포렌식 - 안티 포렌식

(개념) 디지털 정보를 분석하지 못하도록 삭제하는 기술

(유형)

- 원 데이터 파괴 : 기업 내규를 위반한 사람들이 죄를 감추기 위해 데이터를 조작하거나 위장하는 등

- 데이터 암호화: 뛰어난 암호 공격으로도 풀 수 없는 특별한 암호 알고리즘을 사용

- 데이터 은닉 : 확장자명을 바꾸거나 스와핑하고, 한글 파일을 이미지 파일로 또는 텍스트 파일을 동영상 파일로 바꾸는 등 

- 난독화: 글자 배열을 섞거나 글자 사이에 다른 부호를 첨부한다든가 등의 방식을 통해 데이터를 읽지 못하게 하는 방법

- 데이터 피난: 사법 권한이 미치지 않는 해외 서버에 데이터를 저장하고 다크사이트나 다크웹 등을 이용

 

(기법) 

△데이터 파괴(Destruction)

△데이터 암호화(Encryption)

△데이터 은닉(Hiding)

△데이터 조작(Manipulation)

△풋프린트 최소화(Minimizing the Footprint)

△분석 시간 증가(Reducing analyzability) 등

 

(안티-안티포렌식 기법)

데이터 복구, 패스워드 크랙, 은닉 데이터 탐지 등

 

- 데이터 복구 : 물리적인 복구와 논리적인 복구로 구분할 수 있으며, 저장매체를 완전히 삭제하거나 파쇄하지 않는다면 복구 기법을 통해 복구가 가능

- 패스워드 크랙 : 암호 알고리즘에 사용된 키를 찾는 기법

- 은닉 데이터 탐지 : 영상, 색상, 통계, 포맷 등의 분석을 이용해 스테가노그래피가 적용된 데이터를 탐지해 내거나 은닉에 사용될 수 있는 영역을 검사

 

 

▲2020년 경찰청이 발표한 유형별 디지털 증거분석 현황[자료=경찰청]

* 강력한 자기장으로 플래터를 날리는 디가우징

이미지 출처: data-terminator.com

디가우징은 소프트웨어적으로 일일이 데이터를 지우거나 HDD를 직접 부수는 방법 대신 HDD 기록 원리를 이용해 기계에서 강력한 자기장으로 일정하게 정렬된 플래터의 자기장을 날려서 거기에 기록된 모든 데이터를 지워버린다.

물리적인 HDD 파쇄보다 빠르고 여러 번 실행할 수 있으며 디가우징이 끝난 HDD는 겉으로는 멀쩡해도 플래터 자기장 패턴이 엉망이 되었기 때문에 재사용이 불가능하다. 아예 물리적인 파쇄와 디가우징 방식을 결합해 HDD에 구멍을 뚫고 내부에 강력한 자기장을 쏘는 HDD 처리 장치도 있다.

 

스토리지 용량과 속도가 계속 발전하면서 기존 저장장치를 교체하거나 새로운 시스템으로 업그레이드 하면서 오래된 HDD는 그냥 버리거나 방치하는 경우가 많은데, 중요한 데이터가 담겨있는 HDD를 다량으로 폐기해야 한다면 디가우저를 사용하는 것이 빠르고 편리하다.

http://www.bodnara.co.kr/bbs/article.html?num=147376

디가우징으로 지운 HDD 데이터, 왜 복구하지 못할까? :: 보드나라

 

https://www.boannews.com/media/view.asp?idx=114885&kind=0 

‘숨기려는 자’와 ‘찾으려는 자’의 피말리는 승부수... 포렌식 vs. 안티포렌식