클라우드 포렌식

I. 클라우드 환경의 포렌식, 클라우드 포렌식의 배경

  • 클라우드 환경은 데이터센터가 지리적으로 분산되어 데이터 확보가 어려워 기존 디지털 포렌식 기술을 적용하기 어려우므로 별도의 포렌식 방법/절차가 필요

 

II. 클라우드 포렌식 조사 절차

가. 클라우드 포렌식 조사 프로세스

  • 클라우드 서비스에 대한 조사는 로그인 정보의 획득 여부에 따라 다양하게 구분

나. 클라우드 포렌식 핵심 조사 활동

조사조사 활동세부 조사 활동
로그인
정보 확인
ID 존재– 사법관할권 내: 임의 제출 요청
– 사법관할권 외: 국제 공조 요청
ID / Password 존재– 임의 제출 요청
사용자
데이터
사용자 데이터 수집– 가상 머신 접근, 데이터 수집, 스토리지 사용
– 웹브라우저 접속기록, 로그분석
– IP주소, 액세스 날짜/시간, 로그인 횟수
사용자 데이터 분석– 서비스 제공자 서버에 존재하는 사용자 데이터 분석
사용여부
분석
시그니처 분석– 클라우드 서비스 타입(SaaS, PaaS, IaaS 등)에 따라 조사
– 절차가 상이하며, 용의자가 사용한 기기 데이터 흔적 분석
  • 공용 클라우드 컴퓨팅 시스템에 저장된 데이터에 접근하는 일은 법적으로 복잡하며, 신속하게 조사해야 하는 업무에서 지연의 원인
  • 해당 시스템에서 클라우드 서비스 사용 유무에 대한 판단은 클라우드 시그니처 개념 통해 확인

 

III. 클라우드 시그니처 탐지 도구 개념 및 기능

가. 클라우드 시그니처 탐지 도구 개념

개념해당 시스템에서 클라우드 컴퓨팅 서비스를 사용했다는 증거가 되는 시그니처(데이터) 탐지하는 도구
목적클라우드 시그니처 탐지 도구는 클라우드 컴퓨팅 서비스의 사용 여부를 판단하는 목적
적용
방법
각 클라우드 서비스에 필요한 시그니처 탐지 위해 기존 디지털 포렌식의 방법을 적용

나. 클라우드 시그니처 탐지 도구 기능

구분탐지 도구 기능도구
파일 시스템
포렌식
– 파일 시스템에서 삭제된 파일 복구, 잔존 데이터 추출Encase, X-Way Forensics
웹브라우저
포렌식
– 접속 사이트 URL, 쿠키 등 접속한 웹사이트 내역 획득Index.dat Analyzer
레지스트리
포렌식
– 윈도우에 설치했던 응용 프로그램 목록, 계정 정보User Assist View
REGA_Freeware
서비스 로그
분석
– 로그 데이터나 레지스트리, 계정 정보 등 이벤트 분석Process Explorer
Visual Log Parser
  • 사용자는 주로 웹브라우저를 통해 클라우드 서비스를 이용하므로 웹브라우저 사용 흔적을 중점적으로 분석

 

IV. 클라우드 포렌식 활성화 방안

구분방안설명
기반
구조
전문인력 양성– 기술사, 감리사 등 전문성과 윤리 의식이 검증된 전문 인력 대상 포렌식 교육
민간기업 활성화– 민간업체의 경쟁력을 통해 유관기관과 상호협력 인프라 구축 필요
기술
개발
전문 도구 개발– 대학, 연구소, 협회 등의 효과적인 클라우드 포렌식 도구 연구 개발이 필요
도구 PoC/Pilot– 신기술 트렌드에 따른 클라우드 포렌식 도구 개발, 검증 위한 시험 환경 구축
법/
제도
디지털증거법제정– 클라우드 환경을 고려한 법/제도 정비가 필요하며 전자증거개시 제도와 연계
국제공조 체계– UN, 인터폴 등 국제 수사기관과 공조 통해 국제적 범죄 수사 공조 체계 구축
  • 발전하는 디지털 범죄에 대응하기 위해 디지털증거법 제정 기반 지속적인 기술과 정책 개선 필요
5 Comments

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^