Top

실전 포렌식 증거 수집 [리눅스 도구를 활용한 디지털 증거 수집]

  • 원서명Practical Forensic Imaging: Securing Digital Evidence with Linux Tools (ISBN 9781593277932)
  • 지은이브루스 니켈(Bruce Nikkel)
  • 옮긴이곽경주, 박모현
  • ISBN : 9791161752532
  • 35,000원
  • 2018년 12월 31일 펴냄
  • 페이퍼백 | 420쪽 | 188*235mm
  • 시리즈 : 디지털 포렌식, 해킹과 보안

책 소개

요약

디지털 포렌식에서 가장 처음 이뤄지는 증거 수집 과정을 자세하고 친절하게 다룬다. 다양한 종류와 형태의 저장 매체에서 이미지를 추출하는 예시가 상세히 포함돼 있어 실제 침해사고 조사에도 응용할 수 있다. 특히 대부분의 예시들에서 Unix 도구를 사용함으로써 상용 툴에 대한 부담을 줄였다. 학습 가이드뿐만 아니라 필요할 때마다 찾아보는 포렌식 매뉴얼로도 활용할 수 있는 책이다.

추천의 글

이 책은 많은 곳에 필요하고, 가장 적절한 시기에 제공된다. 최근 몇 년 동안 디지털 증거의 보존은 기업 거버넌스, 컴플라이언스, 형사 및 민사 소송 및 군사 작전에 결정적인 역할을 수행했다. 이러한 동향은 지리적으로 제한되지는 않으며 개발 도상국을 포함한 대부분의 대륙에 적용된다. 정통한 조직은 인적 자원의 불만, 정책 위반 및 고용 종료를 처리할 때 관련 컴퓨터 시스템을 보존한다. 일부 조직에서는 규정 준수를 위해 데이터를 사전 예방적으로 보존하기도 한다. 이 책은 합리적인 비용으로 기업 전체에 구현할 수 있는 확장 가능한 솔루션을 제공한다. 대부분의 범죄는 디지털 증거를 포함하고 있으며, 제한된 자원과 교육이 제공되는 소규모의 법 집행 기관에 데이터를 보관해야 하는 책임이 점차 커지고 있다. 이 책은 이러한 기관의 일상적인 문제에 실질적인 솔루션을 제공하는 소중한 자원이다.
민간 사안은 컴퓨터, 서버, 이동식 미디어 및 백업 테이프를 비롯한 많은 데이터 소스에 대량의 데이터가 분산될 수 있다. 이러한 상황에서는 효율적이고 효과적인 방법이 중요하며 이 책은 이러한 요구 사항도 충족시킨다.
다양한 상황에서 디지털 증거를 보존하는 것이 중요해짐에 따라 적절한 보존 프로세스를 사용하는 일이 중요해졌다. 보존 과정의 약점은 디지털 조사의 모든 후속 단계에서 문제를 야기할 수 있는 반면, 포렌식 관점에서 적절한 방법과 도구를 사용해 제시된 증거는 명백한 사고 조사 결과의 기반을 제공한다.
이와 더불어 디지털 증거를 보존해야 할 필요성이 커지면서 다양한 환경 및 사용 사례에 대해 신뢰할 수 있고 저렴하며 적용할 수 있는 도구에 대한 요구가 커지고 있다.
이 책은 오픈 소스 기술에 집중함으로써 이러한 요구 사항을 해결한다. 오픈 소스 도구는 높은 투명성, 저렴한 비용 및 적용성에 대한 이점을 갖고 있다. 투명성 은 다른 사람이 오픈 소스 도구의 신뢰성을 보다 철저하게 평가할 수 있게 한다. 알려진 데이터 세트를 사용하는 블랙박스 테스트 외에도 소스 코드를 검토할 수 있다.
포렌식 보존 비용을 줄이는 것은 리소스가 제한돼 있는 기관과 대량의 데이터를 처리해야 하는 모든 조직에 중요하다.
특정 환경의 요구에 맞게 오픈 소스 도구를 적용할 수 있다는 것이 큰 이점이다. 일부 조직은 오픈 소스 도구와 보존 도구를 기업 또는 포렌식 랩의 자동화된 프로세스에 통합하는 반면, 다른 도구는 현장에서 사용하기 위해 이러한 도구를 휴대용 시스템에 저장해 이용한다.
모든 디지털 포렌식 프로세스 및 도구, 특히 오픈 소스 도구와 관련된 학습 곡선이 가파르게 상승하고 있다. 브루스 니켈(Bruce Nikkel)의 광범위한 경험과 지식은 이 책에 포함돼 있는 기술 자료들의 선명함을 통해 분명히 알 수 있다. 초보자뿐 아니라 전문가 역시 흥미를 느끼며 접근할 수 있다. 포렌식 이미징의 이론 및 핵심 요구 사항부터 시작해 오픈 소스 도구를 사용해 포렌식 이미지를 수집하는 기술적 측면을 탐구한 SquashFS의 사용은 간단하지만 아주 영리하고 참신하며, 포렌식 이미징의 핵심 측면에 대한 실용적인 오픈 소스 솔루션을 제공한다. 그리고 포렌식 이미지를 관리하고 포렌식 검사를 준비하는 중요한 단계에 대한 논의로 마무리된다.
이 책은 기업, 법 집행 기관, 대테러 단체 등 디지털 증거를 보존해야 하는 모든 사람에게 없어서는 안 될 참고 자료다.

이 책에서 다루는 내용

█ 마그네틱 하드 디스크, SSD 및 플래시 드라이브, 광학 디스크, 마그네틱 테이프 및 레거시 기술의 포렌식 이미징 방법
█ 연결된 증거 매체가 실수로 수정되지 않도록 보호하는 방법
█ 대규모 포렌식 이미지 파일, 저장 용량, 이미지 형식 변환, 압축, 분할, 복제, 안전한 전송 및 저장, 안전한 폐기 관리 방법
█ 암호화 및 조각별 해싱, 공개키 서명 및 RFC-3161 타임 스탬프로 증거 무결성을 보존하고 검증하는 방법
█ NVME, SATA Express, 4K 기본 섹터 드라이브, SSHD, SAS, UASP / USB3x 및 Thunderbolt와 같은 최신 드라이브 및 인터페이스 기술을 사용하는 방법
█ 다음과 같은 드라이브 보안을 관리하는 방법: ATA 패스워드, 암호화된 Thumb 드라이브, 오팔(Opal) 자가 암호화 드라이브, BitLocker, FileVault 및 TrueCrypt를 사용하는 OS 암호화 드라이브 등
█ RAID 시스템, 가상 머신 이미지 및 손상된 미디어와 같이 더욱 복잡하거나 어려운 상황에서 사용 가능한 이미지를 확보하는 방법

이 책의 대상 독자

이 책은 두 집단의 사람들에게 도움이 된다.
첫째, 숙련된 포렌식 조사관들이 포렌식 수집 업무를 수행함에 있어 리눅스 명령줄 스킬을 향상시키는 데 도움이 된다. 둘째, 디지털 포렌식 수집 기법들을 배우고 싶어하는 숙련된 유닉스와 리눅스 관리자들에게 유용하다.
이 책의 예상 독자는 사고 대응팀, 대기업 내 컴퓨터 포렌식 조사관, 법률, 감사, 컨설팅 기업의 포렌식 및 전자 증거 기술자 그리고 사법 기관의 전통적인 포렌식 실무자들을 포함한 여러 영역에서 그 수를 늘려가고 있는 포렌식 실무자들이다.

이 책의 구성

0장, ‘디지털 포렌식 개요’는 디지털 포렌식에 대한 일반적인 개론이다. 이 분야의 역사와 발전 과정을 다루며, 방향성을 제시한 의미 있는 사건들을 언급한다. 특히 법정에서 사용할 디지털 증거의 생성에 필요한 표준의 중요성을 강조한다. 이 책은 전반적으로 국제용이며 지역별 법적 관할권에서 독립적인 것을 목표로 한다. 오늘날 이 점은 매우 중요한데, 점점 더 많은 범죄 수사가 여러 국경에 걸쳐 있고 다수의 관할권과 관련돼 있기 때문이다. 또한 민간 영역의 포렌식 역량의 증가에 따라 민간 포렌식 랩, 특히 글로벌 기업들에게 유용할 것이다.
1장, ‘저장 매체 개요’는 대용량 저장 매체, 커넥터와 인터페이스 그리고 매체 접근에 사용되는 명령과 프로토콜에 대한 기술적인 개요를 제공한다. 전문 포렌식 랩 환경에서 일하는 통상적인 포렌식 조사관이 접하게 될 기술들을 다룬다. 서로 다른 저장 매체 인터페이스, 프로토콜 터널링, 브릿징 그리고 저장 매체가 호스트 시스템과 연결되고 상호 작용하는 방법을 확실히 이해할 수 있도록 많은 노력을 기울였다.
2장, ‘포렌식 증거 수집 플랫폼으로서의 리눅스’는 포렌식 수집 플랫폼으로서의 리눅스에 대한 개요를 제공한다. 리눅스와 오픈 소스 소프트웨어 사용의 장단점을 간략히 짚고 넘어간다. 리눅스 커널이 시스템에 새로 연결된 장치를 인식하고 다루는 방법과 이 장치들에 접근하는 방법을 설명한다. 2장은 리눅스 배포판과 셸 실행의 개요를 제시한다. 또한 책 전반에 걸친 중요한 개념으로 파이프의 사용과 리다이렉션을 설명한다.
3장, ‘포렌식 이미지 포맷’은 업계에서 공통적으로 사용되는 다양한 원시 및 포렌식 포맷을 다룬다. 이 포맷들은 수집된 저장 매체를 위한 디지털 “증거 봉투”와 같다. 3장은 원시 이미지, EnCase, FTK와 같은 상용 포렌식 포맷을 설명하고, AFF와 같은 학계의 포맷도 다룬다. 또한 SquashFS 기반의 간단한 포렌식 증거 보관소와 그 관리 도구도 소개한다.
4장, ‘계획 및 준비’는 책의 전환점으로, 이론적인 영역을 떠나 실무적이고 절차적인 영역에 들어선다. 처음은 정식 포렌식 보고서에 사용하기 위해 로그와 감사 기록을 유지하고 명령 정보를 저장하는 예시들로 시작한다. 포렌식 조사관들이 흔히 겪는 계획 수립과 실행 계획상의 문제들을 다룬다. 4장은 실제 수집 절차를 준비하기 위해 포렌식적으로 견고하고 쓰기 방지 처리된 작업 환경을 구성하는 부분으로 끝난다.
5장, ‘수집 호스트에 조사 대상 매체 연결’은 조사 대상 디스크를 수집 호스트에 연결하고 디스크에 대한 정보(ATA, SMART 등)를 모으는 내용으로 이어진다. 이 단계에서 HPA와 DCO 등 매체 접근에 대한 제약이 제거되고, 잠기거나 자가암호화된 디스크들에 대해 접근할 수 있게 된다. 5장은 애플 타깃 디스크 모드 등의 몇몇 특별한 주제들도 다룬다. 이때의 디스크는 수집 명령을 실행할 수 있도록 준비된 채로 대기 중인 상태다.
6장, ‘포렌식 이미지 수집’에서는 수집을 실행하면서 오픈 소스와 상용 도구를 이용해 포렌식 수집의 여러 가지 형태를 보여준다. 해시, 서명과 타임스탬프 서비스로 증거를 보존하는 것에 주안점을 둔다. 불량 블록과 에러와 더불어 네트워크상의 원격 수집 등 다양한 시나리오를 다룬다. 테이프와 RAID 시스템의 수집을 포함하는 특별 주제도 있다.
7장, ‘포렌식 이미지 관리’는 수집한 디스크 이미지의 관리에 집중한다. 7장은 포렌식 이미지가 성공적으로 생성됐음을 가정하고, 일반적인 수집 후 절차들을 설명한다. 이 절차들에는 이미지의 압축, 분할, 암호화, 포렌식 포맷 간의 변환, 이미지의 클론 및 복제, 제삼자에게로의 이미지 전송, 장기 보관을 위한 이미지 처리 등이 포함된다. 7장은 안전한 데이터 삭제에 대한 절로 마무리된다.
8장, ‘특수 이미지 접근’은 검사를 위해 수집 이후에 수행할 수 있는 몇몇 특별한 작업을 다룬다. 루프 장치를 통한 이미지 접근, 가상 머신 이미지 접근, 운영 체제 암호화 이미지 (BitLocker, FileVault, TrueCrypt/VeraCrypt 등) 접근 등이 포함된다. 기타 가상 디스크 보관소에 접근하는 내용도 있다. 이 기법들은 해당 이미지들에 대해 포렌식 분석을 수행하고 일반 파일 관리자나 기타 프로그램을 이용해 파일 시스템을 안 전하게 탐색할 수 있도록 해줄 것이다.
9장, ‘포렌식 이미지의 부분적 추출’은 포렌식 분석 영역에 발을 담그며 이미지로부터 데이터 일부분을 추출하는 법을 보여준다(삭제된 파티션을 포함한). 이에는 파티션의 식별과 추출, 파티션 간 공간의 추출, 슬랙 공간의 추출 그리고 사전에 숨겨진 디스크 영역(DCO와 HPA)의 추출이 포함된다. 9장에는 개별 섹터와 블록의 추출이 포함된 부분별 데이터 추출의 몇 가지 예시가 있다.