情報保護學會論文誌第 21 卷第 6 號, 2011. 12 이메일클라이언트내의삭제된이메일복원에관한연구 * 정초롱, 이근기, 이상진 고려대학교정보보호연구원 Recovery Techniques for Deleted Email Items in Email Client* Chorong Jeong, Keun-gi Lee, Sangjin Lee Center for Information Security & Technologies, Korea University 요 약 기업은커뮤니케이션수단및업무처리를위한수단으로이메일을사용한다. 이메일은비즈니스의주요업무를처리하기때문에기업정보의많은부분을보존하고있다. 그러므로기업기밀유출과같은사건조사시에이메일은중요한증거가될수있다. 하지만용의자가의도적으로이메일을삭제할가능성도있기때문에, 삭제된이메일을복원하는것은포렌식관점에서매우중요하다. 본논문은다양한이메일클라이언트파일내에존재하는삭제된이메일아이템구조를분석하고, 파일에존재하는이메일복원가능성과복원방안을설명한다. ABSTRACT Corporations use e-mail as their primary method for internal communication and business processes. By their nature, the e-mails are in general used for major business processes that contain large amounts of business information. When there is a critical event, such as Technology leakage, an e-mail message can become important evidence. However, as there is a high likelihood that a suspect will intentionally erase an e-mail message, the ability to recover deleted e-mail is very important. This pater analyzes the deleted e-mail item structure in files of various e-mail clients, and explains the possibility and methods of recovery. Keywords: Email Forensics, Email Recovery, Recovery, Email I. 서론 이메일은개인의의사소통수단이기도하지만일반적으로기업에서주요한업무처리를위한핵심수단이라할수있다. 기업은직원들과의의사소통을원활 접수일 (2011 년 3 월 23 일 ), 수정일 (2011 년 7 월 13 일 ), 게재확정일 (2011 년 9 월 6 일 ) * 본연구는지식경제부및한국산업기술평가관리원의산업원천기술개발사업의일환으로수행하였음 [10035157, 실시간분석을위한디지털포렌식기술개발 주저자, cutycom_@korea.ac.kr 교신저자, sangjin@korea.ac.kr 하게하고빠른업무처리를위해이메일을사용한다. 이메일은기업기밀유출과같은범죄의수단으로사용할수있다. 이러한사건의조사과정에서조사관은이메일에대한포렌식조사를하게된다. 용의자는자신의잘못을은폐하기위해사건과관련된이메일을삭제했을가능성이크다. 그렇기때문에삭제된이메일을복원하는것은사건의흐름을파악하는데도움을주며, 사건에중요한단서를제공할수있기때문에매우중요하다. 이메일을삭제하는방법은지운편지함에서삭제하는방법과지운편지함을거치지않고삭제하는방법
46 이메일클라이언트내의삭제된이메일복원에관한연구 [ 그림 2] 이메일클라이언트사용통계 [ 그림 1] Kernel for Outlook Express( 왼쪽 ) 와 PST Walker( 오른쪽 ) 이있다. 지운편지함에서삭제하는방법은이메일을삭제하여지운편지함으로이동시킨후, 지운편지함을비우는방식이다. 지운편지함을거치지않는이메일삭제방법은마이크로소프트에서정의한윈도우운영체제단축키에제시된 Shift+Delete 키를사용하여이메일을영구적으로삭제하는방법을말한다 [1]. 삭제된이메일정보는비할당영역에그대로존재는경우가있다. 하지만비할당영역분석은데이터가완전한형태로존재하지않는경우가많기때문에분석에어려움이따른다 [2]. 이메일복원을위한도구가많이존재한다. 그중분석에주로활용되는도구인 Kernel for Outlook Express[3] 와 PST Walker[4] 는각각 DBX 파일과 PST 파일내의삭제된이메일을복원하는도구이다. 각각의도구는해당하는파일내의삭제된이메일만복원가능하다. 또한 PST, DBX, EML 등의다양한파일을지원하는통합복원도구가존재하지않기때문에다양한파일내의삭제된이메일을한번에분석하기어렵다. 복원기능을테스트하기위해 3개의삭제된이메일을저장한 DBX 파일과 6개의삭제된이메일을저장한 PST 파일을생성하였다. 각각의파일을앞에서언급한두복원도구를이용하여삭제된이메일을복원한결과, [ 그림 1] 과같이 Kernel for Outlook Express 는 3개의삭제된이메일중 1개의이메일을복원하였으며, 한글을지원하지않아복원한이메일의내용을알아볼수없었다. PST Walker 의경우는 6개의삭제된이메일중 3개를복원하였다. 앞에서언급한도구뿐만아니라많은다른도구도완벽한복원기능을제공하지못하며, 통합분석을할수없기때문에새로운복원도구가필요하다. 2009년 6월, CampaignMointor는 6개월동안고객 3만명을대상으로현재사용하고있는이메일 클라이언트에대한설문조사를실시했다 [5]. [ 그림 2] 와같이고객이사용하는이메일클라이언트는크게웹메일과이메일클라이언트로분류할수있다. 웹메일은사용자가웹브라우저를이용하여장소에상관없이사용할수있으며, 웹서버에메일목록과메일본문, 전송확인, 첨부파일등의데이터가저장되어있다 [6]. 이런환경에서포렌식조사를하기위해서는웹브라우저사용흔적을분석해야한다. 본논문에서는메일을저장하고있는파일을대상으로분석하기때문에웹메일은분석대상에서제외한다. 이메일클라이언트는 Microsoft 의 Office 와같이응용프로그램을사용하여이메일을송 수신한다. 설문조사의결과를보면, 대부분의사람들이사용하는클라이언트는 Office Outlook 2000, 2003과 Outlook Express이며, 웹메일인 Yahoo Mail, Hotmail, Gmail를제외하고그다음으로 Office Outlook 2007 을많이사용하는것을알수있다. 많은고객이사용하는 Apple Mail 2, 3은 Mac 기반의운영체제에기본적으로설치되어있다. iphone 2.0과 3.0은이메일클라이언트를사용하지않고아이폰이나아이팟을이용하여이메일을송 수신하는것을의미한다. 본논문에서는 Windows OS 기반의이메일클라이언트인 Mozilla Thunderbird(MBOX) 와 Outlook Express(DBX), Microsoft Office Outlook(PST, OST) 에서사용하는이메일파일을대상으로삭제된이메일구조와복원방안에대해설명한다. II. 관련연구이메일포렌식과관련한논문들은 Rachid Hadjidj et al.(2009) 과 Farkhund Iqbal et al.(2010) 의연구와같이익명의이메일에서문체특
情報保護學會論文誌 (2011. 12) 47 성을분석하여저자를판단하는연구가주로이루어졌다 [7,8]. 하지만본논문은익명의저자판별이아닌이메일저장파일내의삭제된이메일복원에초점을맞춘다. 삭제된이메일구조분석은처음으로 Arne Schloh(2000) 이연구하였다 [9]. 이연구는 Microsoft Outlook Express 의이메일파일인 DBX 파일을대상으로하였으며, 삭제되지않은이메일의구조와삭제된이메일의구조를분석하여파일포맷문서로정리하였다. 또한삭제되지않은이메일을쉽게분석할수있는오픈소스를 Arne Schloh 홈페이지에공개하였다. 그이후, J.B. Metz가 Microsoft Outlook 파일인 PST와 OST 파일을대상으로연구하였다 [10]. 이연구는 2008 년부터현재까지꾸준히 PST 구조를분석해왔다. Arne Schloh 의 DBX 파일분석과마찬가지로 J.B. Metz 의 PST 분석도삭제되지않은이메일의구조를분석하여파일포맷문서로정리하였으며, PST 분석도구를개발하여, Sourceforge 와같은오픈소스사이트에공개하였다. J.B. Metz가공개한 PST 분석도구는삭제되지않은이메일을분석하여그결과를파일로저장한다. 또한완벽하지않지만삭제된이메일복원기능도제공한다. 그리고 2010 년, Microsoft 에서 PST 포맷관련문서를공개하였다. 본논문에서는 DBX 파일구조를실제파일에적용하여분석하고, 기존의 PST 복원방안보다더많은이메일정보를추출하는향상된이메일복원기법을제시한다. III. 삭제된이메일구조및복원방안 [ 표 1] 은주로사용되는이메일클라이언트와각이메일클라이언트에서사용하는파일의확장자명, 지원하는 OS를정리한것이다. 본논문에서는지원하는 OS가 Windows 인이메일클라이언트를대상으로분석하였다. Windows Live Mail 에서사용하는파일형식은 EML이다. EML은 MIME형식으로구성되며, 하나의파일에하나의이메일이저장된다. 이메일을삭제하는것은 EML 파일을삭제하는것을의미하므로파일내에삭제된이메일은존재할수없다. 하지만파일을삭제할때, 파일시스템의메타영역에존재하는삭제플래그값만변경하므로파일의메타정보와데이터영역에있는파일의데이터는그대로남아있다. [ 표 1] 이메일클라이언트이름및확장자명, OS 이메일클라이언트이름 Office Outlook (2000, 2003, 2007, 2010) 파일확장자명 PST, OST OS Windows Outlook Express DBX Windows, MAC OS Thunderbird MBOX Windows, Mac OS X, Linux Windows Live Mail EML Windows Vista, 7 Lotus Notes 6-7 NSF Windows, Unix, Linux, IBM Apple Mail 2,3 EMLX MAC OS X, ios 그러므로디스크내에서삭제된 EML 파일을복원할경우, 파일이덮어써지지않은비할당영역에존재한다면복원이가능하다. IBM Lotus Notes 는기업에서사용하는그룹웨어로이메일을저장하는파일형식은 NSF이다. 이파일은 INBOX, SENT, TRASH 등의편지함에속한모든이메일을저장한다 [11]. 하지만이메일을삭제하면, [ 그림 3] 과같이메일의영역이 0xAA 등의문자로덮어써진다. 그러므로 NSF에서삭제된이메일복원은불가능하다. 하지만나머지 3개의이메일클라이언트인 Outlook과 Outlook Express, Thunderbird는삭제된이메일복원이가능하다. 3개의이메일클라이언트는파일에삭제된이메일정보가남아있다. 다음은 Mozilla의 Thunderbird(MBOX) 와 Microsoft의 Outlook(PST, OST), Outlook Express(DBX) 에저장되어있는삭제된이메일정보의구조와복원방안에대해설명한다. [ 그림 3] NSF 파일내의일반이메일정보와삭제된이메일정보
48 이메일클라이언트내의삭제된이메일복원에관한연구 3.1 Mozilla Thunderbird (MBOX) 3.2 Microsoft Outlook Express (DBX) Thunderbird 는 Mozilla 에서제공하는이메일클라이언트이다. Thunderbird 는 [ 표 2] 와같이 MIME 기반의 MBOX 형식으로이메일이저장된확장자가없는파일과확장자가.msf 인파일이한쌍으로구성된다. 확장자가없는 MBOX 형식의파일은다수의이메일이연속적으로저장되어있다 [12]. 이파일은 INBOX( 받은편지함 ), Sent( 보낸편지함 ), Trash( 지운편지함 ), Drafts( 임시보관함 ), Unsent message( 보낼편지함 ) 등의편지함당하나의파일이생성된다..msf 파일은 Mail Summary File 로 MBOX 형식의파일내의이메일을관리하는인덱스파일이다. MBOX 형식의파일과같이편지함당하나의파일로존재한다. Thunderbird 에서삭제된이메일을복원하기위해서는 MBOX 형식의파일을추출해야한다. MBOX 형식의파일은삭제된이메일을포함하여저장한다. 또한텍스트로구성되어있기때문에 MIME 형태의단위로계속추출하면삭제된이메일까지도쉽게복원할수있다. MBOX 형식의파일은이메일의상태정보를저장하는헤더와 MIME 형식의이메일데이터영역으로구성된다. 이메일의상태정보를저장하는헤더에는 X-Mozilla-Status 가존재하며, 이정보는사용자가이메일을읽었는지, 이메일을삭제했는지플래그로나타낸다. 삭제된이메일을복원하기위해서는 X-Mozilla-Status 가 0x0008 을포함하는지확인하면된다. 이는 MSG_FLAG_EXPUN- GED를나타내는플래그값이다. [ 표 2] Inbox(MBOX 형식의파일 ) 와 Inbox.msf 파일예 Microsoft Outlook Express는 Windows에기본적으로설치되어있는이메일클라이언트이다. 따라서 Windows 95, 98, XP에서별도로 Microsoft Office 를설치하지않아도사용할수있다. Outlook Express 에서이메일을저장하는파일형식은 DBX 이다. DBX는받은편지함, 보낸편지함, 지운편지함, 보낼편지함, 임시보관함이라는파일명으로편지함당하나의파일로존재한다. 이편지함은이메일이저장된경우에생성된다. 또한이메일을관리하기위한파일로 Folders.dbx, Pop3uidl.dbx, Offline.dbx 가존재한다. Pop3uidl.dbx 는이메일서비스를 POP3 서버로이용할때필요하다. 이파일은 POP 서버에메시지복사본을보관하도록설정하면생성되는이메일의고유 ID를관리한다. Offline.dbx 는 IMAP 이나 Hotmail 계정이존재하는경우, 오프라인에서동작한 IMAP이나 Hotmail 의행동을저장하는파일이다. Folders.dbx 는 Outlook Express 에서받은편지함, 보낸편지함, 보낼편지함, 지운편지함, 임시보관함과같은폴더목록을만드는것을지원하는파일이다. DBX 파일의구조는 [ 그림 4] 와같다. DBX 파일은크게헤더영역, 3개의세그먼트, 예약된영역으로나눌수있다. 첫번째로파일헤더영역은 DBX 파일자체의정보와각세그먼트의시작오프셋, 세그먼트크기등의정보를담고있다. 두번째영역은인덱스정보세그먼트이다. 이영역은 folders.dbx 의정보와메일제목, 시간, 발신자정보, 수신자정보메시지 ID 등메시지의정보를저장한다. 세번째영역인트리세그먼트는다수의이메일관리를하기위해사용하는정보를저장한다. 네번째영역인메시지세그먼트는메시지를저장한다. 메시지세그먼트는삭제되지않은이메일의본문 (text) 과삭 MBOX 형식의파일예.msf 파일예 From - Mon Feb 21 20: 09:06 2011 X-Account-Key: account3 X-UIDL: 1297918244-525.42499.koreaLINK,S =1297918244525.42499 00000 X-Mozilla-Status: 0009 // <!-- <mdb:mork:z v="1.4"/> --> < <(a=c)> // (f=iso- 8859-1) (B8=numHdrsToKeep) (B9=daysToKeepBodie s)(ba=keepunreadonl y) (BB=useServerDefaults)(BC=cleanupBo dies) [ 그림 4] DBX 파일구조
情報保護學會論文誌 (2011. 12) 49 제된이메일의본문을각각의리스트로관리한다. 삭제된이메일리스트는 [ 그림 4] 와같이 Deleted Object 로구성된다. 마지막으로예약된영역은 3개의세그먼트중새로운영역이필요한경우파일의크기를다시조절할필요없이사용할수있다. DBX 파일내의삭제된이메일을복원하기위해서는 Deleted Object 를중심으로분석해야한다. Deleted Object 내에는해당하는객체의길이와다음삭제된객체 (Next Deleted Object) 의오프셋이저장되어있으며, 그외의영역에는발신자, 수신자, 본문등삭제된이메일의데이터가저장되어있다. DBX 파일내의삭제된이메일복원알고리즘은 [ 그림 5] 와같다. DBX 파일내의삭제된이메일리스트는가장최근의삭제된이메일이첫 Deleted Object 에저장되므로, 최근에삭제된이메일순으로복원이가능하다. 하지만삭제된메일은본문내용의끝부분이덮어써진경우가많아완벽한복원은불가능하다. [ 그림 6] 은실제 DBX 파일내에서삭제된이메일정보를찾는과정이다. 3.3 Microsoft Office Outlook (PST, OST) Microsoft Outlook은 Microsoft Office에속한이메일클라이언트로, 이메일을저장하기위한파일형식은 PST와 OST이다. PST는 Personal [ 그림 5] DBX 파일내의삭제된이메일복원알고리즘 [ 그림 6] DBX의삭제된이메일본문검색과정 Storage Table 로이메일메시지와기타항목을저장하는파일이다. Microsoft Outlook 은 Microsoft Exchange Server 와연동하여사용할수있다. OST는 Offline Storage Table로 Microsoft Exchange Server 에연결할수없을때오프라인으로작업할수있도록로컬에복사본을저장하여사용하기위한파일이다. PST와 OST 파일구조는차이가없으며, 구분하는값이파일헤더에저장되어있다 [10]. PST는 Page(512 바이트 ) 단위로표현하는 PM- AP(Page MAP) 과 Allocation(64 바이트 ) 단위로표현하는 AMAP(Allocation MAP) 으로파일내의이메일할당정보를관리한다. PMAP과 AMAP의크기는 512바이트이며, 1이면할당, 0이면비할당을나타낸다. PMAP 의 1비트는페이지크기인 512바이트와맵핑되며, 하나의 PMAP 은 2,031,616바이트의데이터섹션을나타내기때문에 2,031,616 바이트간격마다저장되어있다. AMAP의 1비트는 64바이트의 Allocation 블록과맵핑되며, 하나의 AMAP은 253,952 바이트의데이터섹션을나타내기때문에 253,952 바이트간격마다존재한다 [10,13]. 그리고 PST는이메일을 B-Tree 로관리한다. B-Tree 의시작오프셋은파일헤더에존재하며, B-Tree는 BTPAGE로구성된다. BTPAGE는 B-Tree 를구성하기위한노드정보를저장하며, 하나의 BTPAGE 는최대 20개의노드정보를저장할수있다. 각노드는하위 BTPAGE 를가리키며, Leaf 노드는이메일의정보를담고있는 TC와 PC, SLBLOCK 그리고 Data Block 을가리킨다. TC(Table Context) 는이메일을관리하기위한메타정보를저장하며, 64바이트배수단위로구성된다. PC는이메일본문, 제목, 발신자, 수신자등의이메
50 이메일클라이언트내의삭제된이메일복원에관한연구 일속성이나정보를저장하며, TC와같이 64바이트배수의단위로구성된다. 만약 BTPAGE 에하나의이메일정보를담지못한경우추가적인노드정보를 SLBLOCK 에저장한다. BTPAGE 와마찬가지로 TC, PC, Data Block을가리킨다. 마지막으로 Data Block 은이메일의첨부파일이나이메일의 HTML과같이데이터가저장된블록이다. Data Block 의크기는보통한페이지 (Page) 배수로구성된다. 전체적인 PST 구조는 [ 그림 7] 과같다. [ 그림 7] 에서회색으로표시된영역은파일의비할당영역을나타낸다. 비할당영역은 0x00 값으로비어있거나현재는삭제했지만예전에송 수신했던이메일정보가저장되어있을가능성이있다. PST 파일은이메일을두개의 B-Tree 인 NBT (Node B-Tree) 와 BBT(Block B-Tree) 로관리한다. BBT는이메일의실제데이터를저장하는 Node [ 그림 7] PST 파일구조 [ 그림 8] PST 파일내의삭제된이메일복원알고리즘
情報保護學會論文誌 (2011. 12) 51 [ 그림 9] NBT와 BBT의구조를관리하며, NBT는효율적인 BBT의 Node 검색을위해인덱스정보를저장한다 [10]. [ 그림 9] 와같이 NBT와 BBT는관리하는데이터가다르기때문에서로다른구조의 Entry 를가지고있다. PST에서정상적인메일을추출하기위해서는이메일을관리하는 B-Tree를분석해야한다. BTPAGE 에존재하는 Leaf 노드의오프셋을분석하여각각의 TC와 PC, Data Block 을추출한후통합하여하나의이메일로표현한다. PST 내의삭제된이메일을복원하기위해서는 AMAP 과 PMAP 을분석하여삭제된이메일이위치한비할당영역을분석한후, 비할당영역에존재하는 BTPAGE 를추출하여 B-Tree를구성한다. 만약구성한 B-Tree 의 Leaf 노드가가리키는데이터 (TC, PC, Data Block) 가모두비할당영역에존재한다면, 완전한이메일복원이가능하다. 하지만정상적인이메일이비할당영역을부분적으로덮어쓴경우, Leaf 노드가가리키는데이터는할당영역과비할당영역에걸쳐있을수있다. 이경우는완전한복원이어렵기때문에문자열검색을이용하여비할당영역에존재하는문자열을추출한다. 그리고비할당영역에서분석하지않은 BTPAGE 외의영역은 TC와 PC 내에존재하는고정적인데이터를시그니처로지정하고그것을기준으로다시검색하여 TC와 PC를추출하고분석한다. 그리고시그니처와시작오프셋이존재하지않는 Data Block 을추출하기위해지금까지분석한영역을제외한나머지영역을모아카빙기법을적용하여첨부파일이나다른정보를추출한다. [ 그림 8] 은본논문에서제시하는 PST 파일내의삭제된이메일복원알고리즘이다. PST는표현할수있는최대블록크기가 7KB이다. 그러므로만약삭제된이메일본문의크기가 7KB 미만일경우, 이메일의본문이 TC나 PC에포함되기때문에정상적으로복원이가능하다. TC와 PC는 [ 그 림 10] 과같이 7바이트의값을시그니처로지정하고, 크기를계산하여, 비할당영역에서추출할수있다. 이때, 크기는가장작은블록단위인 64바이트의배수로맞춰야한다. 하지만이메일의본문또는첨부파일의크기가 7KB 이상이거나지운편지함을거치지않은삭제방법으로이메일의메타정보가덮어써진경우에는 TC와 PC, Data Block 에이메일데이터가저장되기때문에분석이어렵다. 그러므로추출한 TC 와 PC를분석하고, 나머지비할당영역에서 Data Block을분석해야한다. 하지만 Data Block은표현할수있는시그니처가없고시작오프셋도알수없기때문에나머지비할당영역에서문자열을검색하여읽을수있는데이터를저장한다. 이렇게추출한데이터는어느메일에속해있는지는모르지만, 최소한삭제하기전에송 수신한데이터임을확신할수있다. 또한카빙기법으로이메일속성및데이터를효과적으로추출할수있다. IV. EMREAT(EMail REcovery & Analysis Tool) 성능실험및결과본절에서는앞서설명한정보를바탕으로구현한 EMREAT 의성능을실험하기위해기존에존재하는이메일분석도구와 EMREAT 의분석결과를비교한다. 성능실험의대상은 Microsoft Oulook 의이메일저장파일인 PST이며, PST의삭제된이메일복원성능에대해실험한다. 성능실험할도구는 PST 복원도구로잘알려진 PSTWalker[18] 와 Kernel for Outlook PST Repair[19], Stellar Phoenix Outlook PST Repair[20] 이다. 분석대상파일은삭제된이메일과 [ 그림 10] TC, PC의시그니처및크기계산법
52 이메일클라이언트내의삭제된이메일복원에관한연구 [ 표 3] 샘플파일의정보 이메일제목 삭제여부 1 20110124 email test No.1 O 2 20110124 email test No.2 X 3 20110124 email test No.3 X 4 20110124 email test No.4 X 5 20110124 email test No.5 X 6 20110124 email test No.6 O 7 20110124 email test No.7 O 8 20110124 email test No.8 O 9 20110124 email test No.9 O 10 COMPLETED:Sales Order... O 정상적인이메일의정보를알고있은샘플파일과실제사용하고있는 PST 파일을수집하였다. 먼저샘플파일의정보는다음과같다. 샘플파일은 2011년 1월 19일부터 24일까지사용한이메일이저장되어있으며크기는 4,729KB 이다. 총 10개의이메일을저장하고있으며, 그중 6개의이메일이삭제되어있었다. 이메일구조를분석한결과, 6개의삭제된이메일중하나의이메일이다른데이터로덮어써진것을확인할수있었다. 4가지의복원도구를사용하여샘플파일을복원한결과는다음과같다. 비할당영역내의문자열추출은이메일파일내의삭제된이메일내용중에일정영역이다른정보로덮어써져서복원할수없는경우에수행한다. 이경우비록삭제된메일을올바르게복원할수없지만삭제된이메일영역에존재하는문자열을추출하여송수신한메일의일부분을복원할수있다. 복원결과 EMREAT 이가장좋은성능을보였다. EMREAT 의속도에서소괄호안의속도 (6sec) 는문자열추출까지실행하였을때의시간이며, 문자열추출을제외하고비할당영역내의삭제된이메일만복 복원된도구이메일개수 EMREAT 6 속도 스트링추출 복원율 (%) 2sec (6sec) 238KB 100 PSTWalker 2 2sec - 33 Kernel for Outlook PST Repair 1 1sec - 17 Stellar Phoenix Outlook PST Repair [ 표 4] 샘플파일의복원결과 5 2sec - 83 [ 그림 11] 추출된 8 번이메일의일부데이터 도구 [ 표 5] 실제파일의복원결과 복원된이메일개수 EMREAT 57 속도 18sec (95sec) 스트링추출 23,296 KB PSTWalker 5 4sec - Kernel for Outlook PST Repair 156 52sec - Stellar Phoenix Outlook PST Repair 52 128sec - 원한속도는소괄호밖의시간 (2sec) 이다. EMR- EAT에서문자열추출까지실행한결과, 238KB 크기의비할당영역의문자열이추출된것을확인할수있다. EMREAT 은비할당영역에존재하는이메일이다른정보로일부덮어써질경우에도문자열추출을통해덮어지지않은부분에존재하는문자열을추출하기때문에가장좋은성능을보인다. 그결과, 덮어써져복원할수없는 8번이메일의일부데이터를추출할수있다. 다음은실제사용하는 PST 파일을수집하여성능실험을진행하였다. 실험파일은 2009 년 6월 12일부터 2011 년 6월 13일까지사용하였으며, 크기는 285,465KB 이다. 파일의복원결과는다음과같다. 파일의복원결과는 Kernel for Outlook PST Repair 가 156개를복원하여가장많은이메일을복원한것처럼보인다. 하지만복원된 156개의이메일을분석한결과, 중복된이메일이많았다. 그리고복 [ 표 6] 실제파일의오탐 (false positive) 결과 도구 복원된이메일개수 오탐개수 ( 중복 ) 실제복원개수 정확도 (%) EMREAT 57 0(1) 56 98.2 PSTWalker 5 0(0) 5 100 Kernel for Outlook PST Repair Stellar Phoenix Outlook PST Repair 156 156 (156) 0 0 52 9(5) 41 78.8
情報保護學會論文誌 (2011. 12) 53 원된이메일은대부분정상적인이메일을삭제된것이라고판단하였다. 실제삭제된이메일을복원하지못했다. Stellar Phoenix Outlook PST Repair는 9개의오탐이발견되었으며, EMREAT 은 1개의중복된이메일이있었다. EMREAT 은 56개의이메일을복원하고, Stellar Phoenix Outlook PST Repair 에서 41개의이메일을복원한것과달리 PSTWalker 는 5개의이메일을복원하였다. 5개의이메일중중복된이메일이나오탐인경우는존재하지않았으나다른도구에비해복원율이현저히떨어지기때문에실제파일의이메일복원은 EMREAT 이가장좋다는것을알수있다. 복원실험의결과, 4가지도구의특징은다음과같다. PSTWalker는전체적으로복원율이현저히떨어진다. 또한 Kernel for Oulook PST Repair 는중복된이메일이너무많이추출되어이메일을분석하는데어려움이있다. 그리고복원된이메일을확인한결과, 삭제되지않은일반이메일임에도불구하고삭제되었다고분석되는경우도존재했다. Stellar Phoenix Outlook PST Repair는복원율은 PSTWalker 나 Kernel for Outlook PST Repair 보다좋았으나삭제된이메일이표시가되지않아정상적인이메일과구분을할수없어분석에어려움이있다. 이에반해 EMREAT 은 Stellar Phoenix Outlook PST Repair보다좋은복원율을보였으며, 속도도다른도구에비해좋은것을확인할수있다. 또한중복된메일의개수도적었으며, 삭제된이메일의일부가다른데이터로덮어써져복원을할수없는경우, 문자열추출기능을사용하여남아있는이메일정보중일부를추출할수있다. V. 결론및향후연구개인정보및기밀정보와같은데이터의송 수신흔적을지우기위해삭제한이메일을복원하는것은포렌식관점에서매우중요하다. 본논문에서는다양한이메일파일에서삭제된이메일복원이가능함을보였다. Thunderbird(MBOX) 는텍스트파일이므로파싱하여추출하는방법이며, Outlook Express(DBX) 는파일포맷에삭제된이메일을위한 deleted list 구조체가존재하여복원이가능했으나부분적인복원이가능하다. 마지막으로 Microsoft Office Outlook(PST, OST) 은복잡하지만할당정보를갖고있는 AMAP, PMAP을기반으로정보를 수집한후복원할이메일로 B-Tree 를새로생성하며, 생성한 B-Tree 에서일반메일추출방법과동일하게삭제된이메일아이템을추출할수있다. 또한기존분석보다향상된방법으로비할당영역에서시그니처기반의카빙분석과문자열검색으로더많은이메일정보를획득할수있다. 본논문에서는다양한이메일데이터파일에저장되어있는정상메일을추출하였으며삭제된메일을복원할뿐만아니라, 삭제된후덮어써진메일의일부를추출하는기법에대해설명하였다. 향후에는단순한메일추출이나복원뿐만아니라이메일분석에필요한송수신이메일에대한연관분석, 이메일통계분석및이메일리뷰시스템등다양한분석기법을연구하여효율적인포렌식분석을가능하게할예정이다. 참고문헌 [1] Microsoft, Windows XP에서사용할수있는바로가기키목록 URL: http://support.microsoft.com/kb/301583/ko, 2005 [2] 유병영, 박정흠, 방제완, 이상진, 비할당영역데이터파편의문서텍스트추출방안에관한연구 정보보호학회논문지, Vol.20 No.6, pp. 43-51, 2010년 12월 [3] PST Walker Software, PST Walker, URL:http://www.pstwalker.com/downl oad.html [4] KERNEL DATA RECOVERY, Kernel for Outlook Express, URL : http://www.kerneldatarecovery.com/outlook-express-r ecovery.html [5] Campaign monitor at : http://www.campaignmonitor.com/stats/email-clients/ [6] 박상헌, 김역, 이상진, HTML 파일복원및웹메일분류에관한연구, KoreaCrypt 2007, pp. 113-121, 2007년 11월 [7] Rachid Hadjidj, Mourad Debbabi, Hakim Lounis, Farkhund Iqbal, and Adam Szporer, Djamel Benredjem, Towards an integrated e-mail forensic analysis framework, Digital Investigation 2009, pp. 124-137, Jan. 2009 [8] Farkhund Iqbal, Hamad Binsalleeh, Benjamin C.M. Fung, Mourad Debbabi,
54 이메일클라이언트내의삭제된이메일복원에관한연구 Mining writeprints from anonymous e-mails for forensic investigation, Digital Investigation 2010, pp. 1-9, Mar. 2010 [9] Arne Schloh, OE dbx file format : file header, OE_Dbx_Deleted.html URL : http://oedbx.aroh.de/zip/oedbx.zip/ [10] Microsoft, [MS-PST] Outlook Personal Folders File Format (.pst) Structure Specification, Jun. 2010 URL : http://msdn.microsoft.com/en-us/library/ff38521 0(v=office.12).aspx [11] Lotus Notes URL : http://www-01.ibm. com/software/lotus/products/notes/ [12] Importing_and_exporting_your_mail URL : http://kb.mozillazine.org/importing_and_exporting_your_mail [13] Joachim Metz, Personal Folder File (PFF) file format specification, Jan. 2010 URL : http://sourceforge.net/projects/libpff/files/documentation/ < 著者紹介 > 정초롱 (Cho-rong Jeong) 학생회원 2009 년 8 월 : 성신여자대학교컴퓨터정보학부졸업 2011 년 8 월 : 고려대학교정보경영공학전문대학원석사 < 관심분야 > 디지털포렌식, 이메일포렌식 이근기 (Keun-gi Lee) 학생회원 2007 년 2 월 : 부경대학교전자컴퓨터정보통신공학부졸업 2010 년 8 월 : 고려대학교정보경영공학전문대학원석사 2010 년 9 월 ~ 현재 : 고려대학교정보보호학과박사과정 < 관심분야 > 디지털포렌식, 모바일포렌식, 기업포렌식 이상진 (SangJin Lee) 정회원 1987 년 : 고려대학교학사 1989 년 : 고려대학교석사 1994 년 : 고려대학교박사 1989 년 ~ 1999 년 : ETRI 연구원역임 1992 년 : 국가안전기획부장표창 1999 년 ~ 현재 : 고려대학교정교수 < 관심분야 > 디지털포렌식, 모바일포렌식, 심층암호, 해쉬함수