• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모든 행동에는 디지털 포렌식 아티팩트가 따른다 2017.12.26

온라인 프라이버시는 환상... 디지털 포렌식으로 추적 가능
유명 백신 상품이 이용자의 장기 웹 이용 내역 남기기도

[보안뉴스 오다인 기자] 우리가 온라인이나 전자 기기로 하는 일들을 외부에 드러나지 않도록 조치하는 건 불가능할 정도로 어렵다. 모든 행동에는 디지털 포렌식 아티팩트(Artifact: 이용자나 애플리케이션이 운영체제와 상호작용할 때 생성되는 잔여 포렌식 증거)가 따른다.

[이미지=iclickart]


그럼에도 불구하고 프라이버시 신화는 계속된다. 브라우저는 ‘익명 모드’를 제공하고, 이용자는 이용 내역을 삭제하며, 애플리케이션은 일정 시간 뒤 ‘사라지는’ 콘텐츠 기능을 약속한다. 그러나 포렌식 전문가들은 아주 다양한 툴을 활용해서 증거의 조각들을 찾아낸 뒤 일어난 사실에 대한 전체 그림을 완성할 수 있다. 포렌식 연구를 보안 연구의 주류에 들여오려는 시도는 많은 이에게 충격으로 다가올 것이다.

역사적으로 포렌식은 언론의 주목을 크게 받진 못했지만, 기업 정보 관리(EIM) 업체 오픈텍스트(OpenText)에 최근 인수된 보안 업체 가이던스 소프트웨어(Guidance Software)는 20일 제1회 포렌식 리서치 어워드 프로그램(Forensic Research Awards Program)의 수상자를 발표했다.

수상자 중에는 인기 있는 백신 상품의 비밀을 까발린 디지털 수사관들도 있었다. 이 수사관들은 특정 백신 상품이 이용자의 장기 웹 이용 내역을 남긴다는 사실을 폭로했다. 이용자가 이용 내역을 삭제하거나 프라이버시 모드로 검색한 것과 무관하게 이용 내역이 남았던 것이다.

이밖에 불법 복제에 자주 쓰이는 P2P(Peer-to-Peer) 소프트웨어를 활용해 익명 이용자의 IP 주소를 밝혀낸 연구, 그리고 사법당국이 찾아낼 수 있는 키(key)들을 남겨온 암호화 전문 대기업에 대한 연구도 있었다.

취약점 VS 포렌식 연구
포렌식 연구는 취약점 연구와 사촌지간이다. 취약점은 보통 악성코드를 실행하거나 보안 제어를 우회하도록 해준다. 포렌식은 운영체제와 애플리케이션이 남긴 디지털 증거에 집중한다. 취약점과 포렌식은 둘 다 프라이버시와 관련된 우려를 내포하고 있지만 포렌식은 프라이버시라는 환상을 산산조각 낸다는 점에서 다르다. 모든 것은 포렌식 잔여물을 남긴다. 애플리케이션을 실행하든, 파일을 클릭하든, 데이터에 접근하든, 이메일 첨부파일을 열든, 인터넷을 서핑하든 말이다.

취약점 연구는 대개 소프트웨어 업체들을 당황하게 만들고, 함구령이 떨어지는 일도 다반사다. 업체들은 폭로를 막기 위해 포상금을 주고, 취약점이 일반에 공개되기 전에 패치하려고 애쓴다. 포렌식 조사관들은 포상금을 위해 일하지 않는다. 이들은 범죄자, 소아성애자, 기업 내 횡령을 저지른 자들을 잡기 위해 필요한 일을 수행한다. 포렌식 조사관이 발견한 사실은 법정 소송 사건의 공식 기록으로 나오기도 하지만 언론 등 외부의 주목을 크게 받진 않았다.

포렌식 리서치 어워드 프로그램은 포렌식의 중요성을 인지시키고 연구자들의 업적을 기리기 위해서 만들어졌다. 최고상을 받은 저스틴 바트쉬(Bartshe)가 누구인지 생각해보자. 바트쉬는 포렌식 조사관이자 미국 해군범죄수사청(NCIS)의 수사관으로 오랜 기간 일한 사람이다. 바트쉬는 담당 사건 중 하나에서 어떤 이용자의 데이터를 암호화 여부를 불문하고 모두 찾아내야 했다. 그는 이용자 운영체제의 모든 시스템 파일과 모든 은닉처 및 틈새를 뒤졌다. 바트쉬는 이 사건과 연관된 URL들을 SQLite 데이터베이스에서 찾아냈는데, 유명한 오픈소스 백신 상품에 의해 남겨진 것이었다. 용의자가 여러 차례에 걸쳐 브라우징 내역을 삭제했음에도 불구하고, 장기간 브라우징 내역의 상당량이 데이터베이스에 남아있었던 것이다. 심지어 이 백신 상품은 프라이버시 모드나 익명 모드로 수행된 브라우징 내역 대부분도 기록하고 있었다.

프라이버시와 포렌식의 미래
미국 해군범죄수사청의 조사관은 보통 재판정에서 발견한 사실을 제시하고 이를 변론해야 하는 경우가 많다. 많은 사람이 잘 모르고 있지만, 포렌식은 과학이다. 피고 측은 검사의 주장을 반박하기 위해 자체적인 포렌식 분석을 수행하는 경우도 있다. 포렌식으로 드러난 사실은 반드시 재현할 수 있어야 하고, 그렇지 않을 경우 재판정에서 쓰일 수 없다.

바트쉬 입장에서 보면, 이는 백신 업체를 당황시키거나 포상금을 바라고 한 일이 아니다. 그는 브라우징이 기록되는 조건을 증명하기 위해 해당 백신 플랫폼에서 이전에는 알려지지 않았던 SQLite 데이터베이스를 리버스 엔지니어링 해야 할 필요가 있었던 것이다. 사건에 따라 이러한 발견들은 기소의 일환으로 공식 기록이 될 수도 있다. 바트쉬의 연구는 어린이들을 학대에서 보호하기 위한 사건에 쓰였다.

글 : 폴 쇼모(Paul Shomo)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>