디지털 포렌식 분석: 증거 수집 및 분석

디지털 포렌식 분야에서 악성 코드 관련 조사는 변동성 데이터의 포렌식 보존에 크게 의존합니다. 용의자의 컴퓨터를 작동시키면 시스템이 변경될 수 있기 때문에, 시스템에 가해지는 변경을 최소화하고, 가장 변동성이 높은 데이터부터 수집하며(변동성 순서라고 함), 취해진 모든 조치를 철저히 문서화해야 합니다.

이러한 접근 방법은 RFC 3227: 증거 수집 및 보관을 위한 지침에 자세히 설명되어 있습니다.

 

기술적으로, 악성코드 사건에 대응하여 활성 시스템에서 수집된 정보 중 일부는 비휘발성입니다. 아래의 하위 범주는 활성 시스템에서 수집되는 정보의 상대적 중요성을 명확히 하기 위해 제공됩니다.

변동성 데이터와 비휘발성 데이터

• 1단계 변동성 데이터: 시스템이 어떻게 침해되었으며, 침해의 성격에 대한 통찰을 조사관에게 제공하는 중요한 시스템 세부 정보입니다. 로그인한 사용자, 활성 네트워크 연결, 시스템에서 실행 중인 프로세스 등이 여기에 속합니다.
• 2단계 변동성 데이터: 일시적인 정보는 조사에 유익하며, 침해 및 감염의 성격과 목적을 추가로 설명할 수 있지만, 침해된 시스템의 현재 상태를 결정하기 위해서는 필수적이지 않습니다. 예를 들어, 예약된 작업과 클립보드 내용이 여기에 해당합니다.
• 1단계 비휘발성 데이터: 대상 시스템의 상태, 설정 및 구성을 드러내며, 시스템 또는 네트워크의 침해 및 감염 방법에 대한 단서를 제공할 수 있습니다. 구성 설정과 감사 정책 설정이 이에 해당합니다.
• 2단계 비휘발성 데이터: 시스템 상태, 설정 또는 구성 분석에 결정적이지 않지만, 역사적 정보와 맥락을 제공합니다. 예를 들어, 시스템 이벤트 로그와 웹 브라우저 히스토리가 이에 속합니다.
  
  

디지털 포렌식 분석의 주요 목표 중 하나는 범죄와 관련된 사건들을 재구성하는 것입니다. 범죄 재구성에 흔히 사용되는 세 가지 분석 기법은 시간적(Temporal), 기능적(Functional), 그리고 관계적(Relational) 분석입니다.

시간적 분석 (Temporal Analysis)

시간적 분석에서 가장 흔한 형태는 타임라인입니다. 컴퓨터에 존재하는 시간적 정보의 풍부함으로 인해, 이 정보를 분석하는 접근 방식은 우리의 상상력과 현재 도구에 의해서만 제한됩니다. 시간적 분석을 통해, 조사관은 사건 발생 전후의 행동과 변화를 세밀하게 추적할 수 있으며, 범죄의 핵심 순간들을 정확하게 식별할 수 있습니다.

 

기능적 분석 (Functional Analysis)

기능적 분석의 목표는 범죄 환경 내에서 가능했던 행동들을 이해하고, 악성 코드가 환경 내에서 실제로 어떻게 동작하는지(그것이 할 수 있는 것에 반해)를 파악하는 것입니다. 이러한 분석을 통해, 악성 코드의 실제 기능과 행동 패턴을 파악하고, 이를 통해 악성 코드의 목적과 효과를 파악할 수 있습니다.

관계적 분석 (Relational Analysis)

관계적 분석은 악성 코드의 구성 요소들이 어떻게 상호 작용하는지, 그리고 맬웨어 사건에 관련된 다양한 시스템이 서로 어떤 관계를 가지고 있는지를 연구하는 데 관여합니다.

예를 들어, 악성 코드의 한 구성 요소가 다른 더 중요한 구성 요소들을 다운로드하는 데 사용되는 것으로 쉽게 식별될 수 있으며, 이러한 경우 추가적인 심층 분석이 필요하지 않을 수 있습니다.

마찬가지로, 한 컴퓨터 시스템이 침입자가 다른 감염된 컴퓨터에 접근하기 위해 사용한 주요 명령 및 제어 지점으로 식별될 수 있으며, 이 시스템은 네트워크상에서 침입자의 활동과 다른 감염된 시스템에 대한 정보를 포함한 가장 유용한 증거를 포함할 수 있습니다.