통합 디지털 포렌식 도구
통합 디지털 포렌식 도구란 디지털 증거 수집, 분석, 리포팅 등 디지털 포렌식 수사 과정에서 필요한 기능을 통합하여 하나의 도구에서 구현한 것이다. 다양한 기능을 제공하므로 분석 수행 시간을 줄여준다는 장점이 있다. 또한, 다수의 아티팩트 분석 결과를 보고서로 출력하는 기능이 있어 통일된 형태의 결과를 얻을 수 있다. 그러나 프로그램을 원활하게 사용하려면 고사양의 분석용 PC가 필요하다는 단점이 있다. 또한, 도구에서 지원하는 기능이 방대하여 사용법을 익히기가 어렵다. 몇몇 도구 제작사는 자체적인 자격증 제도를 운영할 정도로 사용에 난이도가 있어 전문 교육을 받지 않은 일선 수사관이 사용하기 까다롭다. 대부분이 상용 도구이며 상대적으로 구매비용도 높은 것도 특징이다. 따라서, 수사기관에서 통합 디지털 포렌식 도구를 도입하기에 앞서 각 도구의 특징, 활용방안, 제한사항 그리고 도구 사용의 난이도에 대한 충분한 검토가 선행되어야 한다.
- EnCase
- FTK (Forensic Tool Kit)
- Forensic Explorer
- X-Ways Forensics
- BlackLight
- Autopsy
- Mac Marshal Forensic Edition
통합 디지털 포렌식 도구 기능 분석
통합 포렌식 도구란 분석 도구, 리포팅 도구 등의 기능을 통합하여 하나의 도구에서 구현한 것을 말한다. 따라서 테스트 데이터 세트 구축 전략 수립에서 프로그램 인터페이스 상의 기능과 해석 및 검색기능을 수행하는 통합분석으로 분류하고 도구마다 성능 차이가 존재할 수 있는 스마트 디바이스 분석 및 카빙을 수행하는 상세 분석으로 분류한다. 기초 분석의 경우 어떤 매체를 지원하는지, 어떤 아티팩트를 수집하는지를 기준으로 분류하여 도구에서 지원 여부를 평가한다. 상세 분석은 기초 분석 기능에서 추가적으로 분석하거나 기초 분석의 결과를 바탕으로 분석하는 기능으로 분류하여 도구에서 지원 여부를 평가한다. [표 2-1-11]은 각각의 도구에서 기능별 분석을 평가한 표이다. 완전히 지원하는 경우 ’O’로 표기하고 지원하지 않는 경우 ’X’, 사용자가 임의로 정의하거나 외부에서 정의된 파일 사용 시 사용가능한 경우 ’△’ 표기하여 평가한다.
| 구분 | 비교 항목 | Encase | FTK | Forensic Explorer | X-Ways Forensics | BlackLight | |
|---|---|---|---|---|---|---|---|
| 기초분석 | 지원 OS | Windows | O | O | O | O | O |
| Unix/Linux | X | X | X | X | X | ||
| Mac OSX | X | X | X | X | O | ||
| 파일시스템 지원정보 | FAT16 | O | O | O | O | O | |
| FAT32 | O | O | O | O | O | ||
| exFAT | O | O | O | O | X | ||
| NTFS | O | O | O | O | X | ||
| Ext 2 | O | O | O | O | X | ||
| Ext 3 | O | O | O | O | X | ||
| Ext 4 | O | O | O | O | X | ||
| HFS | O | O | O | O | O | ||
| HFS+ | O | O | O | O | O | ||
| CDFS | O | O | O | O | X | ||
| 증거 파일 마운트 | 물리 디스크 마운트 | O | O | O | X | O | |
| 논리 디스크 마운트 | O | O | O | X | O | ||
| 이미지파일 마운트 | O | O | O | O | O | ||
| 물리메모리 분석 | 물리메모리 파일 추가 | O | O | O | O | X | |
| 물리메모리 Hex 뷰 | O | O | O | O | X | ||
| 물리메모리 해석 | X | △ | X | X | X | ||
| 저장매체 이미징 | - | O | O | O | O | X | |
| 파일시그니처 분류 기능 | 오피스 파일 | O | O | O | O | X | |
| 카메라 파일 | △ | △ | O | △ | X | ||
| 음악 파일 | O | O | O | O | X | ||
| 비디오 파일 | O | O | O | O | X | ||
| 인터넷 파일 | O | O | O | O | X | ||
| 그래픽 파일 | O | O | O | O | X | ||
| 문서 파일 | O | O | O | O | X | ||
| 압축 파일 | O | O | O | O | X | ||
| 이메일 파일 | O | O | O | O | X | ||
| 데이터베이스 파일 | △ | △ | O | △ | X | ||
| 윈도우 시스템 파일 | O | O | O | O | X | ||
| 사용자 정의 | O | O | O | O | X | ||
| 파일 해석 정보 | 그림파일 읽기 지원 | O | O | O | O | O | |
| 압축파일 브라우징 | O | O | O | O | O | ||
| Hex View 지원 | O | O | O | O | O | ||
| 해시 정보 지원 | 해시 셋 비교 | O | O | O | O | X | |
| 해시 파일 비교 | O | O | O | O | X | ||
| 파일 전체 해시 | O | O | O | O | X | ||
| 키워드 검색 지원 | - | O | O | O | O | O | |
| 북마크 지원 | - | O | O | O | O | O | |
| 항목 정렬 지원 | 시간, 확장자, 파일명 | O | O | O | O | O | |
| 시간 정보 해석 지원 (Modification, Access, Creation) |
- | O | O | O | O | O | |
| 보고서 출력 지원 | PDF 출력 | O | O | O | X | O | |
| DOC 출력 | X | O | O | X | X | ||
| HTML 출력 | O | O | O | O | X | ||
| 쓰기 방지 기능 지원 | - | O | X | X | X | X | |
| 상세분석 | Mac OS 분석 지원 | 파일시스템 브라우징 | O | O | O | O | O |
| 사용자 아티팩트 분석 | O | X | X | X | O | ||
| 스마트 디바이스 지원 | Android | △ | △ | △ | △ | X | |
| iOS | △ | △ | △ | △ | O | ||
| 레지스트리 하이브파일 분석지원 | 레지스트리 브라우징 | O | O | O | O | X | |
| 레지스트리 정보 해석 | X | X | O | X | X | ||
| 삭제된 파일 카빙 | - | O | O | O | O | O | |
| 원격지 수집 | - | O | O | O | O | X | |
통합 디지털 포렌식 도구 기능분석 결과를 Windows 포렌식 관점과 Linux/Unix 및 Mac OSX 포렌식 관점으로 분류한다. 먼저 Windows 포렌식 관점에서 편의성과 효율성을 고려하였을 때 성능 분석 결과는 아래와 같다.
< Windows Forensic 관점 >
- 전문교육을 받지 않은 초보자 기준 : Forensic Explorer > FTK > Encase > X-Ways Forensics (BlackLight 제외)
: Forensic Explorer 는 직관적인 인터페이스를 사용하여 편의성이 높고 FTK나 Encase에서 지원하는 대부분의 기능을 지원함 : 각 아티팩트 별 분석 탭이 나눠져 있으며 레지스트리의 경우 자동 파싱 후 주요 키 정보 출력
(레지스트리 내 사용자정보·설치정보 · 외부저장매체 정보 출력, 원클릭으로 중요 확장자 시그니쳐 분석)
- 전문교육을 받고 현장 대응능력에 숙련된 사용자 기준 : Encase > FTK > Forensic Explorer > X-Ways Forensics (BlackLight 제외)
: Encase는 Enscript 를 포럼에서 제공하고 이를 수사관이 수정하여 상황에 맞게 탄력적으로 사용 가능 -> 타 도구와 호환 가능
< Linux / Unix 및 Mac OSX 운영체제 >
- BlackLight를 제외한 모든 도구에서 EXT , HFS, HFS+ 파티션 해석 후 아티팩트 추출을 통해 분석 가능
- BlackLight는 Mac OSX만 분석
: 사용자 정보, 운영체제 정보, 웹히스토리, 이메일, 설치 어플리케이션 등과 같은 정보를 파싱 후 출력 : FAT 파티션과 HFS, HFS+ 파티션 이외의 파티션은 해석 불가
BlackLight는 Mac OSX전용 도구이므로 제외하고 가장 성능이 좋은 도구는 Forensic Explorer 이다. Forensic Explorer 는 수집될 수 있는 아티팩트 종류별로 탭을 분류하여 직관적인 인터페이스를 사용하기에 다른 도구들 보다 편의성이 높다. 그리고 FTK나 Encase에서 지원하는 기능의 대부분을 지원한다. 또한 레지스트리 분석의 경우 자동 파싱하여 중요 키 정보(사용자 정보, 설치 정보, 외부저장매체 정보 등)를 출력하는 기능을 지원한다. 이외 도구는 사용방법을 충분히 숙지하여야 조사에서 활용 가능하기 때문에 분석결과를 위와 같이 분류한다.
Linux/Unix 및 Mac OSX 포렌식 관점에서 대부분의 도구가 EXT, HFS, HFS+ 파티션 해석이 가능하기 때문에 조사관이 아티팩트를 직접 추출하여 분석이 가능하다.
BlackLight는 Mac OSX 아티팩트만을 분석하며 지원하는 파티션은 FAT파티션, HFS, HFS+ 파티션으로 제한된다. 그리고 Mac OSX의 주요 정보를 자동 파싱하여 결과를 출력한다. 도구에서 지원하는 아티팩트는 사용자 정보, 운영체제 정보, 웹 히스토리, 이메일, 설치 어플리케이션 등과 같은 정보를 파싱하여 결과를 출력한다. 따라서 Mac OSX의 아티팩트 경로나 수집방법을 알지 못하는 경우 BlackLight를 활용하여 조사할 수 있을 것으로 기대한다.
