[김진국의 디지털포렌식-9] 안티포렌식과 안티안티포렌식

디지털포렌식 기술이 발전하고 디지털 증거물의 법적 효력이 중요해지면서 더불어 안티포렌식(Anti-Forensics)도 발전하고 있다. 안티포렌식은 디지털포렌식 기술에 대응하여 자신에게 불리하게 작용할 가능성이 있는 증거물을 훼손하거나 차단하는 일련의 행위를 말한다. 최근에는 안티포렌식을 자동화해주는 안티포렌식 전문 도구도 속속히 등장하고 있다. 안티포렌식의 목적은 일반적으로 다음과 같다.
 
-탐지를 회피하거나 정보 수집을 방해한다.
-조사관의 분석 시간을 증가시킨다.
-디지털포렌식 도구가 동작하지 못하도록 하거나 오류를 발생시킨다.
-범죄자의 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅을 차단/우회하거나 삭제한다.
-법정 보고서나 증언으로서 가치가 없도록 증거를 훼손시킨다.
 
◇안티포렌식 기법
안티포렌식을 위해 사용되는 기법의 대부분은 조사관 입장에서 보면 조사를 방해할 수 있는 기법이지만, 사용자 입장에서 보면 중요 데이터 혹은 개인의 프라이버시를 보호하기 위한 합법적인 기법이다. 안티포렌식 기법을 분류해보면 데이터 파괴, 데이터 암호화, 데이터 은닉, 데이터 조작, 풋프린트 최소화, 분석 시간 증가로 나눌 수 있다.데이터 복구 프로그램 추천
 
1. 데이터 파괴 (Destruction)
데이터 파괴는 간단히 Delete 키를 눌러 파일을 삭제하는 기법부터 전문 도구를 사용하기까지 사용 흔적을 없앨 수 있는 모든 기법을 의미한다. 널리 알려진 데이터 파괴 기법은 다음과 같다.
-데이터 삭제 (Delete 키 혹은 Shift + Delete 키)
-소프트웨어 기반 데이터 완전삭제 (Wiping)
-하드웨어 기반 데이터 완전삭제 (Wiping)
-사용 흔적 자동 삭제 도구
 
Delete 키를 이용한 데이터 삭제는 데이터의 참조 정보만 삭제하기 때문에 실제 데이터가 덮어써지지만 않았다면 복구해낼 수 있다. 그리고 Shift 키를 조합하지 않았을 경우에는 휴지통 흔적에서도 삭제된 파일 정보를 얻어낼 수 있다.
 
반면, 소프트웨어/하드웨어 완전삭제(Wiping) 기법은 데이터를 복구하기 어렵다. 이 경우에는 완전삭제 도구가 사용되었는지 여부나 시점을 가지고 용의자의 증거 인멸 행위를 고려해 볼 수 있다. 소프트웨어 완전삭제 기법은 데이터를 복구하기 어렵도록 데이터를 덮어쓰는 기법이다.
 
관련 도구로는 무료로 간단히 사용할 수 있는 Eraser, SDelete, CyberShredder 등을 비롯해 전문 제품인 아크로니스(Acronis)의 Drive Cleanser, 파이널데이터(FinalData)의 Final Eraser, 에스엠에스(SMS)의 BlackMagic 등이 있다. 하드웨어 완전 삭제는 저장매체의 재사용이 목적이 아니라 저장매체 폐기가 목적이다. 주로 사용하는 방법은 강력한 자기장을 통해 자기장 방식의 저장매체 데이터를 지우는 디가우저(Degausser)가 있다. 이외에도 하드웨어를 사용하지 못하도록 물리적으로 천공을 하거나 파쇄하기도 한다.
 
사용 흔적 자동 삭제 도구는 분석을 어렵게 할 목적으로 흔적이 저장되는 웹 브라우저 흔적, 로그 파일, 프리패치, 최근 열린 파일, 검색 정보등을 자동으로 삭제시켜주는 도구이다. 대표적인 도구로는 CCleaner, Evidence Eliminator, Windows Washer가 있고 최근에는 백신과 같은 보안 프로그램에서도 용량 확보 목적으로 일부 사용 흔적을 삭제하는 기능을 지원한다.
 
2. 데이터 암호화 (Encryption)
데이터 암호화는 데이터를 외부 유출로부터 보호하기 위한 기법으로 중요 데이터를 보호하는데 사용될 수 있다. 암호화 방법으로는 운영체제 자체에서 지원하는 암호화 기능을 이용하거나 별도의 암호화 전용 도구를 사용할 수 있다. 또한, 응용프로그램 자체적으로 암호화 기능을 지원하기도 한다.
 
운영체제 자체적으로 지원하는 암호화 기능은 대표적으로 EFS(Encrypting File System), BitLocker가 있고, 암호화 전용 도구로는 TrueCrypt, Disk Utility, GNU Privacy Guard, AxCrypt가 있다. 그리고 자체적으로 암호화 기능을 지원하는 응용프로그램으로는 아래아한글, 마이크로소프트 오피스 제품군, 어도비 PDF 등이 있다. 그 밖에 DRM이나 개인정보보호 솔루션에서도 암호화 기능을 지원한다. 또한, 넓은 의미에서 네트워크 프로토콜을 암호화하는 SSL, SSH, SFTP, TOR 등도 포함된다.
 
암호화 기능을 무력화시키는 방법으로는 제품의 암호화 방식을 역공학(Reverse Engineering)하여 암/복호화 기능의 취약성을 이용하거나 사전 공격(Dictionary Attack), 무차별 대입법(Brute-Force Attack), TMTO(Time-Memory Trade-Off) 기법 등을 이용한다. 대표적인 도구로는 엘콤소프트(ElcomSoft), 패스웨어(Passware)에서 개발한 도구가 있다.안드로이드 파일 복구 앱
 
3. 데이터 은닉 (Hiding)
데이터 은닉은 데이터를 쉽게 탐지할 수 없도록 숨기는 기법이다. 대표적인 기법으로 디지털 매체에 메시지를 은닉하여 전달하는 스테가노그래피(심층암호; Steganography)가 있다. 스테가노그래피의 대상은 다양한 매체가 될 수 있는데 주로 JPEG, BMP, GIF, WAV, MP3, SWF 등과 같은 멀티미디어 파일이나 HWP, DOC, XLS, PPT, PDF 등과 같은 문서 파일을 이용한다. 스테가노그래피 기법을 적용한 대상은 보통 인간의 인지 능력으로는 원본과 구별 불가능하다. 원본이 존재한다면 원본과의 바이트 비교를 통해 스테가노그래피가 적용된 것을 유추할 수 있으며, 다양한 기법을 적용하여 은닉된 데이터를 추출해볼 수 있다. 하지만, 원본이 주어지지 않았을 경우에는 발견해내는 것이 쉽지 않다. 대표적인 스테가노그래피 도구로는 OpenStego, S-Tools, StegHide, Merge Streams 등이 있다.
 
또 다른 기법으로 파일시스템 구조에서 낭비되는 영역에 데이터를 숨기는 것이다. 어떤 영역을 이용하느냐에 따라 다양한 용어로 불리는데 일반적으로 다음과 같은 방법이 사용된다.
 
-Slacker: 슬랙 공간(Slack Space)에 데이터를 숨긴다.
-FragFS: NTFS MFT(Master File Table)에 데이터를 숨긴다.
-RuneFS: 배드 블록(Bad Block)에 데이터를 숨긴다.
-Waffen FS: ext3 저널 파일에 데이터를 숨긴다.
-KY FS: 디렉터리 파일에 데이터를 숨긴다.
-Data Mule FS: inode 예약된 공간에 데이터를 숨긴다.
-Host Protected Area & Device Configuration Overay: HPA, DCO 영역에 데이터를 숨긴다.
이 밖에도 구조적인 변경이나 취약점을 통해 데이터를 은닉하는 루트킷(Rootkit) 기법도 포함된다.