본문 바로가기
동굴 속 정보

디지털 셜록의 삶, 포렌식 분석가

by 도시형닌자 2020. 3. 31.

[ 디지털 포렌식에서 데이터 분석가로 ]

보안에서 포렌식이라는 업을 하면서 많은 사고 분석을 접했다.

N사 H사 등등등 정말 굵직하고 재미있는 곳들에서 밤낮없이 분석했다

그렇게 8년이라는 세월이 흘렀고 나에게는 권태기라는 것이 찾아오게 되었다.

 

그렇게 나는 현장의 일들을 정리하고 세계일주를 떠나게 된다.

인도네시아로 들어가서 호수 뉴질랜드 남미를 여행하면서 어느 순간 한국으로 가고 싶었다.

 

돌아온 한국에서는 투자자로서 업을 행했고

현재는 이커머스에서 인공지능 데이터 분석가로서 일하고 있다.

 

투자자의 삶을 보낼 때는 돈 되는 일은 전부 했다.

포렌식 분석도 하고 부동산 경매도 했으며 강의도 했다.

 

그러면서 인프런을 만났다.

인프런에 강의를 찍어서 업로드하면서 전반적인 나의 분석법을 정리하고 다 털어 넣었다.

 

맥으로 윈도우즈를 분석하는 다소 수요와 공급이 맞지 않아 외면받을 수 있는 주제였다.

하지만 정말 착실하게 모두 이수하면 분석이 가능한 사람이 될 수 있는 강의가 되었다.

URL : https://www.inflearn.com/course/forensic-2

 

맥으로 배우는 윈도우즈 포렌식 - 인프런

유료 도구가 아닌 무료 포렌식 도구를 통해 더욱 깊이 있는 포렌식 분석 방법을 배웁니다. 초급 보안 Forensic Windows-OS 정보보안 온라인 강의 forensic

www.inflearn.com

 

 

 

 

[ 디지털 포렌식이란 ]

 

디지털 포렌식의 대상은 저장장치가 있는 기기들 전부가 된다.

만약 핸드폰에서 일어나는 일들의 처음과 끝을 전부 기록하고 보여줄 수 있다면 이건 핸드폰 포렌식이다.

컴퓨터에서 일어나는 일들의 처음과 끝을 전부 기록한고 보여준다면 컴퓨터 포렌식 즉 디지털 포렌식이 된다.

 

마찬가지로

자동차, 비행기, 프린터 등등 모든 저장 장치를 갖고 있는 것들 전부가 디지털 포렌식의 대상이다.

이런 기기들을 분석을 하기 위해서 기본적으로 거쳐야 하는 6가지 순서들이 존재한다.

 

(1) 사건 현장에서 증거 수집

사건 현장에 방문하여 저장장치를 가지고 있는 장비를 수거한다.

하드디스크, 핸드폰, NAS, 공유기, 프린터, USB, SD Card 등이 있다.

증거 수집 대상들

 

(2) 증거물품 이미징

수거해온 장비들 안의 내용이 변하지 않도록 장비들의 내용을 그대로 똑같이 만든다.

이러한 행위를 이미징이라고 한다.

 

(3) 증거들의 타임라인 기록

이미징을 하면 이미징 파일들이 있는데 이 파일들을 포렌식 도구로 열면 탐색기처럼 데이터를 볼 수 있다.

이 파일 안에 기록된 로그와 파일 시스템 그리고 OS들이 남기는 데이터를 시간 순서대로 정렬한다.

그리고 기계어로 적혀있는 내용은 인간의 언어로 변경하여 하나씩 기록한다.

이 방법을 타임라인 기법이라고 한다.

기계어를 인간의 언어로

 

(4) 타임라인 분석

타임라인 기법으로 만들어진 로그 형태의 기록물들은 일반 텍스트 에디터로 볼 수 없다.

그 이유는 용량이 거대하기 때문이다. 그래서 일반적인 에디터 대신에 sublime같은 도구를 활용한다.

 

sublime도 임시방편이며,

제대로 분석하기 위해서는 ELK Stack으로 데이터를 인덱싱하여 분석해야 한다.

ELK Stack

 

(5) 필요데이터 카빙(살려내기)

타임라인을 분석하면 타임라인에서는 존재하지만

실제 증거는 찾을 수 없는 경우가 발생한다. 악성코드 같은 경우가 이러한 경우에 해당한다.

이럴 때는 증거물품의 파일 시스템에서 일부라도 찾아서 증거로 활용해야 한다.

 

일부를 찾아 살리는 법이 바로 카빙이다.

조각하다라는 의미로 파일의 포맷 기반으로 데이터를 복원할 수 있다.

 

(6) 증거들의 발생원인 재현

마지막으로 포렌식의 꽂이라고 볼 수 있는 원인 재현이다.

이 부분은 케이스마다 다르고 취약점마다 다르기 때문에 취약점 분석과 같다.

취약점 분석을 할 수 있냐 없냐가 원인에 대한 증명을 할 수 있냐 없냐가 된다.

그래서 최고의 분석가가 되기 위해서는 취약점과 해킹에 대한 연구를 게을리하면 안 된다.

 

 

 

 

 

[ 맥으로 배우는 윈도우즈 포렌식 ]

인프런의 맥으로 배우는 윈도우즈 포렌식

세계일주를 다녀와서 만든 포렌식 강의로 인프론에 게재했다.

다루는 주제는 포렌식 기술 6가지에서 반드시 필요한 것들로만 구성했다.

 

모든 분석 방법은 맥 OS에서 진행된다.

이유는 윈도우즈를 윈도우즈에서 분석하는 방법보다 보다 편리하게 분석 할 수 있기 때문이다.

맥에서 분석하게 되면 타임라인을 만드는데 더욱 자유롭고 파이썬 활용이 쉬워진다.

그리고 가장 중요한 무료 도구가 넘친다는 것이다.

 

윈도우즈에서 분석하게 될 경우 Encase와 같은 몇백만원짜리 프로그램으로 분석을 해야 하지만

맥에서는 Sleuthkit과 각종 유용한 쉘 도구들 그리고 ElasticSearch를 사용할 수 있다.

물론 윈도우즈에서도 사용 가능하지만 맥이나 리눅스에서 훨씬 더 자유롭게 사용 가능하다.

 

비록 값이 착한 가격은 아니지만

그래도 이 강의만으로 파일 시스템을 완벽하게 이해하고

포렌식 분석의 전반적인 내용을 익힐 수 있을 것이다.

그리고 기본적인 파이썬을 알고 있다면 정말 즐거운 강의가 될 것이다.