[Mobile Forensics] 모바일 포렌식의 어려움에 대하여

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 포렌식의 어려움에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Challenges in mobile forensics

모바일 플랫폼이 세상에 나왔을 때 가장 큰 어려움 중 하나는 너무나 다양한 디바이스에 어떻게 데이터에 접근하고, 저장하고, 동기화할 것인가 였습니다.

데이터가 휘발성이고 쉽게 변환되고 원격으로 삭제할 수 있기 때문에, 이러한 데이터를 보존하기 위해 더 많은 노력이 필요하였습니다.

 

https://hackersonlineclub.com/advanced-mobile-forensics-investigation-software/

 

 

법집행기관과 포렌식 전문가는 모바일 디바이스로부터 디지털 증거를 획득할 때 겪는 어려움은 다음과 같습니다.

- 하드웨어의 상이함 (Hardware differences)

다양한 제조사에서 다양한 모바일 폰 모델이 넘쳐 납니다.

 

- 짧은 제품 개발 주기

 

- 모바일 운영체제 (Mobile operating system)

모바일 디바이스는 컴퓨터보다 더 다양한 운영체제를 이용합니다.

다양한 버전은 포렌식 분석관의 일을 더욱 어렵게 만들 기도 합니다.

 

- 모바일 플랫폼 보안 기능 (Mobile platform security features)

현대의 모바일 플랫폼은 사용자 데이터와 프라이버시를 보호하기 위하여 내장형 보안 기능(built-in security feature)을 포함합니다.

오늘날 모바일 디바이스는 하드웨어 계층에서 소프트웨어 계층으로 기본적인 암호화 메커니즘이 적용되는데, 조사자들은 그 디바이스에서 데이터를 추출하기 위해서는 우선 암호화 메커니즘을 깨야 합니다.

 

- 데이터 수정 방지 (Preventing data modification)

포렌식에서 근본적인 규칙 중에 하나는 디바이스의 데이터가 변경되어서는 안된다는 겁니다.

디바이스로부터 데이터를 추출하려는 어떠한 시도라도 그 디바이스 안에 존재하는 데이터를 변경시키지 않아야 합니다.

그러나 이것은 특히 모바일 디바이스인 경우에는 사실상 불가능한 얘기가 됩니다.

왜냐하면 디바이스의 전원을 On하는 것 부터 그 디바이스의 데이터를 바꿀 수 있기 때문이다.

설령 어떤 디바이스가 Off 상태로 되어 있을 지라도, 백그라운드 프로세스는 여전히 동작할 겁니다. (예: 대부분의 모바일에서 Alarm  Clock은 폰의 전원이 Off 일 때에도 동작)

 

- 안티 포렌식 기술 (Anti-forensic techniques)

데이터 숨기기(data hiding), 데이터 난독화(data obfuscation), 데이터 위조(data forgery), 안전 삭제(secure wiping) 등

 

- 패스코드 복원 (Passcode recovery)

디바이스가 패스코드로 보호되고 있다면, 포렌식 조사자는 그 디바이스의 데이터를 손상시키지 않고 디바이스에 대한 접근 권한을 얻어내야 합니다.

 

- 스크린 락을 우회하는 기술 (bypass the screen lock)

 

- 자원 부족  (Lack of resources)

포렌식 획득 소품들(USB cables, Batteries, Chargers 등등)은 이러한 디바이스를 획득하기 위해 필요한 장비이나 유지하기가 어렵습니다.

 

- 증거의 동적 성질 (Dynamic nature of evidence)

디지털 증거는 의도적이든 비의도적이든 쉽게 변경될 수 있습니다.

 

- 우연한 리셋 (Accidental reset)

조사 도중에 우연히 발생할 수 있는 디바이스 리셋은 데이터 손실을 초래할 수 밖에 없습니다.

 

- 디바이스 변경 (Device alteration)

디바이스를 변경하는 방법은 어플리케이션 데이터를 옮기는 것 또는 파일 이름을 바꾸는 것에서 제조사의 운영시스템을 수정한 것에 이르기 까지 다양합니다. 이러한 경우 혐의자의 전문성이 있는지 여부를 고려하여야 합니다.

 

- 통화 보호 (Communication shielding)

모바일 디바이스는 셀룰러 네트워크, Wi-Fi 네트워크, 블루투스, 적외선 통신 상에서 통신이 가능합니다.

디바이스 통신 자체가 디바이스의 데이터를 변경시킬 수 있기 때문에, 압수한 이후에는 추가적인 통신 가능성을 제거하여야 합니다.

 

- 도구의 활용 가능성 부족 (Lack of availability of tools)

도구 하나로 모든 디바이스를 지원하거나 모든 필요한 기능을 수행하는 것은 모바일 포렌식에서는 불가능한 일 입니다.

따라서 도구를 조합하여 사용하여야 할 필요가 있습니다.

 

- 악성 프로그램 (Malicious programs)

디바이스가 악성 프로그램을 포함할 수도 있습니다.

 

- 법적 이슈 (Legal issues)

범죄는 지리학적 경계를 넘나 들 수 있고, 포렌식 분석관은 범죄의 특성과 지역 법규를 잘 알아야 합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)