http://www.yes24.com/Product/Goods/7526115
이제 시작이야! 디지털 포렌식
디지털 포렌식 입문을 위한 첫걸음 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서다. 디지털 포렌식이 무엇인지, 어떠한 방법론이 사용되는지, 핵심적인
www.yes24.com
10. 휴대기기 포렌식
휴대폰과 같은 휴대기기의 데이터는 복원할 수 있고 나중에 증거로 사용할 수 있다.
수많은 브랜드, 모델, 운영체제가 있고 단일 하드웨어 인터페이스가 없기 때문에 복잡하다.
[셀룰러 네트워크]
휴대폰이나 메모리카드에만 증거가 있는 것이 아니라, 네트워크 자체에도 증거가 있을 가능성이 있다.
셀룰러 네트워크는 여러 개의 셀(cell)로 구성되어 있는데, 셀은 각각 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스를 제공한다.
셀의 크기와 모양은 서로 달라서 어떤 지형인지, 장애물이 있는지가 제한 요소가 된다.
셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 통제된다.
범위를 제한해서 서비스 제공자는 그들이 사용할 수 있는 제한적인 주파수를 재활용할 수 있게 된다.
각 셀에는 기지국이 있는데, 이를 셀 사이트(cell site)라고 한다. 셀 사이트는 각 셀이 네트워크에 연결될 수 있도록 하는데 여러 셀의 교차로에 위치해서 가입자가 하나의 셀에서 다른 셀로 이동하기 쉽도록 한다.
셀룰러 네트워크 구성요소
* 기지국
안테나와 관련 장비로 구성되어 있음
* 기지국 제어기(Base Station Controller, BSC)
기지국 사이의 신호를 조절. 휴대폰 위치가 이동될 때 핵심적인 역할을 함
* 방문자 위치 등록기(Visitor Location Register, VLR)
기지국 교환센터에 연결되어 있는 데이터베이스
기지국 교환센터로 통제되고 있는 모든 휴대기기는 방문자 위치 등록기에 기록됨
인터네트워크 기능은 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할을 함
* 홈 위치 등록기(Home Location Register, HLR)
가입자 정보를 수집함
- 가입자 식별 정보, 휴대폰 요금 청구, 사용하는 서비스, 기기의 현재 위치 등
암호화 키 저장, 인증센터 지원, 네트워크로의 접근을 제어함
* 인증 센터(Authentication Center, AuC)
연결을 조사하여 승인되지 않은 사용자를 차단함
* 단문 메시지 서비스 센터(Short Message Service Center, SMSC)
문자 메시지 또는 SMS 메시지를 관리함
문자 메시지를 수집할 수는 있으나 보관 기간은 개별 사업자에 따름
* 핸드오프(handoff)
네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전되는 것으로, 신호의 강도가 약해지기 시작하면 일어남
- GSM(세계 무선 통신 시스템) : 하드 핸드오프 방식(한 번에 하나의 타워에 접속)
- CDMA(코드 분할 다중 접속) : 소프트 핸드오프 방식(한 번에 여러 개의 타워에 동시 접속 가능)
* 통화 순서
통화가 셀 타워에 도착 ▶ 통화가 기지국 교환센터로 이전 ▶ (외부로 연결해야 한다면) 공중 전화망으로 전화를 넘김 ▶공중 전화망이 해당 수신자에게 통화를 돌림
* 난청 지역
연결이 안 되는 곳이나 신호를 방해하는 것 때문에 발생함
대형 빌딩, 산, 커다란 나무 등이 셀 타워로의 경로에 방해물이 될 수 있음
운영체제
운영체제 부분은 이 책이 2009년에 만들어졌기 때문에 현재와 다른 부분이 많을 것으로 판단되어 생략한다.
[휴대폰 증거]
오늘날 스마트폰에서 수집할 수 있는 증거의 목록이다.
| 통화기록 | 문자메시지 | 이메일 |
| 사진, 동영상 | 삭제된 문자 메시지 | 브라우저 기록 |
| 연락처 | 위치 정보 | 채팅 세션 |
| 달력 | 음성 메모 | 문서 |
* 개인 식별 번호(Personal Identification Number, PIN)
PIN을 세 번 틀리면 잠금 상태가 되는데, 잠금 상태를 풀기 위해서는 개인 해제 키(Personal Unlock Key, PUK)가 필요함
일반적으로 PUK는 SIM 카드 제공자만이 지급할 수 있음
* 단어 예측(predictive text)
휴대폰에서 자동으로 단어를 완성해주는 기능
이러한 예측은 수천 개의 단어, 이름, 약어, 속어 등을 저장하고 있는 데이터베이스 사전을 기반으로 함
단어 예측 시스템에는 사용자가 입력하는 것을 데이터베이스에 동화시키는 학습기능이 있음
이 데이터베이스에는 다양한 정보가 포함되기 때문에 증거가 될 수 있음
통화내역기록
통화 시작 및 종료 날짜와 시간, 통화시간, 통화 시작 타워와 종료 타워 등의 정보를 포함한다.
누가 실제로 통화를 했는지 알기 위해서는 가입자 정보를 알아야 할 것이다. 가입자 정보를 통해 이름, 주소, 휴대폰번호, 주민등록번호, 신용카드번호 등을 알아낼 수 있다.
통화내역기록과 사용료 기록을 헷갈리면 안 되는데, 이를 방지하기 위해 요청범위를 앞뒤로 하루나 이틀 정도로 잡는 것이 좋다.
통화내역기록을 분석할 때, 타워의 물리적 주소를 고려하면 통화가 시작된 위치와 통화가 끝난 위치를 알 수 있다. 통화에 사용된 셀 사이트, 통화 시간, 통화시작 시간, 대상 휴대폰이 다이얼한 번호 등의 정보를 알 수 있다.
* 삼각 측량(triangulation)
세 개의 서로 다른 타워로부터 휴대폰과의 거리를 측정하여 휴대폰의 대략적인 위치를 파악하는 방법
거리는 휴대폰에서 세 개의 타워로 신호를 보낼 때 지연되는 시간을 바탕으로 계산함