[디지털포렌식] 윈도우 시스템에서의 증거수집(1)
해당 글은 '철통보안시리즈009 디지털포렌식' 을 참고하여 작성된 글임을 미리 알립니다.
이번 글에서는 윈도우 시스템에서 파일삭제의 원리와 메타데이터에 대해서 다루어보겠습니다.
1. 삭제된 데이터
일반 사용자들은 데이터를 삭제할 때 삭제 버튼을 누르는 것만으로도 안전하다고 느낀다. 단 한 번의 마우스 클릭으로 데이터가 완전히 사라져서 다시는 찾을 수 없을 것이라고 생각하는데, 보안을 전공하고자 하는 사람들 또한 그렇게 생각하면 매우 바보같은 생각이다.
삭제 버튼을 클릭한다고 해서 데이터 자체를 삭제하는 것이 아니라는 것이다. 파일은 데이터가 저장되어져 있던 그 공간에 그대로 남아있다. 파일을 '삭제' 한다는 의미는 컴퓨터에게 파일이 차지하고 있던 공간을 컴퓨터가 필요할 때 사용할 수 있다고만 이야기해주는 것이다.
따라서, 삭제된 데이터는 다른 파일로 덮어써지기 전까지 그대로 남아있게 된다. 그리고 파일이 덮어써지기 전까지 상당한 시간이 걸릴 수도 있는데, 덮어쓰여지지 않는다면 우리는 그 파일에 대한 정보를 찾아낼 수도있다는 것이다. 즉, 우리가 휴지통에서 완전 삭제를 진행한 파일도 복구 프로그램을 사용하여 가져올 수 있다는 것을 의미한다. (그 섹터에 새로운 데이터가 쓰여지지 않은 경우에 한에서)
2. 휴지통
필요하지 않는 파일을 삭제하면 휴디통으로 옮겨지는 것이 아니었나? 하는 생각이 위의 첫번째 글을 읽고 느꼈을 것 같다. 엄연히 아니다. 일반 사용자들에게 섹터나 바이트에 대한 이해보다는 휴지통을 이용해서 비슷하게 구현을 해놓았다고 이야기하자. 이러한 기능을 가능하게 하는 방법에는 2가지가 있다. 드래그-앤-드롭으로 휴지통으로 옮기거나 마우스 우클릭을 통해 삭제 메뉴를 클릭해서 말이다. 또한 휴지통으로 삭제한 파일을 복구를 통해 쉽게 복원도 가능하다. 하지만 휴지통을 비워버리면 일반 사용자들은 파일을 복원하기 어려울 수도 있을 것 같다.
더 나아가 shift+delete 를 통해 휴지통을 거치지 않고 바로 '할당되지 않은 공간'으로 이동시킬 수도 있다. 그리고 휴지통 자체를 비활성화 시켜 거치지 않고 삭제를 해버리도록 설정을 하는 방법 또한 존재한다.
위의 두 문단에서도 알 수 있듯이, 휴지통을 거치지 않고 가는 방법을 아는 사람은 드물다. 그 결과 휴지통은 다양한 증거 파일을 찾을 때 반드시 살펴보게 되는 단계중에 하나이다.
3. 메타데이터(metadata)
메타데이터는 "데이터의 데이터" 라고 많은 책들에서 정의되고 있다. 즉, 데이터들의 정보를 가지고 있다는 의미이다. 간단한 예로 파일을 우 클릭하여 '속성'에서 볼 수 있는 날짜와 시간이 데이터들의 정보에 해당한다. 범죄자들이 이 시간대를 조정하여 파일 생성기간을 바꾸는 것은 매우 쉬우니 유의해야한다.
여기서 살펴볼 만한 것은 access 날짜이다. 일반적으로는 수정한 날짜와 비슷할 수 있겠지만, 만약 이것이 실행파일이거나, 혹은 백신 프로그램에서 살펴보는 등 파일에 접근 시도가 있었을 때 엑세스 날짜와 시간이 바뀌게 된다. 즉, 정상 혹은 비정상 접근 그리고 유저가 아닌 컴퓨터가 접근하는 것도 액세스 날짜에 포함 될 수 있다는 점이다. 이것은 파일은 단순히 연다는 것과는 다른 의미라는 것을 알아 놓아야 한다.
이러한 메타데이터는 범죄 수사를 하는데 매우 유용하게 사용되기도 한다. 메타데이터를 통해 위에 문단에서 이야기 한 것처럼 액세스한 날짜를 통해서 시간대를 유추하는 것은 당연하고, 저장된 파일의 작성자나 소유자의 이름을 확인할 수도 있다는 점에서 매우 유용하다. 확인 방법을 우리가 흔히 사용하고 있는 microsoft의 word를 통해서 알아보자.
보이듯이, 파일의 크기와 날짜 그리고 만든이가 누구인지 까지 확인이 가능하다. 지금은 작성자가 만들고 마지막으로 수정한 사람이기에 이렇게 나오지만, 다른 누군가에게 받은 파일을 파일 정보를 통해 열어보았을 때는 다른 사용자가 만들었거나 수정한 흔적을 확인할 수 있을 것이다.