Digital Forensics Framework

Digital Forensics

1. 기술 관점의 프레임워크

• 디지털 포렌식 분야에서 기술 관점의 프레임워크들은 확장성있는 플랫폼을 제공하고자 하는 목적으로 개발되고 있다.

Volatility

• Volatility는 오픈 소스 메모리 포렌식 프레임워크이다.
• Volatility의 특징은 메모리 덤프 파일을 입력 받는다.
• 덤프파일이란, 컴퓨터가 겨져있는 상태에서 RAM에 저장되어 있는 비트 스트림을 복사한 파일을 의미한다.
• 즉, 실행 중인 컴퓨터의 RAM을 곧바로 분석하는 것이 아니라 우선 RAM에 일시적으로 저장되어있는 모든 디지털 데이터로 파일을 복제한 후, 해당 파일을 분석하는 방식
• Volatility는 각종 플러그인을 통해 메모리 덤프 파일에 저장되어 있는 다양한 정보를 사용자에게 가시화해준다.
• 플러그인에는 Volatility 재단이 직접 제공하는 정통 플러그인외에 서드 파티 플러그인들이 다수 개발되었다.
• Volatility가 메모리 분석의 '프레임워크'라 불리는 이유가 이런 플러그인 확장성에 있다.

Autopsy

• Autopsy는 BasisTech에서 제공하는 오픈 소스 디지털 포렌식 프레임워크다.
• 디스크를 분석하여 내부에 저장되어있는 파일과 폴더들을 해석할 수 있는 오픈소스 TSK가 핵심 엔진으로 포함되어있고 TSK로 추출하는 내용들을 분석하여 디지털 포렌식 조사에 활용 가능한 여러 정보들을 제공한다.
• Autopsy는 케이스 단위로 프로젝트를 생성할 수 있고 
• 각 케이스에 다수의 증거 파일 입력도 가능하여 고가의 상용 포렌식 도구들과 유사한 체계를 갖추고 있다.

CARPE

• CARPE는 고려대학교 디지털포렌식연구센터에서 개발한 오픈 소스 프레임워크이다.
• Autopsy와 유사하게 디스크 분석을 위한 핵심 기능은 TSK를 활용하고, 디지털 포렌식 조사를 위한 기능들은 모듈에서 처리하다.

---

2. 프로세스 중심의 프레임워크

범용 프레임워크

• 디지털 포렌식이라는 용어가 본격적으로 사용되기 전 Mark M. Pollitt이 컴퓨터 포렌식의 네 단계 절차를 제시했다.
• Acquisition, Udentification, Evaluation, Admission 각 단계의 결과로 물리적 미디어, 논리적 데이터, 정보, 증거가 추출되는 모델이였다.
• 이후 Computer Crime에 대응하기 위한 실무적인 방법론으로 Prosise 등이
  • pre-incident preparation
  • detection of incidents
  • initial response
  • response strategy formulation
  • duplication
  • investigation security measure implementation
  • network monitoring
  • recovery
  • reporting and follow up

로 이어지는 구체적인 프로세스를 제시하였다.

 

• 후에 DFRWS에서 7단계로 구성된 프레임워크를 제시하였다.

디지털 포렌식 관련 연구자들과 실무자들이 모여 '디지털 포렌식'이라는 용어와 함께 프로세스 표준화를 논했다는 점에서 상징성이 있다.

특수 목적 프레임워크

• 범용 디지털 포렌식 프레임워크들은 주로 현장에서 물리적으로 접근 가능한 컴퓨터들을 대상으로 설게되었다.
• 하지만 PC 이외에 다양한 디지털 기기들과 운영체제, 온라인 서비스들이 사용되므로 포렌식 조사 시 기존에 제시된 범용 프레임워크들을 그대로 사용하기에는 한계가 있다.
• 특수 목적 프레임워크는 디지털 기기, 운영체제, 애플리케이션, ICT 인프라 자체 등을 대상으로 제시되고 있다.

 

• 디지털 기기를 대상으로 하는 프레임워크들은 IoT, 모바일, 드론 대상으로 하는 프레임워크 등이 있다.

 

• 운영체제 대상 프레임워크는 Windows, Mac, Linux, Andorid, IOS 대한  프레임워크들을 대상으로 한다.

 

• 단일 애플리케이션에 집중하는 프레임워크도 다수 제시되고 있다.
• 특히 스마트폰이 전세계적으로 보급되면서 텔레그램이나 왓츠앱 등 메신저나 소셜 네트워크 서비스에 대한 프레임워크들이 제시되고 있다.

 

• ICT 인프라에 큰 변화가 있을 때에도 다양한 프레임워크들이 제시된다.
• 클라우드 컴퓨팅이 등장하면서 기존 디스크 물리적 수집이 불가능하게 되어 이에 대처할 수 있는 새로운 프레임워크들이 발표됐다.
• 빅데이터 솔루션이 보급되면서 대용량의 데이터로부터 디지털 증거를 찾아내는 기존의 단말기 조사 프레임워크와는 다른 접근이 제시되었다.
• 블록체인 기반의 가상자산이 주요 조사 대상이 되면서 디지털 포렌식 프레임워크에도 새로운 패러다임이 필요