네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 An Implementation of Audit System Applying Forensic Analysis Technology over Network Nodes 김윤호(Yoonho Kim) 초 록 중요한 증거 또는 단서가 컴퓨터를 포함된 디지털 정보기기 내에 존재하는 경우가 증가함 에 따라 디지털 포렌식 기술은 광범위하게 적용되고 있다. 본 논문에서는 네트워크에 분산 되어 있는 다양한 디지털 정보기기 내에 증거나 단서가 존재하는 경우 저장매체의 모니터링 을 통한 분석자료 수집 에이전트와 포렌식 분석 시스템을 연계한 포렌식 감사 시스템을 구 현하였다. 본 논문에서 구현한 포렌식 감사 시스템은 기존 시스템에서 제공하지 않는 네트워크를 통 한 실시간 감시와 증거 자료를 남김으로써 IT 인프라 환경에서의 사고나 범죄를 예방하거나 추적 감시할 수 있다. ABSTRACT As the situations that important evidences or clues are found in digital information devices increase, digital forensic technology is widely applied. In this paper, forensic based audit system is implemented by associating forensic analysis system with agent system which monitors and collects data for analysis in storage devices over distributed network nodes. Forensic audit system implemented in this paper can prevent, audit and trace the computer related crimes in IT infrastructure by real time monitoring and evidence seizure. 1) 키워드: 포렌식, 포렌식 감사 시스템, 디지털 포렌식 Forensic, Forensic Audit System, Digital Forensic 본 논문은 상명대학교 2007학년도 교내학술연구비지원에 의하여 연구되었음. * 상명대학교 컴퓨터과학부 부교수 2009년 07월 28일 접수, 2009년 08월 10일 심사완료 후 2009년 08월 12일 게재확정.
170 한국전자거래학회지 제14권 제3호 1. 서 론 컴퓨터 포렌식은 컴퓨터를 매개로 이루어 지는 행위에 대한 법적 증거 자료 확보를 위 하여 컴퓨터 저장 매체 등의 컴퓨터 시스템과 네트워크로부터 자료를 수집, 분석 보존 절차 를 통하여 법적 증거물로서 제출할 수 있도 록 하는 일련의 행위 로 정의될 수 있다[1]. 정보화 사회로 진화함에 따라 사회 대부분의 인프라를 컴퓨터에 의존하게 되고 과거 컴퓨 터가 기록장치의 보조 역할을 수행하는 대신 종이문서가 필요 없는 유일한 기록 저장장치 로 활용되고 있다. 미국 버클리 대학의 한 연 구에 의하면 세계에서 생성되는 정보의 약 90% 이상이 디지털 형태로 만들어진다고 한다[2]. 따라서 사법기관에서도 과거 문서에 의존하 던 방식에 더 이상 의존할 수만은 없게 되었 다. 과거의 포렌식은 DNA감식과 같은 법의 학이나 법 생물학, 거짓말 탐지학 등에 적용 되어 왔으나 최근에는 컴퓨터 포렌식으로 디 지털 저장매체에 대한 법적 증거자료 확보를 위한 체계적인 연구가 진행되고 있다[5, 6, 7]. 컴퓨터 포렌식을 논의하기 전에 포렌식의 분류는 다음과 같이 나타낼 수 있다[3]. <그림 1>에서 보는바와 같이 포렌식은 디 지털 포렌식과 비디지털 포렌식으로 분류될 수 있으며, 디지털 포렌식은 다시 컴퓨터 포렌 식과 장치 포렌식으로 분류된다. 디지털 포렌 식은 디지털 증거를 보존(Preservation), 수집 (Collection), 증명(Validation), 식별(Identification), 분석(Analysis), 해석(Interpretation), 기록(Documentation), 제출(Presentation)하기 위하여 과학적으로 이끌어내고 증명하는 방법으로 설명될 수 있다[2]. 본 논문에서는 컴퓨터 포렌식의 범주에서 논의하고자 한다. 컴퓨터 포렌식은 디지털 증 거(Digital Evidence)를 확보하는 것이 목적 이며, 이러한 증거는 디지털 데이터로부터 확 보된다. 디지털 데이터의 설계에 기반을 둔 분석계층은 다음과 같이 나타낼 수 있다[4]. 디지털 데이터의 분석기법은 <그림 2>와 같이 물리적 저장매체 분석과, 네트워크 분석 으로 나눌 수 있다. 물리적 저장매체 분석은 볼륨분석과 메모리 분석으로, 볼륨분석은 파 일 시스템 분석과 데이터베이스 분석, 스왑 공간 분석으로, 파일 시스템 분석은 어플리케 이션과 운영체계 분석으로 구분된다. 파일 시스템의 어플리케이션과 운영체계 분 <그림 1> 포렌식의 분류
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 171 <그림 2> 컴퓨터 포렌식 분석 계층 석은 로컬시스템에 부착되어 있는 저장매체 를 분석하는 방법과 물리적으로 분리되어 있 는 네트워크 상의 노드에 있는 저장매체를 분 석하는 방법이 서로 상이하다. 본 논문에서는 물리적으로 분리되어 있는 네트워크 상의 노드에 있는 저장매체의 모니 터링을 통한 분석자료 수집과 포렌식 분석 시스템을 연계한 포렌식 감사시스템을 구축 하기로 한다. 논문 구성은 제 2장에서 기존의 연구된 포 렌식 분석방법을 고찰하고, 제 3장에서는 제 안하는 네트워크 상의 노드에 대한 포렌식 감사 시스템의 구성과 설계에 대하여 기술하 며, 제 4장은 본 시스템의 테스트 결과에 대 하여 기술하고 제 5장은 결론과 향후 발전적 인 연구방향을 제시하였다. 감시 및 증거 자료를 남기는 기능이 없다. 또 한 네트워크에서 일반적인 로그인 형태로는 변조가 용이하며, 정보가 오직 허가된 사람들 에게만 개방되고, 또 그들에 의해서만 수정될 수 있음을 보장하는 무결성을 증명할 수 없 어 사고 발생에 대한 명확한 책임을 가릴 수 있는 법적 증거물 확보가 불가능하다. 수준 높은 해커가 침입한 단말기에서 증거를 남기 지 않았을 경우 현재 컴퓨터 포렌식 시스템 들은 증거를 확보하기 어렵다. 본 논문은 이러한 문제점을 해결하기 위해 분석(Analysis), 감시(Monitoring), 복구(Recover) 기능을 통합한 컴퓨터 포렌식 감사 솔루션을 구축하려는 데 목적이 있다. 3. 포렌식 감사시스템 2. 기존 디지털 포렌식 분석 기술 3.1 포렌식 감사 시스템의 구성 디지털 포렌식에 의한 증거확보 절차에 따 라 소요되는 기술은 <표 1>과 같다. 종래 국내외 컴퓨터 포렌식 시스템들은 사 고 후 증거분석 기능만을 제공할 뿐, 실시간 <그림 3>과 <그림 4>는 본 논문에서 제 안하는 포렌식 감사시스템의 구성이다. 포렌 식 감사시스템은 포렌식 에이전트, 포렌식 매 니저 및 데이터 서버로 구성되며, <그림 4>
172 한국전자거래학회지 제14권 제3호 <표 1> 디지털 포렌식 분석 기술 디지털 포렌식 절차 소요기술 결과물 보존(Preservation) 수집(Collection) 증명(Validation) 증거물 보존 절차 물리적인 저장매체, 파일, 네트워크, 패킷, 메모리상의 데이터, OS, S/W 등 원본 저장매체에 대한 사본 이미지 생성 미국 NIST의 CFTT 규격 저장매체에 대한 쓰기 방지 기술 데이터의 무결성 검증 기술 해시 분석 기술(NSRL, Hash Keeper) 파일서명 분석 기술(File Signature) Chain of Custody MD5, SHA, CRC etc. 증거물 자체 증거물 원본 증거물 사본 이미지 해시값 해시분석 결과(Y/N) 파일서명 분석결과(Y/N) 식별(Identification) 분석(Analysis) 저장매체 검색파일의 정보 추출 기술 정렬 및 필터링 기술 데이터 복원 기술 저장매체의 미사용 공간 검색 기술 데이터 파일의 Slag 공간 분석 기술 파일 복구 기술 데이터 검색 기술 포맷 복구 기술 파티션 분할 복구 기술 암호 분석 기술 시계열 분석 기술 로그 분석 기술 전자메일 분석 기술 데이터(파일)의 식별정보 삭제 복원 데이터 미사용 공간 데이터 Slag 공간 데이터 삭제 복구 파일 파일, 문자열 검색 포맷 복구된 저장매체 파티션분할 복구 암호 해제 파일 파일의 시계열 정보 분석된 로그 데이터 전자메일 분석결과 해석(Interpretation) - - 기록(Documentation) 검색결과 저장 및 Review 기술 분석결과 저장 및 Review 기술 포렌식 분석진행에 따른 기록저장 기술 제출(Presentation) 보고서 자동생성 보고서 검색결과 분석결과 수사기록 히스토리 과 같이 네트워크로 연결된다. 3.1.1 포렌식 에이전트 포렌식 에이전트는 네트워크에 연결된 사용 자들의 컴퓨터에 설치되어 각종 저장장치의 탈부착을 모니터링하며 공유폴더의 등록, 변 경, 해제 및 접속 등을 모니터링 하고, 소정 파일의 확장자 지정, 생성, 삭제, 복사, 이동, 인쇄 등의 행위를 모니터링 하며 실시간으로 또는 프로세스 변동이 있는 경우 이를 데이 터 서버로 전송한다. 또한 포렌식 매니저의 명령에 따라 또는 소정의 시간간격으로 디스크 이미지를 전송 한다. 만일 네트워크가 로그오프된 경우, 포
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 173 <그림 3> 포렌식 감사시스템의 구성 렌식 에이전트는 각종 이벤트를 PC에 저장 하고 온라인으로 전환될 때 저장한 이벤트를 데이터 서버로 전송한다. 3.1.2 포렌식 매니저 포렌식 매니저는 네트워크에 연결되어 사 용자의 포렌식 에이전트를 IP 범위(Scope)별 또는 네트워크 작업 그룹별로 관리한다. 또한 포렌식 에이전트에 현재 상태의 전송 명령을 전달하며, 데이터 서버의 데이터 백업 정책을 설정한다. 포렌식 백업(복원) 모듈과 복구 모듈을 구 <그림 4> 포렌식 감사시스템의 네트워크 구성
174 한국전자거래학회지 제14권 제3호 비하는데, 포렌식 백업 모듈은 해당 로컬 디 스크 이미지와 이전에 저장된 백업 이미지를 지원하며, 복구 모듈은 삭제된 파일을 복구하 고, 파티션 정보가 일부 손상된 디스크의 파 일을 복구하며, 파티션 정보가 변경된 디스크 의 파일 및 포맷된 드라이버까지 복구한다. 포렌식 복구 모듈의 상세 기능으로는 삭제된 파일을 스캔하고, 삭제파일을 종류별로 정렬 하며 미리 보기가 가능하고, HWP, DOC, XLS, PPT 파일의 텍스트를 추출하며 문자열 검색 과 조건 별 파일 검색이 가능하며, 조건 별로 파일 필터(파일 종류 및 서비스 종류 별)가 가능하다. 포렌식 매니저에서는 데이터 서버로부터 전송받은 사용자 컴퓨터의 디스크 이미지를 복구 한다. 이때 삭제 또는 손상된 파일 복구, 삭제된 메일 복구, 삭제된 DB 테이블 및 레 코드 복구, 삭제된 웹 방문 히스토리 복구를 포함한다. 3.1.3 데이터 서버 포렌식 에이전트 및 포렌식 매니저와 네트 워크로 연결되며, 포렌식 에이전트의 이벤트 로그를 저장하고, 포렌식 에이전트에서 전송 된 디스크 이미지를 저장한다. 3.2 네트워크 포렌식 시스템의 수행 절차 및 설계 컴퓨터 포렌식 감사시스템은 사고원인 분 석을 위하여 에이전트가 설치된 시스템의 디 스크 이미지 파일을 데이터 서버에 저장한다. 분석 이미지를 네트워크를 통해 전달받은 네 트워크 포렌식 감사시스템의 수행 절차와 기 능을 설명하면 다음과 같다. 3.2.1 데이터 수집을 통한 내부 시스템 모니 터링 및 차단 단계 포렌식 매니저는 포렌식 에이전트를 통해 데이터가 외부 저장장치로 유출/유입이 되는 지 모니터링하고 필요시 이를 차단한다. 이는 구체적으로 외부로 유출 가능한 저장장치의 탈부착 모니터링 및 차단, 공유폴더를 통한 데이터 이동을 모니터링 및 차단, 및 네트워 크 전송을 통한 데이터 이동을 모니터링 및 차단을 통해 이루어진다. 3.2.2 증거물의 확보 3.2.2.1 온라인 상에서의 증거물 확보 네트워크 상의 증거물 확보과정은 서버 클 라이언트 형태의 프로그램으로 클라이언트에 설치되는 에이전트를 통하여 원하는 정보를 서버로 송신하고, 송신된 데이터는 서버에 저 장되며, 네트워크 포렌식 매니저 프로그램을 통하여 조회 및 분석된다. 즉, 온라인상에서 증거물을 확보하기 위하여 포렌식 서버에 이 미지를 백업하며, 백업된 이미지는 복원과정 을 통하여 백업된 시점의 데이터 상태로 복 구한다. 온라인 이미지 백업(Imaging)은 다음의 조 건을 만족하여야 한다: (i) 물리적 디스크 드 라이브 읽기, (ii) 논리적 디스크 드라이브읽 기, (iii) HPA(Hardware Protected Area) 영 역을 포함하여 디스크의 전 영역을 읽어서 백업 가능, (iv) 디스크 이미지 백업 기능은 NIST의 Tool Test 규격을 준수, (v) 디스크
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 175 이미지 전송시 네트워크 전송구간에 암호화 채널형성 3.2.2.2 오프라인에서의 증거물 확보 오프라인을 통하여 확보된 증거물은 분석 하려는 컴퓨터에 연결하여 저장매체에 있는 데이터를 추출하여야 한다. 데이터를 획득하 는 과정에서 확보된 원본 증거물이 변조되거 나 훼손되는 것을 방지하고, 이를 검증할 수 있도록 하기 위하여 연결부에 읽기전용의 인 터페이스를 부착하여 시행한다. 일반적으로 가장 많은 증거물로 획득되는 것이 하드디스크이다. 또한 하드디스크가 아 닌 보조 저장매체들도 하드디스크에서 사용 하는 운영체계에서 채택하는 파일 시스템을 활용하는 경우가 대부분이므로 파일 시스템 을 먼저 정의 한다. 파일시스템을 분석한 다음 단계는 이미지 를 생성하는 과정이다. 이미지 생성이란 증거 수집된 디스크로부터 원본을 훼손하지 않은 상태로 디스크 내의 모든 데이터에 대하여 동일한 비트맵 스트림을 획득하는 것이다. 이 과정에서 생성되는 이미지 데이터는 파일의 형태로 또 다른 디스크에 저장되는데, 이 때 압축하는 기능과 여러 개의 파일로 분할 저 장하는 기능을 지원한다. 물리적 디스크로부 터 비트 스트림 획득, 데이터 덤프(dump), 저 장하는 과정에서 압축 알고리즘 적용, 저장하 는 과정에서 분할 저장기능적용(650MB 단위 등), 압축/분할 저장된 이미지 파일로부터 물 리적 디스크에 데이터 복원하는 기능을 포함 한다. 3.2.3 증거물 스캔 위의 단계에서 증거물을 연결하여 읽을 수 있는 상황이 되면 원본 증거물을 훼손하지 않도록 또 다른 디스크에 이미지를 생성 한 다. 생성된 이미지는 원래의 파일 시스템으로 접근할 수 없기 때문에 본 포렌식 분석도구 를 통하여 접근할 수 있는 별도의 자료구조 를 생성 한다. 스캔이란 분석자의 시스템에 연결된 디지 털 증거물을 검사해서 그 안의 모든 내용을 분석할 수 있도록 분석하는 과정을 말한다. <표 2> 분석대상 분석 대상 구성요소 설명 정상 파일 파일 시스템으로 정상적으로 액세스할 수 있는 파일 삭제 파일 사용자, 시스템, 응용프로그램, 네트워크 등에서 삭제된 파일 휴지통 파일 사용자가 일반 삭제하여 휴지통에 버려진 파일 레지스트리 파일 레지스트리 파일 압축 파일 압축 파일(zip, arj, rar, arc 등) 전자메일 전자메일 파일(outlook, outlook express) 인터넷 히스토리 인터넷 브라우저를 통해 참조한 인터넷 히스토리 바로가기 인터넷 브라우저를 통해 등록한 바로가기
176 한국전자거래학회지 제14권 제3호 이 과정에서 분석의 대상이 되는 정보는 디 스크 내의 일반적인 파일 뿐만 아니라 삭제 된 파일, 파일 시스템이 지정하지 않는 비할당 영역까지 포함한다. 규격서에 정의된 사항을 바탕으로 보다 구 체적으로 표현하면 다음과 같다. 3.2.4 증거물 검색 증거물의 검색은 파일 검색과 문자열 검색 기능으로 분류할 수 있으며, 파일을 검색하는 기능은 다음과 같다[7]. 디렉터리 구조를 이용한 검색 파일명 검색 포맷별 파일 검색 확장자 변조파일 검색 이메일 파일 검색 웹 히스토리 파일 검색 레지스트리 검색 위에서 언급한 증거물 스캔 과정을 거치고 나면 증거물이 포함하고 있는 내용을 윈도우 탐색기에서 볼 수 있는 것과 같이 디렉터리 구조별로 파일의 존재를 확인할 수 있다. 이 방법이 가장 직관적이고 일반적인 검색 방법 이라 하겠다. 또한 검색 창을 통하여 파일별 검색을 하거나, 포맷별, 확장자별 검색을 수 행할 수 있다. 변조된 확장자 파일을 구분해 내기 위해서 는 각 확장자 고유의 파일 시그너처를 통해 서 알아낼 수 있다. 이메일 파일 검색은 증거물 내에서 이메일 파일을 검색하는 기능으로 MS-Outlook과 Outlook Express 두 가지 프로그램을 지원하고 있다. 웹히스토리 파일 검색은 인터넷 익스플로 러로 방문한 사이트의 주소를 검색할 수 있 는 기능으로 운영체계가 임시파일로 저장한 파일들을 이용하여 일목요연하게 보여줄 수 있도록 기능을 구성한다. 레지스트리 검색기능은 윈도우즈 운영체계 가 저장하는 레지스트리 파일을 읽을 수 있 도록 기능을 구성한다. 문자열을 검색할 수 있는 기능은 파일이름 을 포함한 파일의 속성으로 검색하는 것이 아니라 파일의 내용을 기반으로 검색하는 기 능으로 다음과 같은 검색옵션을 설정할 수 있다. (i) 정상파일, 삭제된 파일, 유실된 파 일, (ii) 확장자별 선택 및 배제 기능, (iii) 압 축파일포함 및 배제 기능, (iv) HWP, MS- Office 파일 등 규격서에 포함된 비아스키 파 일도 내용기반 검색을 지원, 및 (v) 복합 검 색식을 지원. 3.2.5 증거물 분석 및 확인 증거물 검색과정에서 분석대상으로 선택된 파일에 대하여 분석 및 확인 기능을 제공한다. 미리보기가 지원되는 파일에는 MS-Office 파 일, 한글(HWP) 파일, PDF 파일, HTML 파 일, 이미지 파일, 압축 파일, 웹히스토리 파 일, 이메일 파일, 텍스트 파일이 포함된다. 또한 파일을 비교하기 위해, 비교할 두 개 의 파일을 선택하여 바이트 단위로 헥사 뷰 어를 통해 비교하고, 동일한 부분은 검은색 폰트, 상이한 부분은 붉은색 폰트로 표시하여 비교를 용이하게 한다. 해시값 비교 기능으로 선택된 두 개의 파 일을 해시값을 계산하여 비교하여 분석내용 을 보여준다.
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 177 3.2.6 증거물 복구 증거물의 복구는 포렌식 분석 도중 보고서 생성 등을 위하여 별도의 파일로 저장하는 기능을 말한다. 증거물 복구를 위해 복구기능 을 지원하는 경우는 다음과 같다. (i) Shift + Delete로 지워진 파일, (ii) 휴지통 비우기 파일, (iii) 네트워크를 통해 지워진 파일, 및 (iv) 응 용프로그램에서 자체적으로 지운 파일. 3.2.7 보고서 작성 및 무결성 검증 포렌식 분석의 마지막 단계로서 디지털 증 거물을 분석한 결과를 보고서로 작성하는 과 정이다. 이 과정에서 제공되는 기능은 다음과 같다. 첫째는 북마크 기능으로 (i) 파일이나 폴더 를 북마크로 등록하는 기능, (ii) 뷰어에서 보 던 내용을 북마크로 등록하는 기능, (iii) 화면 캡쳐기능, (iv) 분석도구를 통하여 보이는 이 미지를 저장/인쇄하는 기능, (v) 보고서 작성 기능, (vi) 보고서의 저장 양식은 RTF 포맷 으로 저장, (vii) 옵션에서 설정한 부분을 자 동으로 보고서 생성하는 기능을 포함하며, 출 력되는 정보에는 파일 이름, 짧은 파일 이름, 파일 상태, 클러스터, 파일 크기, 해시값, 파 일 위치, 생성일자 및 시간, 변경된 일자 및 시간, 최근 접근한 일자 및 시간, 파일 종류, 디렉터리 구조, 통계정보가 포함된다. 둘째는 무결성 검증 기능으로, 여기에는 (i) 분석 과정을 통하여 손상되지 않았다는 것을 증명할 수 있는 기능, (ii) 원본 디스크 와 분석 작업을 위해 활용한 이미지의 해시 값 비교 기능, (iii) 원본 디스크의 해시값 생 성 기능, (iv) 이미지의 해시값 생성 기능이 포함된다. 4. 테스트 및 분석 4.1 테스트 환경 본 논문에서 제안한 포렌식 감사 시스템의 성능 평가와 분석을 위해 다음과 같은 환경 에서 테스트를 수행하였다. 성능시험을 위한 디스크는 약 1GB의 전체 디스크에 90% 데이터가 존재하며, 파일의 수 <표 3> 테스트 환경 구 분 규 격 시스템 사양 운영체제 HDD 디스크 드라이브 (기능 시험용) 디스크 드라이브 (성능 시험용) 읽기전용 인터페이스 X86 기반 Personal Computer Microsoft Windows XP Professional 40GB 중 Free Space 20GB 이상 NTFS 포맷 1GB HDD, FAT32 포맷 1GB HDD FAT16 포맷 1GB HDD, FAT12 포맷 8MB HDD NTFS 포맷 80GB HDD FAT32 포맷 80GB HDD FAST BLOC
178 한국전자거래학회지 제14권 제3호 <표 4> 테스트 데이터 구 분 규 격 비 고 문서파일 압축파일 그림(이미지) 파일 전자메일 파일 레지스트리 파일 텍스트 파일, 웹문서 파일, 글 파일 MS-Office 파일(ppt, xls, doc) zip, rar, arj, arc, ace 등 압축 프로그램 : 알집 등 bmp, jpg, gif, tiff 등 각종 이미지 파일 MS-Outlook 파일 Outlook-Express 파일 윈도우즈2000, 윈도우즈XP 용 레지스트리 파일 파일검색, 문자열검색 등을 수행하고 결과 를 확인할 수 있는 파일 생성 압축 기능 확인 필요 이미지 미리보기 등 확인용 메일내용을 확인할 수 있는 샘플메일 파일 레지스트리 내용을 확인할 수 있는 샘플 는 1,032개이고, 폴더의 수는 116개인 것을 샘플링 하여 테스트하였다. 4.2 테스트 결과 네트워크 상의 노드로 연결된 시스템에 설치 된 파일 시스템들을 대상으로 포렌식 감사 시 스템을 테스트 했을 경우의 성능을 측정하였다. <표 5>와 <그림 5>는 테스트 결과를 나 타내는 표와 그래프 이다. 걸린 작업시간의 단위는 초를 사용하였으며, 각각의 작업을 1 차, 2차, 3차로 테스트하여 나온 작업시간의 평균값을 구하여 작성하였다. 이미지 생성 시 간은 이미지를 생성하여 디스크 백업할 때 각 디스크별로 소요되는 시간을 측정한 값이 며, 이미지 복원 시간은 디스크 복원을 위한 이미지 복원 시에 소요되는 시간을 측정한 값이며, 이미지 읽기 시간은 생성된 이미지를 읽는데 소요되는 시간을 측정한 값이며, 디스 크 읽기 시간은 디스크를 읽는데 소요되는 시간 측정한 값이다. 위 그림에서 볼 수 있듯이 본 감사 시스템 은 이미지를 생성하고 읽고 복원하는데 걸리 는 수행시간이 파일 시스템 별로 크게 차이 나지 않으며, 1G를 기준으로 수행하는데 2분 이내의 빠른 수행 시간을 가진다. <표 6>은 본 감사시스템에서 제안한 부가 기능의 성능 테스트 결과이다. <표 5> 테스트 결과 초 파일시스템 이미지생성 이미지복원 이미지읽기 디스크읽기 FAT 12 58 58 1 5 FAT 16 65 76 1 1 FAT 32 66 75 1 1 NTFS 4.0, 5.0, 5.1 67 103 1 1
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 179 120 100 103 80 76 75 60 58 58 65 66 67 40 20 0 5 1 1 1 1 FAT 12 FAT 16 FAT 32 NTFS 4.0, 5.0, 5.1 이미지생성 이미지복원 이미지읽기 디스크읽기 <그림 5> 테스트 결과 그래프 <표 6> 부가 기능 테스트 결과 표 파일 정렬기능 파일 필터링 기능 미리보기 기능 파일 시그니처 분석 시험항목 증거자료 소멸기능(디스크 기반) 타임라인 분석 파일검색 기능 문자열검색 기능 해쉬검색지원 (NSRL) FAT 12 FAT 16 FAT 32 NTFS 4.0, 5.0, 5.1 FAT 16 FAT 32 NTFS 4.0, 5.0, 5.1 해시 생성속도 해시 검증속도 성능 평가 25 /10만 건 85 /10만 건 11 /10MB 108초/10만 건 40초/1GB 18초/10만 건 18초/100건 20초/1천 건 75초/10만 건 74초/10만 건 50초/1GB 54초/1GB 47초/1GB 395초/515entry 5초/515entry 5. 결 론 본 논문에서는 물리적으로 분리되어 있는 네트워크 상의 노드에 있는 저장매체의 모니 터링을 통한 분석자료 수집과 포렌식 분석 시스템을 연계한 포렌식 감사시스템을 구축
180 한국전자거래학회지 제14권 제3호 하였다. 이를 위해, 네트워크의 송수신과 관련된 FTP, P2P, SMTP, 메신저, 웹 게시판, 웹 메일, 웹 하드 및 파일의 확장자 지정, 생성, 삭제, 복 사, 이동, 인쇄, 저장 장치의 행위를 모니터링 하고, 디스크 이미지 및 데이터를 암호화하여 데이터 서버 및 포렌식 매니저로 전송하며, 포렌식 매니저의 지시에 따라 디스크 이미지 를 제공하는 포렌식 에이전트를 구현하였다. 또한 포렌식 에이전트로부터 전송받은 데이 터 및 디스크 이미지를 해시값으로 계산하여 저장하는 데이터 서버, 데이터 서버에서 수신 한 해당 자료에 대한 원인분석을 통한 법적 증거파일의 식별, 디스크 이미징을 통한 무결 성 보장, 일반포맷 되거나 삭제/손상된 파일/ 파티션의 디스크 복구를 수행하는 포렌식 매 니저를 구현하였다. 본 논문에서 구현한 포렌식 감사시스템은 기존 시스템에서 제공하지 않는 네트워크를 통한 실시간 감시와 증거 자료를 남김으로써 IT 인프라 환경에서의 사고나 범죄를 예방하 거나 추적할 수 있다. 향후 제안 시스템의 구성요소에 대한 세부 기능의 추가에 대한 연구가 필요하다. 참 고 문 헌 [1] 한국정보보호센터, 정보통신부, 정보통신 기반구조 보호기술 개발, 1999. [2] 양근원, 디지털 포렌식과 법적 문제 고찰, 형사정책연구 제17권, 제2호, 2006. [3] 황현욱, 김민수, 노붕남, 임재명, 컴퓨터 포렌식스:시스템 포렌식스 동향과 기술, 정보보학회, 2003. [4] Brian Carrier, Addison Wesley, File System Forensic Analysis, 2005. [5] 장의진, 정병옥, 임형민, 신용태, 안전한 디지털 저작권 관리를 위한 디지털 포렌식 모델 제안, 한국정보보호학회논문지, 제 18권, 제6A호, 2008, pp. 185-190. [6] Mark Reith, Clint Carr, and Gregg Gunsch, An Examination of Digital Forensic Models, International Journal of Digital Evidence, Vol. 1, 2002. [7] Kevin Mandia, Chris Prosise, and Matt Pepe, Incident response and computer forensics, Second Edition, McGraw-Hill, 2003.
네트워크 노드에 대한 포렌식 분석기법을 적용한 감사시스템의 구현 181 저 자 소 개 김윤호 1985년 1987년 1996년 1997년~현재 (E-mail:yhkim@smu.ac.kr) 서울대학교 계산통계학과 (학사) 서울대학교 계산통계학과 계산학전공 (석사) 서울대학교 전산과학전공 (박사) 상명대학교 소프트웨어대학 컴퓨터과학부 부교수