Triage 도구
Triage 도구란, 수사관이 현장에서 짧은 시간 안에 용의자의 컴퓨터를 자동으로 스캔하여 사전에 정의한 목록에 따라 증거를 선별하여 안전하게 수집할 수 있도록 해주는 포괄적인 포렌식 도구이다.
- Triage-Examiner
- AD Triage
- Encase Portable
- FieldSearch-Win/MAC
- CFT
- IEF-TRIAGE
- Mac Marshal : Forensic Edition
- Mac Marshal : Field Edition
Triage 도구 기능 분석[편집]
도구 분석 전략[편집]
Triage 도구는 현장에서 USB 장치에서 독립적으로 실행하여 자동으로 대상 컴퓨터의 증거를 수집하고 수집된 자료를 분석하여 보고서를 생성하는 도구이다. 현재 개발되어 사용 중인 여러 상용 Triage 도구는 기본적으로 시스템 정보 분석, 인터넷 사용내역 및 문서ㆍ이미지ㆍ비디오 등 파일 수집, 키워드 서치, 보고서 추출 등의 기능을 공통적으로 포함하고 있으며, 각 제품별로 기능에 약간의 차이를 두고 특성화되어 있다.
따라서 선별된 상용 Triage 도구의 정확한 비교ㆍ분석을 위해 기본적인 기능과 메모리 덤프, 해시 검색, 이메일ㆍ메신저 이용정보 수집 등 유용하게 활용 가능한 데이터 수집 기능을 가지고 있는지 테스트 데이터 세트를 구축하여 도구 기능 분석을 수행하였다.
도구 성능 테스트 전략[편집]
각 Triage 도구에 대한 테스트는 Windows 7 Ultimate 운영 체제하에서 이루어졌고, 결과를 간단히 정리하면 아래의 [표 1]와 같다.
| 구분 | 세부내용 | 도구 | ||||
|---|---|---|---|---|---|---|
| Triage-Examiner | AD Triage | EnCase Portable | Field Search | CFT | ||
| 수집 | 네트워크 정보 | O | O | O | O | O |
| Internet History | O | O | O | O | O | |
| 파일 | O | O | O | O | O | |
| 메모리 덤프 | O | O | O | X | O | |
| 레지스트리 정보 | O | O | O | O | O | |
| 시스템 정보 | O | O | O | O | O | |
| 사용자 정보 | O | O | O | O | O | |
| 메신저 이용 정보 | O | X | O | X | X | |
| 최근 실행 목록 | O | O | O | O | O | |
| 이미징 | O | O | O | X | O | |
| 스크린샷 | O | O | O | X | O | |
| 설치된 응용 프로그램 목록 | O | O | O | O | O | |
| USB 장치 연결 기록 | O | O | O | O | O | |
| 분석 | 보고서 출력 | O | O | O | O | O |
| 키워드 검색 | O | O | O | O | O | |
| 정규표현식 검색 | O | O | O | X | O | |
| 파일 검색 | O | O | O | O | O | |
| 해시 검색 | O | O | O | X | O | |
| 이미지 검색 | O | O | O | O | O | |
| Browser 시스템 지원 | O | O | O | O | O | |
| 기 타 | 사용 편리성 | 3 | 3 | 4 | 5 | 5 |
Triage 도구 성능에 대한 테스트는 수집, 분석, 사용 편리성의 세 가지 측면을 기준으로 이루어졌다.
수집 기능을 분석한 결과 대상 컴퓨터의 네트워크ㆍ레지스트리ㆍ시스템ㆍ사용자 정보, Internt History, 파일, 최근 실행 목록, 설치된 응용프로그램 목록, USB 장치 연결 기록 등 기본적인 수집 기능은 다섯 도구 모두 가능한 것으로 확인되었다. 다만, AD Triage와 CFT는 메신저 이용 정보, FieldSearch는 메모리 덤프, 이미징, 스크린샷, 메신저 이용 정보의 수집이 불가능한 것으로 확인되었다.
보고서 출력, 키워드ㆍ정규표현식ㆍ파일ㆍ해시ㆍ이미지 검색ㆍBrowser 시스템 지원 등 분석 기능의 경우에는 Triage-Examiner, AD Triage, EnCase Portable, CFT는 테스트 항목을 모두 지원하여 성능적인 측면에서 큰 차이가 없으나 FieldSearch의 경우 정규표현식과 해시 검색 기능이 불가능한 것으로 확인되었다.
마지막으로 Triage 도구에 대한 전문성이 없는 사용자를 기준으로 각 도구의 메뉴 구성, 수집 항목 설정, 결과 분석 측면에서의 사용 편리성을 평가하였다. Triage-Examiner와 AD Triage는 다양한 수집 기능을 가지고 있으나 관리자 컴퓨터에서 별도의 Triage Key를 생성하여 대상 컴퓨터에 연결해야 하고, Key 생성시 수집 항목을 설정해야 하며, 수집 항목 설정이 복잡하였다. 또한, 수집된 결과를 관리자 컴퓨터에 연결해야 보고서를 출력할 수 있는 점은 타 도구에 비해 불편하였다. EnCase Portable은 해당 동글(권한 키)을 대상 컴퓨터에 직접 연결하고 수집 항목 설정 방법도 앞의 도구에 비해 간편하나 수집된 결과 확인 및 보고서 출력 등이 복잡하여 원하는 항목을 찾는데 어려움이 있었다. FieldSearch는 동글을 대상 컴퓨터에 직접 연결하여 사용하고, 메뉴 구성이 매우 간단하여 누구나 쉽게 사용할 수 있지만 메모리 덤프, 이미징(선별 수집만 가능), 스크린샷 등의 증거 수집에 필수적인 기능을 지원하지 않는 등 상용 도구에 비해 기능이 떨어지는 제한점이 있다. CFT는 별도의 Key를 생성하지 않고 동글을 직접 연결하여 사용하고, 다른 도구에 비해 메뉴 구성이 간단하며, 수집 항목 설정부터 결과 확인, 보고서 출력에 이르는 절차가 이해하기 쉽게 구성되어 있어 사용이 편리하였다.
테스트 결과를 종합해 보면, Triage-Examiner, AD Triage, EnCase Portable 세 가지 상용 도구는 보유한 기능 측면에서는 큰 차이는 없고, 별도의 Key를 생성해야 하는 번거로움이 없고, 현장에서 수집 항목을 설정할 수 있으며, 메뉴 구성 및 수집 항목 설정이 간편하고 결과 확인이 용이한 EnCase Portable이 가장 유용할 것으로 판단된다. FieldSearch는 사용은 매우 간편하나 기능이 제한적이고 이미지ㆍ비디오 파일 수집에 최적화되어 아동음란물 검색 등에 효과적일 것으로 판단된다. 우리나라 대검찰청에서 개발, 사용중인 CFT는 국내 압수수색 현장에서 필요한 항목 등을 반영하여 수집 항목이 목록화되어 있고, 상용 도구와 대등한 기능을 보유하고 있으며, 메뉴 구성 및 수집 항목 설정이 상용 도구에 비해 간편하여 다섯 가지 Triage 도구 중 현장에서 가장 유용하게 사용될 것으로 판단된다.
