본문 바로가기

security/포렌식

기본 컴퓨터 범죄 조사 가이드


기본 컴퓨터 범죄 조사 가이드
Tom Cloward and Frank Simorjay
 
한 눈에 보기:
  • Windows에 대한 기본적인 컴퓨터 조사 가이드
  • 맬웨어 제거 시작 키트
  • Windows PE로 조사 키트 만들기
  • 범죄 조사 분석을 위한 정보 보존

악의적인 사용자가 컴퓨터를 이용하여 불법 행위를 자행하는 방법은 시스템 해킹, 거래 비밀 정보 누출, 새 바이러스 배포, 피싱 메시지를 사용한 개인 정보 절취 등 셀 수 없이 많습니다. 게다가 새로운 악용 사례와 방법이 끊임없이
출현하고 있습니다. 그러나 컴퓨터를 활용하여 이러한 행위를 조사하는 방법에 대해서는 많이 알려진 바가 없습니다.
고도의 훈련을 받은 전문가를 동원하여 값비싼 도구와 복잡한 기술을 사용해야 하는 조사도 있지만 보다 쉽고 저렴한 방법을 통해 기본적인 조사와 분석을 수행할 수 있습니다. 이 기사에서는 관리자가 바로 활용할 수 있는 컴퓨터 범죄 조사 기술을 중점적으로 다룹니다.
여기서는 무료로 다운로드 가능한 두 개의 솔루션 액셀러레이터인 "Windows에 대한 기본적인 컴퓨터 조사 가이드"(go.microsoft.com/fwlink/?LinkId=80344)와 맬웨어 제거 시작 키트(go.microsoft.com/fwlink/?LinkId=93103)를 이용합니다. 이 기사에서는 두 가지 솔루션을 함께 사용하여 부팅 가능한 Windows® PE 환경을 구축하는 방법에 대해 설명합니다. 이를 통해 효과적인 조사를 수행하고 발견 내용을 보존하여 보고 및 분석할 수 있습니다. 암호화되었거나 RAID 볼륨의 일부인 하드 드라이브를 조사할 때는 여기에 설명된 방법을 사용할 수 없습니다. 또한 하드 드라이브가 손상된 경우에는 상태 복원을 위한 별도의 단계를 신속하게 수행해야 합니다.
이 솔루션에서는 Windows 기반 컴퓨터에서 증거를 수집할 수 있는 쉬운 방법을 자세히 설명하지만 이는 기본적이고 임시적인 방법입니다. 여기에 설명된 작업을 훨씬 효율적으로 실행할 수 있는 몇 가지 정교한 솔루션이 시판되고 있습니다.
또한 이 기사에서 소개하는 기술은 보증된 솔루션이 아니며 International Society of Forensic Computer Examiners의 인증을 받지 않았음을 유의하십시오. 조사를 시작하기 전에 하드 드라이브의 증거가 향후 법적 절차에 사용될 수 있는지 여부를 고려해야 합니다. 법적 절차에 사용될 가능성이 있는 경우 전문적으로 인증된 컴퓨터 조사자가 해당 조사에 참여해야 합니다. 모든 잠재적 법적 절차의 특성에 따라 조사를 직접 사법 기관에 전달해야 하는지 여부도 고려해야 합니다. "Windows에 대한 기본적인 컴퓨터 조사 가이드"에서 이 주제에 대한 자세한 내용을 볼 수 있습니다.

솔루션 액셀러레이터 정보
"Windows에 대한 기본적인 컴퓨터 조사 가이드"에서는 내부 컴퓨터 조사에 사용할 수 있는 프로세스와 도구에 대해 설명합니다. 이 가이드에서는 컴퓨터 조사 모델의 네 단계인 평가, 획득, 분석 및 보고에 대해 개괄적으로 설명합니다. 이 모델은 IT 전문가가 중요한 발견 내용을 보존하는 방식으로 조사를 수행하는 데 유용합니다.
또한 이 가이드에서는 사법 기관의 관여가 필요한 시점에 대해서도 다룹니다. 이에 대한 결정을 내릴 때는 법적 자문을 구해야 합니다. 컴퓨터 관련 범죄 관리, 적절한 사법 기관에 연락하는 방법, 조사 수행에 유용한 Windows Sysinternals 도구 및 기타 Windows 도구에 대한 정보를 얻을 수 있습니다.
이 기사에서 참조하는 또 다른 솔루션 액셀러레이터인 맬웨어 제거 시작 키트는 컴퓨터에서 맬웨어를 제거하기 위해 부팅 가능한 Windows PE CD-ROM을 만들고 사용하는 방법을 안내합니다. 이 가이드에는 위험 요소가 정리되어 있으며 이러한 위험 요소가 잠재적으로 조직에 미치는 영향을 줄일 수 있는 몇 가지 유용한 대책이 포함되어 있습니다. 또한 맬웨어 침투가 의심될 때 적용할 수 있는 사고 대응 계획 수립의 중요성도 강조하여 설명합니다. 맬웨어 제거 시작 키트에는 IT 전문가가 관련 맬웨어의 특성을 파악하고, 확산을 막고, 가능한 경우 이를 제거하고, 제거 여부를 확인하고, 필요한 추가 단계를 진행하는 데 유용한 네 가지 단계도 포함되어 있습니다.

Windows PE CD-ROM
이러한 유형의 조사를 수행하려면 Windows PE CD-ROM 및 외부 저장 장치(예: USB 플래시 드라이브)라는 두 가지 필수 구성 요소가 필요합니다.
TV에서 늘 보던 바와 같이 경찰관은 범죄 현장을 그대로 보존해야 합니다. 이와 마찬가지로, 조사할 하드 드라이브의 데이터도 그대로 보존해야 합니다. 맬웨어 제거 시작 키트 디스크와 달리, 우리가 제작하려는 부팅 가능한 Windows PE 디스크는 하드 드라이브 데이터를 전혀 변경하지 않는 방식으로 도구를 실행합니다.
Windows PE 디스크는 제한된 Windows 환경으로 시스템을 부팅합니다. 이 부팅 가능 CD를 만들 때 맬웨어 제거 시작 키트의 도구처럼 특별한 용도로 사전에 구성된 도구를 넣을 수 있습니다. 컴퓨터의 RAM 크기는 최소 512MB이어야 하며 이는 Windows PE 요구 사항입니다.
맬웨어 제거 시작 키트에 설명된 Windows PE CD-ROM을 만드는 과정은 꽤 간단합니다. 이 부팅 가능 디스크를 만들기 위해서는 먼저 Windows AIK(자동 설치 키트)와 Sysinternals Suite(microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx에서 사용 가능)를 설치하고 맬웨어 제거 시작 키트의 2번 작업에 설명에 따라 도구 목록에 Sysinternals 도구를 배치한 다음 기타 맬웨어 검사 도구와 유틸리티를 설치해야 합니다. 디스크 제작에 대한 자세한 지침은 맬웨어 제거 시작 키트 문서에 설명된 단계를 참조하십시오.

외부 USB 드라이브
이 프로세스에서는 조사 대상 드라이브를 변경하지 않을 것이므로 생성되는 출력 파일을 저장할 수 있는 USB 드라이브 또는 다른 종류의 외부 하드 드라이브도 있어야 합니다. Windows PE에서는 USB 장치를 자동으로 탑재할 수 있으므로 USB 드라이브를 권장합니다. 외부 하드 드라이브를 사용하여 원래 하드 드라이브의 이미지를 저장할 수도 있습니다. 이러한 모든 요구 사항 및 옵션을 비롯하여 조사에 필요한 전체 디스크 공간을 고려하고 미리 계획을 세우는 것이 중요합니다.
깨끗한 키트로 조사를 시작하기를 원하므로 조사 파일을 저장하는 데 사용할 외부 디스크 드라이브에서 이전 데이터를 모두 완전히 제거해야 합니다. 이때 쓰기 가능한 전체 드라이브 표면을 덮어쓰는 디스크 지우기 유틸리티를 사용하면 데이터를 쉽게 제거할 수 있습니다. 그런 다음 외부 디스크를 포맷하고 조사 용도에 따라 레이블을 지정할 수 있습니다. 이 주의 사항을 준수하면 조사 도중 수집한 증거를 훼손할 수 있는 파일을 장치에서 제거할 수 있습니다.
또한 증거물 처리 과정 양식을 포함하여 조사 과정에서 컴퓨터를 다룬 사람에 대한 공식 문서가 작성될 수 있도록 해야 합니다. "Windows에 대한 기본적인 컴퓨터 조사 가이드"에서 간단한 증거물 처리 과정 양식을 제공합니다. 필요한 부팅 가능 Windows PE 디스크, 외부 저장 장치 및 증거물 처리 과정 양식을 비롯한 키트 구성을 마친 후에는 다음 단계를 진행할 수 있습니다.

조사 수행
이제 조사를 수행할 준비가 되었습니다. 먼저 컴퓨터의 부트 순서에서 CD-ROM 드라이브를 기본 부트 장치로 지정한 다음 Windows PE 디스크를 사용하여 조사 시스템을 부팅합니다. 메시지가 나타나면 아무 키나 눌러 CD-ROM 부팅을 완료합니다. 그러면 디스크에 설치된 도구에 액세스할 수 있습니다.
여기서는 샘플 컴퓨터에서 키트를 사용하여 컴퓨터(이하 Testbox1)로부터 정보를 수집하는 방법에 대해 설명합니다. Testbox1에 할당된 CD 드라이브는 X:\이며 맬웨어 제거 시작 키트의 도구에 제공되는 기본 위치는 X:\tools입니다. 키트의 도구에 액세스하려면 cd \tools를 입력하면 됩니다.
몇 가지 도구를 사용하여 컴퓨터에 탑재된 대상 드라이브를 식별할 수 있습니다. Sysinternals 도구 디렉터리에 있는 Bginfo.exe를 사용하여 이 정보를 확인할 수 있으며 해당 정보를 바탕 화면의 배경 창에 두고 쉽게 참조할 수 있습니다. Drive Manager 역시 대상 하드 디스크 드라이브 및 외부 USB 장치를 비롯한 컴퓨터의 모든 장치를 식별할 수 있습니다. 그림 1에서 Testbox1의 디스크 정보를 볼 수 있습니다. 부트 드라이브는 X:\, 대상 하드 드라이브는 C:\, 외부 USB 드라이브는 F:\입니다.
그림 1 Drive Manager로 디스크 정보 보기 

맬웨어 검사
바이러스나 기타 악성 코드가 조사에 영향을 미치지 않도록 하려면 조사를 시작하기 전에 맬웨어 방지 도구를 실행해야 합니다. 필요한 경우 맬웨어 방지 도구에서 생성되는 보고서를 증거로 사용할 수 있습니다. 컴퓨터의 맬웨어를 검사하지 않으면 완벽함 및 정확성 측면에서 조사자의 신뢰도뿐만 아니라 조사 자체가 위태로울 수 있습니다. 제공된 맬웨어 방지 도구는 읽기 전용 또는 보고 모드로 실행하는 것이 좋습니다.
맬웨어 제거 시작 키트에서는 악성 소프트웨어 제거 도구 및 McAfee AVERT Stinger를 포함한 몇 가지 권장 도구를 소개합니다. 악성 소프트웨어 제거 도구를 실행할 때는 맬웨어를 보고만 하고 제거하지 않도록 지시하는 명령줄 옵션 /N을 반드시 포함해야 합니다.
x:\tools\windows-KB890830-v1.29.exe /N
결과 보고서 파일은 %windir%\debug\mrt.log에 생성됩니다.
마찬가지로 McAfee AVERT Stinger를 실행할 때는 컴퓨터를 검사만 하고 하드 드라이브를 변경하지 않도록 그림 2에서처럼 기본 설정을 Report only(보고 전용)로 변경합니다. 또한 검사를 완료하면 도구에서 보고서를 저장하도록 합니다.
그림 2 McAfee AVERT Stinger에서 Report only(보고 전용) 모드 사용 

중요 파일 저장
전체 디스크가 백업되지 않은 경우 조사를 시작하기 전에 중요한 사용자 파일만이라도 백업을 해두어야 합니다. 필요한 경우 향후 검토 작업에 구성 정보를 활용할 수 있습니다. 컴퓨터가 사용된 방식 및 시스템에 설치된 소프트웨어에 대한 모든 관련 정보가 들어 있는 레지스트리 파일과 설정을 수집합니다.
Testbox1에 대한 레지스트리 하이브를 저장하려면 먼저 이동식 드라이브 F:\에 폴더를 만든 다음 아래의 명령을 사용하여 조사가 시작된 날짜와 시간을 기록합니다.
f: Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt
이제 xcopy 명령으로 전체 구성 디렉터리와 해당 콘텐츠를 복사하여 레지스트리 하이브를 저장합니다. 여러분이 관심을 가질 만한 레지스트리 파일은 %windows%\system32\config에 있습니다. 이 예제에서는 다음을 실행합니다.
xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v
이 명령을 실행하면 config 폴더의 모든 구성 정보가 복사됩니다. Textbox1의 config 폴더에는 약 95MB의 정보가 들어 있습니다.
다음으로는 하드 디스크의 모든 위치에 존재할 수 있는 사용자 데이터에 대해 살펴보겠습니다. 이 샘플에서는 c:\HR이라는 디렉터리의 데이터만 복사합니다. 데이터를 완전히 수집하기 위해 아래와 같은 xcopy 명령을 사용하여 디렉터리 및 해당 하위 디렉터리의 모든 데이터를 복사합니다.
Mkdir f:\evidence_files\HR_Evidence Mkdir f:\evidence_files\documents_and_settings Mkdir f:\evidence_files\users xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v
이제 개인 폴더 정보로 넘어갑니다. 이번에도 역시 이 디렉터리 및 해당 하위 디렉터리의 모든 데이터를 복사하고자 합니다. 이렇게 하려면 다음 명령을 사용합니다.
Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v

Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v
이 샘플을 실행하면 약 500MB의 데이터가 수집되고, 필요한 경우 이를 분석할 수 있습니다. 여기서 알 수 있듯이 수집하는 데이터 양은 매우 방대해질 수 있으며 오디오 파일, 비디오 및 사진이 있을 때는 그 양이 더욱 많아집니다. 그러나 조사에는 물리적으로 수집한 증거뿐 아니라 이 정보가 수집 프로세스 도중 변경되지 않았다는 확증이 필요할 수도 있으므로 가능한 한 많은 양의 원본 데이터를 보존하는 것이 중요합니다. 이론적으로는 조사에 사용할 전체 디스크 이미지를 만들어야 하지만 이는 크기 제한 때문에 실행에 어려움이 따릅니다. 바로 이러한 이유로 인해 조사에 필요한 저장 공간의 크기를 미리 고려해 두는 것이 매우 중요합니다.

추가 정보 수집
시스템 파일 역시 증거 수집에 유용한 자산으로 활용할 수 있지만 이러한 파일은 항상 같은 위치에 있는 것이 아니므로 해당 데이터를 수집하려면 대상 컴퓨터에 대한 탐색 작업이 어느 정도 필요할 수 있습니다. 그렇더라도 특정 유형의 파일을 통해 유용한 정보를 참조할 수 있으므로 살펴볼 가치가 있습니다. 예를 들어 스왑 파일에는 메모리에서 액세스한 파일에 대한 정보가 들어 있습니다. 또한 스왑 파일을 통해 자세한 사용 작업도 확인할 수 있습니다. 마찬가지로 웹 브라우저 데이터와 쿠키는 탐색 동작과 패턴에 대한 정보를 제공합니다.
특히 사용자가 데이터를 기본 위치가 아닌 곳에 저장하도록 구성한 경우 이러한 데이터를 찾으려면 다소 세밀한 조사가 필요합니다. 이러한 중요한 파일을 찾도록 도와주는 몇 가지 Sysinternals 도구가 있습니다. 그림 3에는 다섯 가지 유용한 응용 프로그램 및 이를 조사에 활용할 수 있는 방법이 설명되어 있습니다.

응용 프로그램 설명
AccessChk 지정한 사용자 또는 그룹이 액세스할 수 있는 파일, 레지스트리 키 및 Windows 서비스를 표시합니다.
AccessEnum 컴퓨터의 디렉터리, 파일 및 레지스트리 키에 액세스한 사용자를 표시합니다. 이를 통해 사용 권한이 적절하게 적용되지 않은 부분을 찾을 수 있습니다.
Du 디렉터리별로 디스크 사용량을 표시합니다.
PsInfo 컴퓨터에 대한 정보를 표시합니다.
Strings 이진 이미지에서 ANSI 및 UNICODE 문자열을 검색합니다.
   

Tom ClowardCCE, CISSP 자격증 보유자로, IT 전문가를 위한 보안 및 규정 준수 솔루션 액셀러레이터 제공 업무에 주력하고 있는 Microsoft 프로그램 관리자입니다. 소프트웨어 및 IT 업계에서 15년 이상 근무해 왔으며 IT 보안, 범죄 조사 및 규정 준수 분야에 많은 관심을 갖고 있습니다.
Frank SimorjayCISSP 및 CET 자격증 보유자로 기술 프로그램 관리자 겸 Microsoft Solution Accelerator 보안 및 규정 준수 그룹의 보안 관련 전문가입니다. Microsoft 고객을 위한 보안 솔루션 설계 업무를 맡고 있으며 최근에는 Microsoft TechNet에 맬웨어 제거 시작 키트에 대한 기사를 게시했습니다.


출처 : http://technet.microsoft.com/ko-kr/magazine/2007.12.forensics.aspx