온라인 서비스

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

정의 및 설명[편집]

사용자는 로컬의 단말 기기로 서비스를 이용할 수 있고, 실제 데이터는 원격지의 서버에 저장되는 형태의 서비스가 점차 많아지고 있다. 예를 들어, 클라우드 스토리지 서비스[1], 클라우드 가상화 서비스[2], 소셜 네트워크 서비스[3], 메신저 서비스[4] 등이 있다.

원격지 사이버 공간

이러한 서비스들은 사용자의 하드디스크가 아닌 원격지 사이버 공간에 실제 데이터를 저장한다. 원격지 사이버 공간에 데이터를 저장하는 서비스가 범죄에 이용되었을 경우에 원격지 공간을 조사함으로써 정확한 증거 데이터를 얻을 수 있다. 원격지 공간을 조사하기 위해 영장을 발부받아야 한다. 영장을 발부받기 위해서는 사용자가 해당 원격지 사이버 공간을 이용했었다는 근거가 있어야 한다.

원격지 사이버 공간에 접근했었던 흔적은 사용자가 원격지 사이버 공간에 접근하기 위해 사용했던 단말기기에 남아있다. 흔적을 조사할 때, 사용자가 원격지 공간에 접근하기 위해 사용했던 모든 단말기기를 대상으로 조사하면 보다 정확하게 타임라인 분석을 할 수 있다.[5] 특히 스마트폰은 원격지 사이버 공간에 접근하기 위한 계정정보를 저장하고 있는 경우가 있다. 따라서 스마트폰에 존재하는 원격지 사이버 공간 사용 흔적을 탐지해야 한다.

온라인 서비스의 종류 및 특징[편집]

정의 및 설명에서 언급한 바와 같이 온라인 서비스에는 클라우드 스토리지, 클라우드 가상화, 이메일, 메신저, SNS, 온라인 게임 등 다양한 종류가 있다. 각 종류별 특징은 아래 표와 같다.

온라인 서비스 종류 및 특징
종 류 특 징 대표 서비스
클라우드 스토리지 셀 내용 N드라이브, 구글 드라이브, 다음 클라우드 등
이메일 셀 내용 @Naver.com, @Daum.net, @hanmail.net, @gmail.com, @hotmail.com 등
메신저 셀 내용 NateOn, Kakao Talk, Line, QQ, Whats app 등
SNS 셀 내용 FaceBook, Twitter, me2day, Kakao Story 등
온라인 게임 셀 내용 Lineage, 바람의 나라, World of Warcraft 등

온라인 데이터 수집[편집]

온라인 서비스에 대한 데이터 수집은 유선 네트워크상에서의 데어터 수집과 무선 네트워크상의 데이터 수집으로 구분 할 수 있다. 대표적인 유선 네트워크 데이터 획득 방법에는 크게 3가지 방법이 있다. Wired LAN 카드를 promiscuous mode로 설정하는 방법, 포트 미러링 그리고 네트워크 탭이다.

Wired LAN 카드를 promiscuous mode로 설정하여 네트워크 데이터를 획득할 수 있다. [6] 포트 미러링 (port mirroring)은 각 포트에 전송되는 데이터를 미러링하고 있는 포트에도 똑같이 보내줌으로써 네트워크 트래픽을 모니터링할 수 있는 방법이다. 네트워크 탭(network tap)은 데이터 전송에 전혀 영향을 주지 않으면서 트래픽을 모니터링 할 수 있게 해주는 네트워크 모니터링 장비이다. [7] 대표적인 수집방법으로는 아래 표와 같다.


유선 네트워크상에서의 데이터 수집 방법
수집 방법 내 용
Promiscuous mode 모든 패킷을 네트워크 어댑터 드라이버, 프로토콜 스택으로 지나가도록 하는 네트워크 카드의 설정이다. 이 모드는 유선 또는 무선 네트워크 어댑터와 드라이버에 의해 지원된다. 또한 이 모드는 네트워크 트래픽을 모니터링 또는 획득하기 위해서 네트워크 분석기, 프로토콜 분석기, 패킷 스니퍼에 의해 사용된다.
포트 미러링 (port mirroring) 각 포트에 전송되는 데이터를 미러링하고 있는 포트에도 똑같이 보내줌으로써 네트워크 트래픽을 모니터링할 수 있는 방법이다. 스위치와 같은 네트워크 장비를 이용하여 패킷을 미러 포트에 복사해준다. 아래 그림과 같이 양방향에서 전송되는 트래픽을 모두 미러링 포트로 복사한다.
포트 미러링(port mirroring)
양방향에서 전송되는 트래픽이 네트워크 속도를 초과하면, 패킷 손실이 발생한다. 이를 해결하기 위해 여러 개의 스위치를 이용하여 패킷을 복사할 수 있다. [8]
네트워크 탭 (network tap) 데이터 전송에 전혀 영향을 주지 않으면서 트래픽을 모니터링 할 수 있게 해주는 네트워크 모니터링 장비이다. 네트워크 탭은 지연(latency)이나 리타이밍(retiming)이 없고, 패킷 손실 없이 모든 패킷을 전달할 수 있다는 장점이 있다.


네트워크 탭(network tap)

또한 네트워크 통신에 전혀 영향을 주지 않고, 한번 설치하면 언제든지 네트워크 장애 없이 사용할 수 있다. 네트워크 탭은 한 개의 탭은 방향 당 한 개의 탭 포트를 가지기 때문에 양방향의 트래픽을 획득하기 위해서는 2개의 NIC가 필요하다.


무선 네트워크 프로토콜은 Wifi, Bluetooth, IrDA, RFID, NFC 등이 있다. 다양한 무선 네트워크 프로토콜에서 데이터를 수집하기 위해서 무선랜 인터페이스에서 monitor mode(promiscuous mode)를 설정하여 무선 네트워크 데이터를 획득할 수 있다. 또한 AirPcap USB 디바이스를 무선 장치에 연결하고, Wireshark로 무선 데이터를 수집할 수 있다.

사용할 무선랜 인터페이스를 “airmon-ng” 명령어를 이용하여 monitor mode(promiscuous mode)로 설정하면 공중의 모든 패킷을 수집할 수 있다.[9] AirPcap USB 디바이스를 무선 장치에 연결하고, Wireshark의 “Capture”의 Interfaces에서 AirPcap USB 디바이스를 선택한 후, ‘Wireless settings’에서 채널을 선택한다.[10]

기술 현황[편집]

현재 원격지 사이버 공간 사용 흔적 탐지와 관련한 연구는 클라우드 IaaS, 클라우드 스토리지 서비스, 클라우드 SaaS 그리고 소셜 네트워크 서비스를 중심으로 이루어지고 있다.

정일훈은 클라우드 컴퓨팅 서비스를 조사하기 위한 절차와 IaaS 관련 데이터를 수집 및 분석하는 방안을 제시하였다. 이 논문에 따르면, 클라우드 컴퓨팅 서비스를 조사하기 위해서는 기존의 디지털 포렌식 절차에 따라 데이터를 수집한 후, IaaS와 관련한 클라우드 시그니처가 존재한다면 해당 IaaS에 대한 정밀 분석이 필요하다고 설명한다. 또한 정밀 분석을 위해서는 계정 정보를 수집하여 가상의 컴퓨터에 접근한 후, 가상의 컴퓨터 내에 존재하는 데이터를 수집 및 분석해야 한다고 설명한다.[11]

Josiah Dykstra는 Amazon EC2와 같이 가상머신을 제공하는 IaaS 내의 데이터를 수집하는 방법을 제시하고, 기존의 도구를 이용하여 데이터를 수집할 수 있다는 것을 확인하였다. Josiah Dykstra는 가상머신에 접근할 수 있는 경우에, 가상머신 내에 존재하는 데이터를 EnCase나 FTK 등 과 같은 도구를 이용하여 수집할 수 있다는 것을 실험을 통해 확인하였다. 또한 데이터를 수집할 때 각 도구들의 성능을 평가하였다.[12]

Hyunji Chung은 IaaS의 한 형태인 클라우드 스토리지 서비스를 대상으로 디지털 포렌식 조사 절차를 제안하였다. 이 논문에 따르면, 클라우드 스토리지 서비스는 다양한 단말기기로 접근할 수 있기 때문에 해당 서비스에 접근하기 위해 사용했던 모든 단말기기로부터 데이터를 수집하고, 이를 함께 분석해야 한다고 주장한다. 특히 스마트폰에는 클라우드 스토리지 서비스의 계정 정보가 남는 경우가 있기 때문에 PC와 더불어 스마트폰을 반드시 조사해야 한다고 설명한다.[13]

강성림은 SaaS 중 많이 사용되는 서비스를 사용했을 때 PC에 남는 흔적을 정리하고 분석 방안을 제시하였다. 논문에 따르면, SaaS는 웹 브라우저를 통해 접근할 수 있기 때문에 SaaS를 사용한 흔적을 찾기 위해서는 웹 브라우저 로그파일을 분석해야 한다고 설명한다. 또한 웹 브라우저가 열려있는 상태에서는 로그인한 사용자의 계정 정보와 작업 중인 상태가 물리메모리에 존재하기 때문에 활성시스템에서 데이터를 획득하는 경우 물리메모리를 분석을 통해 SaaS의 사용 흔적을 찾을 수 있다고 설명한다.[14]

Noora Al Mutawa은 사용자가 주로 소셜 네트워크 서비스에 접근하기 위해서 스마트폰을 사용한다는 점에 착안하여, 유명한 소셜 네트워크 서비스인 FaceBook, Twitter 그리고 Myspace를 사용하였을 때 스마트폰에 남는 흔적을 분석하였다. 스마트폰은 BlackBerrys, iPhone, Android 스마트폰을 대상으로 하였다.[15]

관련 도구[편집]

원격지의 저장소를 이용하는 서비스에는 클라우드 서비스, 소셜 네트워크 서비스 등이 있다. 그 중 클라우드 서비스를 사용하였을 때 PC와 iPhone, Android 스마트폰으로부터 흔적을 수집하고 분석하는 도구가 있다.[16] 또한 Belkasoft사에서 만든 Belkasoft Evidence Center는 소셜 네트워크 서비스와 관련한 데이터를 수집 및 분석해준다.[17]


향후 연구[편집]

원격지의 사이버 공간에 데이터를 저장하는 서비스 중에 어플리케이션 형태로 제공되는 경우에는 주기적으로 업데이트 된다. 해당 어플리케이션이 업데이트되면, 그에 따라 단말기기에 남는 흔적의 형태가 달라진다. 업데이트될 때마다, 바뀌는 흔적들을 수동으로 찾아낼 수 있지만, 이를 자동화한다면 편리할 것이다. 버전 업데이트에 따른 흔적 변화를 자동적으로 업데이트할 수 있는 방법에 대한 연구가 필요하다.


참고문헌[편집]

  1. http://www.cloudvertex.com/blog/tag/cloud-services/
  2. http://www.nappliance.com/windowsserver2012
  3. http://en.wikipedia.org/wiki/Social_networking_service
  4. http://en.wikipedia.org/wiki/Windows_Messenger_service
  5. http://www.sciencedirect.com/science/article/pii/S1742287612000400
  6. http://www.wisegeek.com/what-is-promiscuous-mode.htm
  7. http://www.ntop.org/pf_ring/port-mirror-vs-network-tap/
  8. http://www.ntop.org/pf_ring/port-mirror-vs-network-tap/
  9. http://securityobscurity.wordpress.com/2013/01/24/airmon-airodump-working-up-to-aircrack
  10. http://revolutionwifi.blogspot.kr/2013/01/wi-fi-roaming-analysis-with-wireshark.html
  11. http://www.dbpia.co.kr/Journal/ArticleDetail/1594731
  12. http://www.sciencedirect.com/science/article/pii/S1742287612000266
  13. http://www.sciencedirect.com/science/article/pii/S1742287612000400
  14. https://kiss.kstudy.com/search/contents_index.asp?i_key=6065&p_key=27555&v_key=19&n_key=1
  15. http://www.dfrws.org/2012/proceedings/DFRWS2012-3.pdf
  16. 클라우드 시그니처 수집 및 분석 도구, 고려대학교 디지털포렌식연구센터 개발.
  17. http://forensic.belkasoft.com/en/home/en/purchase.asp
원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=온라인_서비스&oldid=5016"