정보보안기사 기출 핵심 [65] 디지털 포렌식 심화와 안티포렌식 대응 완전 정복

디지털 포렌식이란?

디지털 포렌식은 법적 효력이 있는 디지털 증거를 수집·보존·분석하는 과학적 절차입니다. 정보보안기사에서는 포렌식 원칙, 증거 처리 절차, 그리고 안티포렌식 기법과 대응 방법을 출제합니다.

디지털 포렌식 원칙

핵심 원칙

• 정당성(Legitimacy): 적법한 절차와 방법으로 증거 수집. 위법 수집 증거는 증거 능력 없음
• 재현성(Reproducibility): 동일 환경에서 동일 결과 재현 가능. 도구와 절차의 신뢰성
• 무결성(Integrity): 증거 수집 후 변조 없음 보장. 해시값으로 검증
• 연계성(Chain of Custody): 증거 취급자·시간·장소 연속 기록. 법정 증거 능력의 핵심

포렌식 절차

• 식별(Identification): 증거 가치 있는 데이터 식별. 디지털 기기·매체 목록화
• 수집(Collection): 원본 변조 방지. 쓰기 방지 장치(Write Blocker) 사용. 이미징 도구: dd·FTK Imager·dcfldd
• 보존(Preservation): 원본과 사본의 해시값 일치 확인. MD5·SHA-256 사용
• 분석(Examination/Analysis): 파일시스템·레지스트리·로그·메모리 분석
• 보고(Reporting): 분석 결과를 법적 요건에 맞게 문서화

파일 시스템 포렌식

삭제 파일 복구

• FAT/NTFS 삭제: 실제 데이터는 그대로. 디렉터리 엔트리나 MFT 항목만 비활성화
• 파일 카빙(File Carving): 파일시스템 정보 없이 파일 시그니처(매직 바이트)로 복구. Foremost·Scalpel
• MFT(Master File Table): NTFS의 핵심. 모든 파일 메타데이터 저장. $MFT 파일
• Slack Space: 클러스터 마지막 섹터의 미사용 공간. 과거 데이터 잔존 가능

타임라인 분석

• MACB 타임스탬프: Modified·Accessed·Changed(MFT)·Birth(생성). Windows는 4가지, Unix는 3가지
• 타임스탬프 조작: timestomp로 변조 가능. $STANDARD_INFORMATION vs $FILE_NAME 불일치로 탐지
• Plaso/log2timeline: 다양한 아티팩트 통합 타임라인 생성 도구

메모리 포렌식

• Volatility Framework: 메모리 덤프 분석 표준 도구. pslist·pstree·netscan·malfind 플러그인
• 프로세스 분석: 숨겨진 프로세스(DKOM 루트킷), 주입된 코드(Process Hollowing) 탐지
• 네트워크 연결: 메모리에서 소켓·연결 정보 추출. 악성코드 C2 서버 확인
• Cold Boot 공격: DRAM 전원 차단 후에도 수초~수분간 데이터 잔존. 냉각으로 연장 가능

안티포렌식 기법과 대응

안티포렌식 기법

• 데이터 와이핑: DoD 5220.22-M(7패스), Gutmann(35패스) 방식으로 완전 삭제. SSD는 TRIM으로 즉시 소거
• 스테가노그래피: 이미지·오디오·문서에 데이터 은닉. LSB 삽입 기법
• 타임스탬프 조작: timestomp·touch로 MACB 타임스탬프 변조
• 암호화: VeraCrypt로 볼륨 암호화. 플럭시블 부트 시 그럴듯한 볼륨 마운트(Plausible Deniability)
• 루트킷: DKOM으로 프로세스·파일·네트워크 연결 숨김

안티포렌식 대응

• 해시 검증: $STANDARD_INFORMATION과 $FILE_NAME의 타임스탬프 불일치 탐지
• 파일 카빙: 파일시스템 우회해 원시 데이터에서 복구
• 메모리 분석: 디스크 삭제 후에도 메모리에 아티팩트 잔존
• 볼륨 쉐도우 복사본: Windows VSS로 이전 버전 복구 가능

시험 핵심 포인트

• 체인 오브 커스터디: 증거 취급 연속 기록. 법정 증거 능력의 핵심 요건
• 쓰기 방지 장치: 원본 증거 변조 방지. 반드시 사용해야 법적 효력 유지
• MACB 불일치: $STANDARD_INFORMATION과 $FILE_NAME 타임스탬프 차이로 타임스탬프 조작 탐지
• Volatility malfind: 실행 권한 있는 비정상 메모리 영역 탐지 플러그인

마무리

디지털 포렌식은 기술적 능력과 법적 절차의 결합입니다. 수집·보존·분석·보고의 각 단계를 적법하게 수행해야 법정에서 증거로 인정받을 수 있습니다.