라이브 포렌식 (Live Forensics) 및 분석

✋ 라이브 포렌식

대상 시스템의 운영 및 작동을 중단하지 않은 상태에서 디지털 증거를 수집 또는 분석하는 기법입니다.

 

라이브 포렌식

 

 

포렌식의 경우, 대게 문과생들이 더 유리합니다. 포렌식을 하려면 법을 이해해야 합니다. 마음가짐을 이분화로 나눠서 보면 안됩니다. (맞다, 틀리다 두가지로 나뉠 수 없다)

 

ex) 무죄 = 증거 불충분의 무죄, 혐의 없음 무죄 (문맥에 따라 진짜 죄가 없을 수 있고, 죄가 있다고 할 수 없다는 서로 다른 뜻)

 

 

 

⚡️ 라이브 포렌식의 개념

 

컴퓨터 대상 디지털 증거의 수집 방법에는 3가지가 존재합니다.

 

라이브 포렌식

대상 시스템의 운영 및 작동을 중단하지 않은 상태에서 디지털 증거를 수집 또는 분석하는 기법. “활성 시스템 포렌식”이라고도 불립니다.

 

데드 포렌식

대상 시스템의 운영 및 작동을 중단하고 전원을 차단한 상태에서 디지털 증거를 수집 또는 분석하는 기법입니다. 컴퓨터 대상 디지털 증거 수집의 가장 기본적인 방법으로 통상적으로 별다른 구분 없이 컴퓨터 대상 포렌식이라고 할 경우 데드 포렌식을 뜻합니다.

 

레저렉션(Ressurection)

기존에 수집한 증거를 토대로 다시 시스템을 구성하여 가동하는 것입니다.

 

 

 

 

 

📌 침해사고 대응 관점에서 라이브 포렌식

 

• 디지털 포렌식의 가장 기본은 디지털 증거의 획득이기 때문에, 보통 라이브 포렌식이라고 하면 활성 시스템 대상 수집만을 한정합니다.

 

• 하지만 침해사고 대응에서는 피해를 최소화하기 위해 수집 없이 바로 분석 및 대응을 하는 경우도 있어서, 라이브 포렌식을 활성 시스템을 대상으로 한 수집 및 분석으로 볼 수 있습니다.

 

 

 

📌 라이브 데이터 수집

 

라이브 포렌식과 개념이 완전히 다르기 때문에 구분할 필요가 있습니다.

 

(활성 데이터 수집) 활성 데이터(휘발성 데이터)의 수집을 지칭합니다.

 

라이브 포렌식의 경우 디지털 증거를 수집 또는 분석하는 기법을 지칭합니다.

 

 

 

 

📌 휘발성 데이터

 

휘발성 데이터의 경우 휘발성이 높은 데이터라고 표현하는 것이 바람직합니다. 일반적으로 비휘발성 데이터로 분류되는 하드 디스크 내의 데이터로 시간이 경과함에 따라 손실이 발생합니다.

 

 

• 각 데이터의 휘발성 높은 순서

레지스터, 캐시 > 라우팅 테이블, ARP 캐시 > 프로세스 정보 > 메모리(RAM)

여기까지 보편적인 휘발성 데이터

 

>임시 파일(디스크 복제 또는 이미징 시 휘발성 제거됨) > 디스크 (정보저장매체) > 원격 로그온과 모니터링 데이터 > 물리적 설정, 네트워크 토폴로지 > 기타 저장 장치

 

 

 

 

📌 전통적인 디지털 포렌식 절차와 라이브 포렌식

 

디지털 증거 수집방법은 대상 컴퓨터의 상태에 따라 현장에서 결정합니다.

 

3가지 중 하나의 방법으로 수행

1. 전원이 켜진 경우 : 라이브 포렌식 여부 판단, 그 결과에 따라 라이브 포렌식을 수행/비수행하고 데드 포렌식을 수행합니다.
2. 대기 상태(최대 절전모드, 절전모드 등): 위와 동일합니다
3. 전원이 꺼진 경우: 전원을 절대 키지 않고 정보저장매체를 분리하여 데드 포렌식 수행

 

*해당 방식은 예전 전통적인 절차이고 현재는 워낙 변수가 많아서 다양합니다.

 

 

전원이 꺼진 것처럼 보일 경우, 마우스를 움직이고 키보드 입력해 대기 상태에 있는지 확인해야 합니다. (키보드 입력 시 실제 입력이 일어나지 않는 키를 입력해야 합니다.)

 

 

 

라이브 포렌식이 필요한 경우

 

현재 시스템을 사용중인 사용자들이 존재하는 경우

• 일반적으로 서버 시스템인 경우가 해당됩니다.
• 하지만 라이브 포렌식으로 디지털 증거 수집의 목적을 달성하기 현저히 곤란하다면 적절한 절차를 통해 시스템 운영을 중단시키고 데드 포렌식을 수행할 수 있음

 

컴퓨터를 끄게 될 경우 해커가 현재 자신이 감지되고 있다는 사실을 인지할 수 있을 경우

• 보통 침해사고 대응(IR)에서 실시간으로 공격자를 추적하거나, 대상 시스템에 해커가 RDP(Remote Desktop Protocol)등을 통해 원격 접속하는 경우가 해당
• 해커가 대상 시스템에 접속해 있거나 접속할 경우에도 수사 중인 사실을 감추기 위해 시스템 운영을 중단하지 않음.

 

📌 필수적으로 메모리를 수집

 

• 소위 메모리 인젝션 악성코드라 불리는 인 메모리 인젝션 악성코드의 경우, 정보저장매체 에 악성 실행 코드를 복사하지 않고 메모리에 바로 로드하므로 메모리 수집이 필수입니다.

 

• 수집 대상에 암호화된 파일이 존재하거나 디스크/볼륨 단위 암호화가 적용되어 있는 경우, 메모리에 복호화 키가 존재할 가능성이 높으므로 필수적으로 메모리를 수집해야 합니다.

 

 

 

📌 선별 압수 원칙 기반 DF 증거 수집 절차 Process

 

한국에서는 라이브 포렌식 방식으로 선별 압수를 수행하되, 수행 과정에서 포괄 압수 사유가 발생하게 되면 포괄 압수로 전환합니다.

 

따라서 선별 압수 과정에서 포괄 압수 사유가 있는지 확인할 필요가 있습니다.

 

사유로는 총 3가지가 존재합니다. (그 외에도 있을 수 있음)

1. 포맷 또는 운영체제 재설치 흔적 발견
2. 파일 대량 삭제 기록 유무
3. 안티포렌식 도구 사용 유무

해당 사유에 대한 문서화를 하고 피압수자 또는 증거인의 확인 사실을 통해 객관성을 확보해야 합니다.