[디지털 포렌식 기초] 8. 인터넷과 이메일 | 인터넷 구성, P2P, 웹 브라우저, 이메일, 소셜네트워크 사이트

www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206&orderClick=LEa&Kc=

이제 시작이야 디지털 포렌식 - 교보문고

8. 인터넷과 이메일

인터넷은 상당한 양의 증거가 저장되어 있는 저장소이기 때문에, 웹 서핑, 채팅, 이메일, 소셜 네트워크 등이 어떻게 작동하는지, 어디에 흔적을 남기는지 반드시 이해할 필요가 있다.

 

 

 

[인터넷 개요]

* URL(Uniform Resource Locator) : 호스트, 도메인 이름, 파일 이름의 세 부분으로 구성되어 있음

* HTTP(Hyper Transfer Protocol, 하이퍼 텍스트 전송 규약) : 인터넷에서 사용되는 프로토콜이며 웹 사이트를 보고 사용하는 데 활용됨. 프로토콜은 다른 장비와 통신할 수 있도록 사전에 협의한 방법임.

* 도메인 이름의 예 : i-am-seongni

* 최상위 도메인 : .com

 

URL이 입력되면, 브라우저는 도메인 이름을 IP 주소로 변환

DNS(도메인 네임 서버)가 특정 도메인 이름을 그에 해당하는 IP 주소로 변환

▼

브라우저가 HTTP 프로토콜을 사용하여 i-am-seongni-tistory.com을 호스트하는 서버에 "get"요청을 전송

 

 

 

* HTML(Hypertext Markup Language)

브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등 많은 정보가 담겨 있음

 

 

* 웹 페이지 종류 : 정적(static), 동적(dynamic)

- 정적(static) : 이미 만들어져 있는 페이지. 페이지의 내용, 레이아웃 등은 페이지를 읽어오기 전에 결정되어 있음

- 동적(dynamic) : 요청됨과 동시에 만들어짐. 데이터베이스에 저장되어 있는 여러 구성요소로 만들어짐.

 

 

* 웹 사이트 작업 흔적 : 클라이언트 또는 서버

 

 

* whois : 특정 도메인 이름과 관련이 있는 개인이나 업체를 식별할 때 사용하는 검색 쿼리

해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처, 기술담당 연락처 등의 내용을 볼 수 있음

사생활 보호 등록 서비스를 이용할 경우 등록회사의 정보만 볼 수 있음

 

 

 

P2P(Peer-to-Peer)

* P2P 네트워크에서 하나의 컴퓨터가 두가지 컴퓨터의 역할(클라이언트와 서버)을 할 수 있음

 

 

IDEX.DAT 파일

* 바이너리 파일로 마이크로소프트의 인터넷 익스플로러가 사용됨

* 한 시스템에는 여러 개의 IDEX.DAT 파일이 있는데, 방문한 URL, 방문횟수 등이 포함되어 있음

* 히스토리, 쿠키, 임시 인터넷 파일 3개의 디렉토리가 있으며 각 디렉터리에 있는 정보와 내용을 기록하고 유지함

 

 

 

[웹 브라우저-인터넷 익스플로러]

모든 웹 브라우저는 어느 정도의 캐시 시스템, 쿠키, 인터넷 히스토리, 입력한 URL, 즐겨 찾기의 기능을 가지고 있는데, 이는 포렌식 관점에서 매우 중요한 정보이다.

 

 

쿠키

* 웹 서버가 사용자의 컴퓨터에 저장해놓은 텍스트 파일

* 세션을 관리하는 데 사용되고 특정 웹사이트에서 사용자의 선호사항을 기억하는 데에도 사용됨

* INDEX.DAT 파일에서 관리되고 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있을 수도 있음

 

* 일반적으로 쿠키 값은 평문으로 저장되어 있지 않지만, 쿠키 값을 해독해주는 툴이 존재함

* 쿠키에서 웹 주소가 발견되었다고 하더라도 용의자가 실제로 그 사이트를 방문하지 않았을 수도 있음

 

 

임시 인터넷 파일(웹 캐시)

* 사진 파일 같은 웹 페이지 구성요소를 재사용하여 동일한 파일을 여러 번 다운로드해야 하는 시간을 제거함으로 속도를 향상시킴

* 인터넷 익스플로러(IE)는 웹 캐시를 임시 인터넷 파일이라고 부름

 

* 임시 인터넷 파일은 하부 폴더로 정리되어 있으며, 각 폴더는 8문자의 임의의 이름으로 되어 있음

* 임시 인터넷 파일은 INDEX.DAT 파일을 사용하여 관리되며, 각 파일은 그에 상응하는 날짜와 시간 값이 있음 → 마지막으로 확인한 날짜를 통해서 최신 버전을 다운로드할지 결정함

 

 

인터넷 기록

* 사용자의 기록 유지를 통해서 사용자가 매번 브라우저의 주소 창에 URL을 재입력하지 않아도 됨

* 이러한 기록은 INDEX.DAT 파일에 남으며, 특정 사이트를 몇 번 방문했고, 파일의 이름이 무엇인지 등을 유지 관리함

 

 

레지스트리에 있는 인터넷 익스플로러의 흔적

* 인터넷 익스플로러는 매일 레지스트리에 많은 흔적을 남기는데, 특히 NTUSER.DAT에 저장됨

* 브라우저가 비밀번호를 저장하고 있는지 디폴트 검색 사이트가 무엇인지 디폴트 검색 제공자가 무엇인지 등에 대해 알 수 있음

* 레지스트리는 사용자가 주소창에 어떠한 URL을 입력했는지도 확인할 수 있는데, 1~25까지의 번호가 매겨져 있으며 가장 작은 숫자가 가장 최근에 입력된 것

 

 

메신저 프로그램

* 메신저 프로그램은 텍스트 기반의 실시간 통신을 하는 데 사용됨

* 다른 프로그램들과는 달리 메신저 프로그램은 설치여부를 흔적으로 남김

경로와 디렉토리가 다를 수 있어도 특정 파일이나 폴더가 있는지 없는지에 따라서, 특정 메신저 프로그램이 사용되었는지 증명 또는 반증에 사용될 수 있음

 

* 사용자가 통제할 수 있는 설정 사항에는 채팅에서 날짜 시간 사용 여부, 개인 아이콘이나 사진, 로그 활성화 또는 비활성화 그리고 영상통화, 파일 전송, 실시간 메시지 등의 자동 수락 여부 등이 존재

 

 

IRC (Internet Relay Chat)

* IRC는 대규모 채팅 네트워크로서, 특정 업체나 단체가 통제하는 것이 아니고 정식적인 등록 과정이 없기 때문에 사용자는 거의 완전한 익명성을 보장 받음

* IRC는 무료

 

* 클라이언트 직접 연결 (Direct Client Connection, DCC) 기능을 통해 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접적으로 연결할 수 있게 해주기 때문에 완전한 사생활을 보장함

→ 트래픽이 네트워크 서버를 통과하지 않기 때문에 아무런 증거가 남지 않는다.

 

 

ICQ "I Seek You"

* IRC와는 다르게 ICQ에는 등록 과정이 있으며, 등록된 사용자에게는 사용자 식별 번호 또는 UIN(user identification number)이 부여됨

* ICQ는 높은 수준의 프라이버시를 유지하며, 중앙 서버를 통해 트래픽을 라우팅하고 있기 때문에 서버를 찾을 수만 있다면 일부 흔적이 서버에 남아있을 수도 있음

 

 

[이메일]

이메일은 매우 영속성이 강하며, 여러 곳에 저장되어 있어 삭제하기가 어렵다는 특징을 가지고 있기 때문에모든 잠재적 디지털 증거 중에서 가장 훌륭한 증거라고 할 수 있다.

 

 

이메일 프로토콜

이메일은 다양한 프로토콜을 사용하여 이메일을 송수신한다.

 

- 단순 우편전송 규약(Simple Mail Transfer Protocol, SMTP)

: 이메일 클라이언트가 이메일을 보내거나 서버가 이메일을 송수신할 때 사용함.

 

- 우체국 프로토콜(Post Office Protocol, POP)

: 이메일 클라이언트가 이메일을 받을 때 사용함.

 

- 아이맵(Internet Message Access Protocol, IMAP)

: 양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용함.

 

 

증거로서의 이메일

* 이메일에는 잠재적으로 수많은 증거가 저장되어 있을 수 있음

- 사건과 관련 있는 내용의 이메일

- 이메일 주소

- IP 주소

- 날짜와 시간

 

* 이메일의 주요 구성요소는 헤더, 바디 그리고 첨부 파일 등

첨부 파일은 없을 수 있지만 전송한 모든 이메일 메시지에는 헤더가 존재함

 

* 헤더는 송신자가 수신자로 이메일을 보낼 때 거쳤던 경로 정보를 기록하는데, 서버 하나를 거칠 때마다 헤더에 정보가 추가됨

 

* 바디는메시지 자체로서, 첨부파일은 사진과 문서 등 사용자가 생성한 파일을 포함

 

 

이메일 - 흔적 지우기

* 다른 사람이 보낸 것처럼 보이게 이메일을 위조할 수 있으며, 헤더를 제거하거나 수정할 수도 있고, 가짜 이메일 계정을 생성할 수도 있음

* 스푸핑 : 이메일이 실제로 다른 사람 또는 다른 위치에서 보내진 것처럼 보여지게 위조하는 것

인터넷에 스푸핑을 해주는 무료 소프트웨어가 존재함

 

 

이메일 추적하기

* 이메일 메시지를 추적할 때에는 로그에 크게 의존함 

* 이메일 경로에 있는 서버는 메시지 헤더에 정보를 추가하는데, 그 정보 중 하나는 메시지 ID

* 메시지 ID는 이메일 서버가 할당하는 고유 번호로 메시지 ID와 서버의 로그의 상관관계를 확인하면

특정 컴퓨터에서 메시지가 송수신되었다는 것을 증명함

 

 

이메일 헤더

* 이메일 헤더는 발송자가 수신자에게 메시지를 보낼 때 메시지가 사용한 경로를 기록함. 이메일 헤더 정보는 아래서 위로 읽어야 함.

 

 

[소셜 네트워크 사이트]

소셜 네트워크 사이트는 매우 많은 사람들이 이용하며, 자신에 대해서 솔직히 표현한다. 그래서 포렌식 관점에서 중요한 매체이다.

 

업체에서 이러한 정보들을 특정 기간만 보존하기 때문에 서비스 제공 업체로부터 증거를 수집하기 위해서 비교적 빨리 소환장과 수색 영장을 받아서 데이터를 수집해야 한다.