안티포렌식이란 ?

디지털포렌식 기술이 발전하며 이를 방어, 회피하기 위한 행위를 안티포렌식(Anti-Forensics)이라고 한다.

디지털 데이터를 조작하고, 삭제하고 난독화하여 자신에게 불리하게 작용할 수 있는 증거의 존재 및 양과 질에 부정적 영향을 미치거나 증거분석을 곤란하게 하는 일련의 행위를 말한다.

 

안티포렌식의 목적

1. 증거 탐지 회피

2. 정보 수집 방해

3. 포렌식 조사관의 분석 시간 증사

4. 디지털 포렌식 도구 작동의 오류

5. 사용 흔적이나 도구 실행 흔적을 발견하지 못하도록 로깅 차단/우회 또는 삭제

6. 법정 보고서나 증언으로서의 가치 훼손

 

안티포렌식 기법

안티 포렌식은 수사의 기법을 방해하여 부정적으로 쓰이는 기법이지만,
이러한 툴, 기술들은 중요 데이터나 개인의 프라이버시를 보호하기 위한 합법적인 용도로도 사용될 수 있다.

1. 데이터 파괴(Destruction)

우리가 흔히 삭제할 때 사용하는 Delete 키를 눌러 파일을 삭제하는 방법부터 전문 도구를 사용하기까지 사용 흔적을 없앨 수 있는 모든 기법을 의미한다.

 

- 데이터 삭제(Delete, Shift + Delete)

Delete키를 이용한 데이터 삭제는 데이터의 참조 정보만 삭제하기 때문에 실제 데이터가 덮여씌여지지 않았다면 복구가 가능하다. 그냥 Delete키를 사용하여 삭제했을 때는 휴지통의 흔적에서도 삭제된 파일 정보를 얻을 수 있다.

 

- 소프트웨어 기반 데이터 완전 삭제(Wiping)

데이터를 복구하기 어렵도록 데이터를 덮어쓰는 기법

-> 완전 삭제 도구의 사용 여부, 사용 시점등이 증거 인멸 행위를 입증할 증거로 사용될 수 있다.

-> Drive Cleanser, Final Eraser, BlackMagic 등이 있다.

 

- 하드웨어 기반 데이터 완전 삭제(Wiping)

저장매체의 재사용이 아닌 폐기를 목적으로 하는 기법

->강력한 자기장을 통해 자기적 매체인 저장매체의 데이터를 지우는 디가우저(Degausser)방식이 있다.

하드웨어를 사용하지 못하도록 물리적으로 천공을 하거나 파쇄하는 방법도 있다.

 

- 사용 흔적 자동 삭제 도구

분석을 어렵게 할 목적으로 흔적이 저장되는 웹 브라우저 흔적, 로그 파일, Prefetch, 최근 열린 파일, 검색 정보등을 자동으로 삭제시켜주는 도구.

->CCleaner, Evidence, Eliminator, Windows Washer 등이 있다.

 

데이터 암호화(Encryption)

데이터를 외부 유출로부터 보호하기 위한 기법

-> 중요 데이터를 보호하는데 사용된다. 운영체제 자체의 EFS, BitLocker, FileVault 등 을 사용하거나, 별도의 암호화 도구인 TrueCrypt, Disk Utility 등을 사용한다.

이러한 암호화 기능을 무력화시키기 위해 암/복호화 기능의 취약성을 이용하거나, 사전 공격(Dictionary Attack), 무차별 대입법(Brute-Force Attack), TMTO(Time-Memory Trade-Off)기법 등이 있다.

 

데이터 은닉(Hiding)

데이터를 쉽게 탐지할 수 없도록 숨기는 기법

-> 디지털 매체에 메시지를 은닉하는 스테가노그래피(Steganography)

스테가노그래피 기법이 적용된 대상과 원본은 일반적으로 구별이 불가능하기 때문에 , 원본과의 바이트 비교를 통해 판별할 수 있으며, 다양한 기법과 툴을 사용해 은닉된 데이터를 추출할 수 있다.(OpenStego, StegHide 등)

스테가노그래피말고도 파일 시스템 구조에서 낭비되는 영역에 데이터를 숨기는 방식이 있다.

 

데이터 변조(Manipulation)

파일 시스템의 시간 정보를 조작하는 기법

-> 주로 악성코드가 사용하고, 이러한 조작된 정보는 포렌식 조사에 타임라인 분석 시 혼란을 준다.