1 테라바이트의 하드드라이브 이미징 작업에 16시간 걸려

새로운 기술 개발한 업체 후하게 보상해 포렌식 소요시간 줄이도록

[보안뉴스 문가용] 사이버 범죄뿐 아니라 일반적인 범죄에도 사이버 수사의 필요가 늘어감에 따라 하드드라이브 스캐닝 및 검사 과정에 걸리는 시간을 단축시켜줄 새로운 툴이 개발되었고, 미국 사법부에서 운영하는 R&D 에이전시인 NIJ(미 법무성 산하 국립사법연구소)에서는 해당업체에 포상금을 내린 것으로 알려졌다.

현재 1 테라바이트 하드드라이브 기준으로 법 집행기관에서 이를 이미징 하는 데 걸리는 시간은 최소 16시간이다. 하지만 그라이어 포렌식(Grier Forensics)이 최근 개발한 기술을 적용하면 이를 세 시간으로 압축하는 게 가능하다. 또 랜드 코퍼레이션(Rand Corp)라는 업체에서는 하드드라이브 이미징 이후 필요한 클라우드 기반 저장 솔루션을 개발했는데 이곳 역시 포상금을 받았다. 단지 저장하는 것뿐 아니라 분석 과정 중 증거자료가 변경되는 일이 일어나지 않도록 막은 기술이 좋은 결과를 이끌어 냈다.

NIJ에서 근무하는 컴퓨터 공학자인 마틴 노박(Martin Novak)은 사법부에서 이렇게 포상금 제도를 마련한 이유는 결국 디지털 포렌식이라는 비교적 새로운 수사기법을 발전시키기 위해서라고 한다. “사건마다 검토해야 할 자료가 얼마나 산더미처럼 쌓이는지 몰라요. 다만 많은 것뿐만 아니라 서로 어떤 인과관계에 의해 얽히고설켜있죠. 양도 많은데 아주 복잡하게 엉켜있는 게 디지털 포렌식의 증거물입니다. 일이 밀리는 건 당연지사고요.”

“1 테라바이트 하드드라이브를 이미징 하는 작업은 16시간 반이 걸립니다. 그런데 이걸 한 다섯 개 이미징해야 한다고 생각해보세요. 시간을 줄이는 게 저희의 지상과제였음을 쉽게 이해하실 수 있을 겁니다.”

이런 발전이 이어지면 다만 증거자료의 저장과 분석뿐 아니라 수집하는 과정 자체에도 변화가 올 수도 있다. “여태까지는 하드드라이브 압수해서 전부 이미징하는 게 자료 수집 과정의 전부였습니다. 그렇지만 그 하드드라이브에 있는 모든 자료가 증거자료는 아니죠. 그라이어 포렌식도 바로 여기에 착안했다. 하드드라이브를 이미징할 때 골라내는 작업을 해가면서 필요한 것만 모으는 것이다. “시간이 절약되는 건 당연한 거고요, 사건을 해결하기 위해 필요한 자료만 저장해주니 저장 공간도 효율적으로 사용할 수 있습니다.”

임시파일, 히스토리 로그, 브라우저 사용기록 등은 수사과정에 있어서 매우 중요한 기록들이다. 그리어 포렌식의 회장인 조나단 그리어(Jonathan Grier)는 현재 NIJ와 계약을 맺고 자사의 솔루션들을 시험해보고 있는 중이다. 아직까지는 리눅스와 Mac OS에서만 작동하는데, 윈도우 버전도 곧 출시될 예정이다.

하지만 디지털 포렌식이라고 ‘속도’가 늘 최고 변수인 건 아니라는 게 파이어아이의 라이언 카잔시안(Ryan Kazanciyan)의 주장이다. “법 집행기관으로서는 작은 규모의 사건을 다룰 때일수록 시간 단축이 중요합니다. 하지만 현실에서는 대부분 커다란 규모의 사건을 다루고 있고, 이런 경우는 속도보다는 빅데이터 다루는 능력이 더 절실히 필요해집니다.”

“한 사건 당 평균 시스템의 수는 5만여 대입니다. 그중 정말 깊숙이까지 들어가 보는 건 100개도 채 되지 않습니다. 심지어 5개에서 그칠 때도 있습니다. 조직들 혹은 기업들이 보안을 잘 못하는 이유는 현재 벌어지고 있는 각종 위협과 해킹 공격에 대한 큰 그림을 이해하지 못하기 때문입니다. 그런 큰 그림 혹은 유행을 알면 분류 등급과 상황대처가 훨씬 빨라지는데 말입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>