2024-03-28 21:20 (목)
[김진국의 디지털포렌식-6] 현장장비에 대한 포렌식 연구
상태바
[김진국의 디지털포렌식-6] 현장장비에 대한 포렌식 연구
  • 길민권
  • 승인 2012.08.26 16:34
이 기사를 공유합니다

"포렌식 현장장비(Field Device)에 대한 관심과 연구 필요해"
포렌식 조사를 수행할 때 현장에서 많은 장비를 만나게 된다. 익숙한 데스크톱, 휴대폰, 노트북 이외에 메인프레임 급의 서버도 조사의 대상이 된다. 조사관은 대상 시스템의 다양한 운영체제 뿐만 아니라 하드웨어적인 특성(LVM, RAID, Dynamic Disk 등)과 설치된 보안 소프트웨어(암호화 솔루션, DRM등)를 고려하여 가장 적합한 방식으로 수집 및 조사를 해야 한다. 현재 대부분의 포렌식 연구는 이런 시스템을 대상으로 진행되고 있어, 다양한 환경에 대한 기본적인 대응 매뉴얼을 갖추고 있다.

 
현장에서 마주치는 장비는 운용 시스템 이외에도 매우 다양한데 이런 장비에 대한 연구는 부족한 편이다. 대표적으로 네트워크 노드를 연결해주는 공유기, 허브, 스위치, 라우터를 비롯하여 F/W, IDS, IPS, VPN, DDoS 차단시스템, 좀비 PC 방지 시스템과 같은 보안 장비도 고려해야 한다.
 
그리고 스카다(SCADA) 시스템도 고려해야 하는데 대형 산업 제어시스템을 제외하고서라도 소규모의 상수/하수 처리장, 송전/배전 시스템, 통신 시스템에도 스카다 장비로 제어된다. 심지어, 건물의 엘리베이터나 전력관리 시스템에도 스카다 장비가 사용되고 있다.
 
대형 네트워크 장비나 스카다 시스템에 대한 연구를 진행하면 좋겠지만 현실적으로 연구 목적만으로 도입하는 것에는 많은 무리가 따른다. 하지만, 대형 장비는 이미 체계적인 관리 솔루션에 의해 관리되고 있는 만큼 현장에서 담당자의 인터뷰를 제대로 진행한다면 원하는 정보를 얻는데 큰 어려움이 없다.
 
문제는 허브, 유/무선 공유기, 소규모 스카다 시스템과 같은 소형 장비다. 이런 소형 장비는 설치할 때만 신경을 쓰고, 설치 이후에는 문제가 발생하기 전에 전혀 관리가 이루어지지 않는다. 하지만, 이렇게 무관심을 받는 장비에도 사건의 유용한 증거가 저장되어 있을 가능성은 항상 존재한다.
 
보통 포렌식 조사에서 조사관들이 가장 많은 어려움을 호소하는 단계는 분석이 아니라 이미징 단계다. 우선 증거에 대한 이미징을 완료해야 최소한 문자열 추출이라도 해볼 수 있을 텐데 하드웨어적인 특성이 다양하여 매뉴얼에 나온 대로 이미징이 이루어지지 않는 경우가 비일비재하다.
 
현장장비에서는 이미징보다 다음과 같은 기초적인 문제를 고민하게 만든다.
-어떤 인터페이스로 장비에 접근할 수 있는가?
-어떤 운영체제를 사용하고 있고 해당 운영체제에서 동작하는 포렌식 도구가 존재하는가?
-어떤 파일시스템을 사용하고 있고 마운트가 가능한가?
-어떤 정보가 어떤 방식으로 저장되어 있는가?
 
대부분 위와 같은 문제는 현장에서 장비와 마주친 이후에 고민하게 되는데, 현장에서 많은 시간을 소요할 수 없는 만큼 사전에 대비하는 것이 필요하다.
 
이런 문제 이외에도 본질적인 증거의 가치에 대한 문제도 고민할 수 밖에 없다. 잠시 원론적인 이야기로 돌아가서, 디지털 데이터가 증거능력을 갖기 위해서는 다음과 같은 특성이 보장되어야 한다.
 
-진정성(Authenticity): 해당 증거가 특정인이 특정 시간에 생성한 데이터인지 증명할 수 있어야 함
-원본성(Originality): 디지털 데이터를 변환하여 제출하는 과정에서 증거가 원본 매체의 데이터와 동일해야 함
-무결성(Integrity): 원본으로부터 증거 처리절차 과정 동안 수정, 변경, 손상이 없어야 함
-신뢰성(Reliability): 증거의 수집, 분석 과정에서 증거가 위, 변조되거나 의도하지 않은 오류를 포함하지 않아야 함
 
진정성과 원본성은 증거를 다루는 과정에서 필요한 특성이 아니기 때문에 조사관이 주의해야 할 특성은 무결성과 신뢰성이다. 조사 대상의 무결성과 신뢰성을 확보하기 위해 다양한 연구가 이루어지고 있지만 널리 보편화되어 있는 방법은 증거의 해시값을 계산하는 것이다. 해시값을 확보한 증거는 이후의 위, 변조 여부를 밝혀낼 수 있기 때문이다.
 
현장 대응의 어려움은 해시값을 계산하기 전에 나타나는 문제들이다. 전원이 차단된 고정 장치라면 쓰기 방지 상태에서 이미징을 하고 해시값을 계산하면 되겠지만, 최근에는 전원을 차단시킬 수 없는 경우가 많기 때문이다. 증거 수집 도중에 수시로 증거가 변경된다면 어떤 식으로 해당 증거의 무결성과 신뢰성을 보장할 것인가?
 
일반적으로 용의자를 입회시킨 상태에서 증거 수집 단계를 사진이나 동영상으로 기록한 후, 용의자의 서명을 통해 이를 입증한다. 추가적으로 제 3자의 입회 하에 증거 수집을 하여 입증하는 경우도 있다. 이런 방식은 이미 수집 과정에 대해 정의가 이루어진 후, 그 과정을 입증하는 것으로 현장장비에 적용하기는 어렵다.
 
앞서 이야기한 기초적인 문제들 하에서 어떤 방식으로 증거 수집을 하는 것이 적절한지 연구가 되어 있지 않기 때문이다. 소위 말해, 현장장비를 마주친 상황에서 삽질을 해야 하는 경우가 다반사이기 때문이다. 더 늦기 전에 현장장비에 대한 체계적인 연구가 필요한 시점이다.
 
최근 pastebin을 통해 전세계의 노출된 스카다 장비 IP가 공개되었다. IP가 노출된 장비는 대부분 대형 시스템이 아닌 비교적 소규모 시스템의 장비다. 스카다 장비에 과연 IP가 필요할까? 물론 어쩔 수 없이 IP가 필요한 환경도 있을 것이다.
 
하지만 많은 스카다 환경이 상주 인력을 필요로 하지 않기 때문에 관리업체의 유지 관리의 편의를 위해서나 시스템의 외부 모니터링을 위해서 설정했을 것이다. 문제는 이렇게 설정된 장비에 어떤 보안적인 대책도 마련되어 있지 않다는 점이다.
 
스카다를 얘기할 때 대부분 대규모의 기간망을 언급하지만 그런 환경은 비교적 관리가 잘 이루어지고 있다. 더 큰 문제는 이렇게 방치된 스카다 환경인데 기본적인 보안 대책도 없이 공격에 무방비로 노출되어 있다. 이런 환경에서 사건이 발생하면 앞서 언급한 현장장비의 대응 문제점이 그대로 나타나게 된다.
 
공격의 범위가 갈수록 넓고 다양해지는 만큼 포렌식 연구도 이제 익숙한 시스템을 벗어나 네트워크 환경이나 주변에 미처 신경 쓰지 못했던 장비를 살펴봐야 할 때이다.
 
끝으로 이번 글을 작성하는데 도움을 준 “포렌식 인사이트” 회원들에게 감사의 말을 전한다.
 
<필자소개>
강원대학교와 고려대학교 정보보호대학원을 졸업하고 현재 안랩 A-FIRST 팀에서 침해사고 포렌식 분석 업무를 담당하고 있다. 국내에 디지털 포렌식과 관련한 올바른 정보 공유를 위해 개인 블로그(FORENSIC-PROOF)와 포렌식 인사이트 커뮤니티를 운영하고 있다. 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★