디지털 증거 획득과 교환을 위한 포렌식 파일 포맷 설계 및 구현

Abstract

유비쿼터스 컴퓨팅 환경의 조성으로 디지털 포렌식이 수사에서 차지하는 비중이 증가하고 있다. 수사기관은 디지털 포렌식에 관한 역량을 강화시키기 위한 노력을 기울여야한다. 우리나라 정보화 환경은 세계적으로도 최고 수준이지만, 디지털 포렌식의 기술적, 절차적 수준은 그에 미치지 못하고 있다. 따라서 사이버 분야의 국제 경쟁력을 지속적으로 유지하기 위해서는 정보화 환경을 수호하는 노력이 뒷받침되어야한다. 디지털 포렌식의 효율성 증대방안에 대한 많은 논의가 필요한 이유도 여기에 있다. 컴퓨터 포렌식에서 증거물 획득을 위한 저장 미디어의 내용을 비트 스트림 방식을 통해 파일 형태로 저장하는 일련의 행위를 디스크 이미징이라고 하고 이를 위한 다양한 하드웨어장비와 소프트 웨어 툴들이 알려져 있다. 본 연구는 이러한 디스크 이미징을 위한 데이터 획득 툴에 관한 것이다. 대용량 저장 장치의 데이터들에 대한 획득 관리가 가능한 이미지 포맷과 교환 포맷을 정의하여 정의된 이미지 파일 포맷을 지원하는 데이터 획득 포렌식 툴을 구현하고 테스트하였다. 본 논문에서 제안하고 구현된 툴은 이러한 장점을 가진다. (a) 제안된 이미지 포맷은 최근 저장 매체의 대용량화를 고려하였다. (b) 인증/압축/암호에 대한 사용자의 설정 항목을 제공하여 다양한 조사환경에서도 충분히 사용할 수 있도록 설계되었다. (c) 이미지 파일은 파일헤더, 세그먼트데이터, 파일 종결부의 정규 데이터 구조 외에 내부 데이터의 종류나 형식에 구애를 받지 않는 메타데이터를 사용함으로 가변적인 추가정보의 입력이 자유롭다. (d) 기타 이미지 파일 포맷과는 달리 이미지 파일자체의 보안을 고려하여 암호화 알고리즘의 설정을 파일헤더에 명시할 수 있도록 하였다. (e) 개별 해당 파일의 시작으로부터 이미지 파일내의 세그먼트데이터들이 가지는 상대적 거리 위치들을 파일종결부내 인덱스 테이블형태로 기술함으로써 각 세그먼트데이터의 고속 이동이 가능하다. (f) 각 세그먼트데이터에는 해당 세그먼트 내부의 불량 섹터들의 위치를 비트맵으로 표현하여 불량섹터를 손쉽게 판별할 수 있다. (g) 다른 포렌식 툴을 사용한 증거 이미지일지라도 툴의 교환기능을 이용해 증거력을 잃지 않고 타 기관과 증거 교환이 가능하다. 이와 같이, 본 논문에서 제안하고 구현한 디지털 포렌식 툴은 기존 포렌식 툴들의 포맷이 가진 장점들을 가지며 또한 새롭게 디지털 이미지 교환 기능을 추가함으로써 포렌식 수사에 있어서 간편하고, 효율적이며 확장성을 제공한다.

Computer forensics typically deals with large amount of data. Modern commodity hard disks approach the Terabyte domain, leading to many problems in managing and archiving bit for bit images. However, most of image file formats can handle only a few giga bytes of disk storages. Also they don't consider protecting the confidentiality of imaged data. In modern computing environment, it is usual that even a personal user uses a storage disk with the capacity of more than a few hundreds of giga bytes. And also, a law court tends to protect the privacy of the suspected until a juridical sentence is done. Therefore this thesis propose a new forensic image format which can handle high capacity disk storages. The proposed forensic file format supports metadata that can be defined and extended by users. Especially, it has flag field in which users set the encryption and digital signature algorithms. And for the purpose of promotion of international assistance for digital evidence investigation and transportation of digital data including evidence acquired remote place, exchange format of disk imaging file is proposed. The proposed disk image exchange format can increase digital forensic tool's interoperability.