클라우드 (가상 데스크톱 환경) 데이터 획득

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

정의 및 설명[편집]

가상화 환경에서 사용자의 가상머신에 사용되는 가상 하드디스크는 파일 형태로 할당 및 관리된다. 이 파일은 할당된 가상 하드디스크의 용량과 동일하며, 데스크톱의 물리 하드디스크와 마찬가지로 OS를 포함한 사용자의 모든 데이터가 저장된다. 따라서 가상화 환경에서는 이 파일을 획득하는 것이 곧 물리 하드디스크를 이미징하는 것과 동일하다 할 수 있다. 만약, 조사관이 활성 상태의 가상머신에 접속할 수 있다면, 가상 하드디스크 내 데이터를 선별 수집하거나 데이터 전체를 덤프할 수도 있다. 하지만 그렇지 않은 경우에는 가상 하드디스크가 저장된 곳에 직접 접속하거나 여러 가지 도구들을 활용하여 가상 하드디스크 파일을 획득할 수 있다.

기술 현황[편집]

하이퍼바이저 Type 1
하이퍼바이저 Type 2

가상화 환경은 하이퍼바이저 타입에 따라 구성방식 및 운영개념에 차이가 있으며, 이에 따라 가상 하드디스크 파일이 저장되는 장소에도 차이가 있다. 다수의 사용자에게 서비스하기 위해 하이퍼바이저 Type 1[1]을 이용하여 구성된 가상 데스크톱 환경(VMware ESX/ESXi Server, Citrix XenServer, Microsoft Hyper-V 등)에서 가상 하드디스크 파일은 일반적으로 하이퍼바이저와 네트워크로 연결된 대용량의 공유 스토리지(데이터스토어)에 저장된다. 그리고 개인 사용자가 하이퍼바이저[2]를 이용하여 로컬 컴퓨터에 구성한 가상화 환경(VMware Workstation, VMware Player, Dropbox 등)에서 가상 하드디스크 파일은 일반적으로 로컬 컴퓨터의 물리 하드디스크에 저장된다. 개인 사용자의 로컬 컴퓨터에 저장된 가상 하드디스크 파일은 라이브 포렌식을 통한 선별 수집 또는 물리 하드디스크를 이미징하여 추출하는 방법으로 획득할 수 있다. 대용량 공유 스토리의 경우에는 이미징 하는데 장시간이 소요될 뿐만 아니라, 스토리지가 여러 대로 구성되어 있을 경우 특정 가상 하드디스크 파일이 저장된 스토리지를 찾기 어렵다. 또한 가상 하드디스크 파일이 분산되어 저장된 경우에는 이를 획득하는 것이 더욱 어렵다. 따라서 이러한 대용량 공유 스토리지에 저장된 가상 하드디스크 파일을 획득하고자 할 때에는 가상화 환경을 구성한 각 솔루션별 관리도구, Shell 접속 도구, 3rd Party 백업 도구 등을 활용하여야 한다. 하이퍼바이저 Type 1을 이용하여 가상화 환경을 구성하는 각 솔루션들은 하이퍼바이저 호스트를 관리하는 도구를 제공하고 있다. 조사관은 이 관리 도구를 이용하여 대용량 공유 스토리지에 직접 접근하여 원격지로 가상 하드디스크 파일을 다운로드하거나, 가상머신 내보내기(Export) 또는 복제(Duplicate) 기능을 이용하여 원본 가상머신과 동일한 가상 하드디스크를 가지는 가상머신을 생성할 수 있다. 단, 가상머신 내보내기 기능 사용시 일부 관리 도구에서는 압축된 형식의 파일(ovf, ova, xva 등)로 내보내기 때문에, 관리도구의 복구(Restore) 기능을 이용하여 원본과 동일한 가상머신을 생성하여야 한다. 조사관은 이렇게 생성된 원본과 동일한 가상머신을 이용하여 원본의 무결성을 훼손하지 않고 디지털 포렌식 조사를 수행할 수 있다.

가상머신 구성파일 다운로드의 예 (VMware vCenter Server)
가상머신 내보내기의 예 (Microsoft Hyper-V)
가상머신 복제의 예 (Microsoft Hyper-V)

또한 각 솔루션별 전용 Shell 접속 도구를 이용하여 하이퍼바이저에 접속 후, 해당 명령어를 이용하여 관리도구와 동일하게 원격지로 가상 하드디스크 파일을 다운로드하거나, 가상머신을 내보내기(Export) 또는 복제할 수 있다. 그리고 각 솔루션 제조사의 API를 이용한 3rd Party 백업 도구(PHD Virtual Backup, Veeam Backup & Replication, Altaro Hyper-V Backup, Trilead VM Explorer 등)를 이용하여 이와 동일하게 가상 하드디스크 파일을 획득하거나 원본과 동일한 가상머신을 생성할 수 있다.

Shell 접속을 통한 가상머신 내보내기의 예 (Citrix XenCenter)
3rd Party 백업 도구를 이용한 가상머신 내보내기 (Altaro)

조사관이 가상화 환경에 대한 디지털 포렌식 조사시 앞에서 언급한 세 가지 방법을 활용하기 위해서는 각 솔루션별 관리자 권한 획득이 필요하다. 만약, 관리자 권한이 없으면 관리도구 및 하이퍼바이저 접속이 제한되기 때문에 반드시 해당 시스템의 관리자 권한을 먼저 획득하여야 한다. 또한 각 솔루션별 제공되는 관리도구, Shell 접속 도구, 3rd Party 백업 도구의 기능에는 조금씩 차이가 있으며, 가상머신의 구동 상태(Run, Suspended, Power Off)에 따라 해당 기능의 사용 가능 여부가 다르기도 하다. 따라서 조사관은 이에 대한 사전 지식을 가지고 가상화 환경을 구성하는 솔루션에 적합한 방법을 선택하여 데이터를 수집하여야 한다.

향후 연구[편집]

클라우드 환경의 보급이 증가하면서 이에 대응하기 위한 데이터 획득 기법의 수요가 증가할 것으로 예상된다. 특히 클라우드 솔루션은 조직에 적용할 때 커스터마이징(customizing) 될 가능성이 있기 때문에 다양한 클라우드 환경에 대응하기 위한 지속적인 연구가 요구된다.

참고문헌[편집]

  1. 운영체제가 프로그램을 제어하듯이 하이퍼바이저가 H/W 위에서 직접 실행되며, Virtual Machine에 설치되는 운영체제(Guest OS)는 여기 위에서 2번째 수준으로 실행됨.
  2. Type 2 일반 프로그램과 같이 H/W에 설치된 호스트 운영체제 위에서 실행되며, Virtual Machine에 설치되는 운영체제(Guest OS)는 H/W로부터 3번째 수준으로 실행됨.
원본 주소 "http://forensic.korea.ac.kr/DFWIKI/index.php?title=클라우드_(가상_데스크톱_환경)_데이터_획득&oldid=4763"