본문 바로가기
조회 수 2667 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print Files
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print Files

http://forensic-proof.com/archives/3613


저장매체 이미징(Imaging)은 저장매체의 모든 물리적 데이터를 파일 형태로 만드는 작업을 의미한다. 저장매체 이미징을 수행하면 저장매체의 첫 번째 섹터부터 마지막 섹터까지 모든 데이터가 파일 형태로 저장된다. 다시 말하면, 탐색기로 확인할 수 있는 파일과 디렉터리 구조 이외에 슬랙 공간과 비할당 영역까지 모두 저장된다.

저장매체 이미징을 하는 이유는 저장매체의 원본 상태를 그대로 유지시키기 위함이다. 디지털 포렌식 분야에서는 원본 증거(데이터)가 수집, 이동, 보관, 분석의 일련의 과정을 거치면서 변조되지 않아야 하기 때문이다. 원본 증거는 저장매체 이외에도 다양하지만, 여기서는 대표로 저장매체만 살펴본다.

 

저장매체 복사 vs 복제 vs 이미징
저장매체의 변조 유무, 즉 무결성을 유지하기 위한 방안은 이미징 이외에도 복제와 복사가 있다. 3가지 방식에 대해 비교해보면 다음과 같다.

저장매체 복사저장매체 복제저장매체 이미징
획득 대상파일, 디렉터리원본의 모든 물리적 섹터원본의 모든 물리적 섹터
획득 결과파일, 디렉터리사본 저장매체이미지 파일
동작 방식원본 읽기/사본 쓰기비트스트림 복제비트스트림 이미징
데이터 손실 여부데이터 손실 발생모든 원본 데이터 획득모든 원본 데이터 획득
데이터 복구 여부복구 불가능삭제된 데이터 복구 가능삭제된 데이터 복구 가능

저장매체 복사는 획득하고자 하는 원본 파일 또는 디렉터리를 단순히 사본 저장매체에 복사하는 방식이다. 보통 마우스로 드래그 앤드 드롭(Drag-and-drop)을 하거나 copy(또는 cp) 명령어을 이용한다. 이 방식은 논리적인 데이터만 복사되기 때문에 삭제된 데이터를 복구할 수 없다. 또한 획득한 증거를 보호하기 위해 무결성 검증을 위한 별도의 데이터 포맷을 사용하거나 사본 저장매체 자체를 보호하는 방안이 강구되어야 한다.

저장매체 복제는 원본 저장매체의 모든 물리적인 섹터를 사본 저장매체로 복제하는 방식이다. 원본의 모든 물리적 섹터가 복제되기 때문에 사본 저장매체 크기는 반드시 원본 저장매체보다 커야 한다. 초기에는 원본 저장매체 모델과 동일한 저장매체를 사본으로 사용하는 것을 권장했지만 모델 수급의 문제점이 있기 때문에 최근에는 보통 원본보다 크기가 큰 사본 매체면 안정적으로 복제가 가능하다. 물론 복제 성능을 위해 디스크의 경우, 분당 회전 수(RPM), 디스크 버퍼 용량 등을 고려해줄 필요가 있다.

저장매체 이미징은 원본 저장매체의 모든 물리적인 섹터를 파일 형태로 만드는 방식이다. 초기에는 dd(disk dump) 방식을 많이 사용했지만 최근에는 획득한 이미지 파일의 손상을 보호하기 위해 별도의 포렌식 이미지 포맷을 사용한다. 대표적인 포렌식 이미지 포맷으로는 EWF(Expert Witness Compression Format)와 AFF(Advanced Forensics Format)가 있다. 포렌식 이미지 포맷을 사용하면 원본 비트스트림 데이터를 압축하여 이미지 크기를 줄이거나 암호화를 통해 데이터를 보호할 수도 있다.

저장매체 복사 방식은 증거를 획득하는 가장 기본적인 방법이지만 데이터 복구가 불가능하기 때문에 실제 포렌식 환경에서는 거의 사용되지 않는다.

저장매체 복제는 단순히 비트스트림 복제 작업만 하기 때문에 3가지 방식 중에 가장 속도가 빠르다. 하지만 100개의 저장매체를 분석하기 위해서는 분석 인원에 따라 100~300개 이상의 저장매체가 필요하기 때문에 효율적이지 못하다. 그리고 원본 데이터를 배포하려면 물리적인 저장매체를 전달해야 하기 때문에 실제 포렌식 환경에서 적합하지는 않다. 초기에는 저장매체 복제 방식이 많이 사용됐지만 최근의 저장매체 복제는, 현장에서 빠른 데이터 획득이 필요한 경우, 1차 획득을 위해서만 주로 사용한다. 1차 획득으로 복제한 저장매체는 분석의 효율성을 위해 다시 이미징을 하게 된다.

저장매체 이미징 방식은 현재 가장 많이 사용되는 증거 획득 방식이다. 원본 증거를 획득과 동시에 압축할 수 있기 때문에 사본 저장매체의 용량을 대폭 줄일 수 있다. 단일 저장매체를 분석한다면 압축 효율성이 크기 않을 수도 있겠지만, 침해 사고와 같이 다수의 시스템을 분석해야 할 경우, 압축은 필수 조건이다. 그리고 포렌식 이미지는 파일 형태이기 때문에 쉽게 복사만하여 분석가들에게 배포가 가능하다.

최근에 주로 사용되는 이미징 방식에 대해 좀 더 자세히 살펴보자.

 

저장매체 이미징 – 소프트웨어 방식
저장매체 이미징은 크게 소프트웨어 방식과 하드웨어 방식으로 나눌 수 있다. 소프트웨어 방식은 명칭 그대로 소프트웨어를 이용해 원본 저장매체의 모든 물리적인 섹터를 사본으로 이미징하는 것이다. 이미징 소프트웨어는 매우 다양하지만 주로 사용되는 소프트웨어는 다음과 같다.

이름인터페이스플랫폼제조사라이선스
FTK ImagerGUI윈도우AccessData무료
Tableau ImagerGUI윈도우TABLEAU무료
EnCase winacqCLI윈도우Guidance Software상용/무료
dd-likeCLI리눅스/윈도우-무료

소프트웨어 방식으로 이미징을 할 때 주의할 점은 원본 저장매체의 무결성이 훼손되지 않아야 한다는 점이다. 이를 위해 원본 저장매체를 읽기 전용으로 마운트하거나 쓰기 방지 장치(Write Blocker)를 사용한다. 쓰기 방지 장치도 소프트웨어 방식과 하드웨어 방식이 존재하지만 성능이나 안전성의 이유로 하드웨어 방식을 권장한다.

대표적인 하드웨어 쓰기 방지 장치는 다음과 같다.

이름제조사지원 인터페이스라이선스
Forensic BridgeTABLEAUPATA, SATA, SCSI, SAS, USB, FireWire상용
FastBlocGuidance Software
(WiebeTech L.L.C)
PATA, SATA, SCSI, SAS, USB, FireWire상용
UltraDockWiebeTechPATA, SATA, USB, FireWire상용
Drive LockICSPATA, SATA, SCSI, USB, FireWire상용

쓰기 방지 장치는 원본 저장매체로 전달되는 쓰기 신호를 차단하여 원본의 무결성을 유지시켜주는 장비이다. 원본 저장매체와 이미징 소프트웨어를 동작시키는 호스트 사이에 브릿지(Bridge) 형태로 연결한다. 다음은 SATA 방식의 원본 저장매체에 TABEAU 쓰기 방지 장치를 연결한 모습이다.
write_block.jpg

 

저장매체 이미징 – 하드웨어 방식

하드웨어 방식은 이미징을 위해 특수 제작된 하드웨어 장비를 사용해 이미징하는 것이다. 소프트웨어 방식에서는 원본 저장매체의 마운트와 데이터 전송이 호스트 시스템에 의해 이루어졌다면 하드웨어 방식에서는 이 모든 작업이 독립된 하드웨어 장비를 이용해 이루어진다. 물론, 하드웨어 장비를 구동하고 이미징하는 작업은 소프트웨어에 의해 실행되지만, 호스트 시스템을 사용하지 않는 다는 점에서 소프트웨어 방식과 구별된다.

대표적인 하드웨어 이미징 장비는 다음과 같다.

이름제조사라이선스특징
Image MASSter Solo-4ICS상용동시에 최대 2개의 이미징/복제가 가능한 휴대용 이미징/복제 장비
Road MASSterICS상용휴대성이 강화된 올인원 1:1 이미징/복제 장비
Rapid ImageICS상용동시에 최대 20개의 이미징/복제가 가능한 대용량 장비
Forensic QuestLogicube상용휴대성이 강화된 제품으로 1:1 이미징/복제 장비
Forensic DossierLogicube상용동시에 최대 2개의 이미징/복제가 가능한 휴대용 이미징/복제 장비
OmniCloneLogicube상용동시에 최대 10개의 이미징/복제가 가능한 대용량 장비

다음은 Solo-4 하드웨어 장비를 이용해 원본 저장매체를 이미징하는 모습이다.
solo4_imaging.jpg

하드웨어 이미징 장비는 고가이기 때문에 쉽게 도입하기가 어려울 수 있다. 이런 상황에서는 쓰기 방지 장치를 구입하고 무료 소프트웨어를 사용해 이미징하는 방안이 적합하다. 한번에 여러 개의 이미지를 생성할 수는 없지만, 생성된 이미지는 파일 형태이기 때문에 쉽게 복사해 배포할 수 있다. 배포 시스템을 별도로 구축한다면 배포도 빠르게 할 수 있다.

반면, 예산에 문제가 없다면 하드웨어 이미징 장비를 구입해 사용하는 것이 적합하다. 하드웨어 장비는 모델에 따라 다르지만 하나의 원본 저장매체를 동시에 여러 개로 복제하거나 이미징하는 것이 가능하다. 게다가 대부분의 하드웨어 이미징 장비는 완전 삭제(wiping) 기능도 포함하고 있기 때문에 보안 상의 중요한 데이터를 빠르게 완전히 파기해야 하는 경우 유용하게 사용할 수 있다.

물론 예산만의 문제로 이미징 장비를 선택하는 것은 바람직하지 않다. 사용 환경과 용도에 맞는 장비를 선택해야 한다. 포렌식 분석 대상을 넓게 잡아 기능이 가장 다양한 제품을 구매하는 것도 좋지만, 비싼 가격으로 실제 사용하지 않는 기능임에도 불구하고 예산 낭비를 하는 경우를 종종 보게 된다.

소프트웨어/하드웨어 장비 모두 거의 외산 제품이기 때문에 국내 공급 대리점을 이용해 구매해야 한다. 도입하기 전에는 반드시 실제 환경을 대상으로 꼼꼼한 BMT(Bench Marking Test)를 진행해보는 것이 필요하다.




Designed by sketchbooks.co.kr / sketchbook5 board skin

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5