2013년 5월 27일 월요일
서울청 A경감이 사용한 안티포렌식은...
서울청 A경감이 사용한 안티포렌식은...
손경호 기자 sontech@zdnet.co.kr 2013.05.27 / PM 05:40 국가정보원 , 서울경찰청 , 안티포렌식
ㅣ 소셜댓글 : 0
검찰이 국가정보원 선거개입 의혹에 대한 서울경찰청의 수사 축소, 은폐의혹을 조사하고 있는 가운데 A경감이 사용했던 안티포렌식 기법에 관심이 쏠리고 있다.
27일 국내 디지털포렌식 전문가들에게 확인한 결과 A경감이 사용했던 방법은 별도의 장비를 동원해 하드디스크(HDD)에 저장된 데이터를 모두 삭제하는 기법이 아니라 인터넷 검색을 통해서도 쉽게 구할 수 있는 안티포렌식용 툴을 사용한 것으로 나타났다.
안티포렌식은 디지털 증거물이 법적 효력이 중요해지면서 디지털포렌식을 통한 증거수집을 방해하거나 조사관의 분석시간을 증가시키고, 증거로서 가치가 없도록 하는 작업을 말한다. 이는 범죄자 입장에서는 증거인멸이지만 사용자 입장에서는 민감한 정보에 대한 기록을 완전삭제하는 방법으로 활용되기도 한다.
서울경찰청측은 A경감이 안티포렌식을 통해 증거를 인멸하려했다는 주장에 대해 "당시 국정원과 관련한 의혹에 대한 노트북 분석자료와 분석결과 등은 모두 수서경찰서에 넘겼으며 의도적으로 증거를 은폐하려는 시도를 한 적은 없다"고 해명했다.
A경감이 사용한 방법은 기존에 디가우저라는 장비를 사용하는 방법이 아니라 '무오(Moo0)'라고 하는 프로그램을 사용한 것으로 나타났다. 검찰 수사관들이 압수수색을 위해 서울청 회의실에서 대기하던 시점에 A경감이 이 프로그램을 실행시키면서 증거 인멸, 은폐 의혹이 불거진 것이다. 아직 A경감이 실제로 국정원 수사 지시 관련 증거를 은폐하려고 했는지 등에 대해서는 확인되지 않았다.
그가 사용한 무오는 포털사이트에 검색어만 쳐도 쉽게 구할 수 있는 툴로 크게 네가지 모드로 이뤄졌다.
디지털포렌식 전문가 김진국 연구원에 따르면 이 툴은 영구삭제를 위해 1회, 3회, 7회, 35회 덮어쓰는 기능을 가졌다. 미국 국방부는 기밀자료를 완전 삭제하기 위해서 최소한 7번 이상 임의의 데이터를 덮어쓰는 작업을 반복하도록 권고하고 있다.
김 연구원은 실제 무오를 테스트해 본 결과 "저장된 파일은 물론 파일의 시간, 크기, 이름 등이 기록된 메타 정보가지도 덮어쓰는 기능을 가진 것으로 나타났다"고 밝혔다. 일반적인 안티포렌식용 툴은 절반 이상이 파일 삭제기능만 가졌는데 이 툴은 완전삭제에 가깝도록 기능을 구현할 수 있다는 설명이다.
피드 구독하기:
댓글 (Atom)
관련 논문에서 35회로 이야기를 했지만, 실제로 2, 3회 정도면 복구 할 수 없다는 의견도 있습니다. 아주 오래된 논문이라서 거기에 반론을 제시한 적이 없고, 모두 사실로 받아들인것이 문제라고 하네요. 참고하세요
답글삭제최근 HDD는 1번만 덮어써도 현실적, 기술적으로 복구할 수 없습니다. 최근 삭제에 이슈는 특정 데이터를 지우는 것보다 관련 흔적을 얼마나 함께 잘 지워주는지가 관건인듯 합니다.
답글삭제