디지털포렌식학회 논문양식



Similar documents
ODS-FM1

05Àå

04_이근원_21~27.hwp

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

인문사회과학기술융합학회

solution map_....

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß

목차 1. 제품 소개 특징 개요 Function table 기능 소개 Copy Compare Copy & Compare Erase

<5B D B3E220C1A634B1C720C1A632C8A320B3EDB9AEC1F628C3D6C1BE292E687770>

14.531~539(08-037).fm

특집-5

DBPIA-NURIMEDIA

06_ÀÌÀçÈÆ¿Ü0926

6.24-9년 6월

06_±è¼öö_0323

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

DBPIA-NURIMEDIA

디지털포렌식학회 논문양식

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

05( ) CPLV12-04.hwp

DBPIA-NURIMEDIA

R50_51_kor_ch1

30이지은.hwp

012임수진

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>


09권오설_ok.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 25(3),

07_Àü¼ºÅÂ_0922

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

<31325FB1E8B0E6BCBA2E687770>

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

DBPIA-NURIMEDIA

알아 둘 사항 아이오드 제조사는 본 기기에 하드디스크를 포함하여 출고하지 않습니다. 따라서 하드디스크에 문제가 발생할 경우, 구매처 또는 해당 하드디스크 서비 스센터에 문의 하시기 바랍니다. 정해진 용도 외의 사용으로 발생한 문제에 대해서, 당사는 어떠한 책임도 지지

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A Research Trend

02양은용

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Sep.; 30(9),

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서

Lumbar spine

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

Microsoft Word - HD-35 메뉴얼_0429_.doc

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

???? 1

Journal of Educational Innovation Research 2017, Vol. 27, No. 1, pp DOI: * The

CD-RW_Advanced.PDF

00내지1번2번

2002 Game White paper 2002 Game White paper

음주측정을 위한 긴급강제채혈의 절차와 법리, A Study on the Urgent Compulsory Blood

Journal of Educational Innovation Research 2017, Vol. 27, No. 3, pp DOI: (NCS) Method of Con

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

SNS 명예훼손의 형사책임

03±èÀçÈÖ¾ÈÁ¤ÅÂ

UDP Flooding Attack 공격과 방어

PowerPoint Presentation

공지사항

untitled


THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -


03-서연옥.hwp

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

11¹ÚÇý·É

04서종철fig.6(121~131)ok

???? 1

Backup Exec

Kor. J. Aesthet. Cosmetol., 및 자아존중감과 스트레스와도 밀접한 관계가 있고, 만족 정도 에 따라 전반적인 생활에도 영향을 미치므로 신체는 갈수록 개 인적, 사회적 차원에서 중요해지고 있다(안희진, 2010). 따라서 외모만족도는 개인의 신체는 타

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

10 이지훈KICS hwp

vm-웨어-앞부속

Output file

APOGEE Insight_KR_Base_3P11

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

Microsoft PowerPoint - eSlim SV [ ]

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),

139~144 ¿À°ø¾àħ

2003 Digital for Next Generation

원고스타일 정의

DBPIA-NURIMEDIA

878 Yu Kim, Dongjae Kim 지막 용량수준까지도 멈춤 규칙이 만족되지 않아 시행이 종료되지 않는 경우에는 MTD의 추정이 불가 능하다는 단점이 있다. 최근 이 SM방법의 단점을 보완하기 위해 O Quigley 등 (1990)이 제안한 CRM(Continu

vm-웨어-01장

108 KOREA INSTITUTE OF LOCAL FINANCE

<30322DC8ABBBEFBFAD2E687770>

88 KOREA INSTITUTE OF LOCAL FINANCE

Microsoft PowerPoint - XP Style

ø©º∫∞˙ ∞Êøµ0

***86호

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

1_기획논단

1. PVR Overview PVR (Personal Video Recorder), CPU, OS, ( 320 GB) 100 TV,,, Source: MindBranch , /, (Ad skip) Setop BoxDVD Combo

Windows Storage Services Adoption And Futures

<BFACBCBCC0C7BBE7C7D E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

Transcription:

ISSN : 1976-5304 http://www.kdfs.or.kr Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 이 흥 복, 정 관 모, 김 선 영 * 대전지방경찰청 Evidence Collection Process According to the Way VOG Configuration Heung-Bok Lee, Kwan-Mo Jung, Sun-Young Kim Daejeon Metropolitan Police Agency 요 약 지난 한해 우리나라의 사이버범죄는 155,366건이 발생하여 86,105건을 검거하였으며 검거 된 사건을 기준으로 발생장소를 보면 PC방이 전체의 29.4%를 차지하고 있다. 이는 범죄자들 이 접근이 용이하고, 자신의 범죄 증거를 숨기기 위한 장소로 PC방을 사용하고 있다는 것이 다. 하지만 전국 14,291개의 PC방 중에 노하드시스템(Diskless System)으로 구축된 것이 5,100여개이고, 또 그 구축방식이 다양하여 각 구축 방법에 따른 디지털증거 수집 방법이 필요하게 되었다. 본 논문에서는 노하드시스템의 단점을 보완한 VOG(Virtual Online Game) 시스템에서의 디지털증거 수집 방법을 제시하고자 한다. 주제어 : Digital Forensics, VOG System, Cloud Computing, Network Booting, PC-room ABSTRACT Last year, Korea s cyber-crime occurred 155,366 cases and 86,105 cases were arrested. According to the arrested cases, the PC room accounts for 29.4% of the occurrence place. It means the criminals are using the PC room as a place for easy and hiding crime evidence. However, diskless system has been set in 5,100 PC rooms out of 14,291 PC rooms nationally and the set-up methods are various. For these reasons, a digital-evidence-gathering method is needed depending on each set-up methods. This paper presents a digital-evidence-gathering method depending on VOG(Virtual Online Game) system. Key Words : Digital Forensics, VOG System, Cloud Computing, Network Booting, PC-room Received 23 December 2014, Revised 07 March 2015, Accepted 25 March 2015 제1저자(First Author) : Heung-Bok LEE (Email : ccyhb@naver.com) 교신저자(Corresponding Author) : Sun-Young KIM (Email : ks2227@hanmail.net) Journal of Digital Forensics 2015 Dec.: 9(2) 97

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 Ⅰ. 서 론 경찰청 통계에 따르면 전체 사이버범죄의 29.4%가 PC방에서 발생하고 있다1). 사이버범죄뿐 아니라 살인, 절도, 방화 등 강력범죄에서도 범죄자들이 자신을 숨기기 위한 방법으로 불특정 다수인이 출입하는 PC방을 이용하기도 한다. 따라서 PC방에서의 디지털증거 수집은 사건 해결을 위한 수사의 중요한 과정이 되었다. 하지만 IT기술의 발달과 지속적인 경제 침체로 국내외 기업들이 비용 절감을 통해 위기 극복을 모색하면서 도입하고 있는 클라우드 컴퓨팅은 수사 환경을 더욱 어렵게 만들고 있다. 전통적인 PC방의 경우 하드디스크(HDD)가 있는 일반 PC에 각종 게임을 설치하고 인터넷 접속이 가능한 형태이었기 때문에 컴퓨터 사용 기록이 개별 PC에 남아있으므로 범죄와 관련된 하나의 PC만을 분석하면 되었다. 그러나 최근 PC방은 클라우드 컴퓨팅 기술인 가상화 기술과 네트워크 기술을 접목한 노하드시스템(Diskless System)으로 구성하고 있으며, 이에 대한 단점 보완을 위하여 VOG(Virtual Online Game) 시스템, VDS(Virtual Disk Shot technology)2)를 이용한 Diskshot 시스템으로 구성된 PC방이 늘어나고 있다. 노하드시스템은 각각의 클라이언트 PC에 HDD를 장착할 필요가 없을 뿐만 아니라 운영체제, 각종 프로그램, 게임관련 Patch 등을 모든 클라이언트 PC에 일일이 설치할 필요가 없기 때문에 관리가 용이하고, 효율성 비용절감 측면에서 많은 이점이 있다. 하지만 노하드시스템은 운영 체제를 비롯한 모든 프로그램이 서버에 의존되어 있어 서버에 문제가 발생하면 서비스를 못하는 단점이 있다. 이에 대해 보완하고자 도입되고 있는 것이 VOG 시스템이다. 이는 설정에 따라 달라질 수 있지만 각 클라이언트 PC에 HDD를 장착하고 Diskless System처럼 서버를 두어 관리 하는 것으로, 클라이언트 PC에 운영체제 및 중요 게임 등 프로그램을 설치하고, 사용 빈도는 낮으나 설치가 필요한 게임은 VOG 서버에 설치하여 서비스하는 형태로 구성되기도 한다. 마지막 으로 Diskshot 시스템으로 구축하는 것이다. 이는 실제 HDD 위에 가상의 디스크를 생성하여 실제 HDD에서 실행되는 작업들을 가상 디스크 입출력으로 처리해서 실제 HDD를 보호하며 장애 발생 시에도 시스템을 정상적인 상태로 즉시 복구하는 시스템이다. 이렇듯 PC방의 구성 형태가 다양해지고 있는 상황에서 PC방에서의 디지털증거 수집은 사건 해결을 위해 필요한 하나의 과정이 되고 있다. 하지만 전통적인 방식으로 구성된 PC방에서의 디지털증거 수집 방법은 널리 알려져 있으나 IT기술의 발달과 클라우드 컴퓨팅(Cloud Computing) 기술의 보급 등으로 변화된 PC방에서의 디지털증거 수집 방법에 대하여는 많은 연구가 진행되지 못하였다. 노하드시스템(Diskless System)에서의 디지털증거 수집 방안[4]에 대한 연구는 있으나 이는 Server PC 1대, Path 전용 PC 1대, 클리이언트 PC 2대로 환경을 구축하여 확인한 것으로 실제 수십 대 이상의 클라이언트 PC를 설치하고, 수 TB 용량의 서버로 구축된 PC방 환경에서의 디지털증거자료 수집과의 차이를 확인할 필요가 있을 것으로 예상된다. 또한, VOG 시스템으로 1) 사이버안전국 사이버범죄통계자료, http://cyberbureau.police.go.kr/share/sub3.jsp 2) VDS(Virtual Disk Shot technology) : 실제 HDD위에 가상의 디스크를 생성하여 실제 HDD에서 실행 되는 작업들을 가상 디스크 입출력(I/O)으로 처리해서 실제 HDD를 보호하며 장애 발생 시 시스템을 정상 적인 상태로 즉시 복구하는 기술, DiskShot사용자 매뉴얼, Wonderbiz 98 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration 구성된 PC방이나 VDS 시스템으로 구성된 PC방에서의 디지털증거 수집 방법에 대한 연구는 이루어지지 않고 있다. 본 연구에서는 범죄자들이 자신을 숨기기 위한 방법으로 이용하고 있는 PC방 형태중 VOG 시스템으로 구성된 PC방에서의 증거자료 수집 방법을 알아봄으로써 범죄 수사를 위한 보다 빠른 증거자료의 방법을 제시함으로써 범죄 수사에 도움이 되고자 한다. Ⅱ. VOG 시스템 소개 온전한 Diskless 시스템은 클라이언트 PC에 HDD가 없고, 클라이언트 PC의 모든 구동을 위하여 서버에 의존하고 있으므로 서버에 과부하가 걸리거나 오류 발생시 PC방의 전체 서비스가 중단 되는 단점이 있다. 이러한 전면적인 서비스 중단을 해결하기 위하여 고안된 것이 VOG(Virtual Online Game) 시스템이다. VOG란 네트워크 기반의 하이브리드형 가상디스크 서비스 시스템으로, Diskless 시스템과는 다르게 클라이언트 PC에 HDD를 장착하여 운영체제 및 PC방 손님들이 주로 이용하는 주류 게임 은 클라이언트 PC HDD에 저장하고, 이용률은 낮지만 설치 및 패치 등 관리에 어려움이 있는 비주류게임 은 VOG 서버에 설치하여 운영3)하는 것을 말한다. PC방에서 손님들이 주로 사용하는 주류게임의 매출이 전체 매출의 80%를 차지하지만 게임 패치 등에 필요한 소요시간은 비주류 게임의 패치가 80%를 차지하는 등 전체적인 관리 측면에서 비효율적이고, 또한 Diskless System 서버의 갑작스런 오류에도 주류게임 중심의 서비스를 지속할 수 있도록 안정성을 보완한 것이다. VOG 시스템에서 클라이언트 PC의 속도 향상을 위하여 HDD 대신 SSD를 주로 장착하여 사용 하고 있다. [그림 1]은 VOG 솔루션 중 하나인 게임닥터 VOG의 시스템 구성도를 나타내고 있다. 3) http://blog.naver.com/honestyong/220104434100 그림 1. VOG 시스템 구성도 Fig 1. VOG System Configuration Journal of Digital Forensics 2015 Dec.: 9(2) 99

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 [그림 1]에서 보듯이 VOG 시스템은 1대의 게임닥터서버와 2대의 VOG 서버로 구성되어 있다. 관리서버는 VOG 서버의 HDD를 클라이언트 PC에 마운트 할 수 있도록 환경을 설정하는 등 시스템 전체를 관리하기 위하여 사용하고, 서버는 Diskless 시스템의 서버와 마찬가지로 Master Server와 Slave Server로 구성하여 클라이언트에서 게임을 실행하면 1차로 VOG Master Server에 마운트되고, Master Server가 고장 등으로 응답이 없으면 2차로 Slave Server에 마운트하여 서비스하도록 구성되어 있다. VOG 시스템은 기본적으로 클라이언트 PC에 HDD를 장착하고 OS를 구동하여 운영되므로, 컴퓨터 사용에 대한 자료의 저장은 전통적인 방식의 컴퓨터와 동일하다. 다만 클라이언트 PC를 구동하면 직접 장착되지 않은 가상드라이브가 보이게 된다. VOG 시스템 PC방 손님은 가상드라이브를 포함한 모든 드라이브를 자유롭게 사용하는 것으로 느끼게 되나 로컬 PC의 운영체제 등에서 생성되는 사용 정보는 로컬 PC의 C:\ 볼륨 일정 공간에 저장된다. 또한 로컬 PC에서 보이는 가상드라이브 즉, VOG 서버의 HDD는 VOG 관리서버에 의해 단순히 마운트 하여 로컬 PC 드라이브처럼 사용하게 되어 있으나 실제 서버의 HDD를 직접 사용하는 것은 아니다. 따라서 VOG 시스템의 클라이언트 PC의 사용자 행위는 VOG 서버, 관리 서버에는 아무런 영향을 주지 않는다. 또한 VOG 시스템은 로컬 PC 사용자의 부주의로 인해 발생할 수 있는 프로그램 삭제, 추가, 바이러스 감염 등 시스템 손상으로부터 원활히 관리하기 위하여 PC의 전원을 끌 때 항상 처음 설정 상태로 복구하기 위한 시스템 복원 작업을 먼저 하도록 구성되어 있어 관리적 측면도 보완 하였다. VOG 시스템임을 확인하는 방법은 1차로 디스크 관리 기능을 이용하여 클라이언트 PC에 HDD가 설치되어 있는 것을 확인하고, 2차로 윈도우 탐색기를 이용하여 디스크 관리에 나타난 볼륨과 탐색기에 나타난 볼륨이 일치하는지를 확인하면 된다. [그림 2]는 로컬 PC에 장착된 HDD의 볼륨을 보여주고 있다. 그림 2. 로컬 PC의 HDD 설치 볼륨 확인 Fig 2. Checking of Volume in Local PC HDD [그림 2]로 볼 때 로컬 컴퓨터에 1개의 HDD가 장착되어 있고, C:\ 볼륨과 D:\ 볼륨으로 분할 하여 사용하고 있음을 알 수 있다. [그림 3]은 윈도우 탐색기로 사용자가 사용할 수 있는 HDD 볼륨을 보여주고 있다. 100 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration 그림 3. 윈도우 탐색기로 확인된 VOG 서버 가상드라이브 Fig 3. VOG Server Virtual Drive on Client PC [그림 2], [그림 3]에서 보듯이 로컬 PC에 설치된 HDD는 1개로 확인되나 윈도우 탐색기에서 X:\, Y:\, Z:\ 드라이브와 같은 가상드라이브가 확인되면 VOG 시스템으로 판단한다. [그림 4]는 VOG 시스템임을 판단하기 위한 절차도이다. 그림 4. 로컬 PC HDD 및 볼륨 확인으로 VOG 시스템 판단 절차도 Fig 4. Process for Judging VOG System using Local PC HDD Ⅲ. VOG 시스템 디지털증거 수집 방법 VOG 시스템은 클라이언트 PC에 HDD가 장착되고 운영체제가 구동되며 주로 사용되는 게임 이나 프로그램은 모두 로컬 PC HDD에 저장되어 사용한다. [그림 5], [그림 6]은 VOG 시스템 으로 구성된 PC방의 클라이언트 PC와 서버의 드라이브 정보를 확인한 것이다. 그림 5. 클라이언트 PC 드라이브 정보 Fig 5. Information on the Client PC Journal of Digital Forensics 2015 Dec.: 9(2) 101

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 그림 6. 서버 드라이브 정보 Fig 6. Information on the Server PC [그림 5]에서 보이는 가상드라이브 Y:\, Z:\는 [그림 6] 서버의 드라이브 F:\, E:\를 각각 마운트 한 것으로 드라이브 사용량 정보가 같음을 알 수 있다. 클라이언트 PC에서의 사용자 행위 정보를 확인하기 위하여 8.69GB 크기의 파일을 가상드라이브 Y:\에 복사한 후 클라이언트 PC와 서버의 HDD 볼륨 사이즈 크기를 비교하였다. [그림 7], [그림 8]은 폴더를 복사한 후 각 드라이브 정보 변화를 확인한 것이다. 그림 7. 파일 복사후 클라이언트 가상드라이브 사이즈 변화 Fig 7. Client Virtual Drive Size after File Copy 그림 8. 파일 복사후 서버 HDD 사이즈 변화 Fig 8. Server HDD Size after File Copy [그림 7], [그림 8]에서 클라이언트 PC에 마운트된 가상드라이브 Y:\ 볼륨은 복사된 파일 크기 만큼 사이즈의 변화가 나타나지만 서버 HDD와 연결된 F:\ 볼륨의 사이즈 변화가 없다. 이것은 클라이언트 PC에서의 사용자 행위가 Diskless 시스템과는 달리 서버 HDD에 영향을 주지 않는 다는 것을 보여주는 것이다. 즉 VOG 시스템에서의 사용자 행위는 클라이언트 PC에 장착된 HDD의 일정한 공간에 저장된다는 것을 의미한다. 따라서 VOG 시스템에서의 디지털증거를 수집 하기 위해서는 먼저 전원이 켜져 있을 때 휘발성 증거자료를 추출한 후에 HDD를 획득하여 분석 하고, 전원이 꺼져 있을때는 HDD를 획득하여 분석하면 된다. 102 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration VOG 시스템에서 사용하고 있는 서버는 클라이언트에 마운트되어 클라이언트 가상드라이브로 사용되나 클라이언트 사용자 행위는 서버 HDD에 쓰여지지 않는다는 것을 알았으므로 사용자 행위 분석을 위해서는 클라이언트 PC HDD를 분석하여야 한다. 3.1 VOG 시스템 클라이언트의 전원이 켜져 있을 때의 증거자료 수집 앞서 살펴 보았듯이 클라이언트 PC에 가상드라이브로 연결된 서버 HDD에 파일을 복사하거나 생성하면 해당 드라이브 볼륨에 파일이 저장된 것처럼 보이나 실제로는 서버 HDD에는 아무런 영향을 주지 않는다는 것을 알았다. 따라서 클라이언트 PC에서의 사용자 행위를 찾기 위하여 가상 드라이브 Y:\ 볼륨에 This is client pc test in vog system by heungbok lee!!! 라는 내용의 텍스트 파일 file_create_test.txt를 [그림 10]와 같이 생성하고 디지털증거분석 프로그램인 EnCase4)로 확인하였다. 그림 9. 생성한 텍스트 파일 내용 Fig 9. Created Text File Contents VOG 시스템의 볼륨을 EnCase에서 확인하면 로컬 PC에 장착된 HDD의 볼륨은 확인되나 가 상드라이브로 연결된 서버 HDD는 나타나지 않는다. 따라서 가상드라이브 Y:\ 볼륨에 생성한 텍스트 파일은 보이지 않는다. EnCase에서 위와 같이 생성된 파일을 검색하기 위하여 EnCase 검색 기능중 하나인 키워드 검색 기능을 이용하기 위하여 heungbok 를 키워드 등록하고 로컬 PC HDD에서 위 텍스트 파일을 검색하였다. [그림 10], [그림 11]은 EnCase search 기능을 이 용하여 가상드라이브 Y:\ 볼륨에 생성한 텍스트 파일을 keyword 검색한 결과를 나타낸 것이다. 그림 10. EnCase keyword 검색 결과 화면 Fig 10. Keyword Search Results Screen in EnCase 4) 미국 Guidance Software Inc 개발 배포한 디지털포렌식 증거분석 프로그램, Version 6.181 Journal of Digital Forensics 2015 Dec.: 9(2) 103

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 그림 11. 로컬 PC 미할당영역에 저장된 파일 Fig 11. File saved in Unallocated Cluster on Local PC [그림 12]는 VOG 시스템에서 서버 HDD인 F:\ 볼륨과 마운트된 클라이언트 PC 가상드라이브 Y:\ 볼륨에 생성한 텍스트 파일 file_create_test.txt 이 실제로는 로컬 PC 시스템볼륨인 C:\ 볼륨 아래 미할당 영역(unallocated Cluster)에 저장되어 있다는 것을 보여준다. 즉 클라이언트 사용자의 행위는 로컬 PC HDD에 저장되며 가상드라이브로 연결된 서버 HDD에는 영향을 주지 않는다는 것이 확인된다. 3.2 VOG 시스템 클라이언트의 전원이 꺼져 있을 때의 증거자료 수집 VOG 시스템의 클라이언트 PC를 사용한 후 전원을 끌 때 시스템 자체에서 사용자의 파일 생성, 프로그램 설치 삭제 변경 등 처음의 설정 내용에 대한 변경 사항에 대해 초기화 작업을 실시 한다. 즉, 클라이언트 PC의 전원을 끄게되면 바로 클라이언트 PC는 최초 설정된 상태로 복구하는 것이다. [그림 12]은 VOG 시스템 클라이언트 PC 사용후 종료할 때 초기화 작업을 진행하고 있는 것을 보여준다. 그림 12. VOG 클라이언트 PC 종료시 초기화 작업 Fig 12. Initialization on VOG Client PC Power off [그림 12]와 같이 클라이언트 PC를 종료할 때 초기화된 사용자 행위를 찾기 위하여 로컬 PC에 장착된 HDD의 C:\vog_test 폴더와 VOG 시스템 서버와 연결된 가상드라이브 Z:\vog_test 폴더에 104 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration This is vog client test in VOG System by heungbok LEE!!! 라는 내용의 텍스트 파일 vog_file_create_test.txt를 생성하였다. [그림 13]은 로컬 PC에 장착된 HDD의 C:\vog_test 폴더에 생성된 텍스트 파일명, [그림 14]는 서버와 연결된 가상드라이브 Z:\vog_test 폴더에 생성된 텍스트 파일명, [그림 15]은 파일의 내용을 보여주는 것이다. 그림 13. C:\vog_test\vog_file_create_test.txt 파일 생성 Fig 13. C:\vog_test\vog_file_create_test.txt 그림 14. vog 서버와 연결된 가상드라이브에 같은 폴더, 파일 생성 Fig 14. File create on Virtual Drive 그림 15. vog_file_create_test.txt 파일 내용 Fig 15. vog_file_create_test.txt File Contents VOG 시스템으로 구성된 컴퓨터의 HDD를 디지털증거분석 프로그램인 EnCase로 확인하였다. 참고로 윈도우즈 7 프로페셔널(Proressional), 얼티메이트(Ultimate), 엔터프라이즈(Enterprise) 제품군에서 피트락커(BitLocker)로 사용될 100MB의 시스템 예약파티션[6]이 있는데 이 때문에 EnCase에서는 예약파티션이 C:\ 볼륨으로, 우리가 알고 있는 시스템 볼륨이 D:\ 볼륨으로, 파티션을 분할하여 생성된 볼륨이 E:\로 보이게 된다. [그림 16]은 EnCase에서 보여주는 볼륨을 나타낸 것이다. Journal of Digital Forensics 2015 Dec.: 9(2) 105

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 그림 16. 증거분석 프로그램 EnCase에서의 볼륨 확인 Fig 16. Checking of the Volume in EnCase VOG 시스템의 전원이 켜져 있을 때 사용자 행위는 로컬 PC에 장착된 HDD의 미할당 영역에 기록된다는 것을 3.1 절에서 확인하였으나 컴퓨터 종료와 함께 초기화가 진행된 HDD 이미지의 미할당 영역에서 사용자 행위가 검색되지 않아 하드디스크 전체에 대해 EnCase Search 기능을 이용하여 heungbok 키워드 검색을 하였다. 검색결과 D:\DRVBKUP 폴터에 DRVBKUK.000 파일내에 포함된 2개의 텍스트 파일이 검색되었으며, 파일의 형태는 텍스트 파일 사이즈가 작으므로 NTFS 파일시스템의 MFT(Master File Table) 영역에 직접 쓰여진 resident5) 파일로 검색되었다. [그림 17]은 클라이언트 PC를 종료하면서 초기화된 상태에서의 사용자 행위를 확인한 것이다. 그림 17. 클라이언트 PC 종료 후 사용자 행위 검색 Fig 17. User Behavior Search after Client PC Power off [그림 17]에서 키워드 검색으로 2개의 resident 파일이 검색된 것을 알 수 있다. 또한 사용자의 인터넷 접속 기록을 확인하기 위하여 웹브라우저인 인터넷 익스플로러를 실행 하고 http://www.google.co.kr에 접속하여 heungbok 키워드 검색을 하였다. [그림 18]은 인터넷 익스플로러에서 키워드 검색한 결과이다. 5) resident 파일 : 윈도우에서 파일 사이즈가 최대 480byte를 넘지 않아 MFT에 직접 데이터가 저장된 파일 106 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration 그림 18. 인터넷 익스플로러 키워드 검색 결과 Fig 18. Keyword Search Result using the IE [그림 19]는 [그림 18]에서 사용자가 인터넷 익스플로러를 통하여 사이트 검색한 것을 EnCase 키워드 검색으로 생성된 파일과 같은 백업파일에 저장되어 있는 것이 확인된다. 그림 19. 인터넷 접속 키워드 검색 사용자 행위 확인 Fig 19. Checking of User Acts using IE Keyword Search 3.3 VOG 시스템에서 사용자 행위 분석시 주의사항 위에서 살펴 보았듯이 VOG 시스템에서의 사용자 행위는 VOG 서버에는 아무런 영향을 미치지 않고 로컬 PC의 일정 공간에 흔적을 남긴다는 것을 알았다. 로컬 PC가 전원이 켜져 활성 상태 에서의 사용자 행위는 로컬 PC HDD의 시스템 볼륨 미할당 영역(unallocated cluster)에 저장 되지만 컴퓨터 전원을 껐을 경우에는 DRVBKUP.000이라는 백업 파일을 만든다. 따라서 신속한 분석이 필요한 사건의 경우 백업 파일 위주로 분석이 가능할 것이다. 또한 백업 파일은 로컬 PC를 정상적으로 종료할 경우에 생성되므로 만일 종료 버튼을 누른 후 바로 전원 코드를 뺀다면 백업 파일이 생성되지 않고, 처음처럼 미할당 영역(unallocated cluster)에 사용자 흔적이 그대로 남아 Journal of Digital Forensics 2015 Dec.: 9(2) 107

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 있게 된다. 또한 미할당 영역과 백업 파일 모두에서 $MFT 파일 엔트리의 시그니쳐 FILE0 를 시작으로 파일 정보가 저장됨을 확인하였다. [그림 20]는 VOG 시스템에서 클라이언트 PC가 정상적으로 종료하면서 미할당 영역(unallocated cluster)에 생성되었던 사용자 행위의 백업파일(DRVBKUP.000) 에서 보이는 $MFT 엔트리 모습을 보여준다. 그림 20. 백업 파일 내에서 보이는 MFT 엔트리 모습 Fig 20. MFT Entry Form in Backup File 또한 미할당 영역과 백업 파일 모두에서 윈도우 파일시스템 NTFS에서 사용되는 $MFT 파일 엔트리의 시그니쳐 FILE0 를 시작으로 파일 정보가 저장됨을 확인하였다. 하지만 VOG 시스템에서 클라이언트 PC가 정상적으로 종료하면서 생성되는 백업파일 DRVKBUP.000 내에 $MFT(Master File Table) 파일 자체에 대한 정보는 발견되지 않는다. 따라서 VOG 시스템에서 빠른 디지털 증거자료를 획득하고자 할 때는 [그림 21]과 같은 순서로 증거분석을 진행하면 된다. 그림 21. VOG 시스템 디지털증거분석 순서도 Fig 21. Digital Forensic Procedure for VOG System 108 디지털포렌식연구 제9권 제2호 2015년 12월

Evidence Collection Process According to the Way VOG Configuration Ⅳ. 결 론 IT기술의 발달과 지속적인 경제 침체로 국내외의 기업들이 비용 절감을 통해 위기 극복을 모색 하면서 도입하고 있는 클라우드 컴퓨팅 기반으로 국내 PC방의 구성 형태가 다양하게 변화하고 있다. 또한 각 PC방 구성 형태에 따라 범죄 수사를 위한 증거자료 수집 방법도 달라져야 한다. 시스템 구성 형태에 따라 전통적인 PC방에서와 같은 방법으로 증거를 수집하고자 한다면 필요한 증거자료를 찾지 못하는 경우가 발생할 수 있다. 본 연구에서는 국내에서 널리 도입되고 있는 PC방 형태인 Diskless 시스템, VOG 시스템, Diskshot 시스템 중 VOG 시스템의 증거자료 수집 방법을 소개하였는데 실제 수사 현장에서 필요한 사항들에 대해 간략히 언급하고자 한다. 첫째, VOG 시스템 형태로 구성된 PC방에서 사용자 행위는 클라이언트 PC에 저장되나, 로컬 PC의 전원이 켜져 있을 때는 미할당 영역(unallocated cluster)에 저장되고, 전원을 끄는 순간 미할당 영역에 저장된 사용자 행위는 백업 파일 DRVBKUP.000 에 저장된다. 하지만 사용자 행위가 미할당 영역에 저장되는 것과 백업 파일에 저장되는 과정에서 무결성이 보장되는지 확인 하지 못했다. 이는 로컬 PC의 HDD를 획득하기 위하여 전원을 끄는 순간 바뀌기 때문이다. 따라서 전원이 켜져 있을 때와 꺼져 있을 때 디지털 증거자료 수집 방법에 신중해야 한다. 둘째, 수사 대상자의 행위 분석을 위해서는 적어도 백업 파일은 확보해야 한다. 이것은 실시간 추적이 어려운 수사 특성상 수사 대상자의 행위가 끝난 후에 해당 PC를 분석해야 하는 경우가 대부분이기 때문이다. 셋째, 백업 파일 내에 저장된 파일 정보는 NTFS 파일시스템에서 파일의 정보를 저장하는 MFT(Master File Table)와 같은 구조로 저장된다. 하지만 백업 파일 자체에서 NTFS 파일시스템 시그니쳐가 발견되지 않는 등 온전한 NTFS 파일시스템은 아니므로 증거 파일을 획득하기 위해서는 파일 카빙(file carving) 기법을 이용하여 일일이 복원해야 한다. 따라서 VOG 시스템의 백업 파일에 대한 파일 구조를 보다 면밀히 분석하여 파일 추출 방안 등에 대한 연구가 추가적으로 진행되어야 할 것으로 보인다. Journal of Digital Forensics 2015 Dec.: 9(2) 109

Virtual Online Game(VOG) 환경에서의 디지털 증거수집 방법 연구 참 고 문 헌 (Reference) [1] 사이버안전국 사이버범죄통계자료, http://cyberbureau.police.go.kr/share/sub3.jsp [2] 아이러브PC방, http://www.ilovepcbang.com/event/event1.html [3] http://blog.naver.com/pcbangnews/100195882837 [4] Deung Hwa Kim, Jaeung Namgung, Jungheum Park, Sangjin Lee, User behavior analysis in No Disk System Configuration, Journal of The Korea Institute of Information Security & Cr-yptology(JKIISC), VOL.23, NO.3, June 2013 [5] encase_modules_user_manual_v612, https://www.google.co.kr/url?sa=t&rct=j&q=&esrc =s&source=web&cd=2&ved=0ccmqfjab&url=http%3a%2f%2fdownload. guidancesoftware.com%2fap3mq7h%2fya3bvoerdbr6kcl4lp2qlhuysicmmpwslyn2% 2BLCcz4ClCnqwGSyG1mHP&ei=atprVNjjOMHFmQWL6YFo&usg=AFQjCNFx5CPxki_ Vy4WclrORFom_CCFObg&bvm=bv.79908130,d.dGY&cad=rjt, Guidance Software, Inc. [6] David A. Karp, Windows 7 Annoyances: Tips, Secrets, and Solutions, O'Reilly Media, inc., 2010 110 디지털포렌식연구 제9권 제2호 2015년 12월