스템인 경우 제.
어판의 프로그램 추가 삭제 기능을 통해 시스템에 설치된 프로그램 현황을 파악할 수 있다/ .
또한 레지스터에 기록된 정보를 통하여 세부 사항까지도 확인할 수 있다 리눅스 시스템인.
경우 를 사용하여 사용자에 의해서 설치된 패키지의 이상RPM(RedHat Package Manager)
유무도 확인할 수 있다 유닉스 시스템인 경우 아래와 같은 명령어 등을 통해 소프트웨어를.
확인할 수 있다.
- Solaris(SUN OS) : pkgadd, pkgrm, pkginfo
- HP-UX swinstall
- SCO OpenServer : pkgadd, pkgrm, custom
- FreeBSD : pkg_add, pkg_delete, pkg_info
다 압수한 파일 목록 파악다 압수한 파일 목록 파악다 압수한 파일 목록 파악다 압수한 파일 목록 파악....
이제는 압수한 파일의 목록을 파악한다 윈도우 시스템인 경우 탐색기를 사용하여 파일의.
현황을 파악한다 이때 모든 파일을 볼 수 있는 형태로 옵션을 선택한다 만일 특정 파일을. .
찾고자 할 경우에는 검색옵션을 사용한다 유닉스 및 리눅스 시스템에서는 명령어를 사. 'ls'
용한다 전체 파일을 모두 출력하기 위해서 또는 옵션을 사용하여 전체파일의 목. '-a' '-al'
록을 확인한다 윈도우 시스템에서와 같이 만일 특정화일을 찾고자 할 경우에는 명령. 'find'
어를 사용한다.
이제는 각 파일들에 대해서 파일시스템의 특징을 기반으로 각 파일에 대한 특성을 파악하는
과정을 진행하게 된다 예를 들어 윈도우 시스템인 경우 파일에는 대부분 확장자를 두어 파.
일의 특성을 미리 파악할 수 있도록 하였다 따라서 파일에 대한 확장자를 통해 파일의 특.
성을 사전에 확인할 수 있다 결국 의심이 가는 파일의 확장자를 중심으로 파일검색 과정을.
수행하게 된다.
크게 파일의 종류를 분류하면 다음과 같다.
텍스트 파일 등의 파일- : txt, doc, pdf, ps
계열의 파일- ms office : doc, wbk, xls, ppt
그래픽 파일 등- : gif, jpg, tif, bmp, pox, psd
사운드 파일 등- : mid, wav, au, mp3, ra
동화상 파일 등- : avi, mov, mpg
실행 파일 등- exe, com, bat, scr, d11
리눅스 및 유닉스 계열에서의 실행화일은 원칙적으로 파일 이름에 제한이 없으나 디렉토리
를 의미하는 기호를 제외하고는 어떤 확장자를 쓰더라도 별 문제가 없다 물론 유닉스'/' .
및 리눅스 시스템의 특징을 파악하기 위해서는 파일 시스템의 구조에 대해 미리 알고 있어
야 할 것이다 이와 같은 기본적인 과정을 거친 후에는 증거 자료에 대해 추출할 수 있는.
준비가 갖추어졌다고 할 수 있다.
라 증거자료 추출 방법라 증거자료 추출 방법라 증거자료 추출 방법라 증거자료 추출 방법....
해킹으로 인한 범죄가 발생하였을 경우 상당히 다양한 방법으로 해킹을 시도하기도 하며 전
혀 알려지지 않은 방법 등을 개발하여 해킹하는 경우가 많기 때문에 실제로 증거자료를 추
출하는 것은 상당히 어려운 과정에 해당한다 따라서 증거자료를 추출하는 방법 중에서 주.
요한 방법을 기술하면 다음과 같다.
우선 압수한 컴퓨터와 관련된 매체는 증거 보존 절차를 통해 원본과 동일한 형태로 저장' '
보관하는 것이 바람직하며 증거자료를 추출하기 위한 분석 과정에서는 원본에 대한 이미지,
복사본을 사용하는 것이 바람직하다.
분석 과정에서 가급적 컴퓨터 범죄가 일어난 환경과 동일하도록 준비한다 예를 들어 하드.
디스크의 모든 자료를 복사할 경우 동일한 모델의 매체를 준비하여 복사토록 하고 하드웨, ,
어 환경도 동일한 것으로 준비하는 것이 바람직하다.
시스템에 대한 이미지 복사를 위해서는 하드웨어적인 방식과 소프트웨어적인 방식으로 나눌
수 있다 고가이면서 정밀한 수사를 원할 경우에는 하드웨어적인 방식을 적용하게 되는데. ,
일반적으로 등과 같은 하드디스크 복사기를 사용하여 복사를 한다 소프트웨어적Mr. Copy .
으로는 고스트 프로그램을 사용하여 분석하는 방법이 있다' ' .
마 증거자료 분석마 증거자료 분석마 증거자료 분석마 증거자료 분석....
이제는 컴퓨터 파일에 대한 분석 과정을 통해 각 문서 자료에 대한 증거 확보 과정을 수행
하게 된다 문서의 종류에 따라서 분석하는 방법 역시 달라지게 된다 예를 들어 일반적인. .
문서화일인 경우 특정 키워드가 포함된 문서가 있는지를 검사하는 방법이 있을 것이고 만,
일 회계와 관련된 사건인 경우 스프레드 시트 프로그램 파일 등에 대한 분석 과정을 거치게
된다 만일 데이터베이스를 조사할 필요가 있을 경우에는 데이터베이스의 구조를 파악하고.
데이터베이스에서의 테이블 구성을 조사하게 된다 특별히 이라는 데이터베이스 언어를. SQL
활용하여 좀더 정확히 데이터베이스 내에 기록된 정보에 대해 증거 정보를 추출할 수 있을
것이다.
데이터베이스에 대한 분석 과정에서 특히 유념해야 하는 것 중에 하나는 원본 데이터베이스
에 대한 무결성을 보장하는 것이다 검사과정에서 데이터베이스의 내용이 변경 또는 수정되.
지 않았다는 확신이 있어서 증거물로 채택될 가능성이 높기 때문에 데이터베이스에 대한 검
사 과정에서는 무결성을 확보할 수 있는 방안이 제시되어야 할 것이다.
컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보컴퓨터 범죄에 대한 증거 확보2.2.2.2.
가 데이터 부정조작 관련 범죄수법가 데이터 부정조작 관련 범죄수법가 데이터 부정조작 관련 범죄수법가 데이터 부정조작 관련 범죄수법....
데이터 디들링데이터 디들링데이터 디들링데이터 디들링(1)(1)(1)(1)
데이터의 입력 전이나 입력 도중에 데이터를 변조하는 수법으로서 가장 간단하고 보편적인
방법이다 데이터의 변조는 컴퓨터에 입력되는 데이터의 작성 기록 시험 검사 변환 등의. , , , ,
과정에 관여하거나 접근할 수 있는 모든 사람에 의해 범행이 가능하다 예컨대 서류를 위조. ,
하거나 컴퓨터 테이프 디스크를 미리 준비한 다른 것으로 바꾸는 것이다 이와 같은 데이, , .
터 디들링 수법의 용의자와 수사방법 및 증거자료 등을 열거하면 표 과 같다3-1 .
표 데이터 디들링 수사표 데이터 디들링 수사표 데이터 디들링 수사표 데이터 디들링 수사[ 3-1][ 3-1][ 3-1][ 3-1]
용의자 수사방법 증거자료
데이터처리참여자-데이터 작성자-데이터 공동작성자-데이터에 접근할 수-
있는자
데이터의 상호비교-서류 확인-매뉴얼의 통제수단 분석-컴퓨터 출력의 완전성 분석-
데이터 서류-테이프 카드 디스크 등- , ,
데이터 기록물매뉴얼 기록 일지 리포트- , ,부정확한 출력물-
트로이 목마트로이 목마트로이 목마트로이 목마(2)(2)(2)(2)
허가된 프로그램 속에서 허가되지 않은 기능을 수행하는 것이 바로 트로이 목마 프로그램이
다 이것은 자신이 해야할 것이 아닌 다른 것 대개는 악의에 찬 어떤 것을 하거나 프로그. , ,
래머가 의도했던 것이 아닌 것을 하는 프로그램이다 몇몇 바이러스 검색 프로그램. (scanner)
에서 트로이목마 프로그램을 검출할 수 있다 그리스 신화에 나오는 대서사시인 호메로스의.
일리아드 오딧세우스에 나오는 트로이 목마에서 유래된 것으로 남의 컴퓨터에 몰래 숨겨놓
고 원격지에서 그 프로그램을 이용하여 상대방의 컴퓨터를 제어하도록 하는 프로그램을 의
미한다.
일반적인 프로그램인 경우 만개 이상의 명령어와 데이터로 구성되기 때문에 범행에 사용10
된 부분을 찾아내는 것은 상당히 어려우며 이를 찾더라도 삽입한 범인을 찾아내는 것 또한,
어렵다 또한 범행의 종료 후에는 그 증거가 되는 목마 부분의 프로그램을 모두 소거하는.
경우가 많기때문에 범인 색출이 더욱 어렵다 이미 작성된 프로그램에 작성 당시에 사용한.
원시언어 형식으로 목마를 삽입하는 경우도 있다 따라서 트로이목마에 대한 용의자 수사방. ,
법 및 증거능력은 표 와 같다[ 3-2] .
표 트로이 목마 수사표 트로이 목마 수사표 트로이 목마 수사표 트로이 목마 수사[ 3-2][ 3-2][ 3-2][ 3-2]
용의자 수사방법 증거자료
해당 프로그램에 대해-상세한 지식이 있고 그프로그램에 접근할 수있는 프로그래머피고용인-프로그래머-컴퓨터 사용자-
프로그램 코드에 대한-비교협의있는 프로그래머에-
대한 조사용의자의 행동 추적-
프로그램의 예상의 결과-협의있는 프로그램에서-
발견된 낯선 코드
트랩도어트랩도어트랩도어트랩도어(3)(3)(3)(3)
대규모 프로그램의 발전과정에서는 디버깅을 위하여 프로그래머가 코드 상에 다른 코드를
삽입할 수 있는 트랩도어를 제공하는 방법이 사용되는데 프로그램을 수정할 수 있도록 삽,
입된 명령 부분은 프로그램이 완성된 후에 모두 삭제해야 하는데 이를 잊어버리거나 고의,
로 삭제하지 않을 경우 범행 등에 악용될 수 있다.
결국 트랩도어는 시스템의 보안이 제거된 비밀통로로서 서비스 기술자나 유지보수 프로그,
래머들의 액세스 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것이다 처음에는.
악의가 있는 것은 아니며 몇몇 운영체계들은 현장에서 서비스 기술자나 공급사의 유지보수,
프로그래머에 의해 사용될 목적으로 제공되는 특수한 계정이 함께 딸려 나오기도 한다 다.
른 말로는 백도어 라고 부르기도 한다(back door) .
이와 같은 트랩도어가 프로그램에 남아 있는지 여부를 사전에 발견하는 기술적인 방법은 없
고 일단 트랩도어를 사용한 범행이 이루어진 경우에도 이를 조사하기 위해서는 대상이 된,
컴퓨터 시스템에 정통한 전문가의 도움이 반드시 필요하다 바로 이와 같은 전문지식을 갖.
춘 제한된 사람 가운데에 용의자가 있는 가능성이 높다는 것이 수사 단계에서의 난점이라고
하겠다 용의자 및 조사방법 및 증거는 표 과 같다. [ 3-3] .
표 트랩도어 수사표 트랩도어 수사표 트랩도어 수사표 트랩도어 수사[ 3-3][ 3-3][ 3-3][ 3-3]
용의자 수사방법 증거자료
프로그래머-응용 프로그래머-
실행명세의 비교-증거를 위한 실험-
컴퓨터 시스템의 명세와-다른 실행을 한 것을암시하는 출력결과
나 데이터 부정입수 관련 범죄수법나 데이터 부정입수 관련 범죄수법나 데이터 부정입수 관련 범죄수법나 데이터 부정입수 관련 범죄수법....
스케빈징스케빈징스케빈징스케빈징(1) (scavenging)(1) (scavenging)(1) (scavenging)(1) (scavenging)
이 수법은 작업 후에 컴퓨터 시스템 속이나 주변에 남아있는 정보를 획득하는 것으로 범죄
유형 상으로는 데이터의 부정입수에 해당하는 것이다 컴퓨터 기록의 사본 등이 버려진 쓰.
레기통 등에서 정보를 찾는 것이며 보다 기술적인 방법으로는 작업 후에 컴퓨터에 남아 있,
는 데이터를 수집하여 정보를 취득하는 것이다 예컨대 컴퓨터 시스템의 입출력을 위한 임.
시저장장소로 쓰여진 버퍼 저장공간은 작업 후 깨끗이 삭제하지 않는다면 이와 같은 정보는
외부에 노출될 수 있다 이와 같은 범행은 컴퓨터 시스템에 기록된 정보를 역추적할 수 있.
을 것이며 일반적으로 표 와 같은 방식으로 수사할 수 있을 것이다3-4 .
표 스케빈징 수사표 스케빈징 수사표 스케빈징 수사표 스케빈징 수사[ 3-4][ 3-4][ 3-4][ 3-4]
용의자 수사방법 증거자료
컴퓨터 시스템 이용자-컴퓨터 시설 및-
부대시설에 접근할 수있는 자
발견된 정보에 대해 역추적-작업후 남아있는 데이터를-
발견하기 위한 컴퓨터 테스트
컴퓨터 출력기록-유사한 형태로-
얻어진 정보
데이터 리키지데이터 리키지데이터 리키지데이터 리키지(2) (data leakage)(2) (data leakage)(2) (data leakage)(2) (data leakage)
컴퓨터 시스템으로부터 데이터를 이전하거나 데이터의 원본을 얻는 것을 말한다 이를 위하.
여 여러 가지 기술적인 방법이 사용될 수 있는데 예를들어 출력보고서에 민감한 데이터를,
숨겨 기록하거나 무해한 기록에 문제의 데이터를 군데군데 분산해 두거나 데이터를 암호화, ,
하여 전송하는 방법 등이 있다 일반적으로 고전적인 암호 기술 및 비밀 통신에 의한 심층.
암호 기술과 연관을 가지고 있다 데이터의 부정입수를 위하여 데이터에 대한 부정조작과.
관련된 범행 수법과 관련된다 용의자 수사방법 및 증거물은 표 와 같다. , [ 3-5] .
표 데이터 리키지 수사표 데이터 리키지 수사표 데이터 리키지 수사표 데이터 리키지 수사[ 3-5][ 3-5][ 3-5][ 3-5]
용의자 수사방법 증거자료
컴퓨터 프로그래머-고용인 및 전직 고용인-
절취된 정보의 발견-컴퓨터 기록매체로부터-
컴퓨터 시설로 역추적
컴퓨터 로그기록-컴퓨터 출력물 트로이- ,
목마 및 스케빈징의 기록
와이어 태핑와이어 태핑와이어 태핑와이어 태핑(3) (wire tapping)(3) (wire tapping)(3) (wire tapping)(3) (wire tapping)
데이터 통신에 불법적으로 선로를 접속시켜 단말기 등을 연결하고 조작하여 자료를 절취하
거나 컴퓨터를 부정 사용하는 방법을 의미한다 범죄 유형상으로는 데이터의 부정입수 또는.
부정사용과 관련된 수법이다 데이터 통신 분야에서 분산처리와 네트워크 기술이 비약적으.
로 발전하면서 정보가 통신회선을 통해 전달됨에 따라서 이 분야의 범행이 증가하고 있다
와이어 태핑을 하기 위해서는 수신기 및 기록장치 등 소정의 장치가 필요하고 방대한 통신
량 중에서 원하는 데이터가 전달되는 시점을 포착해야 하기 때문에 쉽지 않은 방식이다 이.
를 방지하기 위해서는 암호화방식을 적용해야 할 것이며 수사 방법과 증거 수집은 음성 감
청에 의한 조사 방법과 유사하다고 할 수 있다 용의자 수사방법 및 증거는 표 과 같다. , [ 3-6] .
표 와이어 태핑 수사표 와이어 태핑 수사표 와이어 태핑 수사표 와이어 태핑 수사[ 3-6][ 3-6][ 3-6][ 3-6]
용의자 수사방법 증거자료
통신기술자-통신관계 고용인-
음성감청조사방법- 음성감청기록-
제 장 해킹 픽해 시스팀 증거물 확보 기술제 장 해킹 픽해 시스팀 증거물 확보 기술제 장 해킹 픽해 시스팀 증거물 확보 기술제 장 해킹 픽해 시스팀 증거물 확보 기술4444
제 절 해킹 펴해 시스템 현황제 절 해킹 펴해 시스템 현황제 절 해킹 펴해 시스템 현황제 절 해킹 펴해 시스템 현황1111
해킹의 정의해킹의 정의해킹의 정의해킹의 정의1.1.1.1.
해커 라는 단어의 유래는 년대 에서 시작한다 당시 공과대학 내에 테크(Hacker) 50 MIT . MIT (
모델철도클럽 이라는 동아리의 한 모임에서 철도 분기점 입체와 설계에 따르는 난제들을 해)
결하기 위해 대학 내 건물에 밤마다 몰래 들어가서 컴퓨터 시스템을 사용하여 어려IBM704
운 문제를 악착같이 해결해 냈다 그 뒤로 이들과 같은 집념 어린 노력가들을 라. "Hacker"
불렀다.
이 때부터 산출된 결과를 통해 집념과 악착같은 노력을 나타내는 결과 산출자를 해커라고도
부르게 되었다 해커라는 말뜻에는 집념과 악착같은 노력 기술수준 높은 결과를 산출하는.
기술연마자라는 뜻이 어우러져있다.
그 후 컴퓨터에 강한 흥미를 가지고 있으면서 이에 몰두하는 사람을 해커라 부르기도 하다
가 네트워크의 까다로운 침입 방어시스템을 뚫는데서 성취감 또는 쾌감이나 기쁨을 찾는 일
에 열중하는 사람이 출현하면서 해커 컴퓨터 침입자 라는 어감이 퍼졌고 컴퓨터를 이용한[ = ]
범죄의 증가로 급기야는 장난기나 범죄를 목적으로 단말기나 통신회선을 통해 컴퓨터에 침
입하여 정보를 빼내거나 혼란을 일키는 범죄자라는 뜻으로 변질되었다 그러나 미국 유럽. ,
등을 비롯한 선진국에서는 해커보다는 시스템 불법 침입자는 파괴자는Intruder, Attacker,
로 부르며 해커와는 구분하여 사용하고 있다Cracker .
국내에 네트워크 환경이 본격 보급되기 이전에는 대중들이 크래커라는 개념을 이해하지 못
해 해커라는 용어를 사용하였으나 현재 우리나라의 수준에서 볼 때 이제는 해커와 크래커
등을 구분하여 불러줄 때가 되지 않았나 생각합니다 최근 국내에서는 해커를 범죄적 해커.
와 단순히 호기심이나 실력을 연마하려는 레크레이션널 해커로 구분하려는 경향이 있으나
정보통신망 안전관리자는 해커로 타인이 관리하는 전산망에 불법 침입하거나 시스템을 파,
괴하는 자는 크래커로 불러서 해커와 크래커를 명확하게 구분하는 것이 바람직하다고 주장
하고 있다특정 시스템 보안상 문제를 찾아내고 가능하다면 그것을 해결하여 크래커의 의한.
악용을 방지하는 것 이 정의에 따르면 해커 는 굳이 정의하지 않아도 이해하리라 믿는다. , " " .
즉 해커 라 하면 일종의 보안 전문가라고 할 수 있다 그러나 국내에서는 해킹을 불법적인, " " ,
행위까지도 포함하여 사용하고 있다.
해킹에 대한 취약성해킹에 대한 취약성해킹에 대한 취약성해킹에 대한 취약성2.2.2.2.
컴퓨터의 발전으로 정보기관과 민간기업에서도 컴퓨터를 이용한 문서기록이 일반화되었으며
거의 모든 분야가 컴퓨터와 연관성을 갖고 있다 특히 인터넷이 보편 대중화되면서 인터넷.
을 통한 통합 미디어 환경으로 발전하고 있다 한편으로 컴퓨터 범죄활동도 이제는 광범위.
한 범위로 확대되고 있다.
특히 최근의 해킹 사고는 지능화 및 자동화된 공격 형태를 취하고 있다 스캔 및 공격 방식.
의 자동화로 인해 광범위한 시스템과 네트워크를 침입하고 있으며 인터넷 웜이 증가하고 있
다.
또한 대규모 분산화된 특성을 보이고 있다 동시에 다수의 서버를 공격하고 있으며 다중 스.
캔 기능을 이용하여 다수의 서버에서 목표 시스템을 공격하고 네트워크를 공격하고 있다.
마지막으로 현재의 해킹은 대중화되고 있다 해킹 관련 정보를 손쉽게획득할 수 있으며 증. ,
가하는 정보 및 편리한 사용자 환경으로 인해 해킹사고는 점차 대중화되고 있다 또한 해커.
를 영웅화하는 풍조 역시 해킹사고의 급속한 확대 원인이 되기도 한다.
이러한 해킹으로 인해 전자상거래 환경에서 금전적인 손실을 가져올 뿐만 아니라 기업 관,
련 산업 정보가 유출되기도 하고 국가 주요 기밀사항에 대해 해킹되는 사례가 급증하고 있
다 이 중에서도 특히 개인 비밀 정보에 대한 유출사례가 급증하고 있어 앞으로 가장 중요.
한 문제가될 것으로 판단된다[10, 11]
.
그렇다면 이렇게 컴퓨터 시스템이 해킹에 취약한 이유는 무엇인가 일반적으로 컴퓨터 시스.
템을 운영하고 있는 운영체제 에서의 버그로 인해 손쉽게 해킹될 수 있는 여지가 있다(OS)
는 것으로 해석할 수 있다.
특히 아래와 같은 이유로 인해 컴퓨터 시스템은 해킹에 취약할 수밖에없다.
인터넷의 개방성 의 소스가 개방되어 있다- (UNIX, TCP/IP) .
인터넷망으로의 접근이 쉽다- .
뉴스그룹 등을 통한 서로간의 정보 교환이 쉽다- .
특히 운영체제별로 취약성을 갖고 있어서 이에 대한 분석이 필요할 것이다 특히 윈도우즈.
에서 발견되는 버그가 상당히 많기 때문에 이를 이용한 해킹이 급격히 증가하고 있다NT .
윈도우 기반 운영체제에서의 대표적인 버그를 살펴보면 다음과 같다.
윈도우 버그- NT Mdaemon 3.1.1
버그- WebSphere
버그- Mail Server Open Relay
익스플로러 버그 익스플로러에서 문서를 더블 클릭으로 열 때 특정 프로그램- ( MS Office
을 실행시킬 수 있는 버그 결국 악성 코드를 실행할 수도 있다는 것을 의미. )
보안 홀 버그 패스워드 취약점- SalesLogix ( )
서버 버그- Sambar search CGI
버그- WinSMTPD remote exploit and Dos
도스 버그- NetMailshar
버그- Win2k Telnet.exe
에서 특정 실행 버그- Microsoft IE/Outlook/Outlook express java
버그- RedHat Linux ping Buffer Overflow
이러한 취약점은 대부분 인터넷에서 활동하는 불법 침입자들에게 대한 취약 요소로 작용하
게 된다 위에서 언급한 순수한 해커들은 다른 시스템에 들어가도 뚜렷한 대의명분을 가지.
고 있는 경우가 많다 예를 들자면 자신이 관리하는 시스템에 침투한 크래커를 추적하기 위.
해 역해킹을하는 경우이다 그리고 순수한 해커들은 컴퓨터 시스템에 대해 좀더 많은 것을.
알기 위한 정열을 가지고 있는 사람들이므로 순수한 해커들의 침입으로 시스템이 손상되거
나 파괴되는 것에 대한 우려는 하지 않아도 될 것이 다.
제 절 해킹의 유형제 절 해킹의 유형제 절 해킹의 유형제 절 해킹의 유형2222
해킹 방식 분류해킹 방식 분류해킹 방식 분류해킹 방식 분류1.1.1.1.
해킹 방법을 분류해 보면 아래와 같은 방법들이 있다.
가 일반적인 프로그램에서의 오류에 대한 해킹가 일반적인 프로그램에서의 오류에 대한 해킹가 일반적인 프로그램에서의 오류에 대한 해킹가 일반적인 프로그램에서의 오류에 대한 해킹....
컴퓨터 프로그래머가 개발한 프로그램이 완벽할 수는 없다 실제 해커들은 어떠한 조건의.
환경에서도 잘못된 프로그램을 발견하며 이를 악용하여 관리자의 권한까지도 획득하게 된,
다 따라서 각종 프로그램의 취약점을 찾아내고 실제 프로그램상의 버그를 보완하지 않는다.
면 결국에는 해킹의 대상이 될 수 있다 결국 컴퓨터 시스템에서 작동하는 각종 프로그램의.
설계상 오류가 있기 때문에 해킹이 발생한다고 할 수 있다.
나 시스템 설정상의 오류에 의한 해킹나 시스템 설정상의 오류에 의한 해킹나 시스템 설정상의 오류에 의한 해킹나 시스템 설정상의 오류에 의한 해킹....
개발 당시는 완벽한 프로그램일지라도 시스템 상에서 프로그램 설치시 발생하는 문제점이나
관리자의 실수로 인해 일어나는 수많은 버그들이 있다 실제로 와 같이 시스템. /etc/shadow
보안에 매우 중요한 파일을 일반유저가 볼 수 있게 설정한다든지 보안상 매우 위험한 프로,
그램에 를 설정하는 경우 손쉽게 해킹 당하게 된다 결국 시스템 설정 및 관리상의 문setuid .
제점들이 발견되지 않도록 재확인해야 할 것이다.
다 악성 프로그램을 이용한 해킹다 악성 프로그램을 이용한 해킹다 악성 프로그램을 이용한 해킹다 악성 프로그램을 이용한 해킹....
위와 같은 두 가지 경우가 아니더라도 시스템 관계자에 의해 설정되는 백도어 등을 제대로
관리하지 않을 경우 이것이 오히려 해킹에 악용될 수 있다.
라 취약점 정보수집을 통한 해킹라 취약점 정보수집을 통한 해킹라 취약점 정보수집을 통한 해킹라 취약점 정보수집을 통한 해킹....
특정 서버를 공략하려면 먼저 그 서버의 정보 및 여러 상황을 파악해야 한다 스캔을 하여.
상대방 서버의 열린 포트 사용중인 운영체제 실행중인 데몬 데몬의 버전 각 버전에 따라, , , ,
지니고 있는 취약점 등을 알아내게 된다 따라서 스캔은 실제 공격을 준비하는 과정에선 반.
드시 필요한 작업에 해당한다 결국 스캔 공격에 대비할 수 있는 방안이 구축되지 않게 되.
면 해킹 대상이 될 수 있다는 것을 의미한다.
마 프로토콜의 취약점을 이용한 공격마 프로토콜의 취약점을 이용한 공격마 프로토콜의 취약점을 이용한 공격마 프로토콜의 취약점을 이용한 공격. TCP/IP. TCP/IP. TCP/IP. TCP/IP
결국 인터넷을 이루고 근간이 되는 프로토콜의 특성상 취약점을 분석하여 공격하는TCP/IP
방식이 있다 는 공개 프로토콜이기 때문에 이의 취약점을 분석하여 쉽게 해킹할 수. TCP/IP
있다.
서비스 거부 공격서비스 거부 공격서비스 거부 공격서비스 거부 공격(1)(1)(1)(1)
인터넷 서비스를 이용하지 못하도록 하는 공격이며 대표적으로 등이 있다 예전DoS, DDos .
야후를 공격했던 방법이기도 한 이 공격법은 특별한 툴 없이 브라우저만으로도 엄청난 공격
을 가할 수 있다 또한 폭탄메일을 보내 상대방이 메일을 사용할 수 없도록 하는 방법 또한.
서비스거부 공격의 일종이다.
(2) IP spoofing(2) IP spoofing(2) IP spoofing(2) IP spoofing
이를 해석하면 속이기 혹은 사칭하기 등으로 표현할 수 있다 악명 높은 해커 케빈IP IP .
미트닉이 사용했던 방법으로 를 변경해 공격하는 방법이다 근래에는 웹서비스를 통한IP .
기술이 확산되고 있다 이는 웹사이트 속이기로 불리는데 기본적인 공격흐름web spoofing .
은 비교적 간단하다 즉 목표가 되는 사용자의 웹 브라우저가 사용자가 원하는 웹사이트를.
방문할 때 마치 해당 웹사이트인양 속여 원래 웹사이트를 제공하는 웹 서버와 사용자 브라
우저 사이에 끼어들어 오가는 정보를 가로채서 읽거나 변경 심할 경우 피해를 줄 수 있는,
프로그램을 사용자에게 보내는것이다 이와 같은 구성 때문에 공격이라. man-in-the-middle
고도 불린다.
실제 공격 방식을 자세히 살펴보면 우선 공격자가 기본적으로 사용하는 방식이 URL
기법이다 이것은 실제 가고자 하는 주소앞에 공격자의 주소를 두어rewritten . URL URL
항시 공격자의 컴퓨터를 거쳐가도록 하는 것으로 다음과 같이 기술된다.
http://www.hacker.com/http://www.supply.com
이 경우 사용자 브라우저는 에 접속하는 것이 아니고 먼저www.supply.com
에 접속하는 것이다 이와 같은 요청이 생기면 의 해커는www.hacker.com . www.hacker.com
에 접속하여 실제 웹 데이터를 얻어온 후 그 내용을 읽어 내거나 수정 첨www.supply.com ,
가하여 클라이언트에게 거짓 정보를 보내는 것이다 클라이언트는 익숙한. www.supply.com
의 화면이기 때문에 의심하지 않고 정상적인 접속으로 생각하게 된다 실제 이와 같은 공격.
이 이루어지기 위해서는 대상 컴퓨터의 클라이언트가 브라우저로 해커의 웹사이트에 접속해
야만 한다.
이를 위해 해커는 잘 알려진 웹페이지에 거짓 웹 주소를 등록시키거나 웹 검색 엔진에 잘못
된 웹 연결 주소를 갖도록 장난을 쳐 놓는 등의 방법을 사용한다 일단 이 과정을 성공시켜.
사용자가 해커의 웹페이지에 연결이 되면 사용자는 자신이 기대하는 일반적인 또는 익숙한
화면 또는양식을 화면에서 보게 되기 때문에 쉽게 속는다 이 공격 방식은 일반적인 웹 브.
라우저에 대체로 그대로 수행될 수 있고 또한 이 공격을 탐지해내고 방어하기가 현재로선
쉽지 않다.
을 사용한 웹 연결을 할 경우에도 드러나지 않고 정상SSL(Secure Sockets Layer) Secure
동작으로 보여지며 방화벽의 안쪽에서 보호받는 사용자의 경우도 이 공격에 당할 소지가 있
다 그러나 의 사용 형식상 실제 주소 앞에 해커의 주소가 항. Rewritten URL Supply Web
시 붙어 있게 되므로 이를 감지할 수 있으면 우선은 현재 웹 스푸핑으로 공격받고 있다는
건 알 수가 있다 웹브라우저의 가장 아래 줄엔 현재 통신을 하고있는 웹 주소와 보고 있는.
파일 등의 정보를 나타내는 상태 표시 줄이 한 줄의 텍스트로 나타난다 따라서 가고자 하.
는 웹 제공자의 웹 링크에 마우스를 가져가면 실제 링크 주소가 이 상태 표시줄에 나타나므
로 웹스푸핑 공격일 경우 제공자 웹 주소가 아니라 해커의 주소가 먼저 나타날 것이다 또.
한가지 브라우저의 주소 표시줄은 현재의 주소 웹사이트 주소 를 나타내므로 현URL URL ( )
재 연결된 주소가 형식으로 쓰여 있을 경우 이를 통해 탐지해 낼 수가 있Rewritten URL
다.
(3) IP Hijaking(3) IP Hijaking(3) IP Hijaking(3) IP Hijaking
테러 당시 비행기를 납치했던 방법과 마찬가지로 인터넷상의9.11 (airplane hijacking)
를 가로채는 방법이다TCP/IP .
(4) Sniffing(4) Sniffing(4) Sniffing(4) Sniffing
어원은 냄새를 맡다 등으로 표현하는 이 방법은 인터넷이나 네트워크로 흘러 다니면서 정보
를 전달해 주는 패킷을 훔치는 것을 말한다 예를들어 라는 사람이 하이텔이나 천리안에. A
접속하고 와 패스워드를 입력하면 그 와 패스워드가 담긴 패킷을 중간에서 가져올 수ID ID
있는 방법이다 툴인 경우 네트워크상에 돌아다니는 패킷 정보의 작은 조각들 을 중. sniffing ( )
간에서 잡아내는 프로그램으로 원래는 네트워크 상태를 체크하는 데 사용하는 것이었는데,
현재는 오히려 원격지로 로그인을 시도하는 사용자들이 쳐 넣는 패스워드를 중간에서 가로
채는 해킹용 틀로 많이 사용된다.
현재의 인터넷 통신은 프로토콜이라는 일종의 통신상 약속을 기초로 하여 데이터를TCP/IP
주고받는데 이 프로토콜은 데이터를 패킷이라는 작은 조각으로 나누어 인터넷을 이루는 통,
신 선로를 따라 목적하는 곳까지 가지만 그 통로는 일정하게 정해진 것이 아니라 수많은,
중간 지점의 컴퓨터들을 거쳐가게 된다 보통 중간 위치의 컴퓨터들은 자신을 목적지로 하.
여 오지 않는 데이터는 무시하지만 통신 조건을 로 세트하면 받아들일 수 있PROMISCOUS
다.
통상 이 패킷 내용 중 앞쪽 바이트에 들어있는 내용을 꺼내어 그것들로부터 원격지로 로128
그인하는 사용자의 패스워드를 알아내는 것이다 이것은 의외로 효과가 큰 해킹 방식으로. ,
이를 막기 위해 같은 방지툴을 사용하거나 같은ssh(secure shell), kerberos S-key
패스워드를 사용하여 원격지 접속을 하는 것이 좋다One-time .
해킹사례해킹사례해킹사례해킹사례2.2.2.2.
가 제주대학교 해킹 사건가 제주대학교 해킹 사건가 제주대학교 해킹 사건가 제주대학교 해킹 사건....
제주대학교 전자공학과 학생이 학교 전자계산소의 메인 컴퓨터에 들어가 성적을 조작하였
다 대학교 공과대학 전자공학과 양모 씨가 학생의 성적관리를 하는 전자계산소 메인 컴퓨.
터에 들어가 학기에 자신이 수강한 과목중 개 과목을 뺀 전과목의 성적을 모두 조작했다1 1 .
이 같은 사실은 학교측이 학생들의 학기 성적을 각 과 해당 교수들에게 확인하기 위해 보1
낸 성적확인용 출력물을 검토한 모학과에서 양씨의 점수가 당초 점에서 점으로 올라' ' 61 84
간 것을 발견해 드러났다 양씨는 또 학년 학기 학점도 대부분 점대 학점 에서 점대. 1 1.2 1 (D ) 3
학점 로 조작한 것으로 알려지고 있는데 이 때는 양씨가 성적이의 신청기간이 지난뒤 조(B )
작해 학교측에서 눈치채지 못했다.
나 한국과학기술원 학생들의 포항공대 해킹 사건나 한국과학기술원 학생들의 포항공대 해킹 사건나 한국과학기술원 학생들의 포항공대 해킹 사건나 한국과학기술원 학생들의 포항공대 해킹 사건....
포항공대 전기전자공학과 전산시스템관리자는 평소와 다름없이 시스템을 가동시켰다 그날.
따라 시스템이 제대로 작동되지 않아 이리저리 살펴보다가 국내 최고 수준으로 관리돼 해킹
의 안전지대라고 자부했던 학과 전산시스템이 해킹 당했다는 사실을 감지했다.
시스템의 읽기 전용 기억 소자인 롬의 비밀번호를 바꿔버려 롬 자체를 새 것으EEP- EEP-
로 바꾸지 않으면 시스템의 재사용이 불가능한 상태였다 뿐만 아니라 교수 및 연구원들의.
연구자료 학생들의 각종 과제물 등 모든 전산자료를 삭제해 전기전자공학과의 학사 행정이,
완전히 마비될 수밖에 없었다.
사태의 심각성을 인식한 이씨는 황급히 학과장과 학교 당국에 이 사실을 보고했다 전기 전.
자 공학과뿐 아니라 포항공대내 다른 시스템에서도 해킹 피해가 속속 접수되기 시작했다.
포항공대에서는 손상된 시스템의 롬을 같은 모델의 제품으로 대체하고 하드 디스크쪽EEP-
부팅관련 섹터를 완전히 교체 시스템을 정상화하는데 개월 정도 소요됐다, 1 .
다 해킹을 통한 홈뱅킹 사기다 해킹을 통한 홈뱅킹 사기다 해킹을 통한 홈뱅킹 사기다 해킹을 통한 홈뱅킹 사기....
서울지방검찰청 특별범죄수사본부 정보범죄수사센터는 통신망과 연결된 인터넷 서비스PC
망에 해킹 프로그램을 설치 홈뱅킹거래를 하는 고객의 거래정보를 빼내 거액을 가로챈 혐,
의로 최씨를 컴퓨터등 사용사기 및 컴퓨터 정보처리관련 업무방해혐의로 구속했다.
최씨는 통신망과 연결된 인터넷 서비스 망에 서비스 이용자들의 와 비밀번호를 가로채PC ID
는 프로그램을 몰래 설치 고객들의 비밀번호 등을 알아낸 뒤 홈뱅킹 서비스에 접속 은행의, ,
계좌 사이에 백여만원 정도가 순차적으로 자동이체 되도록 조작한 혐의다2 .
최씨는 용산전자상가에서 컴퓨터 판매상 이모씨로부터 구입한 노트북 컴퓨터 대의 대금2 5
백 만원을 갚기 위해 이모 씨 계좌에 든 백 만원을 외환은행에 개설된 판매상 이씨의 계92 5 92
좌로 자동 이체되도록 조작한 혐의도 받고있다.
조사결과 최씨는 인터넷망 주컴퓨터에 접속한 뒤 시스템 관리자 몰래사용자의 와 비밀번, ID
호 등을 가로챌 수 있는 변형프로그램을 독자적으로 설치 고객의 정보파일을 고스란히 전,
송 받는 수법을 이용한 것으로 드러났다.
라 나우누리 해킹 사건라 나우누리 해킹 사건라 나우누리 해킹 사건라 나우누리 해킹 사건....
국가기밀 전산망이나 대규모 상업망에 해커출현으로 전산망이 마비되는 상황이 종종 일어나
고 있다 그러나 해커들 대부분이 대 후반이나 대 초반의 대학생들로서 대학이 해커온. 10 20
상으로 지목 받고 있다.
문제는 해커자체에 있는 것이 아니고 자신의 전산능력을 남에게 피해를 입히는 형태로 나타
나는 것이다 전산윤리 불감증이 해커에 대한 인식을 그릇되게 만들고 있다. .
나우콤의 인터넷망에 불법으로 침입해 가입자의 비밀번호가 든 파일을 훔치고 작동 프로그
램을 파손 인터넷 서비스를 시간 동안 중단시킨 대학생 해커가 경찰에 구속됐다, 6 .
경찰청 해커수사대는 나우콤의 인터넷망에 침입해 가입자 만 천여명의 비밀번호가 암호로2 4
저장돼 있는 섀도우 파일 을 훔쳐내고 작동 프로그램을 일부 파손 인터넷 서비스를 중,「 」
단시킨 부산 경남 지역 인터넷동호회 부책임자 김모군을 업무방해 등 혐의로 구속했다/ .
경찰에 따르면 김군은 집에서 개인용 컴퓨터와 모뎀을 이용 나우콤의 전산망에 접속한 뒤,
해킹도구로 개발된 라는 프로그램을 이용해 섀도우 파일을 훔쳐냈다UUTXJ .「
김군은 이어 인터넷 작동에 필요한 작동 프로그램을 일부 파손시켜 시간 동안 나우콤 인터6
넷 서비스 가입자들이 접속을 못하도록 방해한 혐의다 김군은 또 부산 모교육기관의 전산.
망에 침투 직원들이 공동으로 사용하는 통신의 고유번호 와 비밀번호를 도용했으며, PC (ID)
자신이 다니는 대학의 전산망에 들어가 작동 프로그램을 임의로 변경시킨 혐의도 받고 있다
이밖에도 다양한 형태의 해킹 사건이 발생하고 있어서 이에 대한 적절한 대응 방안이 제시
되어야 할 것으로 판단된다.
제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안제 절 해킹 피해 시스템 증거능력 확보 방안3333
해킹으로 인한 증거능력해킹으로 인한 증거능력해킹으로 인한 증거능력해킹으로 인한 증거능력1,1,1,1,
가 사용자 아이디 추적가 사용자 아이디 추적가 사용자 아이디 추적가 사용자 아이디 추적(ID)(ID)(ID)(ID)
일반인이 네트워크를 통해 정보통신망에 연결하기 위해서는 사전에 컴퓨터통신서비스 또는
인터넷접속서비스를 제공하는 기관이나 업체로부터 사용자 아이디 를 제공받아야 하므로(ID)
해킹 역시 가장 먼저 착안할 수 있는 것은 범죄자의 인적사항을 파악하는 것이다.
수사기관에서 해당 기관이나 업체에 공문을 발송하여 가입자명의를 조회하게 되면 그 회답
을 통해 가입자의 성명 주민등록번호 주소 연락전화번호 뿐만 아니라 그 가입자의 정보통, , ,
신요금내역 또는 서비스이용내역까지도 파악할 수 있다.
아직 통신실명제가 확립되지 않고 있는 실정에서 컴퓨터범죄자들이 가명을 사용하거나 타인
의 인적사항을 도용하여 정보통신망에 가입하기도 하고 타인이 개설한 가입자 명의를 이용,
하여 범죄를 저지르는 사례가 많기는 하지만 가입자명의를 확인하는 것만으로도 범인의 윤
곽을 특정할 수 있는 경우가 많고 최소한 범인에게 접근할 수 있는 유력한 수단이 되고 있,
다.
가명으로 가입하거나 타인의 인적사항을 도용한 경우에도 가입자의 연락전화번호 또는 전자
우편주소가 있다면 그 전화번호나 전자우편주소에 대하여 다시 가입자명의를 조회하여 그
조회결과서에 나타난 인적사항과 비교하여 보면 범인을 추적할 수 있는 단서가 발견되기도
한다.
용의자의 정보통신요금 결제방법을 조회하여 결제구좌 또는 신용카드 번호를 근거로 그 결
제구좌 또는 신용카드의 소유자를 상대로 추적하는 방법도 있고 범인의 정보통신서비스 이,
용내역을 근거로 용의자의 전자우편을 보낸 사실이 있는지 동호회에 가입하여 활동하고 있,
는지 게시판이나 자료실을 이용한 사실이 있는지 등을 확인하는 방법도 있을 수 있다, .
타인이 개설한 가입자명의를 사용하여 범죄를 저지른 경우에는 타인이 그 가입자명의를 범
인에게 제공하게 된 경위나 그 가입자명의를 도용 당할 수 있는 정황 등을 조사하면 범인의
인적사항 파악에 도움이 될 수있다.
그러나 이러한 가입자명의 조회만으로 범인을 잡을 수 있는 것은 범인이 확신범으로서 수사
기관에 적발되는 것을 감수하고 있거나 범인이 순간적으로 충동적인 범죄를 저지른 경우 또
는 너무 경미한 범죄라고 생각하여 검거가능성에 대비하지 않는 경우가 대부분이고 그 범,
죄 자체가 의도적이고 계획적인 경우에는 가입자명의를 조회하는 것으로 범인의 인적사항을
밝혀내기는 한계가 있을 수밖에 없다.
나 접속기록 추적나 접속기록 추적나 접속기록 추적나 접속기록 추적. (Log File). (Log File). (Log File). (Log File)
네트워크로 연결되어 있는 컴퓨터시스템은 그 자체의 보안을 위해 일반적으로 그 컴퓨터에
접속한 사용자가 어느 컴퓨터에서 접속하였는지를 알 수 있도록 접속기록을 작성 보관하고,
있으므로 그 접속기록으로 상대방 컴퓨터의 주소를 확인할 수 있다.
기관이나 업체의 내부 네트워크 내에서 범죄가 발생한 경우에는 서버에 기록된 이용기록을
근거로 단말기의 번호 랜카드의 식별번호 등을 확인하여 범인이 사용한 컴퓨터를 특정할,
수 있을 것이고 인터넷을 통해 범죄가 발생한 경우에는 그 인터넷 주소 를 조, (IP Address)
회하여 그 컴퓨터 소재지를 파악할 수 있는데 이러한 인터넷 주소 의추적방법은(IP Address)
인터넷을 이용한 모든 범죄의 추적에 있어 정형화된 방법이 되고 있다.
따라서 정보통신망에 접속되어 있을 당시 전 세계에서 그와 같은 주소를 가진 컴퓨터는IP
중복될 수 없도록 설계되어 있고 단 한 대만이 존재하게 된다.
주소가 확인되면 아래의 흠페이지에서 검색을 하거나 한국인터넷정보센터 에 조IP (KRNIC)
회하면 그 주소에 해당하는 컴퓨터의 서버위치 관리자 관리자의 전화번호와 전자메일IP , ,
등을 확인할 수 있다.
도메인의 검색- .KR : http://whois.nic.or.kr
도메인의 검색- .COM/NET/ORG http://www.nsi.com
검색- WHOIS IP/AS : http://ipwhois.nic.or.kr
위와 같이 인터넷이용자가 그 컴퓨터에 하나의 고정된 를 가진 경우에는 위의IP Address
주소추적방법으로 그 컴퓨터가 특정될 수 있으므로 그 컴퓨터의 사용자를 파악하는 문제만
이 남게 되나 인터넷이용자가 인터넷서비스업체에 일반 전화선 또는 전용회선을 통하여 접
속한 후 인터넷서비스업체에서 임의로 부여하는 DHCP(Dynamic Host Configuration
방식을 사용하는 경우 위 주소추적으로 인터넷서비스업체만이 밝혀질 뿐이고 그Protocol)
업체를 상대로 다시 수사하여 인터넷을 이용하기 위해 접속한 컴퓨터를 밝혀내야 한다.
이 경우 업체의 서버의 기록이나 이용자의 가입자명의에 의하여 그 당시 접속했던DHCP
컴퓨터를 확인하고 범인을 검거할 수도 있으나 만일 이용자가 일반 전화선을 이용하였다면
일반 전화선의 추적을 통해 범행당시 접속한 컴퓨터를 밝혀내기란 거의 불가능에 가까운 실
정이다.
피해를 당한 정보통신망 또는 불법메시지가 올려진 정보통신망에 접속기록 이 존(Log File)
재하지 않는 경우에는 아예 의 추적을 할 수 없다 즉 정보통신망 운영업체에서IP Address . ,
서버의 관리를 소홀히 하거나 서비스이용속도의 감소를 우려하여 접속 기록 을 작(Log File)
성하지 않거나 범인이 추적을 피하기 위해 접속기록 을 삭제한 경우에는 해당 정(Log File)
보통신망에 접속기록이 존재하지 않기 때문에 추적을 위한 단서를 발견할 수 없게 된다.
다 전자메일 추적다 전자메일 추적다 전자메일 추적다 전자메일 추적. (E-mail). (E-mail). (E-mail). (E-mail)
인터넷으로 연결된 사이버공간에서는 거의 대부분의 이용자가 전자메일을 사용하고 있다.
컴퓨터사범의 추적에 있어서도 범인으로 의심되는 용의자에게 전자메일을 보내 어 그 수신
처를 확인할 수 있는 서비스가 제공되고 있어 수사에 큰 도움이 되고 있다.
특히 한글 음란사이트 운영자 불법 소프트웨어 유포사범 등은 국내의 사법권이 미치지 못, ,
하는 해외의 사이트를 이용하는 경우가 많아 수사상의 제약이 따르는데 전자우편 수신처를
추적함으로써 국내에서 해외의 사이트를 조종하는 범인을 검거한 사례가 여러 건 있다.
그 방법은 용의자에게 전자메일을 보낼 때 수신자 주소에 를 붙여서 보내면 수".confirm.to'
신자가 언제 어떤 컴퓨터에서 전자메일을 읽었는지를 발송자의 전자메일 휴대폰 실시간 메, ,
신저 등으로 통지를 받을 수 있는 서비스를 이용하는 것이다(eg. ICQ) .
일반적인 는 형식의 편지본문에 로 연결되는 이미지 태그에 의해 수.confirm.to HTML cgi
신확인 통지를 송신자로 전달하지만 상에서 으로 메일을 읽거나, UNIX Shell PINE , HTML
그림 보기 기능이 없는 메일 프로그램 등을 사용하는 수신자나 또는 오프라인으로Eudora
메일을 읽는 습관을 가진 수신자들에게는 또는 를[.ensure], [.unix] [.eu dora] [.confirm.to]
앞에 덧붙여서 보내야 한다.
전자우편주소에 를 붙여서 보내면 기능이 작동했는 지 수신자가[.hide.confirm.to] .confirm.to
알아채지 못하도록 한 상태에서 수신확인을 할 수있다.
라 역추적 기술라 역추적 기술라 역추적 기술라 역추적 기술. IP (IP traceback). IP (IP traceback). IP (IP traceback). IP (IP traceback)
역추적 기술은 능동적인 해킹 및 바이러스 대응 기법으로서 실시간으로 해커의 위치를 파악
하는 것을 목적으로 하고 즉각적인 대응이 가능하도록 하는 기술을 의미한다.
역추적 기술- (traceback)능동적 해킹 방어의 기본 시스템ㆍ실시간 역추적을 통해 해커의 위치 파악ㆍ즉각적인 대응ㆍ역추적 경로 상의 취약 시스템 파악 및 보완 가능ㆍ
기존의 수동적인 방식에서는 여러 가지 문제점이 발생한다 실시간적인 추적이 불가능하고.
즉각적인 대응이 불가능하여 전체 인터넷망이 마비될 수 있는 위험성을 갖고 있다 기존의.
대응 방식은 해킹 시스템에서의 로그 분석을 통해 공격 시스템을 파악하고 로그 분석 과정
을 반복적으로 적용하여 해킹 경로를 추적하는 수동적인 방식이었다.
만일 추적 경로 상에 있는 일부 시스템에서의 로그 정보 등이 삭제된다면 전체적인 로그 분
석 자체가 불가능할 것으로 판단된다 따라서 기존의 수동적인 방법인 경우 이전 단계 추적.
이 어려울 경우 역추적 자체가불가능하다는 것을 의미한다 따라서 좀더 신속하고 정확한.
실시간 역추적 시스템이 필요하다.
해킹바이러스 공격이 발생하였을 경우 현재까지는 다분히 수동적인 측면에서의 대응 방안
을 수립할 수밖에 없었다 특히 기존의 방식은 해킹 시도 자체를 제한하거나 방지할 수 없.
는 방식으로서 결국에는 인터넷이 마비되거나 무용지물화되는 특성을 보이고 있다.
이러한 문제를 해결하기 위해서 제시된 기술이 바로 능동적 인 해킹 방지 기술이다(active) .
새로운 방식에서는 해킹 시도 자체를 방지하거나 이를 능동적으로 실시간 내에 추적할 수
있는 기술 등이 제공되어서 해킹시도 자체를 방지하고자 하는 것이 주요 목적이다.
따라서 해킹바이러스에 대한 능동적인 대처를 위해 필수적인 기술로 최근 그 중요도가 높
아지고 있는 기술이 역추적 기술 이다 역추적 기술은 해킹바이러스(traceback technique) .
에 대한 근원지를 실시간으로 추적함으로써 해킹바이러스에 대한 근본적인 억제 기능을
제공한다.
역추적 기술을 시스템 측면에서 분류하면 크게 패킷 역추적 기술과 연결 역추적 기술로IP
분류할 수 있다.
패킷 역추적 시스템- lP (IP packet traceback system)
패킷의 실제 송신지 추적IP Address Spoofing
연결 역추적 시스템- (Connection traceback system)
우회 공격의 근원지 추적
그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적그림 주소 변경 공격에 대한 추적( 4-1) IP( 4-1) IP( 4-1) IP( 4-1) IP
그림 패킷 역추적 기술그림 패킷 역추적 기술그림 패킷 역추적 기술그림 패킷 역추적 기술( 4-2) IP( 4-2) IP( 4-2) IP( 4-2) IP
패킷 역추적 시스템인 경우 공격에서 주소가 변경된 경우 이를 찾아내기 위한IP DoS IP
방법을 제공한다 그림 과 같이 에 패킷을 보낸 시스템의 실제 위치를 추적하는. ( 4-1) Host B
방식이다 그림 와 같이 구체적으로 중간 경유 라우터를 이용하여 추적 경로를 유추하. ( 4-2)
는 방식으로 패킷에 대한 마킹기법 을 적용한다 즉 각 라우터에서는 패킷에 일정, (Marking) .
확률로 선정하고 이를 대상으로 마킹을 수행한다 마크된 정보는 패킷에 대한 전달 경로를.
제공하게 된다.
그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적그림 우회 공격에 대한 추적( 4-3)( 4-3)( 4-3)( 4-3)
우회 공격 근원지 추적 기법인 경우에는 그림 에서와 같이 해커는 를 공격하기, ( 4-3) Host B
위해 다수의 다른 시스템을 경유하여 해킹을 시도한다 따라서 에 존재하는. Host B audit
만으로는 의 실제 위치를 파악할 수 없으며 해커의 실제 위치를 찾기 위한 여러trail Hacker ,
기법이 연구개발되고 있다.
이와 같은 역추적 기술을 다시 세분화하면 호스트 기반 역추적 네트워크 기반 역추적으로,
구분할 수 있다.
호스트 기반 역추적 시스템 은 그림 와 같이 모든 호스(Host-based traceback system) ( 4-5)
트에 역추적 모듈을 설치하는 방식이다 따라서 모든 역추적 경로상의 호스트들로부터 정보.
를 얻어야 역추적이 가능한 기법이다.
그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템그림 네트워크 기반 역추적 시스템( 4-4)( 4-4)( 4-4)( 4-4)
기존의 모든 시스템에 역추적 모듈을 설치한다는 것이 상당히 어렵기 때문에 현재의 인터넷
환경에는 적용하기 어려운 방식이라고 할 수 있다.
네트워크 기반 역추적 시스템 은 그림 와 같이 네트(Network-based traceback system) ( 4-4)
워크 상에 송수신되는 패킷들로부터 정보를 추출하여 존재하는 연결 정보들간의 연관성을
파악하여 역추적 경로를 파악하는 방식이다 예를 들어 해커가 및 라는 명령어를 계. ls cd
속적으로 입력하였을 경우 이와 같은 명령어가 흘러가는 경로를 분석하여 전체적인 해킹 및
바이러스 경로를 분석하는 방식이다.
이와 같은 기법은 현재의 인터넷 환경에 적용할 수 있는 가능성이 있으나 기존의 라우터에,
패킷을 감시할 수 있는 위치에 역추적 모듈을 설치해야 하기 때문에 실제로 적용하기에는
아직도 많은 문제점을 가지고있다.
그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템그림 호스트 기반 역추적 시스템( 4-5)( 4-5)( 4-5)( 4-5)
해킹에 대한 증거 확보해킹에 대한 증거 확보해킹에 대한 증거 확보해킹에 대한 증거 확보2.2.2.2.
가 해킹 증거에 대한 압수수색가 해킹 증거에 대한 압수수색가 해킹 증거에 대한 압수수색가 해킹 증거에 대한 압수수색....
사회 전반의 정보화가 진행됨에 따라 컴퓨터에서 처리되거나 저장되는 데이터가 형사사건의
증거로서의 중요성을 더해 가고 있다 수사기관으로서 어떤 기업이나 기관을 압수 수색할.
경우 그 기업이나 기관의 업무가 컴퓨터에 의하여 처리되고 있다면 컴퓨터 증거자료에 대한
압수수색을 염두에 두어야 한다.
해킹과 관련된 증거를 확보하기 위해서는 컴퓨터 시스템 디스켓 등 저장장치 그 출력물 기, ,
타 전산자료를 압수수색의 대상으로 명시해야 하고 부가적인 증거 자료에 대해서도 확보하
여야 할 것이다.
나 압수수색시 유의사항나 압수수색시 유의사항나 압수수색시 유의사항나 압수수색시 유의사항....
해킹 정보에 대한 압수수색을 실시하기 전에 압수수색 대상인 데이터를 복제할 수 있는 저
장장치 출력물을 인쇄할 수 있는 비품 컴퓨터를 분해할 수 있는 장비 등 충분한 준비를 갖, ,
추어야 한다.
해킹 데이터 및 해킹과 관련된 증거물은 압수수색 대상자가 그 압수수색사실을 알게 되는
경우에는 즉시 삭제될 수 있는 특성을 지니고 있다 해킹된 시스템을 압수수색하는 도중.
다른 곳에서 데이터를 삭제할 가능성이 있는지 비밀번호 등 보안장치로 인해 압수수색에,
지장을 받을 가능성이 있는지 등을 시스템 책임자를 상대로 확인한 후 이에 대비해야 한다.
그 후 해당 전산시스템의 전원을 차단하지 못하도록 하여야 한다.
전산시스템의 전원이 차단되는 경우에는 실행중인 프로세스가 중단되어 사라짐은 물론이고,
중대형 시스템의 저장매체에 중대한 장애를 주어 전체의 데이터를 다시 회복할 수 없는 상
태로 훼손할 가능성이 있기 때문이다.
많은 이용자가 접속하는 대형시스템의 경우에는 그 전산시스템 자체를 압수하게 되면 선의
의 이용자들이 피해를 입게 되므로 필요한 데이터를 추출하여 별도의 저장장치 에 복제하거
나 프린터로 출력하여 그 복제물 또는 출력물을 압수하는 방법을 강구해야 할 것이다.
다 적법성 및 신뢰성의 확보다 적법성 및 신뢰성의 확보다 적법성 및 신뢰성의 확보다 적법성 및 신뢰성의 확보....
해킹 시스템에서 발견된 정보를 증거로 제출하는 경우 압수수색이 적법한 절차를 거쳤는지,
제출된 증거가 압수수색당시 원본과의 동일성을 갖춘 것인지 등을 입증하지 못할 수가 있
다.
압수수색이 끝나고 수개월이 경과한 후에 압수수색당시의 상황이 적법하였다는 것과 압수된
해킹 관련 증거물이 변형되지 않은 채 법원에 제출되었다는 것을 입증하기란 쉽지 않으므로
미리 압수수색 당시에 이에 대비하여야 한다.
만일 압수수색절차의 적법성이나 압수물의 동일성 여부를 사후에 다툴 가능성이 있는 사건
인 경우에는 압수수색과정 및 데이터분석과정을 카메라 또는 비디오테이프로 촬영하는 것도
검토해야 한다.
압수물의 동일성을 쉽게 입증하기 위해 컴퓨터 증거자료가 소량인 경우에는 압수수색 현장
에서 출력하여 그 데이터 작성자의 확인을 받아 두는 것이 적절한 방법이 될 수 있을 것이
고 그 증거자료의 양이 많은 경우에는 압수한 원본을 즉시 복제하여 복제물을 만든 다음,
원본은 작성자의 입회 하에 봉인해 두고 복제물을 가지고 데이터를 분석하는 것도 추천할
만한 방법이다.
라 컴퓨터 증거자료의 증거능력라 컴퓨터 증거자료의 증거능력라 컴퓨터 증거자료의 증거능력라 컴퓨터 증거자료의 증거능력....
컴퓨터 저장매체에서 출력된 문건의 증거능력에 관하여 그 문건의 존재 자체가 직접 증거[ ]
로 되는 것인가 또는 그 문건의 내용 자체가 증거가 되는 것인가에 따라 증거능력의 문제[ ]
는 다르게 취급된다.
이적 표현물을 컴퓨터 디스켓에 저장 보관하는 방법으로 이적표현물을 소지하는 경우와 같,
이 컴퓨터 디스켓에 담긴 문건의 내용의 진실성이 아닌 그러한 내용의 문건의 존재 그 자[ ]
체가 직접 증거로 되는 경우에는 적법한 검증 절차를 거친 이상 이적표 현물 소지의 점에
관하여는 컴퓨터 디스켓의 증거능력이 인정된다 고 판시하고 있어 문건의 존재 자체가 증" [ ]
거로 되는 경우 전문법칙이 적용되지 않는다는 점을 명백히 하고 있다.
한편 문건의 존재 자체가 아닌 문건의 내용 자체가 증거로 되는 경우에는 컴퓨터에서, [ ] [ ]
출력된 문서 또는 사진도 법정에서의 진술에 대신하여 제출되는 서면에 해당되므로 형사소
송법상의 전문증거 로 보아야 한다 컴퓨터 디스켓에 들어 있는 문건이 증거로 사용되는" " . "
경우 위 컴퓨터 디스켓은 그 기재의 매체가 다를 뿐 실질에 있어서는 피고인 또는 피고인
아닌 자의 진술을 기재한 서류와 크게 다를 바 없고 압수 후의 보관 및 출력과정에 조작의,
가능성이 있으며 기본적으로 반대신문의 기회가 보장되지 않는 점 등에 비추어 그 기재 내,
용의 진실성에 관하여는 전문법칙이 적용된다고 할 것 이라고 하여 그 내용의 진실성에 관"
하여 전문법칙이 적용된다는 입장이다.
앞으로 전문법칙의 예외로서 증거능력을 인정받을 수 있는 기준이 구체적으로 제시되어야
할 것이다.
마 삭제된 파일의 복구마 삭제된 파일의 복구마 삭제된 파일의 복구마 삭제된 파일의 복구....
컴퓨터의 하드디스크 등 저장매체에 저장되어 있던 파일이 의도적으로 삭제되었다고 의심이
들거나 과거에 한 번이라도 기록되었던 자료까지 모두 분석할 필요가 있는 경우에는 삭제된
파일의 복구작업을 진행하여야 한다.
삭제된 파일의 복구는 복구전용 프로그램을 설치하여 진행하는 것이 일반적이며 삭제된 시,
점에 가까울수록 파일의 복구성공율이 높다 파일의 일부만이 살아있는 경우에는 수작업으.
로 복구하여야 하나 성공률이 낮은 편이다.
주의할 점은 해당 컴퓨터에 복구프로그램이 설치되어 있지 않은 경우에 그 컴퓨터에 복구프
로그램을 설치하게 되면 복구프로그램이 설치되면서 삭제된 파일을 덮어쓰기하여 삭제된' '
파일의 복구에 지장을 줄 수도 있다 이러한 경우에는 해당 컴퓨터를 네트워크로 연결한 후.
해당 컴퓨터가 아닌 다른 컴퓨터에서 복구 프로그램을 실행시킨 후 해당 컴퓨터의 저장장치
에 접근하여 복구작업을 진행하거나 적어도 하드디스크 등 저장매체를 두 번째의 보조저장
매체 상태로 연결하여 다른 하드디스크에서 복구프로그램을 실행시킨 후 해당 저장매체의
파일을 복구하도록 해야 할 것이다 복구된 파일도 복구대상인 저장매체에 저장하지 말고.
다른 매체에 저장해야 한다.
최근에는 수사기관의 복구작업에 대비하여 분량이 큰 프로그램을 여러 차례 입력하여 삭제
된 파일을 덮어쓰게 하거나 인터넷 등에서 복구를 불가능하게 하는 프로그램을 입수하여 해
당 파일을 삭제함으로써 수사기관의 복구작업을 어렵게 하는 사례가 발생하고 있으므로 수
사기관으로서는 수사초기에 신속한 압수수색으로 이와 같은 증거인멸 을 방지해야 할 필요
가 있다.
바 하드웨어의 압수방법바 하드웨어의 압수방법바 하드웨어의 압수방법바 하드웨어의 압수방법....
해커가 그의 컴퓨터를 이용하여 다른 시스템에 컴퓨터 바이러스를 침투시키려 했다면 압수
물인 컴퓨터는 범행의 수단인 동시에 범죄의 증거물에 해당할 것이다.
컴퓨터 시스템은 대부분의 경우 본체를 포함하여 여러 개의 주변기기로 구성되어 유선 또는
무선으로 연결되어 있다 컴퓨터에 대한 압수 수색시 단순히 컴퓨터 라는 것만으로는 압수. " "
수색의 대상이 특정되었다고 할 수 없고 가능한 대로 컴퓨터 시스템의 주변기기를 각각 독,
립적으로 특정하여 압수수색영장을 발부 받는 것이 원칙이지만 컴퓨터 시스템을 구성하고
있는 각각의 주변장치는 서로 밀접하게 연결되어 기능상 분리하기 어려울 뿐만 아니라 컴퓨
터시스템을 구성하는 주변기기를 미리 예측할 수 없으므로 컴퓨터 본체가 압수의 대상물로
명시된 경우 키보드나 마우스 등의 기본적인 장치들은 포함된다고 보는 것이 타당할 것이
다.
압수수색에 착수하면 즉시 전화선 모뎀 네트워크 연결선 등을 단절시켜 수색 중에 다른 컴,
퓨터에 의해 데이터가 변경되는 것을 막아야 한다 시스템을 해체하기 전에는 각 주변기기.
의 연결상태 모니터 스크린의 자료 최근 작 성한 문서의 목록 등을 촬영하여 수사기관이,
압수현장에 도착하였을 때의 시스템 상태를 입증하고 수사기관에 의한 데이터의 조작가능성
을 배제하는 것이 필요한 경우도 있다.
사 소프트웨어 또는 데이터의 압수방법사 소프트웨어 또는 데이터의 압수방법사 소프트웨어 또는 데이터의 압수방법사 소프트웨어 또는 데이터의 압수방법....
하드웨어는 유형의 물체이므로 기술적인 주의를 요한다는 점을 제외하고는 종래의 압수물의
경우와 크게 다르다고는 할 수 없다 그러나 데이터와 소프트웨어에 대한 수색은 훨씬 더.
복잡하고 전문성을 요한다고 할 것이다.
컴퓨터를 분석하기 위해 부팅할 때 시스템에 암호가 걸려 있는 경우에는 그 암호를 그 시스
템 사용자에게 물어 암호를 입력하는 것이 가장 좋은 방법이지만 시스템 사용자가 사망하거
나 도주하여 암호를 알 수 없거나 암호를 알려주지 않는 경우에는 기술 적으로 암호장치를
해제하여야한다.
컴퓨터 시스템에 저장된 정보는 피의자에 의해 이미 출력되었을 가능성이 많으므로 출력된
원본을 수색하여 압수하는 것이 중요하다 컴퓨터에 저장된 데이터가 사후에 피의자에 의해.
변경된 경우 출력물의 원본으로서 변경되기 이전의 데이터를 확인할 수 있을 뿐만 아니라
타인이 데이터를 생성하거나 게시한 경우에는 피의자가 그 데이터의 존재를 몰랐다고 하는
부지의 항변을 무력화시킬 수도 있고 출력물 원본에 의하여 특정 프린터에 의해 출력되었,
음을 입증할 수 있다.
대규모 기업 금융기관 등에서는 하드웨어의 고장 전원의 이상이나 기타 물리적 파괴로부터, ,
데이터를 보호하기 위해 정기적으로 백업을 하도록 하고 있다 또 개인용 컴퓨터의 사용자.
도 중요 데이터에 대하여는 백업을 하는 경우가 많으므로 이러한 백업자료가 있는지를 확인
하는 것이 중요하다.
제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술제 장 해킹피해시스템 복원기술5555
제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원제 절 훼손된 증거물 복원1111
증거물 복원 개요증거물 복원 개요증거물 복원 개요증거물 복원 개요1.1.1.1.
컴퓨터에 대해서 약간의 상식만 있어도 컴퓨터에 남아있는 파일 등이 증거자료가 된다는 사
실은 잘 알고 있다 그러므로 범행에 사용되었거나 범행과 관련된 로그가 남아 있었던 파일.
은 피의자에 의해 컴퓨터에서 삭제되는 경우가 많다 특히 해킹피해시스템의 경우 해킹의.
마지막 단계에서 시스템의 파일에 대해 무조건 삭제 리눅스 및 유닉스의 경우 를( , rm -rf)
하고 도주하는 경우가 많으므로 이러한 경우 삭제된 파일을 복구하는 것은 해킹피해의 증거
물을 확보하는 데에 있어서 매우 중요한 과정 중에 하나이다.
현재까지 컴퓨터 포렌식스 잘 발달되지 않은 우리나라의 경우 컴퓨터수사는 주로 파일을 복
구하여 증거자료로 제출하는 경우가 많을 뿐만 아니라 복원된 파일도 일반 파일과 같이 법
적으로 같은 증거력을 갖는 것으로 법정에서 취급되고 대법원 판례 선고 도( 1999.9.3 99 2317
판결 있는 실정이므로 고의적 또는 시스템의 문제로 삭제된 파일을 복원하는 것은 컴퓨터) ,
수사에 있어서 매우 중요하다 본 절에서는 파일 복구기술의 근간이 되는 파일시스템에 대.
해서 살펴보고 이들에서의 여러 가지 이유로 삭제되거나 손상된 파일의 복구 방법들에 대,
해서 살펴본다.
가 파일시스템 개요가 파일시스템 개요가 파일시스템 개요가 파일시스템 개요....
일반적으로 컴퓨터에서 자료를 취급하는 기본 단위는 파일형태이다 파일은 임의의 크기를.
갖고 어떠한 형태의 자료도 저장할 수 있는 논리적 구조를 갖고 있으므로 현대 컴퓨터 구성
에 있어서 매우 중요한 위치를 차지하고 있다 또한 디렉토리 구조를 취하여 많은 수의 파.
일들을 효과적으로 다루고 있으며 간단한 확장자로 파일에 저장되어 있는 자료의 특성을,
나타내는데 힌트로서 사용하고 있다.
저장매체와 디렉토리 및 파일들간의 관계를 관리하는 모듈 및 자료들을 총칭하여 파일시스
템이라고 하고 사용되어지는 운영체제에 따라 서로 다른 파일시스템들이 개발되어 사용되,
고 있다 한 예로서 의 경우 또는 가 사용. Window98 FAT16 (File Allocation Table) FAT32
되며 및 등에서는 또는, Windows NT 2000 FAT32 NTFS (New Technology File
유닉스에서는 리눅스에서는 등이 보편적으로 사용되고 있다System), UFS, EXT2, EXT3 .
및 개요및 개요및 개요및 개요(1) FAT16 FAT32(1) FAT16 FAT32(1) FAT16 FAT32(1) FAT16 FAT32
는 운영체제가 하드디스크 내에 유지하는 일종의 파일 배치표로FAT(File Allocation Table)
서 파일들이 저장되어 있는 클러스터들의 위치정보를 제공한다 운영체제는 새로운 파일에, .
대해 각 클러스터의 위치와 순서를 기록한 엔트리를 만들며 파일을 읽을 때 여러 클FAT ,
러스터로부터 읽어들인 파일의 내용을 순서에 맞게 조정하여 전체 내용을 함께 보여주게 된
다 엔트리의 크기에 따라 또는 로 나뉘어지며 클러스터 하나의 크기. FAT FAT16 FAT32 ,
는 또는 바이트이다 은 윈도우 이전의 나 윈도우에2,048, 4,192 8,096 . FAT16 95 OSR2 DOS
서는 엔트리 크기를 비트로 사용하는 것으로서 클러스터의 크기를 바이트라FAT 16 , 8,192
고 가정하면 이때 관리할 수 있는 하드디스크의 최대 용량은 로 제한되, 512(8K * 64K)MB
어 개의 파티션으로 나뉘어서 사용하면 최대 의 용량을 지원할 수 있었다 이 경우, 4 2 GB .
의 클러스터 크기를 사용하면 파티션당 의 용량을 지원할 수 있지만 한 파일당32 KB 2GB
저장되는 용량이 작은 경우 디스크 용량이 많이 낭비되는 문제가 있다.
는 엔트리의 크기를 비트로 한 것으로FAT32 FAT 32 Windows 95 OEM Service Release
에서 처음 도입되었다 에서는 엔트리의 크기를 비트로 사용함으로2(OSR2) . FAT32 FAT 32
지원하는 디스크 용량을 대폭 증대 시켰을 뿐만 아니라 라는 데이터 구조를 추가, FSINFO
하고 복수개의 를 둠으로써 성능 대용량 디스크의 지원 신뢰성 및 저장 효율성등을, FAT , ,
향상시키고 있다.
영역에는 디스크 빈 공간의 용량 파일의 최종저장 섹터번호 등의 정보를 추가하FSINFO ,
여 파일을 읽고 쓸 때마다 이 수치를 갱신해 빈 공간의 용량을 쉽게 계산하여 부담을 줄이,
게 하였다 그러나 시스템이 정상적으로 종료되지 않아 와 실제의 빈 공간의 용량. FSINFO
의 차이가 발생되면 에 장애가 발생하므로 다음 시작에서 전체 디스크를 스캔하여FSINFO ,
이를 조정하여 주어야하는 단점이 있다 대부분의 파일 쓰기 연산은 파일의 끝에 추가하는.
경우가 많으므로 이 경우에도 의 마지막으로 저장된 섹터번호로부터 파일의 끝을FSINFO
손쉽게 찾아서 추가할 수있게 하여 성능을 향상시켰다.
개요개요개요개요(2) NTFS(2) NTFS(2) NTFS(2) NTFS
는 윈도우 운영체제가 하드디스크 상에 파일들을 저장하고 검색하는데 사용하는NTFS NT
시스템이다 는 비해 성능이나 확장성 및 보안성 면에 있어 많은 개선점들을. NTFS FAT ,
제공한다 파일 클러스터들을 추적하기 위해 디렉토리 개념을 사용하여 파일의 클러. b-tree
스터들에 관한 정보와 다른 데이터들이 각 클러스터에 함께 저장된다 대략 정도의. 16 GB
매우 큰 파일도 지원하며 서버 관리자가 을 이용하여 누가 어떤, ACL(Access Control List)
파일만을 액세스할 수 있는지 등을 통제 할 수 있게 한다 통합된 파일 압축 기능과 유니코.
드 기반의 파일이름 및 긴파일이름을 지원하고 있다 교체용 디스크와 고정 디스크 모두에.
대해 데이터 보안을 지원하여 등에서 많이 사용되고있다Windows NT, 2000, XP .
그림 물리 구조그림 물리 구조그림 물리 구조그림 물리 구조( 5-1) NTFS( 5-1) NTFS( 5-1) NTFS( 5-1) NTFS
표 의 시스템 파일 들표 의 시스템 파일 들표 의 시스템 파일 들표 의 시스템 파일 들[ 5-1] NTFS[ 5-1] NTFS[ 5-1] NTFS[ 5-1] NTFS
파일명 시스템 파일 설명
$Mft Master File Table 볼륨 내용에 대한 리스트NTFS
$MftMirr Master File Table2가 저정되어 있는 섹터에$MFT
에러가 발생되는 경우를 대비하여복사본 저장
$LogFile Log File회복성을 위한 로그파일 시스템의사용되며 트랙잭성 단계의 리스트
$Volume Volume 볼륨에 대한 이름 버전 기타 정보, ,
$AttrDef Attribute Definitions 애트리뷰트 이름 개수 설명 테이블, ,
$. Root Filename Index 루트 디렉토리
$Bitmap Cluster Bitmap 어떤 클러스터가 사용되고 있지를 표현
$Boot Boot File 부팅 볼륨이면 부팅 스텝을 포함
$BadClus Bad Cluster File 그 볼륨에서 배드 클러스터의 위치
의 물리구조는 그림 과 같이 파티션 부트 섹터 마스터파일테이블 다수의 시스NTFS ( 5-1) , ,
템 파일들 파일 영역으로 구성되고 시스템 파일들의 종류 및 역할은 표 과 같다, , [ 5-1] .
는 에서 와 유사하게 파티션의 기본 단위구조로서 모든 파일들은MFT UNIX inode , NTFS
내에 하나 이상의 엔트리를 갖으며 여기에 그 파일에 관한 정보 파일이름 크기 작성MFT , ( , ,
일자 엑세스 권한 등 가 기입된다 에서 파일 시스템의 각 부분은 하나의 파일로 취, , ) . NTFS
급한다 그림 는 의 구조를 나타낸 예이다 예를 들어 디렉토리는 단순히 그 디렉. ( 5-2) MFT . ,
토리 내에 있는 파일에 대한 설명을 가지고 있는 하나의 파일이다 심지어 전체 파일 시스.
템에 대한 모든 메타 데이터를 가지고있는 마스터파일 테이블 조차도 하나의 파일인(MFT)
것이다 파일이 작은 경우에는 대략 이하 파일 전체가 에 저장되며 그렇기 때. ( 4.5KB ), MFT ,
문에 파일접근 속도가 빨라진다 파일이 에 들어갈 정도의 크기보다 더 커지면. MFT , MFT
는 파일의 모든 부분을 가리키는 포인터를 저장한다.
그림 구조그림 구조그림 구조그림 구조( 5-2) MFT( 5-2) MFT( 5-2) MFT( 5-2) MFT
개요개요개요개요(3) UNIX file system(3) UNIX file system(3) UNIX file system(3) UNIX file system
유닉스 파일 시스템에서는 그림 와 같이 하나의 디스크는 여러개의 파티션으로 나누어( 5-3)
지고 하나의 파티션에는 이라고 불리는 파일시스템이 저장된다 이 에는 파일 시스zone . zone
템이 위치하게 된다 파일시스템은 계층적 디렉토리 구조의 최상의 블록에 해당되는 수퍼블.
록 및 데이터 블록이 사용유무를 나타내는 구조 및 데이터 블록의 순, inode bitmap , inode
으로 저장된다 유닉스 파일시스템의 큰 특징중의 하나는 디렉토리 또는 파일의 데이터블록.
이 라고 하는 데이터 구조를 경유하여 연결되어 있고 있다는 것이다 이 에는 그inode inode (
림 에서 볼 수 있는 바와 같이 파일에 대한 소유자 엑세스 권한 파일의 데이터 블록에5-7) , ,
대한 물리주소를 저장하고 있다 따라서 삭제된 파일에 복구에 있어서도 는 많은 영향. inode
을 미치고 있다.
그림 유닉스 파일 시스템그림 유닉스 파일 시스템그림 유닉스 파일 시스템그림 유닉스 파일 시스템( 5-3)( 5-3)( 5-3)( 5-3)
나 파일 복구 원리나 파일 복구 원리나 파일 복구 원리나 파일 복구 원리....
및 파일 복구 개요및 파일 복구 개요및 파일 복구 개요및 파일 복구 개요(1) FAT 16 FAT 32(1) FAT 16 FAT 32(1) FAT 16 FAT 32(1) FAT 16 FAT 32
파일 복구의 기본 개념은 파일을 삭제할 때 성능 등의 이유로 파일의 내용을 전부 삭제하는
것이 아니라 관련된 정보만을 삭제하거나 또는 삭제 표시만을 하기 때문에 삭제된 이후에,
도 이들을 조사하여 되돌려 놓을 수 있기 때문이다 과 에서 파일복구는 디렉. FAT16 FAT32
토리 엔트리의 크기가 다른 것 외에는 기본적으로 같다 논리적으로 보면 그림 과 같. ( 5-7)
이 디렉토리도 일종의 파일이며 그 디렉토리에 포함되어 있는 파일의 이름과 파일이 위치,
하고 있는 디스크상의 주소 등의 리스트가 저장된다 만일 그 디렉토리에(cluster number) .
포함되어 있는 라는 파일이 삭제되면 리스트중에서 파일이름의 앞부분 바이트MyNote.txt 1
가 진수 로 마킹되고 그 파일이 저장되어 있는 클러스터번호 예 가 빈공간 영역으16 0xE5 , ( , 2)
로 표시된다 따라서 이 삭제에 의해서 빈 공간 영역으로 마크된 클러스터가 다음 번의 쓰.
기 동작에서 할당되지만 않으면 파일의 내용은 그대로 남아있게 된다 따라서 복구 절차는.
우선 디렉토리를 스캔하여 파일이름의 앞부분이 로 마킹되어 있으면 그 파일은 삭제된0xE5
것으로 보고 그 엔트리에서,
클러스터 번호- (Cluster)
파일크기- (Length)
등의 정보를 읽은 후 클러스터 번호의 클러스터를 읽는다 연결된 클러스터에 저장되어 있, .
는 데이터의 크기가 파일크기 만큼이 확보되면 정상적으로 복구 할 수 있는 것으로 그렇지,
않으면 손상된 파일로 판명되는 것이다 따라서 애매한 경우에는 전체 클러스터들을 스캔하.
여 연결되어 있는 정보를 찾아야 하고 이것은 많은 시간을 요하는 동작이다.
개요에서 설명한 바와 같이 윈도우즈 운영체제에서 사용되는 에서는 파일 삭제시 파일FAT
의 정보만 삭제되거나 마크만 표시 되는 게 보통이므로 그림 와 같이, ( 5-5) MBR~Root Dir.
가 포함된 디렉토리 정보 영역 또는 파일시스템 정보영역을 검색하는 디렉토리 검색과' '
영역을 검색하는 클러스터 검색 과정을 거쳐 원하는 파일을 복구할 수가있Data Sector ' '
다 특히 클러스터 검색 시에는 복구 소프트웨어의 엔진에 포함되어 있는 각 파일의 포맷.
정보를 가지고 자동으로 분석하여 포맷별로 각 파일들의 조각들을 구분하여 보여줌으로써,
파일 이름 등과 같은 디렉토리 정보가 없이도 파일 조각들의 내용을 가지고 복구할 수도 있
는 것이다.
이러한 검색에 따른 복구 과정은 복구 소프트웨어에 따라 달라질 수도 있지만 보통의 경우
어떠한 파일시스템이라도 유사한 과정으로 복구하게 된다 단지 운영체제 및 파일 시스템의.
종류 그리고 파일 또는 데이터의 종류에 따른 분석 정보가 포함된 복구엔진의 성능에 따라
복구율이 달라질 뿐이다.
이런 점에서 내의 손실된 파일의 복구율은 유사한 윈도우즈 파일시스템인 보FAT NTFS
다 상대적으로 높은 편이며 기타 리눅스나 유닉스의 파일시스템보다도 높게 나타난다, .
그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조그림 파일삭제시 디렉토리 구조( 5-4)( 5-4)( 5-4)( 5-4)
그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리( 5-5) FAT( 5-5) FAT( 5-5) FAT( 5-5) FAT
파일 복구 개요파일 복구 개요파일 복구 개요파일 복구 개요(2) NTFS(2) NTFS(2) NTFS(2) NTFS
에서는 유닉스의 파일 시스템의 처럼 가 파일마다 존재하고 되고 만일 한NTFS inode MFT ,
파일이 삭제되면 애트리뷰트의 하드링크 필드의 값이 으로 변경될 뿐 다른 정보는, MFT 0
남아 있게 된다 따라서 복구소프트웨어는 그림 의 마스터 파일 테이블과 시스템 파일. ( 5-1)
의 파일 파일 영역의 클러스터들을 스캔하여 삭제된 파일과 이삭제된 파일의"bitmap" ,
및 클러스터들을 찾아낸다MFT .
내에서 삭제된 파일 복구 과정은 디렉토리 검색 및 클러스터 검색 과정을 거쳐서 복NTFS
구하므로 여타 복구 과정과 유사하나 그림 에서 알 수 있는 바와 같이 영역이, , ( 5-6) 'MFT'
더 있고 이 영역에 존재하는 디렉토리 정보가 삭제될 가능성이 보다 높아 상대적으로FAT
복구율이 낮게 나타난다 특히 영역은 바이트로 구성된. MFT 1,024 (1 KBytes = 2 Sectors)
하나의 파일들로 이루어져 있어 파일 삭제시 그 파일에 대한 값이 삭제되면 디렉토, MFT
리 정보를 포함한 파일을 완벽하게 복구할 가능성이 줄어들게 된다.
그러나 와 같이 도 복사본 가 존재하여 디렉토리 정보가 남아있을 수가 있, FAT MFT MFT
으므로 이렇게 남아있는 디렉토리 정보와 클러스터 검색을 통한 복구 과정을 통하여 원하,
는 파일을 복구할 수 있는 것이다.
그리고 삭제되는 파일의 크기가 미만일 경우에는 데이터 영역이 아닌 영역에1 KB MFT
존재할 수 있으므로 검색과정이 없이 영역에서 바로 복구할 수도 있다 물론 이러한MFT . ,
복구과정에는 디스크 뷰어 를 통하여 수동으로 복구하는 과정이므로 이러한' (Disk Viewer)' ,
기능을 지원하는 복구 소프트웨어만이 복구 가능하다.
그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리그림 에서 파일복구 원리( 5-6) NTFS( 5-6) NTFS( 5-6) NTFS( 5-6) NTFS
파일에 대한 정보를 갖는 디렉토리 정보가 손상된 경우에는 삭제된 디렉토리 내에 포함되었
던 데이터를 원래의 데이터로 복원하기는 불가능하다는 문제점이 있다 삭제되거나 손상된.
데이터를 갖는 손상된 디렉토리 정보로부터 단순히 지워진 파일뿐만 아니라 하드디스크에
데이터를 덮어써서 디렉토리 정보까지 손상이 된 경우에도 실제 데이터만 덮어써지지 않은
경우에는 남아있는 파일 시스템 정보와 실제 데이터가 기록되어 있는 데이터 섹터 영역을
검색하여 복원을 할 수 있도록 해준다.
즉 손상된 데이터를 갖는 제 드라이브로부터 섹터 정보 및 부트 섹터의 값을 검출하고, 1 ,
검출된 섹터 정보와 부트 섹터의 값을 근거로 디스크 정보를 분석한다 이때 디스크 정보에.
따라 파일 시스템이면 파일 시스템을 복원하고 인 경우에는 정보NTFS NTFS , FAT FAT
를 검출하여 메모리에 저장한다 이어 루트 디렉토리 정보를 검출하여 메모리에 저장하고. ,
데이터 섹터로부터 손상된 디렉토리 정보 및 손상된 파일 정보를 검출 한 후 검출된 디렉,
토리 정보를 이용하여 복원할 디렉토리 정보를 수집하고 이 디렉토리 정보를 근거로 손상,
된 디렉토리 정보를 생성한다 이어 손상된 디렉토리 정보를 근거로 손상된 디렉토리를 복.
원하고 이디렉토리로부터 손상된 파일을 복원하여 제 드라이브에 저장한다 또한 디렉토, 2 .
리 정보가 손상이 된 경우라 할 지라도 실제 남아있는 데이터 만을 찾아서 복구할 수 있도
록 한다.[34]
유닉스 및 리눅스 파일 복구유닉스 및 리눅스 파일 복구유닉스 및 리눅스 파일 복구유닉스 및 리눅스 파일 복구(3)(3)(3)(3)
리눅스나 유닉스 파일시스템에서는 그림 및 그림 에서 같이 라는 데이터( 5-7) ( 5-8) inode
구조가 더 있으므로 복구가 더 어려워진다 즉 디렉토리로부터 파일의 내용이 저장되어 있, .
는 클러스터까지가 을 경유하여 연결됨으로 이 도 함께 복구해야만 정확하게 복inode inode
구가 가능하게 된다 즉 윈도우즈 파일시스템과 달리 파일 삭제시 테이블의 정보가. , Inode
삭제되면 복구하고자 하는 파일에 대한 디렉토리 정보가 없이 파일을 복구하게 되므로 대,
부분 데이터 클러스터들을 스캔하여 파일 크기와 매직 넘버 파일시스템의 경우(eg. EXT2 :
를 등을 확인하여 복구하게된다0xef53) .
증거물 확보에서는 사용할 수 없지만 의 경우 파일삭제시 그 파일에 대, SUN solaris 'UFS' ,
한 값을 완전 삭제하여 복구가 불가능하게 된다 이때에는 사전에 그 파일들에 대한inode . ,
값을 저장하도록 하는 프로그램을 만들고 이들을 주기적으로 수행하여 값을 보inode inode
관하여 복구율을 높이고 있다.
그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조그림 유닉스 디렉토리 물리 구조( 5-7)( 5-7)( 5-7)( 5-7)
기타 다른 유닉스의 파일시스템인 등과 리눅스의 등은HFS, JFS, VxFS EXT2, EXT3
나 처럼 파일의 디렉토리 정보를 완전삭제는 하지 않으므로 남아있는 디렉토리FAT NTFS ,
정보와 클러스터 검색을 통한 파일 포맷 분석 및 복구 과정을 거쳐서 원하는 파일을 복구할
수가 있다.
특히 유닉스의 경우 윈도우즈와는 달리 유닉스 파일의 고유 포맷을 가진 파일이 많이 존재
하고 운영체제의 용도가 데이터베이스 서버 애플리케이션 서버 및 파일서버 등 특정 목적, ,
으로 사용되는 경우가 많아 일반적인 디렉토리 검색 및 클러스터 검색 과정으로 복구하지,
는 않는다 오히려 각 고유 파일 포맷을 이용한 파일 복구의 과정을 거쳐서 복구해야하는.
경우가 많다.
그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리그림 파일시스템에서 파일복구 원리( 5-8) UNIX( 5-8) UNIX( 5-8) UNIX( 5-8) UNIX
또한 데이터가 삭제된 이후에 어떠한 디스크 쓰기 동작이 발생할 경우에는 새로이 쓰는' '
데이터로 인해 삭제된 데이터가 덮어써지게 되어 손상되거나 조각난 데이터가 발생할 수가
있다 이 경우에는 하드디스크의 드라이브를 개방하여 섹터 정보를 검출하고 검출된 섹터. ,
정보로부터 정보 루트 디렉토리 정보 데이터 섹터 정보를 분석하여 손상된 디렉토리FAT , ,
정보를 검색하고 탐색기 인터페이스를 이용하여 찾아진 디렉토리를 복원하고 데이터 섹터, ,
뷰어 및 디렉토리 섹터 뷰어를 호출한다 이어 섹터 뷰어에서 조각난 클러스터인지의 여부.
를 체크하여 조각난 클러스터인 경우에는 수동으로 에디터를 드래그 드롭하여 각 클FAT
러스터 할당값을 자동으로 편집하여 데이터를 복원한 후 정보를 사용하여 복원된 데, FAT
이터를 다른 드라이브에 저장한다 이어 저장된 데이터가 정상적으로 데이터 복원이 완료되.
었는지의 여부를 체크하여 정상적으로 완료된 경우에는 할당된 를 데이터 복원시 사용FAT
된 클러스터로 마크하고 데이터 복원이 비정상적으로 완료된 경우에는 수동으로 클러스터,
의 할당값을 편집한다 즉 여러 다양한 파일의 삭제원인 중 덮어쓰기로 야기된 파일 복구는. ,
불가능하더라도 덮어써지지 않은 파일의 일부분에 대해서 복구할 수 있도록 각 파일의 포맷
에 대한 분석이 필요한 것이다. [35]
파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능파일 복구 소프트웨어의 종류 및 주요 기능2.2.2.2.
파일 복구 소프트웨어의 종류로는 파이널데이터의 하우리의FinalData, DataMedic,
의 의 가 있다 파이널데이터는 모든OnTrack EasyRecovery, R Tools Technology R-Studio .
계열의 운영체제로부터 등에 대한 전문 복구 솔루션Windows Linux/Unix(SUN/HP/AIX)
개발업체로서 전 세계적으로 유일하게 대부분의 상용 를 지원하는 복구 소프트웨어를, OS
개발하는 업체이다 여기서는 국내외 사용자가 많고 다양한 제품군을 보유하고 있는.
에 대해서 알아보기로 한다'FINALDATA' .
파일복구 소프트웨어는 그림 와 같이 다양한 파일운영체제 및 파일시스FINALDATA ( 5-9)
템 뿐만 아니라 손상된 파일도 수동으로 복구할 수 있는 기능을 제공하고 있으므로 증거물
복원에 유용하게 사용될 수 있다.
그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약그림 파이널데이터 파일복구 기능 요약( 5-9)( 5-9)( 5-9)( 5-9)
가가가가. Disk/File/lmage Viewer. Disk/File/lmage Viewer. Disk/File/lmage Viewer. Disk/File/lmage Viewer
그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기그림 복구전 그림 내용 보기( 5-10)( 5-10)( 5-10)( 5-10)
그림 과 같은 복구 전 미리 보기 기능은 클러스터에 있는 데이터의 내용을 헥사코드( 5-11)
및 한글로 출력한다 데이터의 손상도가 심할 경우 일부 내용을 찾아 추출하여 부분적으로.
라도 복구할 수 있게 하는 기능이다 그림 과 같은 이미지 뷰어는 복구 전 미리 그림. ( 5-10)
파일을 볼 수있는 기능이다.
특히 이 기능은 그림 에 나타난 바와 같이 찾기를 통하여 덮어쓰기가 심하게 되어( 5-11) ' '
파일 단위로 복구가 안될 경우에 일부 내용이라도 상기 그림의 파일보기 내에서' ' 'Drag &
을 통하여 복구할 수도 있다 찾기시에는 특정 문자열이나 헥사코드를 입력하여 검Drop' . ' '
색하며 찾은내용을 섹터 및 바이트 단위로 선택하여 및 조합형 코드로 변, ASCll, UniCode
환하여 복구할 수가 있다.
또한 파일 보기 외에 디스크 보기를 통하여서도 원하는 문자열이나 코드가 포함되어 있' ' ' '
는 일부 데이터를 디스크 단위로 정밀 검색하여 찾아내어 복구할 수도 있다 특히 디스크. '
보기에서의 찾기를 통한 복구 과정은 불연속적인 파일이나 조각난 파일이 덮어쓰기가 심' ' '
하게 된 경우에 효율적으로 사용될 수가 있다.
그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기그림 복구전 일반 텍스트 내용보기( 5-11)( 5-11)( 5-11)( 5-11)
나나나나. Disk/File FAT Editor. Disk/File FAT Editor. Disk/File FAT Editor. Disk/File FAT Editor
그림 과 같이 디스크나 파일의 클러스터 구조를 가상적으로 볼수 있는 기능으로 조( 5-12) ,
각난 파일 등을 수동으로 편집하여 복구할 수 있게 하며 복구 가능한 클러스터를 연속적으,
로 편집하거나 모아서 복구하는 기능이다.
다 복구 결과 레포트 출력다 복구 결과 레포트 출력다 복구 결과 레포트 출력다 복구 결과 레포트 출력....
그림 과 같이 복구시 검색한 결과에 대해 정상 상태와 삭제 손상 상태로 구분하여 파( 5-13) /
일과 디렉토리별로 항목을 출력하는 기능으로 파일 및 디렉토리의 통계치 파, , Time Stamp,
일 크기 클러스터 파일명 등을 출력한다 기본적으로 파일로 저장 후 파일로, , . Text Excel
포맷 변환하여 사용할 수 있다(*.csv ) .
그림 에디터그림 에디터그림 에디터그림 에디터( 5-12) FAT( 5-12) FAT( 5-12) FAT( 5-12) FAT
그림 복구결과 보고서 출력그림 복구결과 보고서 출력그림 복구결과 보고서 출력그림 복구결과 보고서 출력( 5-13)( 5-13)( 5-13)( 5-13)
그림 손상된 파일복구그림 손상된 파일복구그림 손상된 파일복구그림 손상된 파일복구( 5-14)( 5-14)( 5-14)( 5-14)
라 일부 손상된 문서 파일의 자동 복구라 일부 손상된 문서 파일의 자동 복구라 일부 손상된 문서 파일의 자동 복구라 일부 손상된 문서 파일의 자동 복구. MS Office. MS Office. MS Office. MS Office
파일 중 덮어쓰기 로 인해 일부 손상된 파일에 대해 복구마법사를MS Office (OverWrite) ' '
이용하여 그 파일의 손상도를 체크하여 일부 정상적인 데이터에 대해 자동적으로 복구할 수
있게 하는 기능이다 만일 이마법사 기능을 이용하여도 복구되지 않는 경우에는 각. Viewer
에서 수동적으로 데이터 내용을 확인해가며 일부 내용을 섹터 단위로 복구할 수있다 그림. (
은 손상된 파일복구화면의 예이다5-14) .
마 섹터 저장마 섹터 저장마 섹터 저장마 섹터 저장....
그림 와 같이 디스크 섹터 단위별로 저장 및 백업하는 기능으로 실제 데이터 복구( 5-15) ,
작업시 유용하게 사용할 수 있으며 특정 데이터에 대해서 면밀하게 분석하며 복구할 때 활,
용할 수 있는 기능이다.
그림 캡션 저장 기능그림 캡션 저장 기능그림 캡션 저장 기능그림 캡션 저장 기능( 5-15)( 5-15)( 5-15)( 5-15)
바 파일 포맷정보를 이용한 고급 검색바 파일 포맷정보를 이용한 고급 검색바 파일 포맷정보를 이용한 고급 검색바 파일 포맷정보를 이용한 고급 검색. (Custom File Format). (Custom File Format). (Custom File Format). (Custom File Format)
파일의 확장자 및 문자열 및 을 입력하여 그림 과 같이 고급검색을(String Hexa Code) , ( 5-16)
할 수 있게 하는 기능이다 코드값 조합형 을 선택할 수 있고 연산자를. ( ASCll, Unicode, ) ,
사용하여 등의 고급 검색이 가능하다 해당 문자 스트링 및 헥사코드AND or OR . (String)
를 특정 어드레스 영역에서만 찾을 수도 있다 이 기능은 삭제되지 않은 파일(Hexa Code) .
이면서도 확장자나 파일명이 변조된 상태의 파일을 검색하거나 확장자가 변조된 상태에서
삭제된 파일을 검색하고자 할 때 해당파일의 포맷정보를 입력하거나 미리 저장된 포맷정보
파일을 이용하여 원래의 변조 이전의 파일을 복구할 수 있다.
그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색그림 수동입력한 파일정보의 의한 검색( 5-16)( 5-16)( 5-16)( 5-16)
사 데이터 비교사 데이터 비교사 데이터 비교사 데이터 비교....
그림 과 같이 디스크 및 파일별로 파일과 디스크의 특정영역을 상호 비교하는 기능이( 5-17)
다 디스크 및 파일 뷰어 와 별도로 실행될 수 있으며 비교 결과 다른 내용을 가진 섹터에. ,
대해서 별도 표시가 가능하고 섹터 단위로 상호 비교도 할 수 있다 이 기능은 두 개 파일, .
의 변조 여부를 판별하거나 파일이나 디스크 상의 특정 섹터 영역의 데이터를 상호 비교함
으로써 원하는 데이터에 대한 검증을 할 수가 있으며 또한 정상파일과 삭제된 파일의 변조,
여부 확인 디스크 상에 존재하는 하나의 파일에 대한 상호 비교를 통하여 변조 여부를 확,
인 및 검증할 수가 있다.
또한 앞에서 언급된 섹터 저장 기능을 이용한 덤프 파일의 비교를 통하여 디스크' ' (Dump)
나 파일 및 섹터 단위의 데이터를 상호 확인할 수도 있다.
그림 파일 비교 도구그림 파일 비교 도구그림 파일 비교 도구그림 파일 비교 도구( 5-l7)( 5-l7)( 5-l7)( 5-l7)
파일 복구 절차 및 방법파일 복구 절차 및 방법파일 복구 절차 및 방법파일 복구 절차 및 방법3.3.3.3.
대부분의 파일 복구 소프트웨어는 파일시스템의 정보 및 동작 원리를 응용한 제품으로서,
복구 방법은 디렉토리 검색과 클러스터 검색을 통한다는 점에서 유사하나 각 복구 소프트,
웨어 엔진에 들어있는 각 파일의 포맷정보에 대한 분석 능력이 얼마나 있느냐에 따라 동일
한 경우라도 복구 성능은 매우 달라질 수 있다 그래서 여기서는 국내외에서 복구 성능이.
뛰어나다고 인정받은 에 대해서 알아본다'FINALDATA' .
가 를 이용한 파일 복구 방법가 를 이용한 파일 복구 방법가 를 이용한 파일 복구 방법가 를 이용한 파일 복구 방법. FINALDATA. FINALDATA. FINALDATA. FINALDATA
단계 복구절차단계 복구절차단계 복구절차단계 복구절차(1) 4(1) 4(1) 4(1) 4
그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차그림 파이널데이터를 이용한 파일복구 절차( 5-18)( 5-18)( 5-18)( 5-18)
단계 파이널데이터 실행 그림 과 같이 설치한 실행 프로그램이나- 1 : ( 5-18) 'FINALDATA'
의 를 실행한다 만일 삭제이후 데이터 복구시는 덮어쓰기로 인'CD-ROM FINALDATA' . ' '
해 복구율이 낮을 수가 있으므로설치하는 것보다 안의 를 실행한다'CD FINALDATA' .
단계 복구할 드라이브 선택 단순하게 파일이나 폴더가 삭제된 경우에는 논리 드라이- 2 : '
브를 선택하고 파티션이나 볼륨 인식이 불가하거나 정상부팅 불가 및 포맷된 경우에는 물' , '
리 드라이브를 선택하여 파티션을 찾아서 검색해야 한다' .
단계 복구할 데이터 선택 검색과정에는 파일시스템 정보 영역을 검색하는 디렉토리- 3 : ' ' '
검색 단계와 실제 데이터 영역을 검색하는 클러스터 검색 단계로 구분되며 보통은 디' ' ' ' ' ,
렉토리 검색과정으로 복구가 될 수 있지만 대부분의 경우 클러스터 검색을 통하여 복구하게
된다 그리고 검색 이후 파일 또는 폴더 단위로 한꺼번에 선택하여 복구할 수가 있다. .
단계 선택한 데이터를 저장 복구하고자 하는 데이터를 선택한 다음에는 검색드라이브- 4 :
와 다른 드라이브를 선택하여 저장하게 됨 이때 개의 드라이브만 존재하거나 파티션이 손. , 1
실된 경우에는 미리 다른 하드디스크를 연결한 다음에 복구 작업을 실행해야 되며 만일 네,
트워크 드라이브가 연결 가능하다면 해당 네트워크 드라이브에 저장할 수도 있게 된다.
클러스터 검색을 통한 복구 방법클러스터 검색을 통한 복구 방법클러스터 검색을 통한 복구 방법클러스터 검색을 통한 복구 방법(2)(2)(2)(2)
검색 결과 실 데이터 영역에 존재하는 무수한 파일의 클러스터 조각에 대해 각 파일의 확장
자별 포맷의 특성을 분석하여 의 손상된 파일에 구분하여 표시하게 된다'FINALDATA' ' ' .
데이터 영역에 존재하는 파일의 조각들 중 많은 데이터는 파일 시스템 정보와 링크가 끊어
진 채 분산되어 존재하게 된다 그래서 실제 데이터 복구 시에는 이러한 클러스터 검색을.
통하여 복구를 해야 한다 특히 삭제 후 시간이 많이 경과한 경우에 복구하거나 바이러스나.
시스템 에러로 파일 시스템 정보 영역이 손상된 경우에는 반드시 클러스터 검색을 통하여
복구해야만 하고 포맷이나 또는 로 인해 손상된 경우에는 클러스터 검색, Fdisk Boot Virus
을 반드시 해야 할 필요는 없다 단 디렉토리 검색으로 복구가 안될 때나 파티션을 정상적. ,
으로 찾을 수 없는 경우에는 클러스터 검색을 통하여 데이터 복구를 해야만 한다 그림. (
클러스터 검색을 통한 복구의 한 예이다5-19) .
그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법그림 클러스터 검색을 통한 복구 방법( 5-19)( 5-19)( 5-19)( 5-19)
파티션 및 볼륨 인식 불가 또는 손실된 경우의 복구방법파티션 및 볼륨 인식 불가 또는 손실된 경우의 복구방법파티션 및 볼륨 인식 불가 또는 손실된 경우의 복구방법파티션 및 볼륨 인식 불가 또는 손실된 경우의 복구방법(3)(3)(3)(3)
클러스터 검색은 데이터 복구시 가장 일반적인 검색과정으로 대부분의 경우에 사용하지만,
보통 논리 드라이브가 정상적으로 존재한다는 전제하에 실시하게 된다 그러나 포맷된 경' ' .
우에는 이러한 논리 드라이브가 손실된 경우이므로 클러스터 검색 이전에 손실되거나 인식,
이 안되는 파티션이나 볼륨을 찾아서 디렉토리 검색과 클러스터 검색을 해야 한다.
그림 및 그림 에서와 같이 각 논리 드라이브로 표시된 각 파티션의 정보가 나( 5-20) ( 5-21)
오게 되는데 이러한 파티션 정보는 중 의 파티션, MBR(Master Boot Record) Boot Sector '
테이블 에 존재하게 되어 는 남아있는 파티션 테이블에서 각(Partition Table) 'FINALDATA'
파일 시스템 종류와 파티션 시작점 및 파티션의 크기를 분석하여 보여주게 된다 이때 이. ,
파티션 테이블이 손상될 경우가 있어 정상적으로 파티션이나 볼륨을 찾지 못할 경우에는 아
래의 그림처럼 수동적으로 파티션 포맷을 찾아야 한다.
그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법그림 파티션 및 볼륨 인식 불가시 복구 방법( 5-20)( 5-20)( 5-20)( 5-20)
그림 파티션 포맷 찾기그림 파티션 포맷 찾기그림 파티션 포맷 찾기그림 파티션 포맷 찾기( 5-21)( 5-21)( 5-21)( 5-21)
특히 수동적으로 찾을 때는 상기 표시된 파티션 테이블의 정보 중 중복되는 정보 즉 파티, ,
션의 시작점과 크기를 비교하여 중복된 구간이 있는 파티션이 나올 경우에는 해당 파티션의
구간을 선택하여 찾아야 한다 만일 수동적으로 정상 파티션을 찾을 수 없는 경우에는 파일.
시스템 정보와 실제 데이터 영역의 내용과 불일치한 데이터를 복구하는 실수를 하게 되므로
불연속적인 구간을 인위적으로 선택하여 정상 파티션의 포맷을 찾아야 한다, .
로 인해 파일이 손상되거나 조각난 경우의 복구방법로 인해 파일이 손상되거나 조각난 경우의 복구방법로 인해 파일이 손상되거나 조각난 경우의 복구방법로 인해 파일이 손상되거나 조각난 경우의 복구방법(4) Overwrite(4) Overwrite(4) Overwrite(4) Overwrite
가 파일의 포맷정보 확인방법가 파일의 포맷정보 확인방법가 파일의 포맷정보 확인방법가 파일의 포맷정보 확인방법( )( )( )( )
보통 파일 보기를 통하여 각 파일의 포맷을 그림 와 같이 확인할 수가 있으며 일정' ' ( 5-22) ,
섹터까지는 파일의 헤더가 일정한 규칙을 가지고서 존재하므로 이러한 규칙적인 섹터를 확,
인하여 헤더를 포함한 파일의 포맷정보 영역을 데이터 영역과 구분하여야 한다.
그림 파일 포맷 찾기그림 파일 포맷 찾기그림 파일 포맷 찾기그림 파일 포맷 찾기( 5-22)( 5-22)( 5-22)( 5-22)
나 로 인해 손상된 파일의 확인방법나 로 인해 손상된 파일의 확인방법나 로 인해 손상된 파일의 확인방법나 로 인해 손상된 파일의 확인방법( ) Overwrite( ) Overwrite( ) Overwrite( ) Overwrite
파일 복구시 가장 먼저 해야 할 것은 정밀 검색이 들어가기에 앞서 손실원인에 따른 복구
방법의 선택과 찾고자 하는 파일의 디렉토리 정보 손상도 및 데이터의 손상정도를 파악하는
일이다 이때 파일의 손상도를 쉽게 판단할 수 있는 방법이 그림 와 같이 하는 것이. , ( 5-23)
다.
여기서 파일 보기를 통한 손상도 확인 방법이 내용을 동시에 확인할 수 있을 뿐만 아니라' '
다른 방법보다 효율적이며 원하는 데이터를 찾아서 복구까지 가능하다.
그림 손상된 파일 확인그림 손상된 파일 확인그림 손상된 파일 확인그림 손상된 파일 확인( 5-23)( 5-23)( 5-23)( 5-23)
다 로 인해 손상된 파일의 복구방법다 로 인해 손상된 파일의 복구방법다 로 인해 손상된 파일의 복구방법다 로 인해 손상된 파일의 복구방법( ) Overwrite( ) Overwrite( ) Overwrite( ) Overwrite
앞에서 같이 해당 파일에 대한 손상도를 확인 후에는 다양한 복구 방법 중 그 파일의 내용
을 정확하게 찾아서 복구할 수 있는 방법을 찾아야하며 이중 그림 과 같이 파일 포, ( 5-22) '
맷을 이용한 복구 방법이 다른복구 방법과 병용할 수 있으면서 가장 먼저 시도해 볼만한'
효율적인 복구방법 이라 하겠다.
그림 손상된 파일 복구그림 손상된 파일 복구그림 손상된 파일 복구그림 손상된 파일 복구( 5-24)( 5-24)( 5-24)( 5-24)
기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류기타 파일 복구 소프트웨어의 종류4.4.4.4.
외 파일 복구 소프트웨어로는 등이'FINALDATA' R-Studio, Data Medic, Easy Recovery
있으며 상기 소프트웨어의 주요 기능은 라 지원범위 항의 비교표를 참조하기 바란다, ' . ' ' ' .
상기 개 소프트웨어는 다양한 운영체제와 파일시스템을 지원하며 사전 설치 모듈을 통한3
데이터 복구 성능 극대화 다양한 데이터 분석 및 복구 성능이 있는 와는, 'FTNALDATA'
달리 대부분 운영체제만을 지원하고 일반적인 파일 복구에만 초점을 맞춘 기능들Windows ,
이 있어서 로 인해 손상되거나 조각날 경우에는 효율적으로 복구가 안되거나 매Overwrite
우 복구율이 낮아질 수 있어 다양한 데이터 손실 경우에 적극적인 대처가 불가하므로 전,
문적인 파일 이하의 레벨에서의 복구나 특정파일 복구 및 컴퓨터 수사 활동에 적용하기에는
불가능한 점이 있다.
가 그림가 그림가 그림가 그림. R-Studio ( 5-25). R-Studio ( 5-25). R-Studio ( 5-25). R-Studio ( 5-25)
실행 화면상에서 물리 드라이브 및 논리 드라이브의 정보 표시-
검색 단계 구분 디렉토리 검색 및 클러스터 검색- :
선택적으로 하게 됨( .)
검색 과정 저장 기능 일부분 또는 전체 검색을 구분화함- .
그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어그림 파일 복구 소프트웨어( 5-25) R-Studio( 5-25) R-Studio( 5-25) R-Studio( 5-25) R-Studio
나나나나. Data Medic. Data Medic. Data Medic. Data Medic
바이러스 엔진 탑재 온라인상 업데이트 가능 복구 전후- : ,
바이러스 치료 가능
언어 지원 가능- 2 Byte
다다다다. Easy Recovery. Easy Recovery. Easy Recovery. Easy Recovery
복구 서비스와 연계한 소프트웨어이므로 센터와 연결 가능 지원- Online A/S (DOS Mode )
검색 및 복구 과정에 마법사 기능을 추가 사용자가 편리하게 사용 가능함- : .
제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석제 절 로그파일 저장 및 분석2222
로그 개요로그 개요로그 개요로그 개요1.1.1.1.
컴퓨터 포렌식스 개념에서 시스템의 로그 내용은 사용자에 의해서 만들어진 것이 아니고,
시스템에 의해서 자동적으로 생성된 것이므로 증거력에 비치는 큰 것으로 취급되고 있다.
일반적으로 컴퓨터에 저장 되어 있는 파일은 전문증거를 법칙을 따르는 것으로 여겨지고 있
다 즉 컴퓨터에 그런 파일이 있었다는 것을 말할 뿐이지 그 내용의 진실성을 확정할 수. , ,
없다는 것이다 그러나 시스템의 관리가 적절하게 유지되어서 로그가 고의적 또는 시스템에. ,
오류에 의해 손상되지 않은 상태에서 만들어진 로그의 내용은 법정에서 증거로서 받아들여
지고 있는 실정이다.
그러나 해킹을 당한 시스템의 경우에는 시스템이 적절하게 관리되지 못했다는 것을 말하고
있으므로 여기에서 얻는 로그의 내용은 법적 증거력을 확보하기 어렵게 된다 하지만 해킹, . ,
의 내용 및 범인을 추적할 수 있는 중요한 단서가 됨으로 이에 대한 이해가 중요하다고 할
수 있다 또한 로그관리가 적절하게 이루어져서 해킹의 대상이 되지 않았음을 확인할 수 있.
는 경우에는 증거력을 확보할 수 있으므로 이에 대한 것도 면밀하게 검토할 필요가 있다.
로그는 기본적으로 주어진 기능이 적절히 수행되는지를 확인하기 위한 목적과 서비스에 대
한 증적 을 남기기 위한 목적에서 만들어 진다 각각의 목적에 따라 별도로 로그를 남( ) .
기는 경우와 하나로 두 가지 목적을 달성하려는 경우 등으로 나뉘어 지고 있으며 상용 서,
비스의 경우에는 별도로 기타의 경우에는 통합된 로그를 갖는 경우가 많다 이 두 가지 목, .
적에서 공통적으로 남기는 로그의 내용은 서비스를 수행한 시간 서비스 요청자 간단한 서, ,
비스 내용 등이 기본적으로 포함됨으로 증거 또는 단서로서 매우 유용하게 사용될 수 있다[40].
대상 시스템에서 획득할 수 있는 로그 정보 외에 주변 예 라우터 등 에서 관련 정보를 획득( , )
할 수 있다면 증거에 신빙성이 대폭 증가될 수 있으므로 시스템을 분석하기 전 준비단계에
서 이에 대한 고려를 충분히 하여야 한다 실질적으로 해킹 피해시스템에서 획득한 자료는.
법적 증거물로서 가치가 별로 없으므로 경로로 사용된 시스템에서 자료를 확보하는 것이 중
요하다 또한 대상 시스템에서 로그정보를 분석할 경우에는 대상시스템이 이미 해커에 의해.
로그의 내용이 이미 변질되었거나 또는 삭제된 경우가 많으므로 로그를 분석하기 전에 시,
스템에 바이러스 또는 트로이쟌 프로그램 등이 설치되어 있는지를 먼저 확인하여야 한다.
따라서 해킹피해시스템에서 증거물을 획득하기 위해서는 먼저 시스템의 동작을 정지시키고
디스크를 분리하여 분석시스템에 부착한 후 분석시스템을 통해서만 일련의 작업을 수행하여
야 한다 시스템의 규모가 크거나 기타 이유 등으로 디스크를 분리할 수 없는 경우에는 표. [
와 같은 프로그램 등을 미리 준비하여 사용하여 조사하여야 한다 또한 이들 명령어는시5-2]
스템 분석시 자주 사용되어지는 것들이므로 그 사용방법을 정확히 숙지할 필요가 있다.
유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석유닉스 및 리눅스 로그파일 저장 및 분석2.2.2.2.
가 유닉스 및 리눅스 로그 파일 개요가 유닉스 및 리눅스 로그 파일 개요가 유닉스 및 리눅스 로그 파일 개요가 유닉스 및 리눅스 로그 파일 개요....
누군가 불법 침입을 하고 있는 도중에 시스템을 관찰하는 경우는 현재 수행되고 있는 프로
세스 리스트 명령 등 등 확인할 수 있지만 사후에 시스템에 불법적인 침입이 있었다는(top ) ,
것을 알기 위해서는 일차적으로 대상 시스템의 로그에 남겨진 내용을 확인하는 것이고 그,
후에 경로상의 다른 시스템에 남겨진 로그를 확인하는 것이 효과적이다[41].
표 는 유닉스 및 리눅스에서 기본적으로 사용되는 로그파일명과 기능 코드형태 및 관[ 5-2] ,
련 프로그램들을 나타내고 있다 형태가 로 되어 있으면 일반 텍스트 뷰어 예. ascii ( , more,
등으로 그 내용을 볼 수 있지만 바이너리인 경우에는 전용 프로그램 수행해서만less, vi) ,
볼 수 있다.
대부분의 뷰어 프로그램은 강력한 검색기능을 구비하고 있으므로 이들을 이용하면 원하는
부분을 쉽게 찾을 수 있다.
표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구표 증거물 조사 및 획득을 위한 기본 도구[ 5-2][ 5-2][ 5-2][ 5-2]
명령어 용도
ls 디렉토리의 내용을 표시
dd 디스크를 이미지로 복사
df 디스크 사용량을 표시
des 파일을 암호화
file 파일의 유형을 표시
pkginfo 패키지 정보를 표시
find 조건에 부합되는 파일을 재귀적으로 검색
grep 파일에서 조건에 부합되는 라인을 출력
icat디바이스를 개방하고 지정된 와 함께inode파일을 복사
lsof 현재 개방되어 있는 파일들을 출력
md5sum 주어진 파일에 대한 해시를 계산md5
netcat or cryptcat 연결을 통한 파일 출력TCP, UDP
netstat 네트워크 연결 라우팅테이블 등을 출력, ,
pcat 프로세스 메모리를 복사
perl Practical Extraction and Report Language
ps 프로세스 상태를 출력
stace, truss프로그램이 수행되면서 사용하는 시스템 호출 및시그날들을 출력
strings 프로그램에 있는 스트리밍을 출력
vi 파일 편집기
cat 파일 출력기
more or less 페이지 단위 파일 출력기
gzip 파일 압축 및 복원
last 마지막으로 로그인한 기록목록을 출력
rm 파일 삭제
script 터미널에서 발생하는 모든 세션을 파일에 기록
bash 명령언어 해석기 (Bourne-Again Shell)
modinfo 커널 모듈에 대한 정보를 출력
lsmod 적재된 커널 모듈들을 표시
ifconfig 네트워크 인터페이스를 결정
로그를 제외하는 로그파일들은 유닉스의 경우에는 또는 디렉토history /usr/adm /var/adm
리에 저장되고 리눅스의 경우에는 디렉토리에서 발견할 수 있다 는 각 사, /var/log . history
용자 디렉토리에 으로 시작하는 숨겨진 디렉토리에 저장되며 사용된 명령해석기의 종류"." ,
등 에 따라 그 이름이 약간씩 다르게 나타난다(sh, rsh, csh,bash ) .
표 로그파일 종류 및 기능표 로그파일 종류 및 기능표 로그파일 종류 및 기능표 로그파일 종류 및 기능[ 5-3][ 5-3][ 5-3][ 5-3]
로그파일명 내용 또는 용도 형태 비고
aculog 모뎀 사용 내역Dial-out ascii acu, kermit
history 사용자별 명령어 ascii ~/.history
lastlog 사용자 최근 로그인 시간 binary login
loginlog 실패한 로그인 시도 ascii 실패 회login 4
maillog 메일 시스템 수행 내역 ascii sendmail
messages 부팅시의 시스템 콜솔 내용 ascii dmesg
secure 시스템 권한 관련 로그 ascii syslogd.conf
sulog 명령 사용 내역su ascii 녀
utmpx 현재 로그인한 사용자 내역 binary who,w,users
vold.log 외부 매체 사용에 대한 에러 들 ascii mount
wtmpx 사용자의 로그인 로그아웃 시간, binary who,w,users
xferlog 사용 내역ftp ascii ftpd
유닉스 및 리눅스 시스템에서는 운영체제를 설치하면 시스템에 설치된 대부분의 명령 및 주
요 파일 구조에 대한 매뉴얼이 함께 제공됨으로 명령어 사용시 이들을 활용하면 실수를 줄
이고 작업효율을 높일 수 있다.
특히 명령 등을 잘못 사용하면 증거물 훼손으로 직결될 수 있으므로 먼저 매뉴얼을 보'dd'
고 명령구문을 확인한 후에 명령어를 사용하는 것이 바람직하다 로그파일 중에서 해킹 피.
해에 대한 단서를 확보하는데 중요한 로그파일들에 대해서 자세히 설명한다.
나 로그 파일별 분석나 로그 파일별 분석나 로그 파일별 분석나 로그 파일별 분석....
로그로그로그로그(1) history(1) history(1) history(1) history
용의 주도한 해커에 의해 해킹된 시스템에서 관련된 증거물을 찾는 다는 것은 그렇게 손쉬
운 것은 아니지만 유닉스 리눅스 시스템에서는 수많은 로그들을 남기고 있으므로 간혹 유, /
용한 정보를 획들 할 수도 있다 이중에 하나가 바로 사용자별로 명령해석기 를 사용. (shell)
할 때 사용한 명령어들을 코드로 저장되는 이력로그 이다 이력로그는 사ascii (history log) .
용되는 명령해석기에 따라 사용자 디렉토리에 또는 파일이름으로 저.history .bash_history
장된다 만일 해커가 자신이 사용했던 홈디렉토리를 삭제했더라도 의 유닉스 파일. FinaIData
복구 소프트웨어를 가동시키면 웬만한 파일들은 복원할 수 있으므로 필요한 단서를 잡을 수
있게 된다 그림 는 의 한 예이다. ( 5-26) .sh_history
그림 예그림 예그림 예그림 예( 5-26) sh_history( 5-26) sh_history( 5-26) sh_history( 5-26) sh_history
파일파일파일파일(2) lastlog(2) lastlog(2) lastlog(2) lastlog
파일에는 사용자별로 마지막으로 로그인한 시간과 사용된 포트번호 및 네트워크로lastlog
접속한 경우 단말측 주소가 기록된다 바이러리형태로 저장됨으로 그림 과 같이IP . ( 5-27)
명령을 통하여 그 내용을 확인 할 수 있다lastlog .
C
그림 명령 수행의 예그림 명령 수행의 예그림 명령 수행의 예그림 명령 수행의 예( 5-27) lastlog( 5-27) lastlog( 5-27) lastlog( 5-27) lastlog
파일파일파일파일(3) loginlog(3) loginlog(3) loginlog(3) loginlog
로그인을 할 때 패스워드를 잘못 입력하여 오류가 발생되는 경우 이것에 대해 로그인 아이
디 사용된 접속 포트번호 및 일시가 파일에 기록된다, loginlog .
(4) maillog(4) maillog(4) maillog(4) maillog
여기에는 프로그램인 의해 메일MTA(Mail Transfer Agent) sendmail
송수신에 관련된 로그가 저장된다 그림 에서 라는 디렉토리에 파일. ( 5-28) /var/log maillog
들이 생성됨을 볼 수 있다 로그내용의 분석에 대해서는 제 장 전자우편 시스템에서 증거. 6
물 확보 및 분석에 자세하게 설명된다.
그림 로그 파일의 종류그림 로그 파일의 종류그림 로그 파일의 종류그림 로그 파일의 종류( 5-28)( 5-28)( 5-28)( 5-28)
파일파일파일파일(5) messages(5) messages(5) messages(5) messages
시스템 콘솔에 출력되는 내용이 이 파일에 같이 저장된다 큰솔에 출력되는 내용은 주요 프.
로세스 동작에 이상이 발생하였거나 중요한 권한 변경이 일어나는 경우에도 포함됨으로 시, ,
스템에 어떤 문제가 있었는지는 이 파일을 분석하여 보면 알 수 있다 초기 중규messages .
모이상의 시스템에서는 라인프린터와 키보드로 구성된 시스템이 콘솔로 사용되어 여기로 나
온 내용은 모두 프린트되도록 하였으나 중요도 낮은 시스템에서는 단순한 일반 단말기를 콘
솔로 사용하므로 스크롤업된 메시지는 사라지게 된다 따라서 이 파일들을 콘솔. messages
화면에서 사라져버린 메시지를 확인하는데 요긴하게 사용될 수 있다 그림 은 로그파. ( 5-28)
일의 종류를 나타내는 것으로서 한 예로 메시지의 경우 시간이 경과한 로그는 확장자의 이
름을 큰 숫자로 바꾸어서 항상 작은 수의 순서로 최근 로그를 나타내게 된다 따라서 최근.
의 로그를 보기 위해서는
명령어를 사용하면 의 마지막 메시지를 확인 할 수 있tail /var/messages <CR> messages
다.
그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예그림 명령어를 이용한 로그분석의 예( 5-29) grep( 5-29) grep( 5-29) grep( 5-29) grep
파일파일파일파일(6) secure(6) secure(6) secure(6) secure
로그파일은 시스템에 보안에 관련된 변화가 있을 때 이것을 기록한다 그림Secure . ( 5-29)
의 예는 사용하여 특정 로부터 로그인 시도가 로그파일이 나타난 것을 전부 찾아서grep IP
나타낸 것이다 우선 로그인 시도에 대해서 데몬에 의한 로그가 남겨지고 로. telnet xinetd ,
그인 패스워드 입력 오류에 대해 로그가 남겨진 것을 볼 수 있다message .
파일파일파일파일(7) sulog(7) sulog(7) sulog(7) sulog
명령사용에 대해서 리눅스 시스템에서는 파일에 로그가 기록되고su (super user) messages
나머지 시스템에서는 파일애 기록된다 해커들은 일단 일반계정으로 시스템/var/adm/sulog .
에 침입한 후에 권한을 얻기 위해 명령을 사용할 수 있으므로 이에 대한 조사는 항상root
해야 한다.
그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예그림 명령어를 이용한 로그내용 확인 예( 5-30) last( 5-30) last( 5-30) last( 5-30) last
및 파일및 파일및 파일및 파일(8) utmp wtmp(8) utmp wtmp(8) utmp wtmp(8) utmp wtmp
에는 사용자가 시스템에 로그인한 사실에 대해서 사용자 아이디 터미널 포트 원격지utmp , , (
호스트 명 로그인한 시간 등이 기본적으로 저장되며 및), , who, w, finger, users, write
명령들에 대한 기본 정보를 제공한다 에는 의 정보에 로그아웃시각을 포함login . wtmp utmp
하여 이들에 대한 이력들이 모두 저장된다 에 저장되어 있는 내용은 바이너리코드로. wtmp
되어 있으므로 명령어를 통하여 그 내용을 확인할 수 있다 그림 는 명령어last . ( 5-30) last
를 사용하여 의 내용을 확인한 예이다 각 사용자가 로그인하여 시스템을 사용한 시간wtmp .
을 나타내고 있다.
및 는 및 의 내용이 확장된 것이다utmpx wtmpx utmp wtmp .
파일파일파일파일(9) xferlog(9) xferlog(9) xferlog(9) xferlog
에는 파일전송 프로그램의 서버측 프로그램인 일반적으로 또는 에xferlog ftpd ( inetd xinetd
의해서 호출된다 의 수행내용이 기록된다 따라서 파일전송에 관한 내용 즉 송수신된 시간) . , ,
원격 호스트 주소 파일의 이름 크기 전송모드 전송방향 로그인한 사용자의 종류 등이, , , , ,
모드로 저장됨으로 일반 에디터로 내용을 확인할 수 있다ascii .
로그파일 저장 및 분석로그파일 저장 및 분석로그파일 저장 및 분석로그파일 저장 및 분석3. WinNT/20003. WinNT/20003. WinNT/20003. WinNT/2000
가 로그파일 개요가 로그파일 개요가 로그파일 개요가 로그파일 개요. WiuNT/2000. WiuNT/2000. WiuNT/2000. WiuNT/2000
최근 마이크로소프트사의 운영체제인 계열에서 가장 두드러진 특징은 시스템 운영Windows
에 필요한 각종 구성 및 로그파일들을 몇 개의 기초적인 초기화 파일을 제외하고는 레지스
트리 라는 저장소에서 집중 관리하게 하는 것이다 그리고 이곳에 저장되어 있는(Registry) .
정보의 엑세스를 정해진 인터페이스를 통하여 하게 함으로서 관리상의 문제점들을 해결하고
자 한 것이다 따라서 운영체제에서 로그파일 수집 및 분석은 이 레지스트리를 중. Windows
심으로 이루어지게 된다 우선 기본적인 초기화 구성 파일들의 종류 및 기능에 대해서 알아.
보고 레지스트리의 구성 및 내용에 대해서 설명한다.
윈도우즈 시스템은 리눅스 및 유닉스 운영체제와 다르게 주로 단독으로 사용되는 경우가 많
고 따라서 네트워크를 통하여 시스템의 자원을 불법으로 사용하는 해킹피해보다 바이러스,
프로그램 등에 의한 피해가 많으므로 시스템을 조사하기 전에 바이러스 침입 보다 바이러스
감염여부를 먼저 확인하여야 한다 그러나 바이러스 감시 프로그램 등을 함부로 설치하는.
것은 증거물을 훼손할 염려가 있으므로 우선 증거물을 복제한 후에 필요한 조치를 해야 한
다 시스템에서 증거물을 획득 분석하는 과정에서 증거물 훼손이 되면 증거로써의 가치가.
상실됨으로 이에 대한 대비책을 먼저 강구한 후에 시스템을 조사하여야 한다 일반적인 방.
법은 시스템은 꺼져 있는 경우에는
시스템에 디스크를 분리하여 분석시스템에 부착 후 조사-
별도의 부팅 디스켓을 이용하여 부팅 후 조사-
중의 하나의 절차를 따르고 시스템의 켜져 있는 경우에는 현재 사용자명 네트워크 접속, ,
여부 접속되었으면 주소 서비스명 현재 수행 중이던 서비스 및 프로세스 등에 대한 정보, ip , ,
를 확인 한 후에 시스템을 끄고 증거물 획득절차에 따라 작업을 수행한다 그림 과, . ( 5-31)
같이 시스템의 네트워크 구성을 보기 위해서는 명령을 수행하면 사용되고 있'ipconfig /all'
는 네트워크의 물리 주소 및 주소 등을 확인 할 수 있다 윈도우즈 시스템에서 증거물을IP .
획득하고 분석하는 방법은 또는 등의 상용 컴퓨터 포렌식스 소프트웨어를 이EnCase FTK
용하여 제 장 절에서 언급된 다양한 분석 방법을 사용하여 비교적 손쉽게 분석 할 수 있2 2
지만 이 절에서는 이 분석의 기초지식이 될 수 있는 부분에 대해서 설명한다, .
그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인그림 명령을 이용한 네트워크 정보 확인( 5-31) ipconfig( 5-31) ipconfig( 5-31) ipconfig( 5-31) ipconfig
나 일반 시스템 구성 파일나 일반 시스템 구성 파일나 일반 시스템 구성 파일나 일반 시스템 구성 파일....
레지스트리와 관계없이 일반적으로 사용되는 구성파일은 주로 운영체제가 로딩되어 실행되
는 단계까지 필요한 것들로서 시스템 분석 시에도 매우 주요한 과정이므로 이에 대한 이해
가 잘 되어 있어야 한다.
윈도우에서 사용 가능한 부팅 옵션과 부팅 메시지를 정의한다 그림 는- boot.ini : . ( 5-32)
과 두 운영체제를 선택하여 부팅할 수 있도록 하는 부팅 구성 파Window 2000 Window XP
일의 예이다 파일은 부트 드라이브의 루트 디렉토리에 존재한다. boot.ini .
그림 파일 내용 예그림 파일 내용 예그림 파일 내용 예그림 파일 내용 예( 5-32) boot.ini( 5-32) boot.ini( 5-32) boot.ini( 5-32) boot.ini
대부분의 기본기능이 레지스트리로 옮겨졌지만 호환성 유지를 위해 사용되- system.ini : ,
고 있다 시스템에 구성에 필요한 장치 드라이버들의 목록과 파라미터 설정.
응용 프로그램의 설정 정보를 기록한다 와 같이 레지스트리에서 같- win.ini : . system.ini
은 정보를 관리하고 있다 옵션으로 이 파일을 사용하지 않게 할 수도 있다. .
기타 응용 프로그램에 따라 별도의 파일이 존재할 수 있으며 해당 프로그램의 초기- : .ini
및 변경된 설정정보를 갖고 있다 앞의 경우와 같이 레지스트리에서 관리할 수 있다. .
디렉토리에서 명령을 수행하면 관련 파일을 볼 수 있다C:\WINNT\ dir *.ini .
다 인터넷 접근 관련 로그다 인터넷 접근 관련 로그다 인터넷 접근 관련 로그다 인터넷 접근 관련 로그....
윈도우즈 시스템의 주 용도중의 하나는 인터넷을 엑세스하는 것이므로 이에 대한 로그 분석
은 피의자가 사건을 전후하여 어떤 작업을 했는지 파악하는데 매우 중요하다 웹브라우져를.
이용하여 웹사이트를 방문하면 최소한 방문기록과 쿠키 로그파일이 시스템에 남게된다 이.
들은 모두 인터넷 익스플로러를 사용하는 경우 인터넷 옵션 제어 화면에서 그 위치 크기,
등을 조절하거나 시스템에 남아있는 로그파일 등을 삭제 할 수 있다.
방문기록방문기록방문기록방문기록(1)(1)(1)(1)
방문기록 등을 분석하기 위해서 인터넷익스플로러를 실행하여 열어본 페이지 목록 서브," "
화면을 통하여 확인할 수 있지만 이렇게 하면 프로그램이 시작하자마자 시작 홈페이지를,
방문하게되고 결국 증거물을 훼손하는 결과를 초래한다 방문기록 파일은 통상.
에 존재한다 그림C: Documents and Settings {Administrator} Cookies index.dat . (\ \ \ \
은 파이널데이터의 프로그램을 사용하여 웹 방문기록을 확인하는 예이다5-33) FinalHistory .
그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예그림 웹 방문 기록 분석의 예( 5-33)( 5-33)( 5-33)( 5-33)
쿠키 로그쿠키 로그쿠키 로그쿠키 로그(2)(2)(2)(2)
쿠키는 한번이상 방문한 웹 사이트를 다시 방문할 때 웹 서버가 이용자를 알아 볼 수 있도
록 부가적으로 서버에 보내는 아주 작은 파일이다.
쿠키를 이용하면 이용자가 다시 방문했을 때 로그인 아이디 패스워드 등을 다시 입력받지,
않고 원하는 서비스로 직접 들어갈 수 있으므로 많이 사용된다 따라서 이 쿠키정보를 잘.
분석하면 유용한 정보를 많은 얻어낼 수 있게 된다 쿠키 로그 파일도 방문기록과 같이.
C: Documents and Settings {Administrater} Cookies\ \ \ \
디렉토리에 사용자 이름 간략한 주소 형식의 파일명으로 저장된다 그림 는{ }@{ }.txt . ( 5-34)
시스템 저장되어 있는 쿠키들의 한 예이며 그림 는 를 이용하, ( 5-35) Karen's Cookie Viewer
여 시스템 남아있는 쿠키를 확인한 예이다.
그림 쿠키 파일의 예그림 쿠키 파일의 예그림 쿠키 파일의 예그림 쿠키 파일의 예( 5-34)( 5-34)( 5-34)( 5-34)
그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예그림 를 통한 쿠키 확인의 예( 5-35) Cookie Viewer( 5-35) Cookie Viewer( 5-35) Cookie Viewer( 5-35) Cookie Viewer
임시 인터넷 파일임시 인터넷 파일임시 인터넷 파일임시 인터넷 파일(3)(3)(3)(3)
웹브라우저의 성능을 높이는 방법 중에 하나로 한번 가져온 파일을 저장하여 놓았다가 같은
사이트에서 같은 파일을 가져와야 하는 경우에 저장된 파일을 이용하여 화면에 출력함으로
서 응답속도를 높이기 위해서 만들어졌다 주로 이미지 파일 등이 많이 남아있게 되고 방문. ,
기록과 함께 사건전후의 피의자 행동을 파악할 수 있는 유용한 정보가 된다.
파일 위치는
C: Documents and Settings {Administrator} Local Settings TemporaryInternet Files\ \ \ \
위치되나 이 역시 사용자에 의해 위치가 변경될 수 있으므로 주의해야 한다, .
라 레지스트리 개요라 레지스트리 개요라 레지스트리 개요라 레지스트리 개요....
윈도우에서 레지스트리는 시스템의 구동에 필요한 대부분의 정보를 담고 있는 중앙집중 데
이터베이스라고 볼 수 있다 종래에 사용하던 대부분의 파일을 레지스트리에 흡수했을. .ini
뿐만 아니라 정보에 접근하는 방법을 인터페이스 프로그램을 통하여 관리가 편리해졌을 뿐
만 아니라 포맷변경 등에 따른 오류도 줄이는 효과를 보고 있다 또한 인터페이스에 강력한.
검색기능을 추가하여 시스템 성능을 높이는 효과도 있는 것으로 보고 있다.
레지스트리의 내용은 라는 프로그램을 통하여 확인할 수 있으며 이것을 통하여 원regedit ,
하는 정보를 검색하거나 변경 또는 백업 등을 할 수 있다 실제로 레지스트리에서 관리하는.
파일은 여러 개로 나뉘어져 있지만 사용자는 라는 프로그램을 통하여 모든 레지스트regedit
리 관리를 할 수 있으므로 마치 하나의 설정 및 로그 파일이 시스템에 존재하는 것 처럼 보
여진다 레지스트리관련 파일들은.
또 는c: winnt( window) system32 config\ \ \
디렉토리에 저장되며 표 와 같이 파일들이 사용되고 있다, [ 5-4] .
그림 은 레지스트리 편집기 화면의 한 예이다 프로그램을 사용하여 레지스트( 5-36) . regedit
리의 내용을 백업하는 경우에는 라는확장자의 파일이 생성된다 여기에 저장되(name).reg .
는 데이터는 레지스트리 중에서 사용자가 선택한 영역 또는 전체에 대해서 할 수 있으며,
향후에 이파일을 이용하여 손상되거나 삭제된 레지스트리를 복원할 수 있게된다.
그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예그림 레지스트리 화면의 한 예( 5-36)( 5-36)( 5-36)( 5-36)
라 레지스트리 계층라 레지스트리 계층라 레지스트리 계층라 레지스트리 계층....
여기에서는 레지스트리의 최상위 계층의 종류와 기능에 대해서 설명한다.
(1) HKEY_CLASSES_ROOT(1) HKEY_CLASSES_ROOT(1) HKEY_CLASSES_ROOT(1) HKEY_CLASSES_ROOT
여기에는 또는 과 같은 파일 확장자에 관련된 정보가 저장된다 즉 특정이름의 확.txt .doc .
장자에 따라 연결될 실행 프로그램을 연결하는 정보 등이 여기 들어간다 또한 특정 데이터.
파일을 여는데 필요한 응용 프로그램과 매개변수 등이 여기에서 정의된다
(2) HKEY_CURRENT_USER(2) HKEY_CURRENT_USER(2) HKEY_CURRENT_USER(2) HKEY_CURRENT_USER
여기에는 개인별로 설정되는 시스템의 바탕화면 키보드 색상 시작 메뉴의 구성 정보가 관, , ,
리된다 하위계층으로.
응용 프로그램을 수행하거나 버튼을 눌렀을 때나는 사운드 등을 나타냄- AppEnvents
도스 화면에 구성에 관한 설정 폰트 칼라 크기 등- Console : ( , , , )
개인별로 설정되는 제어판 항목의 설정- Control Panel
인터넷과 관련된 데이터 목록- Identifies :
네트워크 프린터 관련 설정- Printers :
시스템에 설치된 소프트웨어 목록을 관리- Software :
등이 있다 특히 시스템이 해킹을 당하거나 바이러스가 감염되면 가끔. Windows
디렉토리에HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion\ \ \ \
등에 실행 프로그램이 들어가는경우가 있으므로 체크가 필요하Run, RunOnce, RunService
다 이러한 경우는 레지스트리의 검색기능을 이용하여 찾을 수 있다. .
(3) HKEY_LOCAL_MACHINE(3) HKEY_LOCAL_MACHINE(3) HKEY_LOCAL_MACHINE(3) HKEY_LOCAL_MACHINE
여기에는 시스템에서 사용되고 있는 하드웨어 및 관련 드라이버 이들의 구성정보를 관리한,
다 플러그 앤 플레이 및 장치 드라이버에대한 전체 목록도 관리한다 여기에서 사용. (PnP) .
되고 있는 의 정확한 재원도 알 수 있다 와 유사하게CPU . HKEY_CURRENT_USER
디렉토리에HKEY_LOCAL_MACHINE Software Micresoft Windows CurrentVersion\ \ \ \
등에 실행프로그램이 있는지을 확인하여야RunOnce, Run, RaunService, RunServiceOnce
한다.
(4) HKEY_USERS(4) HKEY_USERS(4) HKEY_USERS(4) HKEY_USERS
모든 이용자에 대한 설정이 저장된다 세부 내역은 의 내용과 유. HKEY_CURRENT_USER
사하다.
(5) HKEY_CURRENT_CONFIG(5) HKEY_CURRENT_CONFIG(5) HKEY_CURRENT_CONFIG(5) HKEY_CURRENT_CONFIG
와 두 부분으로 나뉘어져 있다 부분에서는 디스플레이 및 프린Software System . Software
터를 구성한데 필요한 설정이 포함된다 또한 자동다이얼 사용 여부 와 인터넷 연결시 프록.
시 사용 여부를 결정하는 설정값이 포함된다 시스템 부분에는 프린터 사운드 및 비디오 설. ,
정이 관리된다 비디오 어댑터의 해상도 등도 여기에서 결정된다. .
표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일표 레지스트리 계층 및 대응 파일[ 5-4][ 5-4][ 5-4][ 5-4]
레지스트리 계층 디렉토리 파일 명
HKEY_USER winnt system32 config\ \ \ DEFAULT
HKEY_CURRENT_USERdocument and settings(user)\
NTUSERDAT
HKEY_CURRENT_CONFIG winnt system32 config\ \ \ SYSTEM
HKEY_LOCAL_MACHINE SAM\ winnt system32 config\ \ \ SAM
HKEY_LOCAL_MACHINE SECURITY\ winnt system32 config\ \ \ SECURITY
HEKY_LOCAL_MACHINE SOFTWARE\ winnt system32 config\ \ \SOFTWARE
HEKY_LOCAL_MACHINE SYSTEM\ winnt system32 config\ \ \ SYSTEM
라 이벤트 로그 분석라 이벤트 로그 분석라 이벤트 로그 분석라 이벤트 로그 분석....
윈도우즈 시스템에서 시스템상의 대부분의 이벤트는 컴퓨터관리 시스템도구 이벤트 뷰-> ->
어를 통하여 확인할 수 있다 그러나 디폴트로 설치운영하는 경우에는 이에 설정이 되어 있.
지 않으므로 침해사고시 유용하지는 않지만 만일 이들이 설정되어 있는 경우에는 매우 쓸,
모 있는 도구이다 참고로 이벤트 로그를 세팅하는 화면은 시작 프로그램 관리도구 로. -> -> ->
컬보안정책 로컬정책 감사정책에서 할 수 있다 그림 을 감사정책 설정화면의 예-> -> . [5-37]
이고 그림 은 이 설정에 의해서 이벤트 뷰어에 나타난 예로 계정감사 설정을 하고, [5-38] , ,
이에 따라서 로그인이 성공한 것에 대한 로그를 보여주고 있다.
그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예그림 이벤트 뷰어 설정의 예( 5-37)( 5-37)( 5-37)( 5-37)
그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예그림 이벤트 뷰어를 통한 로그확인의 예( 5-38)( 5-38)( 5-38)( 5-38)
제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술제 장 해킹피해시스템 분석기술6666
제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석제 절 전자우편을 이용한 범죄의 증거물 확보 및 분석1111
1.1.1.1.
전자우편 시스템 개요전자우편 시스템 개요전자우편 시스템 개요전자우편 시스템 개요
전자우편 시스템은 인터넷의 발전과 함께 매우 보편화된 서비스중의 하나이다 현재 국내.
성인 대부분이 메일아이디를 개 이상 갖고 있다고 해도 과언이 아닐 만큼 많은 사람들이1
사용하고 있으며 따라서 이에 관련되는 범죄도 많이 발생하고 있는 실정이다, .
전자우편 시스템을 통하여 일어나는 범죄는 크게 전자우편의 단순히 문건을 전달하는 기능
을 이용하는 공갈 사기 협박 등의 일반적인 범죄와 마케팅 또는 해킹의 목적으로 대규모의/ /
전자우편을 불특정 다수 또는 특정인에게 동시에 보내어 사용자들을 성가시게 하거나 피해,
자 전산시스템을 무력화하는 등의 전산 기술적 범죄로 나눌 수 있다.
그림 전자메일 구성도그림 전자메일 구성도그림 전자메일 구성도그림 전자메일 구성도( 6-1)( 6-1)( 6-1)( 6-1)
전자메일은 그림 과 같이 컴퓨터 통신 서비스로서 발신자가 컴퓨터를 이용하여 문서를( 6-1)
작성하고 인터넷을 통하여 수신자에게 이를 전달하면 수신자는 이 문서를, POP3[32] 또는
IMAP[33]프로토콜을 이용하여 메일서버로부터 자신의 컴퓨터로 가져온다 만일.
웹메일서비스를 이용하는 경우에는 일반 웹브라우저를 이용하여 웹서버로 접속하여 메일을
읽는 서비스 체제로 이루어진다 전자메일을 이용하여 사용자가 보내거나 받을 수 있는 문.
서의 종류 단순문자 이미지 동영상 스크립트 실행파일 등 및 크기는 일반적( , , , HTML, VB , )
으로 제한이 없으며 이로 인하여 해킹 및 바이러스 유포 등 많은 문제들이 발생하기도 한,
다.
사용자 메일클라이언트로는 인터넷익스플로러에 기본적으로 설치되어있는 Outlook express,
에 포함되어 있는 및 기타 전용의 등이 많이 사용되고 있으며MS-office Outlook, Eudora ,
이들은 대부분 또는 프로토콜을 지원하고 있으므로 사용자 컴퓨터에서 메일문POP3 IMAP
서를 받아서 읽을 수 있게 되어 있다.
메일서버는 일반 우편시스템의 우체국과 비슷한 역할을 하는 것으로서 메일서버사이들간의
통신에는 SMTP[31]길 라는 프로토콜을 사용하여 메시지를 전달하는 역할을 한다 프. SMTP
로토콜은 영어문장 형태의 간단한 프로토콜을 사용하고 있으므로 단순한 영어 문서가 아닌,
경우에는 인코딩을 해야하며 메일의 보안성을 유지하기 위해서는 별도의 대비책을 강구하,
여야 한다 유닉스 및 리눅스에서는 기본적으로 이라는 프로그램이 데몬 형식으로. sendmail
수행되어 서비스를 제공하고 있다 대규모 메일서비스를 제공하는 시스템에서는 대SMTP . (
부분 별도로 개발된 프로그램 설치 운영된다SMTP .)
따라서 전자메일 서버에 관한 서비스 구성 및 내용은 이 구동하는데 필요한 구성, sendmail
파일 의 내용에 따라 달라짐으로 증거물 확보 및 분석 시에는 이들에 대(Configuration file)
한 조사가 먼저 선행되어야 한다.
전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석전자우편 증거물 확보 및 분석2.2.2.2.
가 증거물 확보가 증거물 확보가 증거물 확보가 증거물 확보....
전자메일에서 증거물 확보는 일차적으로 수신된 메일의 내용이다 수신된 메일에는 기본적.
으로 수신자 발신자 참조자 명 및 내용이 포함되어 있으므로 이를 저장매체에 보관하거나, , ,
인쇄하여 증거물로 제출할 수 있다 그러나 디지털 증거물의 특성상 위 변조 삭제 등이 용. / ,
이함으로 만일 피의자가 증거물에 나타난 사실관계를 부인하면 증거력에 문제가 발생할 수
있다 그러므로 전자메일을 발송되는 시점에서부터 수신되는 컴퓨터까지의 경로에서 필요한.
증거자료를 확보할 필요가 있게 된다.
표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물표 전자우편에 관련된 증거물[ 6-1][ 6-1][ 6-1][ 6-1]
내용 위치 비고
발송자 컴퓨터에1.저장되어 있는 메시지
발송함 를 미사용 경우web mail
해당 파일 첨부파일 경우
발송 수신 메일서버2. /로그
var log syslog\ \ \ Solaris
var log maillog\ \ \ Linux
수신 메일서버의3.메시지
var mail user_id\ \ \아직 읽지 않은 메시지
읽은 메시지user's-home-directory mbox\ \
수신자 컴퓨터에4.저장되어 있는메일 및 인쇄 spool
수신함 또는 지운 편지함
만일 경유된 메일서버가 인 경우에는 통신사실요청서ISP(Internet Service Provider) 1)를 보
내서 해당 메일이 전송된 사실과 발송자의 신원정보를 확보한다 만일 발송자가 발송한 메, .
일을 삭제한 경우에는 메일복구프로그램 등을 수행하여 삭제된 메일을 복원하여 증거물로
제출할 수 있다 기본적으로 복잡한 과정을 거처서 증거물을 확보하는 경우일수록 획득과정. ,
에 대한 명확한 문서화가 이루어져야 하며 필요한 경우에는 관계자의 서명도 확보하여야,
한다.
관련 증거물 확보관련 증거물 확보관련 증거물 확보관련 증거물 확보(1) Outlook Express(1) Outlook Express(1) Outlook Express(1) Outlook Express
의 수신메일 파일 및 로그파일은 다음의 디렉토리에서 찾을 수 있다Outlook Express .
경우에는 아래의 경로에서 로그파일을 찾을 수 있다Windows98 .
C: WINDOWS Application Data Identities{A4b ..... }\ \ \
Microsoft Outlook Express\ \ \
경우에는 아래의 경로에서 로그파일을 찾을 수 있다Window2000 .
C: Documents and Settings Administrator Local Settings Application\ \ \ \
Data Identities {7E869AD1-C977-...} Microsoft Outlook Express\ \ \ \ \
위의 경로에서 발견되는 로그 파일 목록은 아래와 같다.
받은 편지함- .dbx
보낸 편지함- .dbx
보낼 편지함- .dbx
임시 보관함- .dbx
지운 편지함- .dbx
- folders.dbx
- Offline.dbx
- Pop3.log
- cleanup.log
1) 관할지역 검사장의 승인이 있어야 함
이 디렉토리위치 확인은 화면에서 해당 폴더를 선택한 후에 마우스오른쪽Outlook express
단추를 눌러서 속성 항목을 선택하면 그 폴더가 저장될 디렉토리 패스와 파일명을 확인할
수 있다.
일단 위치가 확인되면 이들 파일에 대해 복원 프로그램을 구동하여 그 파일에 저장되어 있
는 메시지를 복원한다 메시지를 삭제한 후 지운편지함 비우기까지 한 메시지도 그 내용이. ,
남아 있는 경우에는 복원이 가능하다.
만일 에서 로그 생성이 설정되어 있었으면 와 의 내용을Outlook express smtp.log pop3.log
확인할 수 있다 그림 및 그림 과 같이 에서는 메일을 발송한 내역. ( 6-2) ( 6-3) smtp.log ,
에서는 메일서버로부터 내려받은 메시지 내역을 확인 할 수 있다pop3.log .
디폴트로는 설정되지 않으므로 가 저장되기 하기 위해서는 다음가 같이 레지스트smtp.log
리를 설정하여야 한다.
그림 로그의 예그림 로그의 예그림 로그의 예그림 로그의 예( 6-2) SMTP( 6-2) SMTP( 6-2) SMTP( 6-2) SMTP
그림 로그의 예그림 로그의 예그림 로그의 예그림 로그의 예( 6-3) Pop3( 6-3) Pop3( 6-3) Pop3( 6-3) Pop3
에서 관련 증거물 확보에서 관련 증거물 확보에서 관련 증거물 확보에서 관련 증거물 확보(2) Outlook(2) Outlook(2) Outlook(2) Outlook
에서Windows 98
C: WINDOWS Local Settings Application Data\ \ \ \
개인폴더Microsoft Outlook mailbox.pst -->\ \
C: WINDOWS Local Settings Application Data\ \ \ \
받은 편지함Microsoft Outlook archive.pst -->\ \
에서Windows 2000
C: Documents and Settings Administrator Local Settings\ \ \ \
개인폴더Applicacion Data Microsoft Outlook outlook.pst -->\ \ \
C: Documents and Settings Administrator Local Settings\ \ \ \
받은 편지함Application Data Microsoft Outlook archive.pst -->\ \ \
파일 등을 발견할 수 있다 현재 의 파일을 복구하는 소프트웨어가 없는 것으로. Outlook pst
보이므로 이 들에 저장되어 있는 파일들을 확인하기 위해서는 를 실행한 후에 파, Outlook , "
일메뉴 의 가져오기 및 내보내기 마법사 화면에서 가져오기를 실행하여 그 메시지를 확인" " "
할 수 있다 이러한 목적으로 종종 같이 외산 메일네비케이터를 사용할 수. mailNavigator
있으나 한글 출력에서 한글이 제대로 나타나지 않은 문제를 보이고 있다.
유닉스 메일에서 증거물 확보 및 분석유닉스 메일에서 증거물 확보 및 분석유닉스 메일에서 증거물 확보 및 분석유닉스 메일에서 증거물 확보 및 분석(3)(3)(3)(3)
만일 사용자가 유닉스에서 기본으로 제공하는 메일 프로그램 예 을 사용하는 경우에는( , mail)
사용자 홈 디렉토리에서 사용자가 읽었던 메일 내용을 찾을 수 있다 환경변수 의. "MBOX"
값에 따라 그 저장되는 파일이름은 달라질 수 있으나 디폴트로는 라는 이름으로 저"mbox"
장된다 이 파일은 다음의 전자우편 복구 원리에서 설명된 바와 같이 바이너리데이터는 인.
코딩되어 있으므로 일반 텍스트 에디터로 불러서 내용을 확인할 수 있으며 또는 프로, mail
그램을 호출할 때 옵션을 사용하여 해당 파일을 지정하여 읽어서 그 내용을 지정할 수"-f"
있다 만일 옵션 없이 을 호출하면 의 메시지들을 사용자에게 보여주. mail /var/mail/{user_id}
면 처럼 실행하면 파일에 저장되어 있는 메시지들을 나타내, "mail -f /path/.../mbox" mbox
보여준다.
나 전자우편 증거물 복원나 전자우편 증거물 복원나 전자우편 증거물 복원나 전자우편 증거물 복원....
기술 개요기술 개요기술 개요기술 개요(1)(1)(1)(1)
누구나 한번쯤 수십개 쌓인 전자우편을 정리하면서 반드시 보관해야 할 전자우편을 지우고
휴지통까지 비운 경험을 해보았을 것이다 이때 보통의. , Outlook Express, Netscape Mail,
등의 전자우편 클라이언트 프로그램에서는 메일이 실수로 삭제되는 것을 방지Eudora Mail
하기 위해 지운 편지함이란 기능이 있다 그렇지만 전자우편 클라이언트 프로그램의 옵션에.
따라서 프로그램을 종료하면서 지운 편지함을 지우도록 할 수도 있으며 일정량 이상이 채,
워지면 지운 편지함 비우기를 통해 전자우편 클라이언트 프로그램에 있는 메일을 삭제되게
된다 이렇게 되면 더 이상 삭제한 메일은 읽어볼 수 있는 방법이 없었다. .
그러나 대부분의 전자우편 클라이언트 프로그램에서 메일이 삭제되었다 하더라도 메일의,
정보 부분만 지워지며 실제 하드디스크에 있는 메일 파일에는 자료가 남아 있기 때문, DB
에 이를 이용해 삭제한 메일을 되살릴 수 있다 또한 단순히 지워진 파일뿐만 아니라 바이.
러스나 포맷등에 의해 메일 데이터베이스 파일이 지워진 경우에도 메일 데이터베이스(DB)
파일의 실제 내용이 하드디스크상에 남아 있다면 메일 데이터베이스 파일을 우선 복구하여,
메일을 읽어볼 수 있도록 복구할 수 있다.
그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원그림 지운 편지함의 전자우편 복원( 6-4)( 6-4)( 6-4)( 6-4)
그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원그림 폴더를 지우고 압축한 편지함의 전자우편 복원( 6-5)( 6-5)( 6-5)( 6-5)
전자우편 복구 프로그램으로는 대표적인 제품으로는 파이널데이터 의 이" " 'FINALeMAIL'
있으며 미국의 사 의 의, 'OfficeRecovery Recovery " 'OutlookRecover', "Ontrack" 'Exchange
등이 있다Repair' .
외국 복구 소프트웨어들은 대부분 한글 처리를 원할 하게 지원하지 못하므로 여기에서는 주
로 전자우편 복구 소프트웨어인 를 중심으로 설명한다FINALeMAIL' .
그러나 아쉽게도 대분분의 전자우편 복구 소프트웨어들이 을 지원하지 못하므로 본Outlook ,
연구에서는 주로 의 전자우편 복구에 대해서 검토한다Outlook express .
전자우편 복구 원리전자우편 복구 원리전자우편 복구 원리전자우편 복구 원리(2)(2)(2)(2)
기술적인 측면에서는 크게 두 가지 기술로 나뉘어질 수 있는데 지워진 편지함 파일을 하드,
디스크에서 복구하는 기술과 편지함에서 메시지를 복구해내는 기술로 분류된다 여기서 편.
지함 파일복구란 바이러스나 포맷명령 수행 등에 의해서 편지함 자체가 파일시스템 상에서
지워진 경우를 말한다 이런 경우에는 하드디스크를 검색하여 편지함 파일들을 복구해내는.
것을 말하는 것으로 일반 파일 복구 원리와 동일하다' ' .
그리고 메일 메시지의 복구란 복구된 편지함에서 메시지를 복구하여 파일로 추출해*.EML
내는 것을 전자우편 복구라고 한다 메시지를 복구하기 위해서는 각 전자우편 사용자별로.
사용되는 파일 포맷을 분석하여야 합니다 또한 포맷이 분석된 다음에는 서로 다른 시스템.
간에 메시지교환 규약인 프로토콜에 따라 메시지SMTP(Simple Mail Transport Protocol)
를 분석하여야 하며 이외의 다른 나라 문자로 이루어진 텍스트 일반프로그램US-ASCII ,
및 워드프로세서 스프레드시트 등의 응용프로그램으로 만들어진 문서의 교환을 위해서는,
바이너리로 인코딩된 파일을 디코딩하는 처리가 필요하다(Binary Encoded) .
전자우편 복구 원리 편지함 파일 포맷 분석전자우편 복구 원리 편지함 파일 포맷 분석전자우편 복구 원리 편지함 파일 포맷 분석전자우편 복구 원리 편지함 파일 포맷 분석(3) -(3) -(3) -(3) -
가 파일 헤더 및 메시지 헤더에 의한 메시지 복구가 파일 헤더 및 메시지 헤더에 의한 메시지 복구가 파일 헤더 및 메시지 헤더에 의한 메시지 복구가 파일 헤더 및 메시지 헤더에 의한 메시지 복구( ) (Header)( ) (Header)( ) (Header)( ) (Header)
삭제되지 않은 메시지에 대해서는 파일시스템에서 삭제되지 않은 메시지를 복구하는 것과
마찬가지로 표 같은 헤더 정보에 의해서 메시지를 추출하는 것이 가능하다 즉 파일[ 6-2] . ,
헤더에서 가리키는 메시지 포인터로 이동하여 메시지를 추출하고 메시지 헤더의 다음 메시
지 헤더 주소를 이용하여 연속적으로 메시지를 추출할 수 있다 자세한 파일 포맷은 부록. (
참조)
표 파일 헤더 구성표 파일 헤더 구성표 파일 헤더 구성표 파일 헤더 구성[ 6-2][ 6-2][ 6-2][ 6-2]
위치 설명
0x0000 식별자dbx file (0xCF, 0xAD, 0x12, 0xFE)
0x0004 메시지파일과 폴더파일의 구분자
0x001C 파일 의 길이info
중략:
0x0028 메시지헤더의 길이
0x0034 메시지 트리의 시작위치
0x0038 사용된 메시지의 크기
중략:
0x0048 삭제된 메시지의 루트 포인터
중략:
0x006C 시작폴더 리스트의 포인터
출 처( : http://oedbx.aroh. de/index .html)
파일헤더의 의해 메시지를 복구하는 방법은 헤더정보가 남아있을 경우 가능한 방법으로 헤
더 정보는 있으나 메시지 내용이 손상되어 아웃룩 익스프레스에서 열리지 않을 경우 또는,
메시지는 지워졌으나 헤더정보만 변경되고 실제 메시지는 파일 상에 존재할 경우 사용하는
기능이다 복구절차는 다음과 같다. .
번지에 를 체크하여 용 파일인지를 확인0x0000 0x0004 Outlook express①
번지의 메시지헤더의 길이를 참조하여 번지의 메시지트리이 시작위치부터0x0028 0x0034②
루프를 돌면서 실제로 메시지 헤더가 가리키는 포인터로 이동하여 메시지 데이터를 읽어낸
다.
위의 번에서 메시지를 분석하여 정보가 일부 손상되어 있어도 남아있는 데이터가 존재③ ②
한다면 추출하여 준다.
번지의 삭제된 메시지 루트 포인터 정보를 이용하여 지워진 메시지에 대해서0x0048④ ③
번과 같이 메시지 데이터가 남아있다면 추출하여 준다.
의 메시지는 확장자로 된 파일에 저장된다 그러나 이 파일의 자세한 파일Outlook .pst . pst
포맷이 잘 알려져 있지 않고 폴더 및 메시지 엑세스는 를 통하여 하고 있는 실, outlook ole
정이다 다만 의 메일을 유닉스로 옮기 위한 정도의 파일 포맷이 공개되어 있다 부. Outlook . (
록참조)
나 구문 분석에 의한 메시지 복구나 구문 분석에 의한 메시지 복구나 구문 분석에 의한 메시지 복구나 구문 분석에 의한 메시지 복구( )( )( )( )
삭제된 메시지인 경우 헤더정보에서 링크가 끊어지게 지면 새로운 메시지가 들어왔을 때,
그 영역이 재 사용되기 때문에 헤더 정보에 의한 복구는 불가능하다 따라서 바이트 단위로.
파일의 처음부터 끝까지 검색해가면서 인터넷 메일인지 아닌지를 분석하면서 검색해야 한
다.
인터넷 메일여부를 체크하기 위해서는 인터넷 메일의 구조를 알아야하는데 인터넷 메일의,
구조는 표 과 같다 즉 삭제된 메시지의 경우 바이트 단위로 표 과 같은 인터넷[ 6-3] . , [ 6-3]
메일의 헤더구조를 가지고 있는가를 검색하여 일치한다면 삭제된 메시지로 판단한다 즉 이.
방법은 파일헤더정보가 손상된 경우 헤더정보에 의하지 않고 파일의 처음부터 끝가지 스캔
하면서 메시지의 구조를 가진 데이터를 추출하여 주는 기능으로 상세검색 기능에 해당한다.
복구과정은 다음과 같다.
선택한 파일 의 시작위치부터 마지막 위치까지 루프를 돌면서 가 발(*.dbx) Message-lD①
견되면 그 위치로부터 메시지 데이터를 추출한다.
만약 추출된 데이터가 메일 메시지이면 메시지 리스트에 등록한다.②
이외에도 표 에 표시된 다양한 키워드들이 나타날 수 있으므로 이들 확인Message-lD [ 6-3]
하여 메일메시지임을 확인한다.
표 전자우편 메시지 구조표 전자우편 메시지 구조표 전자우편 메시지 구조표 전자우편 메시지 구조[ 6-3][ 6-3][ 6-3][ 6-3]
구성항목 내용
Message-ID 메시지에 부여되는 식별자
Date 메시지 수신날짜
From 송신자 명
Subject 메시지 제목
Content-Type 메시지의 형태
Content-Transfer-Encoding
메시지의 Encoding Type
MIME-Version 버전Mime
boundary= 복합 메시지인 경우 구분자
전자우편 복구 원리 바이너리파일 디코딩전자우편 복구 원리 바이너리파일 디코딩전자우편 복구 원리 바이너리파일 디코딩전자우편 복구 원리 바이너리파일 디코딩(4) -(4) -(4) -(4) -
초창기에 전자우편은 코드만으로 구성되는 단순한 메시지를 송수신하는데 적합하ASCll
도록 설계되어있었다 그러나 전자우편이 파일전송 프로토콜 보다 사용이 편리해 지면. . FTP( )
서 단순 문자형태의 문서 외에 일반 프로그램이나 워드프로세서 스프레드시트 등 응용 프, , ,
로그램으로 만들어진 문서에 대한 교환의 필요성이 대두되게 되었다 이러한 파일은 각 문.
자열이 아스키코드가 아닌 바이너리 를 사용하고 있어서 종래 의 코드만을 지8bit , 7bit ASCll
원하도록 설계된 프로그램에서는 번째 비트를 삭제하는 문제가 나타나게 되고 이SMTP 8 ,
것을 해결하기 위해서 번째 비트가 로 세트되어 있으면 이를 변형하여 에 의하여8 "1" SMTP
가 삭제되지 않도록 하는 변환 하고 이를 다시 로 바꾸는 하는MSB (Encoding) 8bit (Decoding)
방법이 고안되었다.
수신된 메시지에 대해서 메시지보기나 메시지 저장을 할 때 된 문자열에 대해서Encoding
처리를 하여야 하므로 바이너리 파일 에 대하여 기술한다Decoding Decoding .
가 디코딩가 디코딩가 디코딩가 디코딩( ) uuencode( ) uuencode( ) uuencode( ) uuencode
나 에서 많이 쓰였으며 헤더와 테일러를 가지고 있으며 헤더와 테일러 이외의 문자Unix Dos
는 디코딩에서 제외된다 헤더는 으로 시작하며 진수의 모드와 원 파일명으로 구성되. begin 8
어 있다 인코딩된 본문은 공백문자를 가진 라인으로 끝나며 라는 데이터 라인을 가지. , end
고 있다 인코딩에서 쓰이는 개의 문자는 아래와 같다. 64
'!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[^_
의 원리는 비트 쌍을 비트 개로 나누는 것은 와 동일하지만 여기에uuencode 8 3 6 4 Base64 32
스페이스 코드 를 더하여 위와 같이 문자로서 표현가능한 영역에 순서대로 값을 대( ) , ASCII
응시키는 방식이다 즉 인코딩된 문자 값 자체가 코드 값에 의존적이며 다른 코드. , ASCII ,
시스템에 대응되지 못하는 문자가 존재한다 인코딩된 본체의 각 라인의 처음 개의 인코딩. 1
된 문자는 라인의 나머지 문자들의 수를 표시하며 마지막의 여분 처리 역시 이 문자에Byte ,
의하여 조절된다 는 메일에서는 권장되지 않지만 전통적으로 뉴스그룹에서 주로. uuencode ,
쓰이는 방식이다.
나 디코딩나 디코딩나 디코딩나 디코딩( ) BinHex( ) BinHex( ) BinHex( ) BinHex
는 매킨토시 시스템의 특수한 파일 구조를 가진 바이너리 데이터를 전송하기 위하여BinHex
고안된 인코딩 방식이다 메킨토시의 파일은 라고 부르는 부분과 라. Resource folk Data folk
고 하는 부분으로 나뉘어져 있는데 가 실제 파일의 데이터를 구성하는 부분이며, Data folk ,
는 맥 시스템 와 관련이 있는 아이콘 변수 등에 관한Resource folk OS , , Program Segment
정보가 들어 있다 그러나 도 와 마찬가지로 시스템에 따라서 왜곡될 수 있. BinHex uuencode
는 문자를 포함하고 있으므로 에 의하여 제안된 과 의 가RFC1740 AppleSingle AppleDouble 2
지 인코딩 방식 중 와 가 별도로 인코딩 된 방Base64 Resource folk Data folk AppleDouble
식이 권장되고 있다 그 이유는 수신자가 나 시스템 사용자일 경우에 필요한. PC UNIX Data
만을 쉽게 추출이 가능하며 수신자가 매킨토시를 사용하는 경우에도 두 가지 파일 구성folk ,
요소를 모두 사용 가능하기 때문이다 역시 에 의하여 의 한 규격으. BinHex RFC1741 MIME
로 제안되고 있으나 안전성을 보장할 수는 없다 이 의 의미는 지금까지 쓰여온 방식, . RFC
에 대한 고육책 으로 나온 것이며 앞으로는 쓰지 않는 것이 좋다는 의미를 내포하고 있다, .
다 디코딩다 디코딩다 디코딩다 디코딩( ) Base64( ) Base64( ) Base64( ) Base64
는 나 를 포함하여 모든 플랫폼에서 표현되는Base64 EBCDIC AscII Intemational Alphabet
를 이용하며 아래와 같이 개의 문자와 특수한 기능 을 수행하는 부호인 을 같IA5 , 64 (pad) "="
이 사용한다 또한 각 문자마다 코드와 독립적인 값을 부여하여 시스템의 특성을 타지 않는.
다.
"ABCDEFGHlJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ "
인코딩의 원리는 다음과 같다 어떤 시스템에서도 통용되는 위의 알파벳 문자 개가Base64 . 64
순서대로 코드순과는 관계없이 부터 까지의 값을 의미한다 즉 각각 비트의 값을, ASCII 0 63 . 6
의미하는 이들 문자 개로서 비트 개 를 표현한다 바꾸어 말하면 비트 개를4 8 3 (3 byte) . , 8 3 6
비트 개로 나누어 여기에 해당하는 값을 가진 문자에 대응을 시켜 인코딩하는 것이다 인4 , .
코딩된 문장의 끝에 오는 기호는 비트씩 할당하고 남은 나머지를 비트의 값으로 표현"=" 6 6
하기 위하여 비트열의 뒷부분에 채워넣는데 사용되는 부호이다 따라서 어떠한 시스템에서.
도 코드 순서와는 무관한 값으로 비트열을 대응시킬 수 있게 한 방식임을 알 수 있다.
라 디코딩라 디코딩라 디코딩라 디코딩( ) Quoted printable(QP)( ) Quoted printable(QP)( ) Quoted printable(QP)( ) Quoted printable(QP)
의 원리는 특수 기호인 과 그 문자의 진 코드를 사용하여 인코딩을 한다 가령QP "=' 16 . "M
이라는 문자를 인코딩을 하면 이 되는 것과 같다 그러나 한글 메일nchen" QP "M=FCnchen" .
에서 인코딩을 사용하게 되면 최고 배까지 전송 용량이 늘어나는 문제점이 있다 예를QP 3 .
들면 가나다 를 인코딩을 할 경우에 가된다 따라서 인코, " " QP "=BO=A1=B3=AA=B4=D9" . QP
딩은 한글 메일의 경우에 비효율적인 인코딩 방식이다.
전자우편 복구 소프트웨어 기능전자우편 복구 소프트웨어 기능전자우편 복구 소프트웨어 기능전자우편 복구 소프트웨어 기능(5)(5)(5)(5)
표 는 현재 보편적으로 사용되는 전자우편 복구 소프트웨어 종류와 이들의 기능을 나[ 6-4]
타내고 있다.
표 전자우편 복구기능 비교표 전자우편 복구기능 비교표 전자우편 복구기능 비교표 전자우편 복구기능 비교[ 6-4][ 6-4][ 6-4][ 6-4]
기능제품
OulookRecovery
ExchangeRepair
FinaleMail
호완Win 95/98 Yes Yes Yes
Quick/Normal이후의Format
이메일 복구No No Yes
및FAT Dir. entri손상후 복구
No No Yes
메시지 내첨부파일 복구
No No Yes
네트워크 데이터복구
No No Yes
지원Viewer No No Yes
지원 파일 시스템 FAT16/32/NTFS FAT16/32/NTFSFAT16/32/NTFS
지원(LINUX/UNIX )
전자우편 복구 소프트웨어의 복구 방법전자우편 복구 소프트웨어의 복구 방법전자우편 복구 소프트웨어의 복구 방법전자우편 복구 소프트웨어의 복구 방법(6)(6)(6)(6)
가 전자우편 복구 개요가 전자우편 복구 개요가 전자우편 복구 개요가 전자우편 복구 개요( )( )( )( )
전자우편 복구는 크게 편지함 파일이 삭제된 경우와 메시지만 삭제된 경우로 구분 될 수 있
으며 편지함 파일이 삭제된 경우는 제 장 절에서 설명한 파일 복구를 먼저 수행해야 하, 5 1
고 만일 메시지가 삭제된 경우에는 편지함 파일 복구 후에 별도의 이메일 복구 과정을 통, ' '
하여 메시지를 복구해야 한다 이 경우에는 각 편지함 파일마다 별도로 이메일 복구를 해야.
한다 즉 편지함 파일이 포함된 폴더가 전체 삭제되거나 포맷 또는 파티션 인식 불. , Fdisk,
가 등의 경우에 파티션을 찾아 편지함 파일에 대한 파일복구를 한 다음에 전자우편 복구' '
를 통하여 메시지를 복구해야 한다.
그림 전자우편 복원 과정그림 전자우편 복원 과정그림 전자우편 복원 과정그림 전자우편 복원 과정( 6-6)( 6-6)( 6-6)( 6-6)
전자우편 복구에 있어서 프로그램 내의 전자우편 복구를 제외하고는 각 전자우편Outlook
클라이언트 내에 있는 편지함 파일 복구보다는 각 편지함 파일에 존재하는' (*.dbx/*.mbx)'
전자우편 클라이언트 메시지 복구가 실질적인 전자우편 복구라 할 수 있다.
그래서 전자우편 복구에서 중요한 것이 각 편지함 파일의 포맷 분석과 메시지의 포맷 분석
이 중요한 것이다 그런데 대부분의 메일 클라이언트에서 파일 포맷이 공개되어 있지 않은.
관계로 일일이 포맷을 유추하여 테스트해야 하므로 상당한 시간과 노력이 요하는 기술이다.
즉 메일 의 종류에 따라 각기 다른 포맷을 사용하고 있기 때문이다, Client .
여기서는 많이 사용되는 에 대하여만 기술하기로 한다Outlook Express 5.0
에서는 그림 와 같이 확장자가 가 사용되는 파일로 편지함Outlook Express 5.0 ( 6-6) *.DBX
파일에 대한 정보를 나타내는 파일 헤더 와 각 메시지 정보를 나타내는 메시지 헤더(Header)
로 구성된다 의 파일포맷은 디스크 상에서 파일을 복구하는 것과 같은 원. Outlook Express
리로 실제로 편지함에서 지워지지 않은 메시지들은 파일 헤더만으로도 복구가 가능하나 편
지함에서 지워진 메시지들에 대해서는 파일헤더에서 메시지 정보가 지워졌기 때문에 편지함
전체를 바이트 단위로 분석하여 복구가 가능하다 즉 편지함 복구에서 디렉토리 검색 클러. , ,
스터 검색과 마찬가지로 편지함 내에서도 파일 헤더와 메시지 헤더에 의한 메시지 복구와
바이트단위의 파일 검색에 의한 메시지 복구로 구분될 수 있다.
나 전자우편 복구 과정나 전자우편 복구 과정나 전자우편 복구 과정나 전자우편 복구 과정( )( )( )( )
그림 드라이브 선택그림 드라이브 선택그림 드라이브 선택그림 드라이브 선택( 6-7)( 6-7)( 6-7)( 6-7)
우선 그림 에서의 드라이브 선택 화면에서 프로그램이 설치되어 있는( 6-7) [ ] E-mail Client
드라이브를 선택한다 만약 복구할 메시지를 담고 있는 편지함 파일 이 저장되어 있는 위치. [ ]
를 알고 있다면 검색할 폴더지정 기능을 이용하면 더 빠르게 검색할 할 수 있다 검색할, [ ] .
편지함 파일 이 저장되는 위치를 알 수 없으면 그냥 그림 과 같이 복구할 드라이브를[ ] ( 5-8)
선택하면 편지함 검색 이 시작된다 이 과정에서는 하드디스크에 있는 모든 편지함 파일, [ ] . [ ]
들을 찾아준다 편지함 검색 이 끝나면 운영체제가 이면 삭제된 편지함. [ ] , Windows NT/XP [
찾기 가 시작되고 이면 곧바로 클러스터 검색 시작된다] , Window 98/ME , [ ] .
그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기그림 전자우편 드라이브 열기( 6-8)( 6-8)( 6-8)( 6-8)
그림 편지함 검색그림 편지함 검색그림 편지함 검색그림 편지함 검색( 6-9)( 6-9)( 6-9)( 6-9)
삭제된 메시지 파일을 복구할 때는 클러스터 검색 이 필요하지 않으므로 취소 를 누릅니[ ] , [ ]
다 편지함 파일 이 통째로 지워졌을 때에는 검색할 폴더를 따로 정해주지 않고 하드디스. [ ] ,
크의 처음부터 끝까지 편지함 검색 을 한다 또한 를 사용하거나 하[ ] . Windows NT/2000/XP ,
드디스크를 포맷한 후에 편지함 파일 을 찾으려고 할 때에는 그림 같이 편지함 검[ ] , ( 6-9) [
색 이 끝난 후 시작되는 클러스터 검색 까지 수행해야 지워진 편지함 파일 을 검색할 수] , [ ] , [ ]
있게된다.
검색이 끝나면 에 검색된 편지함 파일 이 프로그램 별로 묶여서, FinalData [ ] E-mail Client
화면에 출력된다 복구할 편지함 파일 을 선택한 다음 마우스 오른쪽 버튼을 눌러 이메일. [ ] , , [
복구 를 누르면 메시지가 복구된다] .
다 증거물 분석다 증거물 분석다 증거물 분석다 증거물 분석....
그림 와 같이 메시지를 수신하였을 경우 이 메시지의 헤더를 보면 표 와 같다( 6-11) , [ 6-5] .
헤더정보를 보기 위해서는 의 경우에는 메시지 화면에서 파일메뉴 속성Outlook Express ->
자세히 메시지원본을 의 경우 보기메뉴에서 옵션을 누르면 헤더정보가 나타난-> -> , Outlook
다 유닉스에서 로 메시지를 확인하는 경우에는 특별한 조작 없이 헤더 정보를 볼 수 있. mail
다 단 유닉스로 메일로 메시지를 분석하는 하고 종료할 때에는 명령으로 종료하면 읽은. q
메일이 사용자 메일박스로 이동하게 됨으로 필히 명령으로 종료해야 메일 박스에 읽은 흔, x
적이 남지 않게 된다.
메시지 헤더에서 발신자의 메일아이디 발신 메일서버 발신시간 및 해당 메시지의 유일한, ,
번호를 확보한 후 이를 근거로 하여 서버관리자로부터 표 과 같은 이 남긴, [ 6-6] sendmail
로그를 확보한다 로그가 많은 누적되어 있는 경우에는 를 로 하여 명. msg-id keyword grep
령을 사용하면 쉽게 원하는 로그를 찾을 수 있게된다 서버시스템이 별도의 조직 또는 상용.
서비스인 경우에는 해당기관에 통신사실확인요청서를 보내서 필요한 증거물을 확보한다.
발송서버가 잘 알려져 있지 않은 경우에는 명령을 실행하여 그 로부터 도메인 네whois DNS
임을 관리하는 관리자 이름과 연락처를 확보하여 처리한다 표 는 를 로. [ 6-7] nate.com whois
조회하여 나온 결과의 예 이다.
그림 전자우편 메시지의 예그림 전자우편 메시지의 예그림 전자우편 메시지의 예그림 전자우편 메시지의 예( 6-10)( 6-10)( 6-10)( 6-10)
표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용표 수신 메시지 헤더 내용[ 6-5][ 6-5][ 6-5][ 6-5]
표 실행 예표 실행 예표 실행 예표 실행 예[ 6-6] whois[ 6-6] whois[ 6-6] whois[ 6-6] whois
제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석제 절 을 이용한 범죄의 증거물 분석2 Web2 Web2 Web2 Web
기반 시스템의 특징기반 시스템의 특징기반 시스템의 특징기반 시스템의 특징1. Web1. Web1. Web1. Web
인터넷을 보다 사용하기 편하고 강력하게 바꿔준 인터넷 서비스가 바로 WWW(World
이다 은 다른 인터넷 서비스에 비해 역사가 짧은 편이다 그럼에도 불구Wide Web) . WWW .
하고 짧은 시간에 가장 많은 사용자층을 가지게 되었다 그것은 이 다른 인터넷 서비. WWW
스에 비해 사용이 쉽고 강력한 기능을 제공하기 때문이다 그런 이유로 은 인터넷 서. WWW
비스의 전체인 것처럼 이해되며 인터넷 하면 을 떠올리게 된다WWW .
은 각종 정보를 하이퍼텍스트 로 연결해둠으로써 각 정보들이 서로 유기적WWW (Hypertext)
으로 결합되어 있다 게다가 이렇게 으로 제공되는 정보들은 기존의 단순한 텍스트. WWW
정보에 국한된 것이 아니라 음성 이미지 동영상 등의 멀티미디어 데이터를 기반으로 하고, ,
있다 이렇게 정보들이 서로 연결되어 있으므로 정보를 찾기가 손쉬운 것이다 연결된 그 고. .
리를 따라가다 보면 더 많은 정보를 볼 수 있어 기존정보보다 더 효용 가치가 높다WWW .
가 편리한 인터페이스의가 편리한 인터페이스의가 편리한 인터페이스의가 편리한 인터페이스의. WWW. WWW. WWW. WWW
마우스만을 이용해 사용이 가능하고 편리한 인터페이스를 제공한다 기존의 텍스트 기반 서.
비스는 명령어 목록을 모두 기억하고 있어야 하며 키보드로 직접 입력해야 하는 불편함이
있다 하지만 은 를 지원하는 인터넷 서비스로 마우스로. WWW GUI(Graphic User Interface)
사용이 가능하다.
나 멀티미디어 서비스나 멀티미디어 서비스나 멀티미디어 서비스나 멀티미디어 서비스....
텍스트 기반의 다른 인터넷 서비스와 달리 은 를 지원한다 를 지원하는WWW GUI . GUI
은 이미지 외에도 음성 동영상 등의 다양한 멀티미디어 데이터를 지원한다 이처럼WWW , .
웹은 동영상과 이미지 등의 멀티미디어로 구현된 정보 서비스이기 때문에 다른 인터넷 서비
스보다 효과적인 정보 전달이 가능하다.
다 으로 통하는 멀티미디어 인터넷 서비스다 으로 통하는 멀티미디어 인터넷 서비스다 으로 통하는 멀티미디어 인터넷 서비스다 으로 통하는 멀티미디어 인터넷 서비스. WWW. WWW. WWW. WWW
은 이미 사회를 지배하고 있다 각 기업마다 홈페이지를 만들어 상품을 홍보하고 있WWW .
으며 방송도 인터넷을 통해 제공되고 있다 또한 인터넷 상거래가 활성화되면서 인터넷을.
이용한 상품 거래가 대중화되고있다 사이버 사회도 현실 사회처럼 중요한 가치가 부여되고.
있으며 이러한 변화는 모두 과 함께 하고 있다WWW .
은 하이퍼 프로토콜 을 이용해 다른 인터넷 서비스를 이어준다 즉 텔넷 유WWW (protocol) . ,
즈넷 전자우편 등의 인터넷 서비스를 을 통해서 제공받을 수 있다 이렇게, , FTP WWW .
은 다양한 인터넷 서비스를 통합해주고 있기 때문에 하나로 다른 서비스까지WWW WWW
손쉽게 제공받을 수 있는 것이다 그리고 새롭게 신설되는 서비스 대부분도 이러한. WWW
을 기반으로 개발되고 있으며 지원된다.
이 이렇게 다른 인터넷 서비스까지 연결해주는 역할을 하다 보니 에서 사용되WWW WWW
는 문서가 표준 문서로서 인식되고 있는 형편이다 문서는 전 세계 어느 컴HTML . HTML
퓨터에서나 사용이 가능한 파일이기 때문이다.
또한 운영체제에서도 기본적으로 웹브라우저를 포함해서 제공하고 있다 앞으로는 과. WWW
운영체제가 통합이 되어 이 컴퓨터의 운영체제화가 될 예정이다 그것으로 보아도WWW .
이 인터넷 뿐 아니라 컴퓨터의 중요한 인터페이스가 될 것이라는 것을 짐작할 수 있WWW
다.
라 정보의 화라 정보의 화라 정보의 화라 정보의 화. WWW. WWW. WWW. WWW
이제는 핸드헬드 를 이용하여 을 사용할 수 있다 은 단순히 컴퓨터로만 사PC WWW . WWW
용되는 인터넷 서비스가 아니다 의 대중화는 시간 장소에 구애받지 않고 을. WWW , WWW
사용해야 하는 필요성을 요구하게 되었다 그래서 에 접근하는 방법도 다양해져가고. WWW
있다.
컴퓨터가 아닌 등을 이용해 서비스를 받을 수 있고 그 외의 휴대용 단말기 등TV WWW
도 을 사용할 수 있도록 지원되고 있다 그만큼 을 통해 제공되는 정보가 다양WWW . WWW
해져가고 있으며 이 정보제공과 검색의 중요한 수단으로 이용되고 있다WWW .
마 웹 서비스의 특징마 웹 서비스의 특징마 웹 서비스의 특징마 웹 서비스의 특징....
의 큰 특징은 다른 서비스와 달리 끊임없이 발전하고 있다는 것이다 다양한 플러그WWW .
인과 컨텐츠 등으로 인하여 서비스는 규정하기 어려울 만큼 성장하고 있으며 용도WWW
도 다양해지고 있다 그러므로 은 앞으로 인터넷과 우리 사회에 큰 변화를 주며 핵심. WWW
적인 미디어로 자리를 잡아갈 것이다.
이상과 같이 현재 인터넷을 사용하는 대부분의 사람들은 웹 서비스를 사용하고 있으며 따,
라서 각종 범죄 역시 웹 서비스를 통해 수행되고 있다 웹 서비스는 서버 운영자에 의해서.
손쉽게 개설될 수 있는 특징을 가지고 있으며 일반인에게 쉽게 내용을 전달할 수 있는 특,
성도 가지고 있다 또한 웹 서비스는 빈번히 게시 및 삭제될 수 있기 때문에 자료에 대한.
보존 및 증거물 확보가 어렵다는 문제점도 가지고 있다 웹 기반시스템이 갖는 일반적인 특.
징을 분류하면 다음과 같다.
용이성용이성용이성용이성(1)(1)(1)(1)
하이퍼텍스트를 기반으로 정보검색을 하기 때문에 손쉽게 관련 정보를 찾을 수 있다 또한.
그래픽 사용자 인터페이스 환경을 제공하여 손쉽게 정보를 검색할 수 있다 기존의 정보검.
색 기법과 달리 그래픽 사운드 및 비디오 정보 등을 종합적으로 제공할 수 있기 때문에 사,
용자에게 좀더 용이한 사용 환경 및 정보검색 환경을 제공한다 이러한 용이성은 긍정적인.
측면에서 활용될 수도 있지만 악의적인 용도로 활용될 수도 있다 웹 서비스를 통해 손쉽게, .
정보를 배포할 수 있고 악성 정보 역시 빠른 파급 효과를 갖기 때문에 컴퓨터 범죄에 활용,
될 수 있다.
다양성다양성다양성다양성(2)(2)(2)(2)
다양한 프로토콜을 지원한다 웹브라우저에서 아키 고퍼 등을 사용. ftp, news group, telnet, ,
할 수도 있으며 기존의 응용 프로그램 등을 웹브라우저에서 연관지어 실행할 수도 있다 결, .
국 웹 서비스는 컴퓨터 시스템에서 사용 가능한 대부분의 서비스를 제공할 수 있다는 특징
이 있으며 광범위한 부분에 적용 가능하다는 특징을 갖는다 웹 서비스가 제공하는 다양성, .
역시 악의적인 용도로 활용 가능하다 웹 서비스를 통해 기존의 개별적인 범죄 방식 및 기.
술 등이 웹 서비스를 통해 더욱 다양한 형태로 나타나게 되었으며 컴퓨터 범죄 역시 더욱,
확대되고 있다.
개방성개방성개방성개방성(3)(3)(3)(3)
웹 서비스를 통해 제공되는 서비스는 인터넷을 이용 가능한 모든 사람들이 열람할 수 있는
개방성을 제공한다 웹 서비스를 제공하는 프로토콜을 통해 인터넷을 사용할 수 있는. HTTP
곳에서는 장소에 상관없이 웹서비스를 제공받을 수 있다 또한 인터넷을 통해 제공되는 서.
비스는 모든 사람들에게 공개되며 쉽게 접근할 수 있다는 특징을 갖는다 따라서 익명의 사, .
용자에 의해서 악성 정보 등이 게시되거나 유포될 수 있는 특징을 갖는다.
통제 및 관리 불가성통제 및 관리 불가성통제 및 관리 불가성통제 및 관리 불가성(4)(4)(4)(4)
인터넷을 통해 제공되는 웹 기반 정보량은 상당히 방대하기 때문에 쉽게 통제 및 관리할 수
없다는 특징을 갖는다 인터넷과 등을 갖춘 일반 사용자들은 손쉽게 자신만의 웹사이트. PC
를 구축할 수 있을 뿐만 아니라 또한 빈번히 삭제되고 변화하기 때문에 중앙 기관에 의해,
서 통제하거나 관리하는 것이 불가능하다 물론 사이트 관리자는 자신만의 관리권한을 가지.
고 있으나 이것 역시 악의적인 용도로 활용될 수 있다, .
기반 범죄 유형기반 범죄 유형기반 범죄 유형기반 범죄 유형2. Web2. Web2. Web2. Web
웹 기반의 시스템이 갖고 있는 특징에 의해 손쉽게 컴퓨터 범죄에 사용될 수 잇다 컴퓨터.
와 인터넷의 발달은 웹 기반의 시스템을 확대시켰으며 우리의 생활을 더욱 편리하게 만들고
있다 오늘날 웹 시스템은 멀티미디어 정보를 손쉽게 전달하는 매개체로서 각종 정보를 제.
공하는 순기능이 있지만 반면에 인터넷을 통한 범죄 및 인터넷을 통한 각종 범죄의 수단으,
로 사용되어 수많은 역기능을 제공하기도 한다 따라서 웹 시스템에서의 역기능 및 범죄와.
관련된 많은 사례들을 유형화하여 검토해 보고자 한다.
가 웹 기반 사기가 웹 기반 사기가 웹 기반 사기가 웹 기반 사기....
인터넷이 각종 사기범죄의 온상이 되고 있다는 것은 주지의 사실이다 인터넷 이용자수가.
급증하고 이용자 층이 청소년과 중장년층으로 확대되면서 이들을 대상으로 한 사기범죄가
크게 늘고 있다 사기 유형도 단순히 개인간 허위거래 수준을 넘어 불특정 다수를 겨냥한.
기업형 사기가 등장하는 등 다양해지고 있다 하지만 웹 시스템을 이용한 사기는 자신의 정.
체를 숨길 수 있는 사이버 공간의 익명성 때문에 근절이 어려운 상황이다.
인터넷사기의 주요수단 중 하나가 바로 홈페이지를 이용하는 것이다 예컨대 회사원 모씨는. ,
인터넷사이트 쇼핑몰에서 후지쯔 노트북을 특별 할인가에 판다 는 내용을 보고 노트북 구" "
입을 신청하였는데 사이트운영자가 돈을 입금하면 노트북을 택배로 보내주겠다 는 내용을, " "
게시하였고 다음날 돈을 은행계좌로 보냈지만 며칠이 지나도 물건은 도착하지 않아 사기임,
을 안 피해자는 비슷한 피해를 입은 사람들을 사이버 상에서 규합하고 함께 경찰에 신고하
였다고 한다.
전자상거래가 활성화되면서 웹 시스템을 통한 범죄가 급증하고 있다 홈페이지를 운영 관리.
하면서 개개인에 대한 정보를 손쉽게 취득할 수 있으며 이를 통해 개인에 대한 정보보호 침
해 행위를 수행할 수 있다 또한 전자상거래 과정에서의 사기 및 범죄 행위를 수행할 수 있.
다.
나 유해 홈페이지 구축나 유해 홈페이지 구축나 유해 홈페이지 구축나 유해 홈페이지 구축
최근 인터넷의 대중화와 함께 각종 음란 홈페이지 음란 판매사범 전자상거래상의 불법, CD ,
적인 피라미드의 판매조직 가입 유도 특정인에 대하여 악의적으로 비난하는 글의 게재 등,
불건전 정보가 대량으로 범람하여 네티즌들이 손쉽게 접근 가능하다 예를 들어 국내 인터.
넷 경매 사이트에서는 회원들로부터 음란 를 등록 받아 경매를 중개하고 판매자들로부터CD
일정액의 수수료를 받아온 사실이 밝혀졌다.
인터넷은 국가 간 경계를 허물었으며 각종 유해 홈페이지가 구축되고 있다 기성사회의 향, .
락풍조와 가치관의 혼란은 청소년의 사회 교육적 환경을 심각하게 오염시키고 있으며 청소,
년을 대상으로 불건전한 호기심을 무분별하게 자극시키는 영상매체를 포함한 유해매체와 업
소들이 독버섯처럼 번식하여 큰 영향을 미치며 청소년범죄의 주원인이 되고 있다 결국 인터.
넷을 통해 불건전한 사이트를 웹 홈페이지를 통해 구축하고 이를 통해 불법적인 행위를 수
행하는 경우 이에 대한 대책이 필요하다.
다 사이버명예훼손다 사이버명예훼손다 사이버명예훼손다 사이버명예훼손....
웹 시스템을 통해 수많은 정보를 공개할 수 있다 텍스트 정보뿐만 아니라 오디오 및 비디. ,
오 정보 등을 자유자제로 게시할 수 있으며 공지된 정보에 대해서는 모든 사람들이 자유롭,
게 열람할 수 있는 특성을 제공한다 일반적으로 웹 시스템을 통해 운영되는 게시판인 경우.
종종 타인의 명예를 훼손하는 내용을 담고 있어 이른바 사이버명예훼손죄가 제기되기도 한
다.
라 사이버음란 및 사이버스토킹라 사이버음란 및 사이버스토킹라 사이버음란 및 사이버스토킹라 사이버음란 및 사이버스토킹....
인터넷 게시판에 다른 사람의 이름으로 성행위를 유혹하는 글을 올리고 이메일주소와 전화,
번호 등 신상정보를 공개하여 수백 통의 음란성 게시물과 전화에 시달리게 하는 사건이 최
근 자주 발생하고 있는데 이를사이버스토킹이라고 한다' ' .
서울경찰청 사이버범죄수사대는 사이버스토킹 혐의로 회사원 모씨를 구속하고 대학생 모씨
를 불구속 입건했는데 이들에게는 정보통신망이용촉진법 상의 사이버명예훼손죄가 적용되,
었다 경찰에 따르면 이들은 채팅사이트 게시판에 모 여인의 이름으로 나를 채워줄 사람. "
어디 안 계신가요 라는 등 성행위를 유혹하는 글과 함께 여인의 전화번호를 올려 명의" 30-40
남자로부터 수백 통의 음란 전화를 받게 하였다고 한다 또한 대학생 모씨는 한 팬팔사이트.
에 같은 대학에 다니는 모여인의 이메일 주소와 전화번호를 공개해 스토킹 전화에 시달리게
하였다고 한다.
마 자살 등 범죄관련 모의마 자살 등 범죄관련 모의마 자살 등 범죄관련 모의마 자살 등 범죄관련 모의....
집단 음독자살과 촉탁살인 등 얼마전 자살사이트를 매개로 한 범죄가 사회 문제화된 적이
있다 그 가운데에는 실제로 웹 서버를 통한 정보게시 및 교환을 통해 매매주문이 이뤄지는.
등 인터넷 자살사이트가 극약 구매통로로 활용되기도 하였다 카드 빚을 갚기 위해 인터넷.
자살사이트에 극약을 팔겠다는 허위광고를 내 자살희망자로부터 약품값 명목으로 금품을 챙
긴 모 간호조무사를 사기혐의로 구속하였는데 조사결과 용의자는 추적을 피하기 위해 실제,
로 존재하지 않는 제 자 명의로 가입한 이메일 주소를 이용하여 자살사이트에 접속한 뒤3 , "
효능이 뛰어난 마취제를 가지고 있다 수면제 알로 자살에 성공하지 못한 사람을 물에", " 100
빠뜨려 죽이기도 했다 는 등의 거짓 내용을 게시하여 자살희망자들을 현혹하였으며 실제로"
약국에서 수면제를 대량으로 구입하려 했던 것으로 드러났다.
바 웹을 통한 지적재산권 침해바 웹을 통한 지적재산권 침해바 웹을 통한 지적재산권 침해바 웹을 통한 지적재산권 침해....
웹을 통한 지적재산권 침해가 급증하고 있다 도메인 네임의 경제적 가치가 높아짐에 따라.
이른바 닷컴 주소의 선점을 위해 상표권 충돌이 빚어지는 경우가 증가하고 있으며 인터넷' '
을 통하여 소프트웨어 웹 콘텐츠 통신인터넷상의 전자문서 무단전재 도용 등 저작권, , PC ,
을 침해하는 사건도 급증하고 있다.
특히 웹을 통해 남의 홈페이지에 실린 글을 저작권자의 허락 없이 복제해서 게시하는 행위
가 네티즌 사이에서 광범위하게 이루어지고 있다 이는 명백한 저작권침해임에도 불구하고.
사회적으로 별다른 죄의식 없이 성행하고 있다 인터넷 콘텐츠의 경제적 가치가 커지고 경. ,
쟁기업간의 분쟁사례도 늘고 있는 실정이다 인터넷 도메인 네임 등록대행 업체간의 저작권.
분쟁 및 저작권 보유 사진저작물 침해 해외여행 사이트 저작권침해 웹프로그램 저작권 침, ,
해 등의 사례가 보고되고 있다.
기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보기반 범죄에 대한 증거물 확보3. Web3. Web3. Web3. Web
이와 같이 웹 기반 시스템의 특성을 이용하여 손쉽게 범죄를 수행할 수 있다 따라서 웹 기.
반 범죄에 대한 증거물을 확보할 수 있는 체계가 제시되어야 한다.
가장 손쉽게 생각할 수 있는 것이 웹 서비스 내에 설치된 게시판을 통한 범죄를 추적하거나
방지할 수 있는 기술이다 웹 게시판을 이용한 범죄의 경우 불법 게시자의 실제 위치를 추.
적할 수 있는 기술이 제시된다면 사이버테러의 일종인 게시판 욕설이나 음난패설 등 유해
접근을 차단하는 기능과 익명의 유해 접근자를 자동으로 색출하는 기능을 제공할 수 있으
며 기업이나 정부 단체들의 웹 게시판을 통한 명예훼손이나 사이버테러 사이버 스토킹을, , ,
예방할 수 있을 것으로 기대된다.
증거물에 대해서는 해킹 패턴에 대한 기록을 통해 유해물을 올린 게시자를 찾는데 증거물로
활용될 수 있으며 해킹 패턴을 탐지해 게시판을 통한 해킹을 원천적으로 방지하는 기능을,
제공할 수도 있다 특히 사회적으로 이슈가 되고 있는 스팸메일에 대한 대응 기술도 갖추어.
진다면 관련 범죄로 인한 피해를 줄일 수 있을 것이다.
현재 게시판이나 방명록과 같은 웹 게시판을 이용한 해킹이 늘어나고있을 뿐만 아니라 홈,
페이지 내용을 변경하는 것부터 사용자의 데이터베이스 유출 사용자 정보 변경 등 웹 해킹,
의 수준이 심각해지고 있어 정부 기관과 일부 기업들은 웹 페이지에서 게시판을 폐쇄하는
경우까지 발생하므로 이에 대한 증거물 확보 방안이 제시되어야 할 것이다.
가 웹로그 기록가 웹로그 기록가 웹로그 기록가 웹로그 기록....
웹 브라우저가 웹에 있는 페이지를 다운로드할 때마다 원격 웹 서버의 로그파일에 기록을.
남기게 된다 또한 웹 로그는 네트워크 방화벽이나 웹 프록시 및 웹 캐시 등에 남는다 결과. .
적으로 간단한 웹 브라우징 과정을 수행한다고 하더라도 여러개의 영역에 관련된 기록을 남
기게 된다.
로그 파일을 웹 서버를 관리하는 사람이나 기관이 조절할 수 있다 흔히 로그파일은 소송이.
나 범죄 조사시에 소환하여 사용할 수 있다 그러나 대부분의 경우 로그 파일의 정보는 외. ,
부로 공개되지 않는다.
결국 웹 로그파일이란 자기의 홈페이지에 언제 어디에서 어떤 페이지를 방문했는가를 텍스, ,
트파일로 기록하고 있는 파일이다 이와 같은 로그파일은 웹사이트 방문자에 대한 분석 및
컴퓨터 범죄 증거물 확보 자료로 활용될 수 있다 웹 로그 분석을 통해 접근통계 및 분석이.
가능하며 해킹 및 컴퓨터 범죄 등에 대한 공격에 대응하는 방법이 되기도 한다.
로그분석을 정확히 하려면 로그파일의 위치 로그파일의 포맷 로그파일의 이름 등에 대해서, ,
명확히 알고 있어야 한다 아파치 웹서버 뿐 아니라 다른 웹서버에서도 로그파일에 관련된.
설정은 매우 중요하다 로그파일이 가지고 있는 정보는 로그포맷에 따라 조금씩은 다르지만.
대체로 다음과 같은 정보들을 가지고 있다.
어디에서 방문했는가 또는- ? ( IP Address Domain)
언제 방문했는가 방문한 시간- ? ( )
어떤 방법으로 방문을 했는가 또는- ? (GET POST)
어떤 브라우저를 사용했는가 또는 익스플로러- ? (Netscape )
어떤 페이지를 로딩했는가- ?
이밖에도 발생한 에러 파일을 다운로드할 때 걸린 시간 요청한 정보 이전에 웹 브라, , URL ,
우저가 다운로드한 웹페이지 참조링크를 사용 및 사용한 웹 브라우저의 종류 등을 기록하( )
게 된다.
위의 다섯가지는 거의 기본옵션이며 사이트운영자 가 로그포맷을 바꾸어 자기에(Webmaster)
게 맞는 정보를 남기게 할 수도 있다 로그 파일명은 특별한 지정이 없는한 를. "access_log"
사용하게 된다 파일의 환경설정파일의 위치는 디렉토리 밑에 있으며. /usr/local/apache/conf
파일에 지정이 되어 있다 이 파일에는 다음과 같이 로그파일의 이름과 위치 그httpd.conf .
리고 로그포맷에 대해서도 지정되어 있다.
아래 그림 은 에 설정되어 있는 로그포 설정에 관한것과 로그파일의 위( 6-12) httpd.conf apt
치에 관한 예이다.
그림 로그파일 설정의 예( 6-11)
이와 같은 정보는 인터넷 서비스 공급자가 제공한 로그인 로그아웃정보나 메일 서버의 로그/
와 같은 다른 로그 파일과 결합되어 실제로 페이지를 다운로드한 사람의 신원을 확인할 때
사용할 수 있다.
그림 웹로그 파일의 예그림 웹로그 파일의 예그림 웹로그 파일의 예그림 웹로그 파일의 예( 6-12)( 6-12)( 6-12)( 6-12)
나 웹로그 기록 생성나 웹로그 기록 생성나 웹로그 기록 생성나 웹로그 기록 생성....
사용자가 처음 사이트를 방문하면 해당 웹 서버에 자동으로 사용자의 로그파일이 저장 생,
성된다 로그파일은 웹 서버가 지정하는 곳에 위치하며 관리자는 웹 서버를 설치할 때 로그.
파일의 위치와 기록방법 등을 지정할 수 있다 그림 은 웹 로그파일의 한 예이다 웹. (6-13) .
서버에 따라 한 개가 아닌 여러 개의 로그파일을 만들 수도 있는데 이는 액세스 로, (access)
그파일 에러 로그파일 리퍼럴 로그파일 및 에이전트 로그파일의 가지로, (error) , (referral) 4
크게 분류된다.
액세스 로그파일액세스 로그파일액세스 로그파일액세스 로그파일(1)(1)(1)(1)
액세스 로그파일은 트랜스퍼 로그파일이라고 하며 일반적인 사이트 방문기록 등을(transfer)
기록하며 이를 토대로 웹사이트 방문 시간 및 방문 경로 등을 파악한다 에러 로그파일은.
홈페이지 관리자의 실수로 이미지가 깨지거나 링크를 잘못 연결한 경우 등에 의해 발생하는
모든 에러와 접속 실패 시간 및 내용을 두 개의 필드에 기록한다 이를 토대로 웹사이트 컨.
텐츠 관리를 효율적으로 수행할 수 있는 관리 정보를 파악할 수 있다 리퍼럴 로그파일은.
사이트에 접속하도록 유도한 링크 페이지나 검색엔진 등의 키워드 정보를 제공해 방문자의
방문 단서를 제공해 준다.
에러 로그파일에러 로그파일에러 로그파일에러 로그파일(2)(2)(2)(2)
에러 로그 는 웹 서버의 오작동에 대한 모든 정보를 담고 있다 에러 로그가 발생(error_log) .
하는 경우는 파일이나 이미지를 잘못 링크해 존재하지 않는 파일인 경우 프로그램이, CGI
정상적으로 작동하지 않는 경우 서버의 퍼미션 설정을 제대로 부여하지 못해, (permission)
서버가 정상적으로 기록되지 못한 경우 등이다 대부분 에러 로그는 상태 코드에 나. 404 505
로 기록된다 에러 로그가 를 넘어서면 사이트 신뢰성에 치명적인 결과를 초래하므로. 30%
주기적인 사이트 점검을 통한 수정 보완이 필요하다.
리퍼럴 로그파일리퍼럴 로그파일리퍼럴 로그파일리퍼럴 로그파일(3)(3)(3)(3)
리퍼럴 로그 는 화살표로 표시되며 방문자가 해당 사이트를 방문하기 위해 어떤(referral_log)
검색엔진을 활용했으며 사이트에 접속하기 위해 어떤 키워드를 검색했는지 또는 경로, URL
는 어떠한지 등에 대한 정보가 수록된다 따라서 검색된 키워드에 따라 고객들이 원하는 컨.
텐츠를 구성할 수 있으며 검색엔진과 링크페이지 등의 자료를 통해 인터넷 광고 매체를 선
정한다거나 검색엔진에 적용할 키워드를 구성하는 등 프로모션 전략방안을 설정하는 타깃
웹 프로모션 전개가 가능하다.
에이전트 로그파일에이전트 로그파일에이전트 로그파일에이전트 로그파일(4)(4)(4)(4)
에이전트 로그 는 사이트 방문자의 웹 브라우저 및 버전 운영체제의 종류 화면(agent_log) , ,
해상도 프로그램의 종류 등에 관한 정보를 제공해 최적화된 웹사이트를 구성할 수 있는 단,
서를 제공한다 예를 들어 사이트를 기획 구축할 때 넷스케이프 브라우저를 기준으로 화면. ,
이나 인터페이스를 설계했는데 에이전트 로그파일의 분석 결과 익스플로러 사용자가 많다면
이용자의 편의를 위해 익스플로러 환경에 맞도록 사이트를 다시 개편해야 한다 또한 화면.
해상도 역시 사용자들의 환경에 맞도록 설정할필요가 있다.
로그파일의 형식로그파일의 형식로그파일의 형식로그파일의 형식(5)(5)(5)(5)
을 통해 웹서버에서는 로그 파일을 작성하고 있다 웹서버마CLF(Common Logfile Format) .
다 자체적으로 로그파일의 형식을 제안하고는 있지만 대부분의 웹서버 의 제작사는 표, S/W
준 로그파일 형식을 지원하고 있다 표준로그파일은 보통 또는 이. Transfer Access Logfile
라 불리며 파일이름은 와 같이 정하고 있다access_log .
웹 서버의 로그파일에는 다음과 같은 Host, Identification, AuthUser,Time, Request, Status,
등의 가지 필드가 기록된다 대부분의 표준 로그파일은 보통 트랜스퍼 또는 액세Volume 7 .
스 로그파일로 불리며 파일이름은 와 같은 유형으로 정하고 있다 액세스 로그파access_log .
일은 다음과 같이 구성되어 있다.
210.109.56.1-- [03/08/1999:03:00:00 0900] "GET/index.html HTTP/1.0"200 34567
마치 암호처럼 구성되어 있지만 이것을 풀어보면 앞에서 설명한 가지 필드로 구성되어 있7
음을 알 수 있다.
가 또는 예가 또는 예가 또는 예가 또는 예( ) Host (DNS IP Address) ) 210.109.56.1( ) Host (DNS IP Address) ) 210.109.56.1( ) Host (DNS IP Address) ) 210.109.56.1( ) Host (DNS IP Address) ) 210.109.56.1
사이트 방문자의 방문 경로를 알려주는 정보를 제공하는 단서로 서로 다른 를 통하여 얼, IP
마나 많은 사람들이 방문했는지를 파악할 수 있게 해주며 또DNS(Domain Name Server)
는 주소 등을 기록할 수 있다 그러나 도메인 이름으로 기록할 경우 웹 서버는 매 접속IP .
때마다 도메인 이름을 역추적 해야 하기 때문에 웹 서버에 상당한 부하를 주게 되므로 대부
분 로 기록한다 호스트의 추적을 통해 방문자의 방문 정보를 알 수 있으나 변동 를IP . ISP
사용하거나 사람들이 많이 사용하는 장소에서 접속하는 경우 방문자 정보를 파악하는 데 어
려움이 있기 때문에 정확한 정보를 파악하려면 쿠키나 이용자 인증 등을 거쳐야만 하는 한
계가 있다.
나 예나 예나 예나 예( ) Identification ) -( ) Identification ) -( ) Identification ) -( ) Identification ) -
이용자의 이름을 표시하는 곳으로 거의 사용되지 않는 편이며 하이픈 으로 보이는 경우가(-)
많다.
다 예다 예다 예다 예( ) User Authentification ) -( ) User Authentification ) -( ) User Authentification ) -( ) User Authentification ) -
패스워드 보호의 영역으로 이용자 인증을 요구하는 경우에 기록되며 이용자 이름과 암호를
설정해 놓은 경우 해당 디렉토리는 등록된 이용자에게만 자료검색을 허락하며 보통 때는,
하이픈 으로 보여진다(-) .
라 예라 예라 예라 예( ) Time Stamp ) [03/08/1999:03:00:00 0900]( ) Time Stamp ) [03/08/1999:03:00:00 0900]( ) Time Stamp ) [03/08/1999:03:00:00 0900]( ) Time Stamp ) [03/08/1999:03:00:00 0900]
방문자가 서버에 접속한 날짜와 시간을 기록하는 것으로 형식은
처럼 구성된다 이러한 를 통해 방문자의[DD/MON/YYYY:HH:MM:SS 0900) . Time Stamp
방문 시간대를 알 수 있으며 많은 이용자들의 폭주로 서버가 다운된 경우 다운된 시간 및
원인 등을 파악할 수 있는 중요한 단서를 제공하기도 한다.
마 예마 예마 예마 예( ) HTTP Request Field ) "GET/index.html HTTP/1.0"( ) HTTP Request Field ) "GET/index.html HTTP/1.0"( ) HTTP Request Field ) "GET/index.html HTTP/1.0"( ) HTTP Request Field ) "GET/index.html HTTP/1.0"
는 크게 정보의 요청방식에 의해 등의 명령어 실제 명령 대상Request GET, POST, HEAD ,
의 파일이름 전송 프로토콜 이름 버전 의 세 개의 세부 필드를 기록하며 다른 필, / (0.9/l.0/l.1) ,
드와 달리 따옴표로 구분되어있다 및 는 이용자의 요청 방법을 가리키. GET, POST HEAD
며 이용자가 요구한 파일의 이름이 기록된다 전송 프로토콜은 현재 대부분이 를 사. HTTP
용하며 버전번호와 함께 기록되고 있다, .
바 예바 예바 예바 예( ) Status Code ) 200( ) Status Code ) 200( ) Status Code ) 200( ) Status Code ) 200
접속 상태와 데이터 상태를 표시하는 곳으로 으로 구분되며 정상적으100, 200, 300, 400, 500
로 호출이 된 경우 으로 표시한다200 .
사 예사 예사 예사 예( ) Transfer Volume ) 34567( ) Transfer Volume ) 34567( ) Transfer Volume ) 34567( ) Transfer Volume ) 34567
사용자가 접속한 파일 용량의 크기를 기록한 것으로 실제 전송된 데이터 양이기 때문에 상
태 코드 가 인 경우에만 기록되며 전송된 데이터의 양이 인 경우에는(status code) 200 , 0 '-'
으로 기록된다 의 명령이 인 경우에는 가 이라도 데이터 양은 으로(request HEAD status 200 0
계산되어 가 기록된다 데이터 값이 인 경우는 페이지를 여는 도중 작업을 멈추는 경'-' ). 0
우가 대부분이며 이나 버튼을 눌러서 중도에 빠져나가는 경우가 그러한 예이다Stop Back .
다 로그다 로그다 로그다 로그. DNS. DNS. DNS. DNS
네임 서버 역시 요청받은 모든 요청을 로그로 기록하고 있다 로그 파일에DNS DNS . bind
는 각각의 요청이 만든 호스트명과 요청 자체가 들어있다 이와 같은 로그의 예를 통해 공.
격자의 경로 등을 확인할 수 있다.
라 쿠키 정보라 쿠키 정보라 쿠키 정보라 쿠키 정보....
쿠키는 인터넷에서 여러 가지 용도로 사용된다 예를 들면 전자상거래 시스템에서의 장바구.
니 구현 웹사이트에서 웹사이트로의 이동하는 경로 추적 등에 활용 가능하다 이와 같이 쿠, .
키는 강력한 정보를 제공하기 때문에 쿠키 정보를 수많은 정보를 가지고 있다고 할 수 있
다 인터넷 익스플로러는 히스토리 디렉토리에 쿠키를 저장한다 이와 같은 쿠키 파일을 통. .
해 웹 브라우저의 접속 경로 및 특성 등을 파악할 수 있다.
기반 범죄에 대한 증거물 분석기반 범죄에 대한 증거물 분석기반 범죄에 대한 증거물 분석기반 범죄에 대한 증거물 분석4. Web4. Web4. Web4. Web
웹사이트에 대한 범죄를 분석하는 과정 역시 기존의 증거물 분석 과정과 유사한 단계를 수
행한다.
가 웹사이트맵 정보 분석가 웹사이트맵 정보 분석가 웹사이트맵 정보 분석가 웹사이트맵 정보 분석....
웹사이트맵 분석 과정을 수행해야 한다 해당 웹사이트에 대(Real Sitemap Based Analysis) .
한 논리적인 맵 구조인 사이트맵을 기반으로 분석 과정을 수행하게 된다 이를 통해 전체.
웹 서버의 구조적인 접속 분석이 가능하게 되고 컴퓨터 범죄에 대한 기초 분석 환경을 제공
하게 된다.
웹사이트의 실제 사이트템 구조 수집웹사이트의 실제 사이트템 구조 수집웹사이트의 실제 사이트템 구조 수집웹사이트의 실제 사이트템 구조 수집(1)(1)(1)(1)
웹사이트내의 사이트맵 정보를 수집한다 사이트맵은 웹서버의 전체구성 및 구성 현황을 제.
시한다 카테고리와 중간주제 작은 주제 별로 그룹화되어 있으며 각 주제에 따른 컨텐츠들. , ,
의 구성 현황을 제공해 준다 이와 같은 사이트맵은 웹서버에 대한 가상 디렉토리 기반의.
트리 구조로 구조화하게 된다 이러한 디렉터리들을 문서간에 링크하여 논리적인 홈. HTML
페이지 구성 현황을 파악하게 된다.
웹 서버에 대한 기초 보안 점검웹 서버에 대한 기초 보안 점검웹 서버에 대한 기초 보안 점검웹 서버에 대한 기초 보안 점검(2)(2)(2)(2)
분석 대상 웹 서버에 대한 기본적인 보안 현황을 점검하게 된다 웹서버를 공격하는 바이러.
스에 대한 접속 정보를 추출하거나 현재 웹서버에 설정된 보안 기능등에 대해 점검한다 아.
래와 같은 사항을 점검하여 해킹 및 컴퓨터 범죄 공격에 대한 정보를 파악하게 된다.
사이트에 권한해킹을 시도하는가- ?
기반 공격을 하는가- CGI ?
둥의 바이러스가 공격하는가- Nimda ?
점검 결과 기초 보안 보고서를 작성하게 되며 바이러스에 의한 공격인 경우 유형 보고서 및
진원지 보고서 등을 작성하게 된다 특히 웹 서버공격 바이러스를 유형별로. (Nimda,
공격시도 횟수 성공횟수 등의 정보를 제공한다 또한 해킹 및 바이러Codered, Codered ll) , .
스 공격 진원지에대한 번호 소속기관 바이러스명 공격횟수 지역 국가 에 대한 정보를IP / / / / / /ISP
확보한다.
정밀 보안 분석정밀 보안 분석정밀 보안 분석정밀 보안 분석(3)(3)(3)(3)
해킹 및 컴퓨터 범죄에 대한 정밀 보안 분석을 실시한다 공격에 대해서는 공격 정보를. CGI
확보하고 공격 시간대별로 공격 와 공격 횟수를 확보한다 또한 공격으로 의심되는 정보, IP .
및 유형별 권한 공격에 대한 정보를 확보한다 그리고 비정상 디렉터리 접속 시도에 대한.
증거를 확보하여 이를 분석한다.
웹서버 로그 및 패턴 분석웹서버 로그 및 패턴 분석웹서버 로그 및 패턴 분석웹서버 로그 및 패턴 분석(4)(4)(4)(4)
이와 같은 정밀 보안 분석 과정을 거친 후에는 웹서버에 대한 구체적인 현황을 파악하게 된
다 웹 로그 분석을 통해 시간대별 접속 수 접속 에러 수 방문 수에 대한 정보를 확보한다. , , .
또한 시간대별 서버에서 전송된 데이터량에 대한 정보를 확보하고 접속유지시간에 따른 접,
속 및 방문 수에 대한 정보를 확보한다.
이와 같은 로그 분석 과정을 거친 후에는 웹서버 방문패턴을 분석하고 방문자들의 방문패턴
흔적 을 방문수로 그룹화한 정보를 확보한다 또한 접속 후 가장 먼저 보는 페이지에 대한( ) .
방문 정보 접속 후 가장 마지막에 보는 페이지에 대한 방문 정보 등을 확보한다, .
또한 웹서버에 게시된 각 페이지에 대해 분석을 실시한다 각 페이지별 접속 수 접속에러. ,
수에 대한 정보를 확보하고 파일에 대한 히트 수 에러 수 전송량에 대한 정보를 확보한다, , .
또한 디렉터리 별 히트 수 에러 수 전송량에 대한 정보와 파일형태 별 히트 수 접속 수, , , ,
전송량에 대한 정보를 확보한다 이러한 분석을 바탕으로 상태코드별로 정보 현황을 파악한.
다.
마지막으로 어느 웹사이트를 경유하여 접속했는지에 대한 정보를 분석하고 웹사이트 방문,
을 위해 이용한 검색엔진 별 히트 정보를 확보한다 또한 검색엔진에서 빈번하게 사용한 검.
색어에 대한 정보를 확보한다.
추적추적추적추적(5) IP(5) IP(5) IP(5) IP
웹서버 방문자들의 를 추적한다 추적 과정을 통해 방문자 의 요청 수 방문 수 머문IP . IP , ,
시간에 대한 정보를 확보하고 방문자 별 방문수 기관 지역 국가 등에 대한 정보를 분류, IP , , ,
한다 또한 국내 및 국가별 웹사이트 방문자들의 접속 정보를 확보하며 최상위 도메인 상업. (
교육 국가기관 등 의 접속정보를 확보한다 추적 결과 컴퓨터 범죄 근원지 및 경로 등을/ / ) . IP
파악할 수 있는 근거를 확보하게 된다.
추적이라고 하면 해커나 네트웍 전문가들에게나 필요한 것으로 생각하는 경향이 강했지만IP
인터넷이 널리 대중화되면서 일반인들의 네트웍에 대한 상식수준이 높아지고 분석과 특, IP
정 웹서버의 정보와 네트웍 경로를 체크할 필요성이 강해졌다 손쉬운 방법을 살펴보면 다.
음과 같다 일반적으로 윈도우즈 시스템에 내장된 라는 프로그램을 사용하면 간. tracert.exe
단하게 웹서버의 와 경로 접속과정을 살펴볼 수 있다 한글 상태에서IP , . MS-DOS
프로그램을 실행할 수 있다 만일 를 입력하고 엔터키를tracert.exe . tracert.www.yahoo.com
누르면 된다 실행결과 그림 처럼 웹서버까지의 자세한 경로를 일목요연하게 볼 수. ( 6-14)
있다.
그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예그림 추적 프로그램 실행의 예( 6-13) IP( 6-13) IP( 6-13) IP( 6-13) IP
윈도우에 내장된 외에도 를 추적할 수 있는 소프트웨어를 사용하는 것도 좋Tracert.exe IP
은 방법이다 여러 가지 네트워크 추적프로그램이 있지만 요즘 인기를 끌고 있는 그림. (
와 같이 는 네트웍 경로를 순서대로 보여주고 각 네트웍의 와 세부정6-15) VisualRoute , IP
보 노드이름 지역 그리고 값을 그래프로 보여주므로 어느 지점에서 속도가 지연되는, , , , Ping
지까지 알 수 있다.
그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예그림 윈도우즈 기반 추적의 예( 6-14) IP( 6-14) IP( 6-14) IP( 6-14) IP
추적 방법은 매우 간단하지만 자칫 오남용될 수도 있다 일반적으로 웹 서비스에서 제공IP .
하는 게시판은 글읽기 등의 과정을 하게 되면 접속자의 번호를 게재할 수 있다 이와 같IP .
이 번호를 게재하는 것이 추적 기법의 초기 구조라고 할 수 있다 또한 해당 번호IP IP . IP
에 대한 도메인에 대해서는 사이트를 방문하여 검색하면 대부분 검색http://whois.nic.or.kr
이 가능하다 물론 이와 같은 추적은 고정 를 사용하는 경우를 의미하며 유동 인 경. IP IP , IP
우에는 정확한 번호를 찾을 수는 없다 유동 인 경우 관련 기지국 등에 설정된 번IP . IP IP
호가 나오게 된다 자세한 추적기술에 대해서는 부록에서 설명한다. IP .
제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석제 절 컴퓨터 범죄 증거물의 특징 분석3333
개요개요개요개요1.1.1.1.
컴퓨터 범죄 증거물의 특징은 제 장 절에서 언급된 바와 같이 디지털 형태의 증거자료가2 1
갖는 특성을 띠고 있다 즉. ,
잠재성- (Latent)
취약성- (Fragile)
디지털- (Digital)
방대성- (Massive)
의 특성을 갖고 있으므로 증거력을 확보하기 위해서는 별도의 절차와 방법이 요구된다 본.
절에서는 이들 각각의 특성을 고찰하여 보고 이를 바탕으로 컴퓨터 범죄 증거물의 획득 모
델 및 분석 모델을 만들고자 만다.
가 잠재성가 잠재성가 잠재성가 잠재성
자료의 확인을 위해서는 판독 장치가 있어야 한다는 것을 의미한다 즉 이는 하드디스크 또.
는 플로피 디스크에 저장되어 있는 자료는 드라이브와 중앙처리장치 메모리 단말기 및 운, ,
영체제 소프트웨어 등으로 구성되는 컴퓨터 시스템이 있어야만 그 내용을 식별할 수 있다는
것이다 따라서 그 컴퓨터 시스템의 동작이 정상적으로 동작된다는 사실에 기반해서 출력된.
자료의 증거력도 확보되는 것이다.
현재 법정에서는 디스켓 또는 디스크를 법정 증거물로 받아들여지고 있지만 엄밀하게 증거
력을 갖게 하기 위해서는 그 디스크 또는 디스켓에 저장되어 있는 내용은 인증된 시스템을,
통하여 출력하였을 때 어떤 결과가 나온다는 것도 함께 문서로 제출되어야 한다.
나 취약성나 취약성나 취약성나 취약성....
컴퓨터 데이터가 법적 증거물로서 사용하는 경우에 최대 약점은 이 취약성에 있다 순식간.
에 많은 내용이 삭제되거나 또는 생성 변경 될 수 있으므로 거기에 저장되어 있는 자료가, ,
범행과 관련이 있다는 것을 확정하기 어렵게 되는 것이다 만일 관계자 또는 제 자에 의. 3
해서 사건과 관련이 없는 사람의 컴퓨터에 범죄와 관련된 자료가 저장 보관되게 되면 혹시,
협의를 받거나 누명을 쓸 수 소지를 안고 있는 것이다.
이 문제를 해결하기 위해서 유용하게 사용될 수 있는 기술이 바로 메시지 다이제스트 기술
이다 메시지 다이제스트는 자료를 숫자로 환산하여 단방향 해싱함수를 적용하여 상당히 큰.
숫자 또는 를 만들어 내는 프로그램이다 이것이 갖는 특징은 결과(MD5:128bit SHA:160bit) .
숫자로는 원래의 메시지를 복원할 수 없으면 고의적으로 같은 해시 값을 갖는 두 개의 서,
로 다른 메시지를 만드는 것이 실제적으로 불가능하다 라는 것이다 따라서 임의의 메시지.
를 를 수행하여 해시 값이 나오면 누구도 그 메시지를 적당히 수정한 후 같은 해시 값MD5 ,
이 나오게 할 수 없다는 것이다 즉 원래 메시지의 대한 해시 값만 가지고 있으면 원래 메.
시지가 변경되지 않았다는 것을 증명할 수 있게되는 것이다.
이러한 메시지 다이제스트 기술은 비대칭 암호알고리즘과 함께 전자상거래 시스템에 거래의
안정성을 확보하는 중요한 기본 기술이 되고 있으며 또는 가 주로 사용되고 있MD5 SHA
다 이들은 표준화되어 있어서 어느 회사에서 작성한 프로그램을 사용해도 같은 해시 값을.
출력한다.
다 디지털다 디지털다 디지털다 디지털....
년 버클리 대학의 연구조사에 의하면 전세계에서 생성되는 정보의 이상이 디지털1999 93%
형태로 만들어진다고 보고되고 있다 디지털형태의 자료는 아날로그와 다르게 또는 의. 0 1
단순한 조합으로 정보를 표현하는 것이다 따라서 한 매체에서 다른 매체로 복사를 해도 그.
정도의 변화없이 그대로 정확하게 복제된다 종래 아날로그에서는 약간의 왜곡있던 원 신호.
를 복사를 하면 복사 시에 유입되는 잡음과 함께 이 왜곡된 신호도 그대로 복사본에 전달되
어 원본과 복제본의 구분이 가능하였다.
그러나 디지털 시스템에서는 또는 로 구분되는 신호만 보내고 실제 저장되는 신호의 크0 1
기는 수신측 시스템에 의해서 전적으로 결정됨으로 송신측에 미묘한 신호의 변화는 수신측
이 나타나지 않게 된다 즉 원본과 복사본을 구분할 수 없는 것이다. .
원본과 복사본이 차이가 없다는 것은 법적으로 특별한 의미를 갖게 한다 일반적인 증거물.
에서 최적증거물 원칙에 의해 법정에는 원본을 제출하도록 하고 있으나 디지털 증거물의,
경우에는 복사본 또는 그 내용을 인쇄한 것도 증거력을 갖는 것으로 여겨지고 있다.
라 방대성라 방대성라 방대성라 방대성....
간단한 노트북 또는 개인용 데스크톱 컴퓨터에도 약 이상의 디스크가 장착되는20 GBbyte
것이 최근의 추세다 이것은 압축하지 않은 상태에서 억자의 문자를 저장할 수 있는 용. 200
량으로서 여기에서 특별한 도구 없이 범죄의 단서 또는 증거를 찾는 다는 것을 거의 불가,
능하다고 할것이다 따라서 컴퓨터 포렌식스 업무를 적절히 수해하기 위해서는 적당한 분석.
도구를 확보하는 것은 무엇보다 중요하다 또한 찾은 증거물을 제 자 분석작업을 했을 같. 3
은 결과를 얻을 수 있도록 명확하게 문서화가 되어 있어야 한다 특히 증거물 발견한 방법. ,
증거물이 발견된 장소의 논리적 및 물리적 주소 등이 필히 포함되어 있어야 한다.
컴퓨터 자료의 증거력컴퓨터 자료의 증거력컴퓨터 자료의 증거력컴퓨터 자료의 증거력2.2.2.2.
컴퓨터에 저장되어있는 자료는 종이로 된 문서와 크게 다르지 않게 법정에서 취급된다 그.
러나 컴퓨터의 자료는 크게 두 가지 형태로 나뉘어 볼 수 있다 그 첫째는 사용자 즉 인간. ,
에 의해 그 내용이 만들어 진 것 자료로 일반적으로 문서작성기 또는 표계산 소프트웨어 등
을 통하여 생성된 자료를 말한다 이러한 자료는 법적 증거측면에서는 전문법칙을 따르는.
것으로 되어 있다 전문법칙을 따른 다는 것은 그 자체로는 증거능력이 없고 그 작성자로부.
터 자기가 그것을 만들었다는 진술을 확보해야만 증거력이 확보된다는 것이다 둘째로 컴퓨.
터에 의해서 만들어진 자료이다 이들 종류의 대표적인 것으로는 로그자료가 있다 이들은. .
사람에 의해서 만들어지지 않고 다만 컴퓨터 정상적으로 서비스를 수행하는 과정에 부산물
로 나온 것이므로 만일 시스템이 정상적으로 운영되고 있었다면 그로부터 나온 로그자료도,
증거가치가 있는 것으로 보여진다[7].
그러나 해킹피해시스템의 경우 이미 그 시스템의 운영이 해커에 의해 조작되었다는 것을 암
시하고 있으므로 피해시스템으로부터 수집한 로그는 법적 증거력은 별로 없는 것으로 보아
야 할 것이다 다만 피해시스템의 로그가 별도의 로그서버 또는 또는 과 같이. CD-R DVD-R
회 쓰기만 가능한 매체에 저장관리 되고 있었다면 이 문제는 다시 검토되어야 할것이다1 .
컴퓨터 범죄 증거물 획득 모델컴퓨터 범죄 증거물 획득 모델컴퓨터 범죄 증거물 획득 모델컴퓨터 범죄 증거물 획득 모델3.3.3.3.
개요에서 언급된 증거물의 특성을 극복하기 위해서는 증거물 획득 단계에서부터 보관 분석,
및 보고서 작성에 이르는 전 단계가 잘 확립되어 있어야 한다 따라서 본 연구에서 다음과.
같은 컴퓨터 범죄 증거물 획득모델 안 을 제안한다( ) .
그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안그림 컴퓨터 범죄 증거물 획득 모델 안( 6-15) ( )( 6-15) ( )( 6-15) ( )( 6-15) ( )
복제 및 해싱①
그림 에서 수사관 는 압수수색영장을 제시하고 피의자로부터 증거물을 압수한다( 6-16) (A) , .
사안에 따라서는 현장에서 디스크복사를 한 후 또는 해시를 계산한다MD5 SHA .
등록②
수사관은 그 해시 값을 인증기관 에 보낸다 인증기관은 접수받은 해시 값과 접수된 시(CA) .
간 및 기타정보를 영구기록장치에 저장하고 접수번호를 수사관에게 되돌려 준다 수사관은.
이 접수번호를 피의자에게 알려주고 해시 값과 함께 증거물에 부착한다.
압수 불가시 증거물 추출③
만일 시스템의 규모가 크거나 기타 이유 등으로 압수를 적절히 수행할 수 없는 경우에는 피
의자 시스템에서 필요한 자료를 추출한 후 이 추출된 자료에 대해서 해싱을 한 후 의 등, ㉡
록과정을 수행한다 추출과정에서는 필히 관계자를 입회시키고 추출과정을 문서화한 후에. ,
입회자의 서명을 받는다.
증거물 분석 제출 및 위변조 확인④
수사관은 증거물 분석하여 범죄를 증명하는 자료를 정리하여 보고서를 작성하여 법정에 제
출한다 만일 피의자가 그 증거물이 조작되었다고 주장하면 그 증거물의 해시 값과 인증기.
관 에서 조회하여 받은 해시값을 비교하여 데이터가 조작되었는지를 확인한다 만일 분(CA) .
석과정에 문제를 제기하면 국과수 등에 자료를 보내서 감정을 받을 수 있다.
이 모델에서 인증기관이 잘 설립되면 데이터가 조작되지 않는다는 것을 보장할 수 있으므,
로 분석을 굳이 수사기관에서 하지 않고 믿을 수 있는 전문가에게 의뢰해도 무방하게 된다, .
이 경우 비밀 유지는 필요함( )
이 모델 안 에서의 문제점은 약간의 실수 또는 자연적 손상으로 디스크의 내용이 변경되면( )
증거력이 상실되므로 이에 대한 보완방법을 강구되어야 한다.
컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안컴퓨터 범죄 증거물 분석 모델 안4. ( )4. ( )4. ( )4. ( )
디지털 증거물 획득 모델 안 에 의해서 수집된 정보는 수사관의 분석컴퓨터에 의해서 분석( )
된다 분석방법의 기본 틀은 그림 과 같이 피의자를 행위를 증명하기 위한 제반 노력. ( 6-l7)
이 되며 주로 행위자의 신원 행위 시점 및 행위의 내용이 파악되어야 한다, , .
그리고 피의자 행위가 일어난 시점부터 증거물을 획득할 때까지의 시간동안 시스템에 어떤
변화가 일어났는지도 파악하여야 한다 만일 피의자의 컴퓨터가 행위 이후에 제 자에 의. 3
해서 심각하게 해킹을 당했거나 바이러스 등에 감염되어 있는 경우에 그 컴퓨터에 취득한
자료의 증거력이 현저하게 떨어지기 때문이다 또한 획득한 순간부터 법정에 제출할 때 까.
지 증거물이 변조되지 않아야 한다 이는 해시 값을 비교함으로서 간단히 확인 할 수 있다. .
그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안그림 컴퓨터 범죄 증거물 분석 모델 안( 6-16) ( )( 6-16) ( )( 6-16) ( )( 6-16) ( )
결론적으로 피의자의 행위를 증명하기 위해서는 피의자 컴퓨터만을 조사 분석하여서는 한계/
에 직면하게된다 따라서 수사의 초기에서부터 관련 자료를 확보하는 것이 매우 중요하게.
된다 피의자 컴퓨터를 중심으로 그림 과 같이 실세계와 사이버공간에서 필요한 자료. ( 6-18)
를 확보해 나가야 한다 특히 해킹의 범죄는 실세계보다는 사이버공간에 많은 관련 정보를.
획득 할 수 있으므로 이에 대한 대처가 필요하게 된다.
또한 분석에 중요한 업무중의 하나는 피의자가 해한 방법을 재현하여 그 행위를 입증하는
것이다 이것을 원활히 수행하기 위해서는 많은 장비와 시간이 필요하지만 증거가 부족한. ,
경우 또는 사건의 전모를 완전히 이해하기 위해서는 컴퓨터 포렌식스에 필수적 환경이라고
할 수 있다 간단하게 구축할 수 있는 방법 중에 하나는. VMWare[38]을 이용하는 것이다.
는 하나의 컴퓨터 운영체제에서 가상으로 여러 대의 컴퓨터를 운영할 수 있게 해VMWare
줌으로 비용 효과적으로 간단한 테스트 베드를 구축할 수 있게 된다 한 예로 리눅스 운영.
체제에서 또는 또 다른 리눅스 등의 운영체제를 동시에 가동시Win98, WinNT,Win2000/XP
킬 수 있게 한다 프로젝트에서도 이러한 방법을 사용하고 있다. Honey.net[39].
그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집그림 행위 입증을 위한 자료 수집( 6-l7)( 6-l7)( 6-l7)( 6-l7)
참고문헌참고문헌참고문헌참고문헌
[1] Eoghan Casey, Digital Evidence and Computer Crime, Academic press, 2000
[2] Eoghan Casey, Handbook of Computer Crime Investigation, Academic press, 2002
[3] Albert J. Marcella etc., Cyber Forensics: A Field Manual for Collecting, Examining,
and Presening Evidence of Computer Crimes, Auerbach, 2002
[4] Micheal A. Caloyannides, Computer Forensics and privacy, Artech House, 2001
[5] Warren G. Kruse II , etc., "Incident Response Essentials", Computer Forensics,
Addison-Wesley, 2002
[6] Kevin Mandia & Chris Prosise, "Investigating Computer Crime", Incident Response,
Osborne/McGraw-Hill, 2001
[7] Orin Kerr, Searching and Seizing Computers and Obtaining Electronic Evidence in
Criminal Investigations, U.S. Department of Justice, Jan. 2001
[8] Deborach Russel and etc., Computer Security Basics, O'Reilly & Associates Inc.,
1991
[9] Warwich Ford " Principles, Standard protocols and Techniques", Computer
Communication Security, Prentice-Hall Inc., 1994
한국정보보호센타 정보시스템 해킹 바이러스 현황 및 대응 한국정보보호센터[10] , 2000 . ,
한국정보보호센타 정보시스템 해킹바이러스 현황 및 대응 한국정보보호센터[1l] , 2001 . ,
김종섭 컴퓨터 포렌식스와 전자공증을 응용한 전자증거 관리시스템 설계 및 운영방[12] , [ ]
향 동국대학교 국제정보대학원 석사학위 논문" , 1999
[13] D. Brezinksi and T. Killaea, Guidelines for Evidence Collection and Archiving, RFC
3227
[14] J. Ashcroft, "Electronic Crime Scene Investigation - A Guide for First Responders",
NIJ, 2001
[15] Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory,
6th USENIX Security Symposium, 1996
네트워크 침입탐지와 해킹분석 핸드북 인포북[16] Stephen Northcutt, Judy Novak, , 2001
[17] Stephen Northcutt, Mark Cooper, Matt Fearnow, KarenFrederick, Intrusion
Signatures and Analysis, New riders pub., 2001
정보보호진흥원 정보보호심포지움[18] , 2002
[19] EnCase V3.0 User Manual, Guidance Software, 2001
[20] John Patzakis, EnCase Legal Journall, Second Edition, 2002, www.guidancesotware.c
om
[21] J. Bryan Davis, Computer Intrusion Investigation Guidelines, FBI Law Enforcement
Bulletin, Jan, 2001
[22] Craig W. Meyer, etc., Investigative Uses of Computers -Analytical Time Lines, FBI
Law Enforcement Bulletin, Aug. 2000
[23] John Ashcroft, Electronic Crime Scene Investigation - A Guide for First
Responders, NIJ, U.S. Department of Justice.www.ojp.usdoj.gov/nij
[24] IOCE, G8 Proposed Principles for The Procedures Relating to Digital Evidence, 2000,
www.ioce.org
[25] Samuel Chanson, Comments on the Goverment's Report on Computer Related
Crime, presentation material, www.isfs.erg.hk
[26] NIST, Hard Disk Write Block Tool Specification, Ver 2.0 Draft, NIST
[27] Dave Dittrich, Basic Steps in Forensics Analysis of Unix Systems,
http://staff.washington.edu/dittrich/misc/forensics/
[28] SWGDE, IOCE, Digital Evidence: Standards and Principles, Forensic Science Comm.,
Apr 2000, Vol. 2, No. 2
[29] Michael R. Anderson, Computer Evidence Processing, whatepaper on
www.forencis-intl.com
임종인 컴퓨터 범죄의 법적증거 수집방안 컴퓨터 포렌식스 정보보호[30] , - , 21c
(www.secuinfo.com)
[31] Jonathan B. Postel, SIMPLE MAIL TRANSFER PROTOCOL, RFC 821
http://freesoft.org/CIE/RFC/821
[32] J. Myers and M. Rose, Post Office Protocol - Version 3, RFC 1725, http://
freesoft.org/CIE/RFC/1725
[33] M. Crispin, INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4 revl, RFC
2060, http://freesoft.org/CIE/RFC/bynum.cgi?2060
이채홍 손상된 데이터를 갖는 손상된 디렉토리 정보로부터 데이터 복원방법 및 이를[34] ,
저장한 컴퓨터가 판독 가능한 기록 매체 특허청 특허 번호, 308873
이채홍 하드 디스크의 조각난 데이터 복원 방법 및 이를 저장한 컴퓨터가 판독 가능한[35] ,
기록 매체 특허청 특허번호, , 308874
[36] Forensic TOOLKIT User Guide, AccessData Corp, 2000
[37] John Ashcroft, etc., Test Results for Disk Imaging Tools: ddGNU fileutils 4.0.36,
NIJ Special Report. Aug. 2002
[38] VMWare, http://www.vmware.com
[39] Honeynet, http://project.honeynet.org/
정현철 로그분석을 통한 침입자 추적 및 로그관리[40] , UNIX , www.certcc.or.kr
이현우 외 피해시스템 분석[41] , UNIX vl.1, www.securitymap.net
부 록부 록부 록부 록
추적 기술추적 기술추적 기술추적 기술1. IP1. IP1. IP1. IP
최근 급증하고 있는 인터넷 사용자의 증가와 이를 위한 인터넷 서비스 업체들의 증가로 인
해 인터넷을 이용한 다양한 전자상거래 시스템이 구축되고 있다 그러나 인터넷을 통한 서. ,
비스를 방해하기 위해 공격을 통해 공격자는 하나 이상의 공격 시DoS (Denial-of-Service)
스템을 사용하여 피해 시스템에 무한의 악의적인 패킷을 보냄으로써 피해 시스템의 정상적
인 서비스를 방해하거나 시스템을 다운시키는 등 피해를 주고 있다.
공격에 대응하기 위해서는 공격자의 정확한 위치를 찾아내어야 하고 이를 위해 역DoS IP
추적 기술이 연구되었으나 공격자가 자신의 를 스푸핑 함으로써 기존의 역, IP (Spoofing) IP
추적은 어느 정도의 한계에 직면할 수밖에 없었다 따라서 패킷에 기록되어 있는 소스. IP
주소를 이용하는 방식이 아닌 다른 방식으로 공격자의 위치를 찾아내는 방법이 연구되어야
만 했고 이를 위한 한 가지 대안으로서 마킹 방식의 역추적 기법이 제안되었다IP .
이는 네트워크 상의 모든 라우터가 자신을 지나가는 패킷에 자신의 주소를 마킹 하도록IP
하여 피해 시스템에서 이를 이용하여 공격 경로를 찾아내는 것이다 라우터가 자신의 주. IP
소뿐만 아니라 공격 진원지의 주소를 마킹하도록 함으로써 주소를 이용한 공격MAC MAC
진원지의 실제 위치를 찾아내는 방법을 제시한다.
이를 위해서 각 라우터가 앞 단의 주소를 자신의 주소와 함께 마킹하도록 하고MAC IP ,
또한 피해 시스템에서 주소에 대한 무결성 검사를 수행하는 것처럼 주소에 대해서IP MAC
도 무결성 검사를 수행 할 수 있도록 하는 방법을 제안하고 기존 방식에서 문제점으로 지,
적되었던 공격 경로를 찾아내기 위해 필요로 하는 패킷의 수를 최소한으로 줄일 수 있는 방
법을 또한 제안한다.
가 기존 연구의 고찰가 기존 연구의 고찰가 기존 연구의 고찰가 기존 연구의 고찰....
기존의 보안 시스템들은 공격자가 시스템에 침입했을 때 이를 저지하고 시스템의 피해를 줄
이는 소극적인 대응이었다 하지만 침입자를 역추적하여 공격의 근원을 찾아내는 적극적인.
대응방법이 점차 새로운 보안의 방책으로 대두되고 있다 이에 따라 침입자를 역추적.
하려는 노력은 여러 가지 방향에서 논의되고 있다 시스템 로그를 분석하는 방(Traceback) .
법 등 다양한 방법으로 침입자, Logging, Ingress Filtering, Link Testing, ICMP Traceback
의 흔적을 역추적하는 방법이 제시되었다 하지만 이러한 여러 방법들은 각기 장단점을 가.
지고있으며 침입자를 올바르게 역추적하기에는 부족한 점이 많다 이를 개선하기 위해 마킹, .
알고리즘을 적용하여 공격 경로를 역추적하는 방식이 있다.
마킹 기반 역추적마킹 기반 역추적마킹 기반 역추적마킹 기반 역추적1) IP1) IP1) IP1) IP
이라고도 하는 이 방법은 모든 패킷을 대상으로 하지 않Fragment Marking Scheme(FMS)
고 주어진 확률 이하로 선정한 패킷에 대해서 라우터에서 이 패킷이 자신을 거쳐 갔음을p
표시를 하는 방법이다 즉 각 라우터에서 이하의 확률로 선택된 패킷에 대해 이 패킷의. , p
경로를 나타내는 추가 정보로 소스 필드에 이 라우터의 로 표시하고 거리정보 즉 흡 수IP ,
표시는 으로 설정한다 이 패킷이 거치는 다음 라우터에서 이 패킷을 선택할 확률이 이0 . p
상일 때 이 패킷에 표시되는 끝 라우터가 이 라우터의 가 된다 이렇게 소스와 끝 가IP . IP
다 기록이 된 것은 다음 라우터를 거칠 때 확률 이상이면 소스 라우터로부터 중간에 거p
친 라우터의 수만큼의 흡 수가 더해지며 확률 이하면 이번의 기록내용은 무시되고 다시, p
소스를 기록하는 과정을 거친다.
이런 과정은 임의도를 증가시켜 의도적인 패킷이 발생된 소스 주소에 수정을 가하더라도 실
제의 패킷 소스를 밝히는데 상당한 신뢰를 줄 수 있는 방법이다 그리고 이 정보를 기록하.
는 부분은 패킷의 헤더에 분할을 위하여 패킷의 동일성을 표시하는 부분인IP identification
필드로서 통계적으로 이 부분을 사용하는 율이 라는 데 착안을 하였다0.25% .
그림 은 새롭게 정의된 필드이다1 identification .
그림 재구성된 헤더의 필드 구성그림 재구성된 헤더의 필드 구성그림 재구성된 헤더의 필드 구성그림 재구성된 헤더의 필드 구성1. lP identification1. lP identification1. lP identification1. lP identification
마킹 기반 역추적의 문제점마킹 기반 역추적의 문제점마킹 기반 역추적의 문제점마킹 기반 역추적의 문제점2) IP2) IP2) IP2) IP
기존 마킹 알고리듬은 라우터의 정보를 패킷의 헤더의 필드에 실어 보내는IP identification
방식으로 라우터의 정보는 분할하여 조각으로 전송하며 또한 라우터에서의 마킹 과정은 샘,
플링 방식에 의해 확률로써 처리된다 라우터가 패킷에 자신의 주소를 마킹 하기 위해서. IP
헤더의 필드 비트 를 이용한다IP identification (16 ) .
각 라우터는 자신의 주소 과 이 주소에 비트연산과 을 사용하여 해쉬한IP R IP not hash(R)
값을 하여 비트의 을 생성하며 이 값을 개의 조각으로 나누어 그 중BitInterleave 64 R , 8 o
변위정보 임의의 수 번째 조각을 패킷에 실어 보낸다 즉 패킷에는 거리정보와 주소의( , ) . IP
조각 그리고 그 조각의 위치를 나타내는 변위정보가 마킹 되는 것이다 이렇게 거쳐 온 라, .
우터의 주소를 표시한 패킷들은 피해 시스템에서 거리정보 별로 구분되어 조합되고 이IP ,
렇게 조합되어 구해지는 주소가 올바른 라우터의 주소로 판단되면 이를 경로 트리에IP IP
기록한다 이러한 일련의 과정을 통해 경로 트리를 구성하면 이것이 바로 공격 경로가 되는.
것이다 그림 는 패킷의 여러 전송 경로 중에서 기존 마킹 알고리듬을 통해 찾아낼 수 있. 2
는 실제적인 공격 경로를 나타내고 있다.
그림 패킷의 여러 전송 경로와 공격 경로그림 패킷의 여러 전송 경로와 공격 경로그림 패킷의 여러 전송 경로와 공격 경로그림 패킷의 여러 전송 경로와 공격 경로2.2.2.2.
그림 에서 확인하듯이 기존의 마킹 알고리듬에서는 공격 경로의 첫 번째 라우터까지 발견2
가능하다 하지만 공격 경로를 찾아내서 이를 이용하여 공격에의 대응 방법을 강구 할. DoS
수는 있지만 공격 진원지 를 찾아 낼 수 없다는 문제점을 가지고 있다 패킷이 지나온, (A2) .
첫 번째 라우터까지의 추적은 가능하지만 여기에서 공격 진원지를 추적할 수 있는 방법은
없는 것이다 또한 패킷이 피해 시스템에 도착하기까지 중간에서 각 라우터에 의해 처음의.
정보를 유실 새로운 라우터의 정보를 마킹 하게 되는 알고리듬의 특성 때문에 첫 번째 라우( )
터의 정보를 가진 패킷이 피해 시스템까지 도착할 확률이 상대적으로 적어진다 이러한 패.
킷의 도착율은 공격자에서 피해 시스템까지의 홉 수가 많아질수록 더 작아진다 각 라우터.
가 가진 확률값을 라 하고 라우터에서 피해 시스템까지의 흡 수를 라고 할 때 패킷의 정p , d
보가 도착할 확률은 다음 식 과 같다1 .
나 개선된 공격 진원지 발견 기법나 개선된 공격 진원지 발견 기법나 개선된 공격 진원지 발견 기법나 개선된 공격 진원지 발견 기법....
주소의 사용주소의 사용주소의 사용주소의 사용1) MAC1) MAC1) MAC1) MAC
기존 마킹 알고리듬은 라우터가 자신의 주소를 패킷에 마킹 함으로써 자신의 위치를 표IP
시하는 방식을 사용하지만 패킷에는 경로상의 라우터의 정보 주소 만이 포함되기 때문에(IP )
추적 가능한 것은 경로상의 첫 번째 라우터까지다 따라서 공격 진원지의 위치를 추적하기.
위해서는 기존의 방법으로는 불가능하다 이에 본 연구에서는 라우터가 자신의 주소뿐만. IP
아니라 바로 앞 단 이전 라우터 또는 공격 진원지 의 주소까지도 패킷에 마킹 하도록( ) MAC
하는 것이다 그러나 주소를 마킹 함으로써 얻어지는 이익에 따르는 또 다른 문제점. MAC
이 생긴다 문제점은 비트의 주소와 비트의 주소를 같은 방식으로 전송할. 32 IP 48 MAC
수 없다는 것이다 주소의 경우 비트의 해쉬값을 만들어기존 주소에 덧붙여 비. IP 32 IP 64
트로 만들고 이를 조각으로 나누어 전송하는 방식을 사용하고 또 이의 역과정을 이용하, 8 ,
여 무결성 확인을 할 수 있었다 하지만 비트의 주소를 비트로 만들어 이를. 48 MAC 64 8
조각으로 나누어 전송하는 경우 각 라우터는 자신의 주소를 마킹 하는 과정과 앞 단의, IP
주소를 마킹 하는 과정의 두 과정을 처리해야 하며 이를 각각 구별하기 위하여 하나MAC ,
의 라우터가 개의 거리정보를 소비하게 되는 결과를 초래하게 된다 이 때문에 역추적 가2 .
능한 흡의 수가 기존 방식의 절반 수준인 개로 한정되게 되고 이것은 공격 진원지를 찾16 ,
아낸다는 당초의 목표에 있어서 상당한 문제점을 갖게 되는 것이다 따라서 주소를. MAC
마킹 하는 방식도 허용되면서 기존 방식에서 가능했던 역추격 범위도 줄어들지 않는 새로운
방식이 필요하게 되었다 기존의 마킹 알고리듬에서처럼 필드에 라우터의. identification IP
주소 정보와 주소 정보를 모두 실어서 보낼 수 있고 또한 피해 시스템에서는 이 두MAC ,
가지 정보에 대해서 무결성 확인까지 가능해야 하며 기존 방식에서 추적 가능했던 공격 경,
로의 홉 수 또한 그대로 유지하기 위하여 본 논문에서는 주소와 주소를 비트의IP MAC 56
조각조합으로 만들어 이를 조각 단위로 전송하는 방법을 제안한다 이때 비트로 구성함. 56
에 있어서 여기에 무결성 확인을 위한 방법을 추가해야 한다 이를 위해서 헤더의. IP
필드를 재구성해야 한다 제안하는 재구성 방식은 필드 비트identification . identification 16
를 비트의 변위 정보 필드 비트의 거리정보 필드 비트의 조각정보 필드로 구성하는3 , 6 , 7
것이다 이를 그림으로 나타내면 그림 과 같다. 3 .
그림 제안하는 헤더의 필드 구성그림 제안하는 헤더의 필드 구성그림 제안하는 헤더의 필드 구성그림 제안하는 헤더의 필드 구성3. IP identification3. IP identification3. IP identification3. IP identification
이제 위에서 제안한 헤더 필드의 조각정보 필드에 실어 보낼 조각과IP identification IP-
조각을 생성하는 방법과 그 무결성 확인 방법을 다음과 같이 제안한다MAC- .
조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법2) IP-2) IP-2) IP-2) IP-
기존의 마킹 알고리듬에서 비트 주소에 해쉬 비트를 덧붙여 비트의 조각조32 IP 32 64 IP-
합을 구성하던 방법과 달리 제안하는 방법에서는 비트의 조각조합을 구성한다 또한56 IP - .
비트에는 주소의 무결성을 확인 할 수 있는방법도 추가되어야 한다56 IP .
조각조합 생성 기법조각조합 생성 기법조각조합 생성 기법조각조합 생성 기법(1) IP-(1) IP-(1) IP-(1) IP-
비트의 조각조합은 비트 주소에 비트 해쉬값을 덧붙여 구성한다 그림 는56 IP- 32 IP 24 . 4
이 기법을 설명하기 위하여 사용한 예제이다.
그림 주소 예제그림 주소 예제그림 주소 예제그림 주소 예제4. IP4. IP4. IP4. IP
알고리듬 은 조각조합을 생성하는 과정을 나타내는 알고리듬으로서 그림 의 예제를< 1> IP- 4
사용하여 이 과정을 설명한다.
알고리듬 조각조합 생성 알고리듬< 1> IP-
입력 비트 주소: 32 IP
출력 비트 조각조합: 56 IP-
비트의 주소1) 32 IP (R 를 등분하여 네 부분으로 나누고 이들을 각각) 4 ,
A, B, C, D라 한다.
앞의 두개의 비트 뒤의 두개의 비트2) 8 (A, B), 8 ( C, D 를 각각) XOR( 하여 두개의 새)
로운 비트8 (E, F 를 만든 후 이 둘을 다시 하여 하나의 새로운 비트를 생성하고 이) , XOR 8
값을 G라 한다.
E=A B F=C D G=E F
새롭게 생성한 세 개의 비트를 결합하여 비트8 24 (H 을 생성한다) .
H=E+F+G
비트3) 32 R과 새로운 비트인24 H를 합하여 비트의56 R'을 생성한다. (R)에서 비트4 ,
H에서 비트를 앞에서부터 떼어내어 둘을 합쳐 비트를 만든다 이런 과정을 번 거쳐서3 7 . 8
비트56 R'을 생성하는 것이다 여기서 비트 을 생성하는 과정을 이라.) 56 R' BitInterleave1
정의한다 만들어진. R'을 개의 조각으로 나누어 확률에 따라서 패킷에 실어 보낸다8 .
주소 무결성 확인 기법주소 무결성 확인 기법주소 무결성 확인 기법주소 무결성 확인 기법(2) IP(2) IP(2) IP(2) IP
피해 시스템에서는 같은 거리정보 값을 가지는 개의 패킷에 대하여 재조합 과정을 거쳐서8
완전한 주소를 조합해낸다 이때 조합된 주소가 올바른 것인지 아니면 중간에 다른IP . IP ,
조각이 섞여 있는 잘못된 주소인지를 확인해야 한다 이와 같은 확인 과정인 알고리듬IP . <
는 앞에서 제안한 알고리듬 의 역과정이다2> < 1> .
알고리듬 주소의 무결성 확인 알고리듬< 2> IP
입력 비트 조각조합: 56 IP-
출력 비트 주소32 IP
비트의 조각조합1) 56 IP- (R' 의 배수 번째 비트를 하고 조합하여) 5, 6, 7 BitDeinterleave1
비트를 만들고 이를24 H라 한다.
이 비트를 등분하여 각각2) 24 3 E, F, G라하고 G=E F이면 과정 를 수행한다3) . G E≠
F이면 R'을 삭제하고 새로운 조각조합으로 과정 부터 다시 수행한다, 1) .
생성된 세 개의 비트 들을 결합하여 라 한다3) 8 H .
H=E+F+G
4) R'에서 H를 제외한 비트는 주소가 된다32 IP .
여기서 구해진 주소를IP R"이라 한다.
5) R"을 등분하여 앞의 두개의 비트4 8 (A, B 뒤의 두개의 비트), 8 (C, D 를 각각 하) XOR
여 두개의 새로운 비트, 8 (E',F' 를 만든 후 이 두개의 비트를 다시 하여 하나의 새) , 8 XOR
로운 비트를 생성하고 이값을 라 한다8 G' .
E'=A B F=C D G'=E F
새롭게 생성 세 개의 비트를 결합하여 비트6) 8 24 (H' 을 생성한다) .
H'=E'+F'+G'
H=H'이면 이 R'은 올바르게 전송되어 올바른 순서로 조합된 값임을 인정하고, H H≠ 면'
R'을 삭제하고 새로운 조각조합으로 과정 부터 수행 한다, 1) .
조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법조각조합의 생성과 무결성 확인 기법(3) MAC-(3) MAC-(3) MAC-(3) MAC-
공격 경로상의 각 라우터가 패킷에 자신의 주소를 마킹 하는 것처럼 앞 단의 주소IP MAC
까지도 마킹 하도록 하게 되면 피해 시스템에서 패킷에 전달되어온 주소의 무결성을 확, IP
인 하듯이 전달되어온 주소의 무결성도 확인할 필요가 있게 된다 또한 중간 라우터MAC .
가 앞 단의 주소를 마킹 하도록 함으로써 각 라우터는 실제적으로 거리정보를 두개씩MAC
소비하게 된다 자신의 주소 거리정보 앞 단의 주소 거리정보 이것은 기( IP - 0, MAC - 1).
존 방식의 추적 가능 홉수를 반으로 줄어들게 만드는 새로운 문제점을 야기하게 된다.
이를 보완하기 위하여 본 논문에서는 필드의 구성을 조정하여 거리정보 필드identification
를 비트로 하고 조각정보 필드를 비트로 구성함으로써 기존 마킹 알고리듬과 같은 수6 , 7
준의 추적 가능 홉 수를 유지 할 수 있게 하였다 또한 조각정보 필드가 비트 줄어들게. 1
되는 문제점은 기존 비트 조각조합을 비트로 조정하고 이를 이용하여 무결성 확인을, 64 56
가능하게 하는 방법을 제안함으로써 해결하였다.
조각조합 생성 기법1) MAC-
그림 는 이 기법을 설명하기 위하여 사용한 예제이다5 .
그림 주소 예제그림 주소 예제그림 주소 예제그림 주소 예제5. MAC5. MAC5. MAC5. MAC
알고리듬 은 조각조합을 생성하는 과정을 나타내는 알고리듬으로서 그림 의 예< 3> MAC- 5
제를 사용하여 이 과정을 설명한다.
알고리듬 조각조합 생성 알고리듬< 3> MAC-
입력 비트 주소: 48 MAC
출력 비트 조각조합: 56 MAC-
비트의 주소 를 등분하여 여섯 부분으로 나누고 이들을 각각1) 48 MAC (M) 6 A,B,C,D,E,F
라 한다.
각 비트를 하여 새로운 비트를 생성하고 이 값을2) 8 XOR 8 G라 한다.
G=A B C D E F
새로운 비트인3) 8 G의 각 비트를 주소의 배수 번째 자리에 하여MAC 7 BitInterleave 56
비트의 M'을 생성한다 여기서. M'을 생성하는 과정을 라고 정의한다 만들어BitInterleave2 .
진 M'을 개의 조각으로 나누어 확률에 따라서 패킷에 실어 보낸다8 .
주소 무결성 확인 기법주소 무결성 확인 기법주소 무결성 확인 기법주소 무결성 확인 기법(2) MAC(2) MAC(2) MAC(2) MAC
피해 시스템에서는 같은 거리정보 값을 가지는 개의 패킷에 대하여 재조합 과정을 거쳐서8
완전한 주소를 조합해낸다 이때 조합된 주소가 올바른 것인지 아니면 중간에MAC . MAC ,
다른 조각이 섞여 있는 잘못된 주소인지를 확인해야 한다 이와 같은 과정인 알고리MAC . <
듬 는 앞에서 제안한 알고리듬 의 역과정이다4> < 3> .
알고리듬 주소의 무결성 확인 알고리듬< 4> MAC
입력 비트 조각조합: 56 MAC-
출력 비트 주소: 48 MAC
조합한 비트의1) 56 M‘에서 배수 번째 자리의 비트를 하고 조합하여7 BitDeinterleave2 8
비트를 만들고 이를 G라 한다.
에서 하여 뽑아낸 비트들을 제외한 비트 주소2) 1) BitDeinterleave2 48 (MAC , M“ 을 등분) 6
하여 각각을 A, E, C, D, E, F 라 한다.
3) A B C D E F 의 결과값과 G를 비교한다.
4) A B C D E F=G 이면 M‘은 올바르게 전달되어 올바른 순서로 조합된 값임을 인
정한다. A B C D E F G≠ 이면 M’은 올바른 값이 아니므로 삭제한다.
