안티 포렌식

안티포렌식이란?

포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 일련의 활동을 말함.

안티 포렌식 기술로는 데이터 변조, 삭제, 암호화, 은닉등이 대표적이다.

 

데이터 변조

데이터 변조는 정확한 포렌식 조사를 어렵게 만드는 안티 포렌식 행위 중 하나로 주로 위법적인 행위를 하기 위한 수단으로 사용되며, 해킹, 데이터 유출등을 예로 들 수 있다.

가장 흔하게 사용되는 데이터 변조는 시간 정보 조작이며 도구를 사용하여 간단하게 조작이 가능하다. 시간 정보 조작은 악성코드가 주로 사용하는 방법이며 시스템 파일과 같은 생성시간으로 조작함으로써 포렌식 조사과정에서 타임라인 분석을 피하기 위한 수단으로 사용되며 정확한 사고 발생 시점을 확정하는데 혼란을 초래할 수 있다. 또한, 데이터 내용을 변조하는 경우는 해시 등을 이용하여 변조된 파일임을 구분할 수 있다.

데이터 삭제

데이터 삭제는 데이터를 확인할 수 없도록 삭제하여 포렌식 행위에 대비하는 안티포렌식 행위이다. 보통 데이터 삭제는 S/W 방식과 H/W방식 이있다.

하드웨어를 이용하여 데이터를 삭제하는 방법은 다음과 같다. 일반적인 디지털 데이터는 자기적 매체(하드디스크, 자기 테이프)에 저장된다. 자기적 매체는 마그네틱 도메인(Magnetic Domain)이라 불리는 매우 작은 영역으로써 구성되며, 자기적 성질을 없애거나 변형 할 경우 담겨진 데이터 역시 삭제된다. 자기장의 성질을 없애는 방법은 노ㅠ은 전기나 자성으로 여러 번 자극 주는 AC Erasure 방법, 영구 자석으로 자기 매체를 천천히 초기화 하는 DC Erasure 방법이 존재한다. 소프트웨어를 이용하여 데이터를 삭제하는 방법은 다음과 같다. 운영체제에서 일반적인 삭제는 파일 시스템에서 사용하는 MFT의 Name 값 을 수정한다. 이 경우에는 파일이 삭제되어도 실제 저장 매체에는 존재하고 있다. 따라서 실제 파일이 저장된 값을 0이나 '난수'로 기록하여 데이터를 덮어쓰는 기법을 와이핑(wiping)이라 한다.

데이터 암호화

데이터 암호화는 데이터 내부의 내용을 확인할 수 없도록 하기 위해 암호를 설정해두는 것을 말한다. 데이터 암호화의 대상으로는 파일이나 폴더와 같은 작은 단위부터 파일이나 폴더가 저장되는 영역인 저장 매체에 대해서도 암호화를 할수 있다. 따라서 저장 매체 암호화 대응에 대한 분야도 연구되어져야 한다. 문서 편집기, 압축 등 널리 사용되는 대다수의 응용프로그램에서 암호화 기능을 지원하며, 손쉽게 사용이 가능하다.

데이터은닉

데이터 은닉이란 해당 데이터를 쉽게 찾거나 확인할 수 없도록 숨기는 행위를 일컫는다. 보통 스테가노그래피 기법을 이용하거나 디스크 내에 데이터 은닉 행위가 이루어진다. 스테가노그래피기법은 비밀 메시지를 전송하거나 범죄 사실을 은닉할 때 사용된다. 메시지가 전송되고 있다는 사실 자체를 은닉 함으로써 데이터 암호화와 약간 대조적인 기술이다. 암호화는 데이터를 획득할 수 있지만 스테가노그래피는 데이터 자체를 획득 할 수 없다는 점이 다르다. 또한 디스크내에 HPA나 DCO영역 또는 슬랙 영역에 데이터를 은닉할 수 있으며, 일반적인 포렌식 조사 툴은 해당 영ㅇ역에 대해 내용만 탐지할 뿐 실제 의미 있는 데이터에대해 탐지 하지 못한다.