모바일 포렌식 입문

https://product.kyobobook.co.kr/detail/S000000935769

모바일 포렌식 | 사티시 봄미세티 - 교보문고

---

1. 모바일 포렌

• 디지털 포렌식의 한 분야로, 모바일 장치로부터 디지털 증거를 복구하는 과정
• 디지털 증거는 조작되지 않아야 하지만, 모바일 장치에서는 증거 보존이 어려운 경우가 많음
• 환경설정을 변경하지 않고는 조사가 불가능할 경우, 그 변경 사항은 반드시 문서화해야 함

 

2. 모바일 포렌식의 과정

1. 압수:
   • 장치가 꺼져 있을 경우 패러데이 백에 담아 전원을 차단하고, 암호화된 경우 잠금 해제 필요
   • 장치가 켜져 있을 경우 원격 삭제를 방지하기 위해 네트워크를 차단
2. 수집:
   • 적절한 도구를 사용해 데이터를 추출
3. 조사/분석:
   • 모바일 장치의 다양한 모델과 OS로 인해 모든 기종을 위한 단일 절차 개발은 어려움

 

 

 

 

모바일 폰 종류 늘어남에따라 모든 기종을 검사하는 단일 장비나 절차 개발이 어려움. 모바일폰은 임베디드 운영체제로 설계. 데이터 수집 및 분석 위해서는 지식 및 기술 요함.

 

 

 

3. 모바일 포렌식의 어려움

• 복수 장치 접근 가능: 여러 기기에서 데이터가 동기화 가능
• 하드웨어 차이: 짧은 제품 주기 때문에 다양한 하드웨어가 존재
• 모바일 운영체제: 개인용 컴퓨터에 비해 다양한 OS
• 보안 기능: 암호화 메커니즘이 존재해 접근 어려움
• 도구 부족: 특정 장치를 위한 포렌식 도구 선택이 어려움.
• 안티 포렌식 기법: 데이터 숨김, 난독화, 위조
• 증거의 동적인 속성: 쉽게 변경이 가능
• 예기치 않은 초기화: 기기 내 초기화 기능 제공
• 장치 변경: 애플리케이션 데이터 이동, 파일 이름 변경, 제조사의 운영체제 수정
• 비밀번호 복구: 장치가 비밀번호로 보호되어있어 복구해야함
• 통신 차폐: 네트워크나 블루투스, 적외선으로 통신 시 데이터가 변현됨
• 악성 프로그램: 장치에 바이러스나 트로이목마같은 소프트웨어 존재가 가능함
• 법적 문제: 여러 사법권에서의 법적 문제.

 

 

4. 모바일 폰 증거 추출 과정

 

 

수집: 요청 문서를 작성해 소유권 및 관련성 명시.

식별: 법적 권한, 장치 모델, 증거 출처 등 확인.

준비: 적절한 방법과 도구를 연구.

격리: 네트워크로부터 장치 격리.

처리: 검증된 방법으로 수집.

검증: 추출한 데이터가 수정되지 않았는지 확인.

문서화/보고: 수집 과정 전반을 기록.

제시: 법정에서 명확하게 증거 제시.

기록 보관: 추출한 데이터를 안전하게 보관.

 

 

 

 

모바일 운영체제 개요

안드로이드 OS: 터미널 수준의 접근 제공

iOS: 제공 안함

주요 모바일 운영체제: android, iOS, 블랙베리, 윈도우 폰

https://www.idc.com/

IDC: The premier global market intelligence firm.

 

주요 모바일 운영체제

• 안드로이드 OS: 리눅스 기반, 가장 많이 사용되는 모바일 OS.
• iOS: 애플의 독점 운영체제, 터미널 접근 불가.
• 윈도우 폰: 마이크로소프트의 운영체제.
• 블랙베리 OS: 법인에서 많이 사용되며, 높은 보안성 제공.

 

 

 

모바일 포렌식 도구 레벨링 시스템

모바일 폰 포렌식 도구의 레벨 피라미드(샘 브라더즈, 2009)

목적: 포렌식 도구의 조사 방법론에 따라 도구를 분류하는 것.

1. 수동 추출
   • 방법: 장치의 키패드나 터치스크린을 사용해 데이터를 직접 확인하고, 이를 사진으로 문서화.
   • 장점: 빠르고 간편하며 거의 모든 휴대폰에서 사용 가능.
   • 단점: 사용자 실수로 데이터 누락 가능성. 삭제된 데이터는 복구 불가.
2. 논리적 추출
   • 방법: 장치를 포렌식 하드웨어 또는 워크스테이션에 연결(USB, RJ-45, 블루투스, 적외선).
   • 장점: 빠르고 연습 시간이 짧음.
   • 단점: 장치에 데이터가 쓰일 수 있어 증거 무결성에 영향을 줄 수 있음. 삭제된 데이터는 접근 불가.
3. 헥스 덤프
   • 방법: 장치에 서명되지 않은 코드나 부트로더를 넣어 메모리 덤프를 추출.
   • 장점: 비용이 적게 들고 많은 데이터를 추출 가능. 삭제된 데이터도 복구 가능.
   • 단점: 기술적 전문성 필요.
4. 칩오프
   • 방법: 메모리 칩에서 직접 데이터를 수집.
   • 장점: 삭제된 데이터를 복구 가능.
   • 단점: 비용이 높고 하드웨어 지식 요구. 잘못된 처리 시 데이터 손실 가능.
5. 마이크로 칩 읽기
   • 방법: 전자 현미경을 사용해 메모리 칩의 물리적 게이트를 분석하고 데이터를 수동으로 해석.
   • 장점: 정밀한 분석 가능.
   • 단점: 시간과 비용이 많이 들고 매우 높은 기술적 지식 필요. 거의 사용되지 않음.

 

 

 

데이터 수집 방법

디지털 장치 및 주변 장치, 매체로부터 정보를 추출하는 과정으로, 물리적, 논리적, 수동적 방법으로 나뉨.

1. 물리적 수집
   • 방법: 모바일 포렌식 도구를 사용해 플래시 메모리에 직접 접근하여 데이터를 추출.
   • 특징: 컴퓨터 포렌식과 유사하게 전체 파일 시스템의 비트 단위 사본을 생성.
   • 장점: 삭제된 데이터를 포함해 장치 내 모든 데이터를 얻을 수 있으며, 할당되지 않은 공간에도 접근 가능.
   • 단점: 시간이 걸릴 수 있으며, 높은 기술적 지식이 요구될 수 있음.
2. 논리적 수집
   • 방법: 장치 제조사의 애플리케이션 프로그래밍 인터페이스(API)를 사용해 내부 데이터를 컴퓨터와 동기화.
   • 특징: 쉽게 수행되며, 장치에 저장된 파일만 복구 가능.
   • 장점: 수행이 간단하며, 포렌식 도구에 따라 필요한 데이터만 선택적으로 수집 가능.
   • 단점: 할당되지 않은 공간의 데이터나 삭제된 데이터는 복구 불가.
3. 수동 수집
   • 방법: 장치의 키패드나 터치스크린을 사용해 직접 메뉴 탐색 후 화면 내용을 사진으로 기록.
   • 특징: 가장 마지막으로 선택되는 방법.
   • 장점: 수행이 쉬우며, 특별한 기술적 도구 없이도 가능한 방식.
   • 단점: 사람의 실수로 인해 증거를 삭제하거나, 중요한 데이터를 놓칠 가능성이 높음. 모바일 폰 화면에 나타나는 데이터만 수집 가능.

 

 

증거 법칙

디지털 증거가 법정에서 인정받기 위해서는 증거 인정 여부, 진위 여부, 완전성, 신뢰성, 믿을 만한 증거에 대한 기준을 충족해야 함.

1. 증거의 인정 여부
   • 설명: 불법적으로 수집된 증거는 일반적으로 법정에서 인정되지 않음.
2. 증거의 진위 여부
   • 설명: 사건과 관련되어 어떤 사실을 증명할 수 있는 증거여야 함.
3. 증거의 완전성
   • 설명: 제시된 증거는 전체 사건의 내용을 반영해야 하며, 일부만 나타내는 증거는 인정되지 않음.
4. 증거의 신뢰성
   • 설명: 증거를 수집하는 데 사용된 도구와 방법이 신뢰할 수 있어야 함.
5. 믿을만한 증거
   • 설명: 증거 수집 과정에서 무결성을 유지한 방법이 명확하고 간결하게 설명 가능해야 함.

이러한 법칙을 충족해야 디지털 증거는 법적 효력을 가질 수 있음.