디지털 포렌식에서 가장 처음 이뤄지는 증거 수집 과정을 자세하고 친절하게 다룬다. 다양한 종류와 형태의 저장 매체에서 이미지를 추출하는 예시가 상세히 포함돼 있어 실제 침해사고 조사에도 응용할 수 있다. 특히 대부분의 예시들에서 Unix 도구를 사용함으로써 상용 툴에 대한 부담을 줄였다. 학습 가이드뿐만 아니라 필요할 때마다 찾아보는 포렌식 매뉴얼로도 활용할 수 있는 책이다.

이 책은 많은 곳에 필요하고, 가장 적절한 시기에 제공된다. 최근 몇 년 동안 디지털 증거의 보존은 기업 거버넌스, 컴플라이언스, 형사 및 민사 소송 및 군사 작전에 결정적인 역할을 수행했다. 이러한 동향은 지리적으로 제한되지는 않으며 개발 도상국을 포함한 대부분의 대륙에 적용된다. 정통한 조직은 인적 자원의 불만, 정책 위반 및 고용 종료를 처리할 때 관련 컴퓨터 시스템을 보존한다. 일부 조직에서는 규정 준수를 위해 데이터를 사전 예방적으로 보존하기도 한다. 이 책은 합리적인 비용으로 기업 전체에 구현할 수 있는 확장 가능한 솔루션을 제공한다. 대부분의 범죄는 디지털 증거를 포함하고 있으며, 제한된 자원과 교육이 제공되는 소규모의 법 집행 기관에 데이터를 보관해야 하는 책임이 점차 커지고 있다. 이 책은 이러한 기관의 일상적인 문제에 실질적인 솔루션을 제공하는 소중한 자원이다.
민간 사안은 컴퓨터, 서버, 이동식 미디어 및 백업 테이프를 비롯한 많은 데이터 소스에 대량의 데이터가 분산될 수 있다. 이러한 상황에서는 효율적이고 효과적인 방법이 중요하며 이 책은 이러한 요구 사항도 충족시킨다.
다양한 상황에서 디지털 증거를 보존하는 것이 중요해짐에 따라 적절한 보존 프로세스를 사용하는 일이 중요해졌다. 보존 과정의 약점은 디지털 조사의 모든 후속 단계에서 문제를 야기할 수 있는 반면, 포렌식 관점에서 적절한 방법과 도구를 사용해 제시된 증거는 명백한 사고 조사 결과의 기반을 제공한다.
이와 더불어 디지털 증거를 보존해야 할 필요성이 커지면서 다양한 환경 및 사용 사례에 대해 신뢰할 수 있고 저렴하며 적용할 수 있는 도구에 대한 요구가 커지고 있다.
이 책은 오픈 소스 기술에 집중함으로써 이러한 요구 사항을 해결한다. 오픈 소스 도구는 높은 투명성, 저렴한 비용 및 적용성에 대한 이점을 갖고 있다. 투명성 은 다른 사람이 오픈 소스 도구의 신뢰성을 보다 철저하게 평가할 수 있게 한다. 알려진 데이터 세트를 사용하는 블랙박스 테스트 외에도 소스 코드를 검토할 수 있다.
포렌식 보존 비용을 줄이는 것은 리소스가 제한돼 있는 기관과 대량의 데이터를 처리해야 하는 모든 조직에 중요하다.
특정 환경의 요구에 맞게 오픈 소스 도구를 적용할 수 있다는 것이 큰 이점이다. 일부 조직은 오픈 소스 도구와 보존 도구를 기업 또는 포렌식 랩의 자동화된 프로세스에 통합하는 반면, 다른 도구는 현장에서 사용하기 위해 이러한 도구를 휴대용 시스템에 저장해 이용한다.
모든 디지털 포렌식 프로세스 및 도구, 특히 오픈 소스 도구와 관련된 학습 곡선이 가파르게 상승하고 있다. 브루스 니켈(Bruce Nikkel)의 광범위한 경험과 지식은 이 책에 포함돼 있는 기술 자료들의 선명함을 통해 분명히 알 수 있다. 초보자뿐 아니라 전문가 역시 흥미를 느끼며 접근할 수 있다. 포렌식 이미징의 이론 및 핵심 요구 사항부터 시작해 오픈 소스 도구를 사용해 포렌식 이미지를 수집하는 기술적 측면을 탐구한 SquashFS의 사용은 간단하지만 아주 영리하고 참신하며, 포렌식 이미징의 핵심 측면에 대한 실용적인 오픈 소스 솔루션을 제공한다. 그리고 포렌식 이미지를 관리하고 포렌식 검사를 준비하는 중요한 단계에 대한 논의로 마무리된다.
이 책은 기업, 법 집행 기관, 대테러 단체 등 디지털 증거를 보존해야 하는 모든 사람에게 없어서는 안 될 참고 자료다.

█ 마그네틱 하드 디스크, SSD 및 플래시 드라이브, 광학 디스크, 마그네틱 테이프 및 레거시 기술의 포렌식 이미징 방법
█ 연결된 증거 매체가 실수로 수정되지 않도록 보호하는 방법
█ 대규모 포렌식 이미지 파일, 저장 용량, 이미지 형식 변환, 압축, 분할, 복제, 안전한 전송 및 저장, 안전한 폐기 관리 방법
█ 암호화 및 조각별 해싱, 공개키 서명 및 RFC-3161 타임 스탬프로 증거 무결성을 보존하고 검증하는 방법
█ NVME, SATA Express, 4K 기본 섹터 드라이브, SSHD, SAS, UASP / USB3x 및 Thunderbolt와 같은 최신 드라이브 및 인터페이스 기술을 사용하는 방법
█ 다음과 같은 드라이브 보안을 관리하는 방법: ATA 패스워드, 암호화된 Thumb 드라이브, 오팔(Opal) 자가 암호화 드라이브, BitLocker, FileVault 및 TrueCrypt를 사용하는 OS 암호화 드라이브 등
█ RAID 시스템, 가상 머신 이미지 및 손상된 미디어와 같이 더욱 복잡하거나 어려운 상황에서 사용 가능한 이미지를 확보하는 방법

이 책은 두 집단의 사람들에게 도움이 된다.
첫째, 숙련된 포렌식 조사관들이 포렌식 수집 업무를 수행함에 있어 리눅스 명령줄 스킬을 향상시키는 데 도움이 된다. 둘째, 디지털 포렌식 수집 기법들을 배우고 싶어하는 숙련된 유닉스와 리눅스 관리자들에게 유용하다.
이 책의 예상 독자는 사고 대응팀, 대기업 내 컴퓨터 포렌식 조사관, 법률, 감사, 컨설팅 기업의 포렌식 및 전자 증거 기술자 그리고 사법 기관의 전통적인 포렌식 실무자들을 포함한 여러 영역에서 그 수를 늘려가고 있는 포렌식 실무자들이다.

0장, ‘디지털 포렌식 개요’는 디지털 포렌식에 대한 일반적인 개론이다. 이 분야의 역사와 발전 과정을 다루며, 방향성을 제시한 의미 있는 사건들을 언급한다. 특히 법정에서 사용할 디지털 증거의 생성에 필요한 표준의 중요성을 강조한다. 이 책은 전반적으로 국제용이며 지역별 법적 관할권에서 독립적인 것을 목표로 한다. 오늘날 이 점은 매우 중요한데, 점점 더 많은 범죄 수사가 여러 국경에 걸쳐 있고 다수의 관할권과 관련돼 있기 때문이다. 또한 민간 영역의 포렌식 역량의 증가에 따라 민간 포렌식 랩, 특히 글로벌 기업들에게 유용할 것이다.
1장, ‘저장 매체 개요’는 대용량 저장 매체, 커넥터와 인터페이스 그리고 매체 접근에 사용되는 명령과 프로토콜에 대한 기술적인 개요를 제공한다. 전문 포렌식 랩 환경에서 일하는 통상적인 포렌식 조사관이 접하게 될 기술들을 다룬다. 서로 다른 저장 매체 인터페이스, 프로토콜 터널링, 브릿징 그리고 저장 매체가 호스트 시스템과 연결되고 상호 작용하는 방법을 확실히 이해할 수 있도록 많은 노력을 기울였다.
2장, ‘포렌식 증거 수집 플랫폼으로서의 리눅스’는 포렌식 수집 플랫폼으로서의 리눅스에 대한 개요를 제공한다. 리눅스와 오픈 소스 소프트웨어 사용의 장단점을 간략히 짚고 넘어간다. 리눅스 커널이 시스템에 새로 연결된 장치를 인식하고 다루는 방법과 이 장치들에 접근하는 방법을 설명한다. 2장은 리눅스 배포판과 셸 실행의 개요를 제시한다. 또한 책 전반에 걸친 중요한 개념으로 파이프의 사용과 리다이렉션을 설명한다.
3장, ‘포렌식 이미지 포맷’은 업계에서 공통적으로 사용되는 다양한 원시 및 포렌식 포맷을 다룬다. 이 포맷들은 수집된 저장 매체를 위한 디지털 “증거 봉투”와 같다. 3장은 원시 이미지, EnCase, FTK와 같은 상용 포렌식 포맷을 설명하고, AFF와 같은 학계의 포맷도 다룬다. 또한 SquashFS 기반의 간단한 포렌식 증거 보관소와 그 관리 도구도 소개한다.
4장, ‘계획 및 준비’는 책의 전환점으로, 이론적인 영역을 떠나 실무적이고 절차적인 영역에 들어선다. 처음은 정식 포렌식 보고서에 사용하기 위해 로그와 감사 기록을 유지하고 명령 정보를 저장하는 예시들로 시작한다. 포렌식 조사관들이 흔히 겪는 계획 수립과 실행 계획상의 문제들을 다룬다. 4장은 실제 수집 절차를 준비하기 위해 포렌식적으로 견고하고 쓰기 방지 처리된 작업 환경을 구성하는 부분으로 끝난다.
5장, ‘수집 호스트에 조사 대상 매체 연결’은 조사 대상 디스크를 수집 호스트에 연결하고 디스크에 대한 정보(ATA, SMART 등)를 모으는 내용으로 이어진다. 이 단계에서 HPA와 DCO 등 매체 접근에 대한 제약이 제거되고, 잠기거나 자가암호화된 디스크들에 대해 접근할 수 있게 된다. 5장은 애플 타깃 디스크 모드 등의 몇몇 특별한 주제들도 다룬다. 이때의 디스크는 수집 명령을 실행할 수 있도록 준비된 채로 대기 중인 상태다.
6장, ‘포렌식 이미지 수집’에서는 수집을 실행하면서 오픈 소스와 상용 도구를 이용해 포렌식 수집의 여러 가지 형태를 보여준다. 해시, 서명과 타임스탬프 서비스로 증거를 보존하는 것에 주안점을 둔다. 불량 블록과 에러와 더불어 네트워크상의 원격 수집 등 다양한 시나리오를 다룬다. 테이프와 RAID 시스템의 수집을 포함하는 특별 주제도 있다.
7장, ‘포렌식 이미지 관리’는 수집한 디스크 이미지의 관리에 집중한다. 7장은 포렌식 이미지가 성공적으로 생성됐음을 가정하고, 일반적인 수집 후 절차들을 설명한다. 이 절차들에는 이미지의 압축, 분할, 암호화, 포렌식 포맷 간의 변환, 이미지의 클론 및 복제, 제삼자에게로의 이미지 전송, 장기 보관을 위한 이미지 처리 등이 포함된다. 7장은 안전한 데이터 삭제에 대한 절로 마무리된다.
8장, ‘특수 이미지 접근’은 검사를 위해 수집 이후에 수행할 수 있는 몇몇 특별한 작업을 다룬다. 루프 장치를 통한 이미지 접근, 가상 머신 이미지 접근, 운영 체제 암호화 이미지 (BitLocker, FileVault, TrueCrypt/VeraCrypt 등) 접근 등이 포함된다. 기타 가상 디스크 보관소에 접근하는 내용도 있다. 이 기법들은 해당 이미지들에 대해 포렌식 분석을 수행하고 일반 파일 관리자나 기타 프로그램을 이용해 파일 시스템을 안 전하게 탐색할 수 있도록 해줄 것이다.
9장, ‘포렌식 이미지의 부분적 추출’은 포렌식 분석 영역에 발을 담그며 이미지로부터 데이터 일부분을 추출하는 법을 보여준다(삭제된 파티션을 포함한). 이에는 파티션의 식별과 추출, 파티션 간 공간의 추출, 슬랙 공간의 추출 그리고 사전에 숨겨진 디스크 영역(DCO와 HPA)의 추출이 포함된다. 9장에는 개별 섹터와 블록의 추출이 포함된 부분별 데이터 추출의 몇 가지 예시가 있다.

포렌식 이미지 수집은 사후 대응 및 증거 수집의 중요한 부분이다. 디지털 포렌식 조사관은 민사 및 형사 사건을 지원하기 위해 디지털 증거를 수집, 보존 및 관리하고 조직 정책 위반을 조사한다. 또한 분쟁을 해결하고 사이버 공격을 분석한다.
이 책은 리눅스 기반 커맨드라인 도구를 사용해 디지털 증거를 보호하고 관리하는 방법을 자세히 살펴본다. 전체 포렌식 과정을 안내하고 저장 매체의 이미징과 관련된 다양한 실용적인 시나리오 및 상황을 다룬다.

브루스 니켈(Bruce Nikkel)

스위스에 본사를 둔 글로벌 금융 기관인 UBS AG의 Cyber-Crime/IT Investigation &Forensics의 디렉터다. 1997년부터 은행의 Security and Risk 부서에서 근무했으며, 2005년부터 IT 포렌식 팀을 관리했다. 디지털 포렌식 커뮤니티에서 활발한 활동을 하고 있고, 다양한 디지털 포렌식 주제에 대한 연구 논문을 발표했다. 「Digital Investigation: The International Journal of Digital Forensics and Incident Response」 국제 저널의 편집자이며, DFRWS Europe의 조직 위원회 위원이기도 하다.
크랜필드 대학(Cranfield University)에서 네트워크 포렌식 박사 학위를 취득했다. 포렌식 웹 사이트는 http://digitalforensics.ch이며, nikkel@digitalforensics.ch로 연락할 수 있다.

보안 산업의 성장과 더불어 보안 서적, 그 중에서도 침해 사고 대응 또는 디지털 포렌식과 관련된 서적들이 점점 늘어나고 있다. 하지만 디지털 포렌식의 기초가 되는 이미징 또는 증거 수집을 상세히 다루고 있는 책은 그리 많지 않다. 디지털 포렌식에서 이미징은 잘 꿰어야 하는 첫 단추라고 해도 과언이 아니다. 적절한 절차로 이미징이 진행되지 않을 경우 그 이후의 조사는 모두 법적인 효력을 잃게 될 수도 있다. 이미징에 실패하면 침해 사고를 조사하는 일이 아예 불가능할 수도 있다. 이미징을 정상적으로 완료했다고 가정하더라도 그 이후에 수집된 이미지를 잘 관리하는 것도 중요하다. 실제 현업에서 발생하는 침해 사고의 조사에 있어 증거 수집 계획 수립부터 실제 수집을 진행하며 발생할 수 있는 수많은 문제점과 조사자들의 고민이 이 책을 통해 조금이나마 해결되길 바란다.
이 책에는 디지털 포렌식 증거를 수집하고 관리하는 다양한 도구 및 기법부터 다양한 저장 매체와 포렌식 이미지 포맷까지 다루고 있다. 또한 수집된 증거들을 효과적으로 관리하는 기법과 도구들까지 방대한 내용을 다루고 있다. 물론, 기본이 되는 내용 역시 충실히 다루고 있으므로 실무자들뿐 아니라 포렌식을 공부하고 이 분야로 진로를 결정한 학생들에게도 많은 도움이 될 수 있을 것이라 생각한다.

곽경주

성균관대학교 컴퓨터공학과를 졸업하고, 동 대학원에서 정보 보호를 전공하며 악성코드 연관성 분석 기술을 이용한 사이버 범죄 조직 식별 관련 연구로 석사 학위를 받았다. 금융결제원 침해 사고 대응 팀을 거쳐 현재 금융보안원 침해 위협 분석 팀 과장으로 재직하며 악성 코드 분석, 사고 조사, 위협 인텔리전스 등 위협 분석 업무를 수행하고 있다. 경찰청 사이버 위협 전문가 그룹 자문 위원, 차세대 보안 리더 양성 프로그램(Best of the Best) 디지털 포렌식 멘토, KB 금융 지주 기술 랩 멘토, 김치콘 심사 위원 등으로 활발한 활동을 하고 있으며, 2016년 사이버 치안 대상 행정자치부 장관상을 받았다. 또한 Blackhat, HITCON, PACSEC, HackCon, KIMCHICON, CODEBLUE, Virus Bulletin 등의 다양한 국내외 콘퍼런스에서 왕성한 발표 및 연구 활동을 하고 있다.

박모현

서울대학교 컴퓨터공학과를 졸업하고, 금융결제원 금융 ISAC를 거쳐 현재는 금융보안원 보안관제부에서 대리로 재직하며 보안관제 및 정보 공유 업무를 수행하고 있다.
보안관제뿐 아니라 침해 사고 대응 분야에도 관심이 많으며, 보안 업무에 최신 기술을 적용하기 위한 연구를 하고 있다.