33. 포렌식 - 보안의 기본

포렌식(Computer Forensic)이란 컴퓨터에 잔존하는 정보를 수집하여 해당 컴퓨터에서 무슨 일이 일어났는지를 나타내는 정보를 특정하고, 그 대응을 조사하는 작업을 말한다.

그래서 포렌식을 하려면 OS 나 앱의 기본적인 사양이나 정보의 존재 위치를 알아 둘 필요가 있다.

* 포렌식을 할 때 가장 먼저 생각해야 할 것

가장 먼저 생각해야 할 것은 컴퓨터의 보전이다.

보전이란 피해를 입은 컴퓨터의 전원을 끄고 피해를 발생했을 때의 상태 그대로 놓아두고 만지지 않는 것이다.

컴퓨터의 전원을 켜 둔 채로 두면 기억 장치에 불필요한 변경이 일어날 가능성이 있기 때문에 반드시 먼저 전원을 끄고 피해 대상 컴퓨터에 의도하지 않은 변경이 발생하지 않도록 한다.

* 포렌식에는 시간이 걸린다.

포렌식을 할 때는 보통 대상 컴퓨터의 기억 장치를 직접 조사하지 않는다.

일단 다른 조사용 HDD 에 복제한 후에 조사를 한다.

또한 실제 조사 과정에서는 기억 장치의 내용을 가능한 한 세세히 조사한다.

로그, 각종 설정의 조사, 삭제된 파일의 조사 등을 통해 상세한 피해 내용을 알 수 있는 경우가 있다.

TB 단위의 HDD 가 당연한 요즘은 실제 피해가 없는 조사 목적의 경우라도 포렌식을 하려면 상당한 시간이 걸린다.

기억 장치의 복제에 시간이 걸리고, 그 후의 조사에도 시간이 걸린다.

HDD : 파일의 흔적, 삭제 파일의 잔해, 타임스탬프, 로그, 통신 데이터

메모리 : 동작 프로세스, 서비스 데이터의 흔적, 부정 멀웨어의 데이터

수집된 정보로부터 타임라인을 작성한다.

보통 메모리 덤프도 수행한다.