모바일 포렌식의 개요

모바일 포렌식이란?

디지털 포렌식의 한 분야로 휴대폰, 태블릿, MP3기기 등 모바일 장치로부터 디지털 증거를 수집하고 분석하는 것

디지털 포렌식 5대 원칙(형사사건 기준)

• 정당성 : 정당한 방식으로 증거 수집. 불법적으로 수집한 증거는 증거로 채택될 수 없다.
• 무결성 : 수집된 증거가 위변조되지 않았음을 증명할 수 있어야 한다. ex)hash
• 재현성 : 동일한 조건, 환경에서 결과가 항상 같아야 함
• 연계보관성(Chain Of Custody) : 증거 수집-제출 일련의 과정에서 담당자를 명확히 해야 함
• 신속성 : 일련의 과정이 신속하게 수행되어야 함. 일부 휘발성 데이터는 시간이 지나면 사라짐

모바일 포렌식의 어려움

위 디지털포렌식 5대 원칙 중, 모바일 포렌식에서는 특히 무결성의 원칙이 지켜지기 매우 어렵다.

모바일 기기는 와이파이, 블루투스, 원격 연결(클라우드, 에어드롭) 등 다양한 경로로 다른 디바이스와 연결될 가능성이 매우 높다. 또한, 어떤 포렌식 도구는 모바일 장치와의 통신을 필요로 하므로 증거 수집 과정동안 쓰기 방지가 동작하지 않는다. 마지막으로 제조사에서 생산되는 모바일 기기의 종류가 급격히 늘어나고 OS버전 업데이트에 따른 구조변경도 잦아 모든 장치에 알맞은 단일 장비나 절차를 개발하기가 매우 어려워졌다.

주요 수집 정보

장치 내부의 플래시메모리(저장공간), RAM, MicroSD, USIM, 클라우드 공간 등

모바일 포렌식의 과정

압수(seizure) - 수집(acquisition) - 조사/분석(examination / analysis)

압수 - 물리적 장치 압수 및 차폐 조치

수집 - 증거 수집

조사/분석 - 수집된 증거 분석

모바일 포렌식 증거 추출 과정

수집 - 식별 - 준비 - 격리 - 처리 - 검증 - 문서화/보고 - 제시 - 기록보관

1. 수집

장치 소유자, 장치와 사고의 연관성 등을 문서화한 요청 문서와 서류 작업을 수반하며 요청자가 수집(조사)하고자하는 자료나 정보의 개요

2. 식별

압수에 관한 법적 권한, 조사의 목표, 장치의 제조사, 모델, 식별 정보, 외부 데이터 저장소 유무 등 증거 목록 파악 단계

3. 준비

조사 대상이 되는 장치와 자료수집 및 조사에 사용될 적절한 방법과 도구들 파악

4. 격리

장치의 무결성 보존을 위해 패러데이 케이지같은 특수 차폐 공간에 넣어 장치의 네트워크 연결을 방지한다.

5. 처리

증거 추출 시작. 물리적 데이터 추출과 논리적 데이터 추출로 나눠짐.

물리적 데이터 추출은 보통 장치 전원이 꺼진 상태에서 메모리를 bit-bybit로 복사하여 추출하는 방식이다. 완벽한 사본을 얻을 수 있어 미할당 영역과 파일의 메타정보를 획득할 수 있는 장점이 있다. 물리적 수집이 가능하지 않거나 실패했을 시, 논리적 수집을 수행해야 한다.

물리적 데이터 추출방식
1. chip off
장치 내부에 부착된 플래시 메모리(저장공간)를 물리적으로 분리하는 기법
분리 후 롬 라이터를 사용해 메모리 전체 저장공간을 수집함
2. JTAG(Joint Test Action Group)
장치의 메인보드에 위치한 PCB에 존재하는 JTAG핀과 하드웨어 디버깅 장비를 연결해 플래시 메모리를 수집하는 기법
JTAG는 임베디드 시스템 개발 시 디버깅 용도로 자주 사용됨
최근 기기는 JTAG 포트를 없애고 출시하는 추세라 해당 방식을 적용하기가 어려워짐

논리적 수집은 물리적수집 방법과 달리 메타데이터와 미할당 영역을 제외한 파일 또는 파일 컨텐츠를 복사하는 방법이다. USB 명령을 통해 파일을 가져오는 파일 단위 접근, 컨텐츠 제조사에서 제공하는 PC-Link sw등을 이용해 컨텐츠 데이터를 수집하는 컨텐츠 단위 접근, 백업 SW를 통한 접근 등이 있다. (백업 SW를 통한 접근 시에 기기로 데이터가 전송되지 않도록 주의해야 함)

논리적 수집을 위해서는 루팅(탈옥)이 선행되야 한다.

6. 검증

장치에서 추출한 데이터가 수정되지 않았음을 보장하기 위해 데이터의 정확도를 검증한다.

7. 문서화/보고

데이터 수집 및 조사 과정에서 수행한 행위에 대한 동시 기록 형식으로 조사 과정 전체를 문서화해야한다.

조사 시작과 완료시간, 장치의 물리적 조건, 장치 습득 시 장치 상태, 다른 곳으로 장치가 이동될 때 인계자 등..

8. 제시

[7단계]에서 문서화된 정보를 법정에 제출할 수 있도록 명확한 보고서 작성

조사 결과는 명확하고 간결하며 반복 가능해야 한다.

9. 기록 보관

진행 중인 판결과 추후에 참고될 가능성, 현재 증거가 손상되었을 때, 기록 유지 요구사항을 고려해 데이터를 사용가능한 형태로 유지한다. (최종 판결까지 재판이 수 년간 진행될 수도 있으며, 대부분의 사법권은 항소 목적으로 데이터를 수년간 유지하기를 요구한다)

iOS 포렌식을 위한 도구

1. mdhelper

iOS에서 생성되는 백업파일을 조사하는 도구.

안타깝게도 맥북에서만 사용가능하다..

2. Oxygen Forensic Detective

장치로부터 데이터를 수집하고 분석까지 해준다.

모바일 장치뿐만아니라 드론, 클라우드 서비스, 윈도우와 macOS, 리눅스에서의 시스템 파일까지 분석가능하다.

가장 큰 단점은 무료의 경우, 20일 이용제한이 있는것과 해당 프로그램을 사용하기 위한 컴퓨터 사양이 좀 높다는 것.

Oxygen Forensic 공식 홈페이지의 권고사양

3. i-fundbox

iTunes를 대체하는 것이 목적으로 포렌식 목적을 위해 개발된 도구는 아니지만 모바일 장치의 Raw파일시스템까지 접근할 수 있어 데이터 추출할 때에는 괜찮다.