모바일 포렌식을 진행하기 위한 이미지 획득 방법

모바일 포렌식을 진행하기 위해 해당 단말기의 이미지를 획득하는 방법은 여러 방법이 있다.

이론에 약해서 실제로 사용해본 HancomGMD MD-NEXT, MD-LIVE, GuidanceSoftware(이제는 Opentext지만) EnCase를 사용했을 때 획득할 수 있는 방법은 다음과 같다(물리적 접근 방법인 Chip-off는 안해봐서 모르겠는데 관심은 있어서 찾아보긴 했다).

1. 부트로더 변경 후 파일시스템에 접근

2. 단말기의 디버그 모드로 진입 후 앱 데이터에 접근

3. 에이전트 앱 설치 후 앱 데이터에 접근(사실상 2번과 유사)

4. 단말기의 백업 기능을 이용한 데이터 파싱

1, 2, 3번째 방법은 주로 안드로이드 단말에서 사용되는 방식이고, 4번째 방법은 주로 iOS 단말에서 사용하는 방법이다.

0. Chip-off

 - 컴퓨터 포렌식의 비휘발성 저장장치의 이미징과 가장 비슷한 방식(컴퓨터에서 저장장치 분리 후 이미징/복제 장치에서 작업하는 것과 유사)

 - 모바일 단말기의 스토리지 칩을 워크스테이션등에서 땜을 제거한 후 리더에 연결하여 직접 읽어들이는 방식

 - 단말기가 파손되어 부팅이 되지 않아도 스토리지 칩만 멀쩡하다면 데이터 리딩 가능

 - 금손이면 칩을 떼어낸 단말기에 다시 칩을 납땜하여 사용할 수 있겠으나 사실상 어려울 것 같음

1. 부트로더 변경 후 파일시스템에 접근

 - 안드로이드 단말의 다운로드 모드 진입 후 부트로더를 변경하고, 변경된 부트로더로 사용자 데이터를 읽어내는 방식

 - Chip-off 보다는 복구율이 떨어질 수 있으나, 모바일이라는 단말 특성상 컴퓨터보다는 안티포렌식이 일어나기 어려우므로 복구 기대 가능(파일시스템 레벨의 접근이기 때문)

 - Samsung KNOX를 이용하는 단말이면 부트로더 변경 시 KNOX 워런티 비트가 변경되고, 수정이 불가능하다. 워런티 비트가 변경되면 KNOX 기반 서비스는 이용 불가(삼성페이 등)

 - 단말에 맞는 부트로더가 있어야 하기 때문에 지원하지 않는 단말은 사용 불가

2. 단말기의 디버그 모드로 진입 후 앱 데이터에 접근

 - 안드로이드 설정 중, 디버그 모드(또는 개발자 모드)로 진입 후, 해당 권한을 이용하여 앱 데이터에 접근하는 방법

 - 데이터를 분석하는 툴에서 수집하는 앱을 지원하지 않으면 수작업으로 데이터를 수집해야 함(예: MD-LIVE에서 A메신저 앱을 지원하지 않으면 자동 수집 및 분석이 불가함)

 - 특정 앱에 대해서만 수집하므로 삭제된 파일에 대한 복구는 기대하지 않는 것이 좋으나, 가끔 삭제 파일이 잡히기도 함

 - 대신 SQLite DB에 저장하는 데이터의 경우 어느정도 복구는 되므로 시도해볼만한 수고는 있음

3. 에이전트 앱 설치 후 앱 데이터에 접근

 - 사실상 2번째 방법과 유사하나, 방법만 조금 다름(EnCase 7 버전대의 모바일 데이터 수집 방식)

4. 단말기의 백업 기능을 이용한 데이터 파싱

 - 주로 비 안드로이드 계열에서 사용하는 방식이며, 특히 iOS 계열 단말기의 수집 방식

 - iTunes나 기타 단말기 관리 프로그램의 백업 기능을 이용하여 단말기의 백업 데이터 생성 후, 생성된 데이터를 파싱하여 분석하는 방식

 - 단, 백업을 이용해야 하므로 수집할 단말기에 암호가 걸려있다면 데이터 수집이 불가능함

---

수집 기술이 더 발전하면 상상도 못한 방법으로 수집할 수 있겠다. 하지만, 보안 조치가 날이 갈수록 강화되는 탓에 수집이 어려워지는 것은 시간문제로 보인다.