디지털 포렌식 분야는 빠르게 변화하고 있으며, 이 과정에서 전문가들은 점점 더 많은 데이터를 분석해야 하는 도전에 직면하고 있습니다. 이때, 마그넷 엑시엄(MAGNET AXIOM)은 디지털 포렌식 전문가들에게 강력한 도구로 자리매김하고 있으며, Forensic 4:cast 2023 Award DFIR 상업용 도구 투표에서 2017년부터 2023년까지 7년째 1등을 하고 있습니다. 이 블로그 글에서는 마그넷 엑시엄의 주요 기능과 장점을 소개하고, 왜 이 도구가 디지털 포렌식 조사에서 중요한 역할을 하는지 설명해 보겠습니다.

◎ 마그넷 엑시엄이란?
마그넷 엑시엄은 Magnet Forensics에서 개발한 디지털 포렌식 소프트웨어입니다. 이 도구는 컴퓨터, 모바일 장치, 클라우드 서비스 등 다양한 디지털 소스에서 데이터를 수집, 분석 및 보고하는 데 사용됩니다. 사용자 친화적인 인터페이스와 강력한 분석 기능을 통해, 디지털 증거를 효율적으로 찾아내고 해석하는 데 도움을 줍니다.

◎ 주요 기능
1. 광범위한 데이터 수집:
마그넷 엑시엄은 컴퓨터와 모바일 장치에서 데이터 수집을 지원하며, 이를 통해 파일 시스템, 메모리 덤프, 네트워크 트래픽 등 다양한 데이터 소스를 분석할 수 있습니다.
또한 클라우드 서비스에서 데이터를 수집할 수 있어, 현대 디지털 환경에서 발생하는 다양한 사건에 대응할 수 있습니다.

2. 강력한 분석 도구
데이터 카빙(Data Carving)을 통해 삭제되거나 숨겨진 데이터를 복구할 수 있습니다.
타임라인 분석 기능을 통해 사건의 전후 상황을 명확히 파악할 수 있습니다.
키워드 검색, 해시 매칭, 이미지 분석 등 다양한 분석 기법을 지원하여 포렌식 조사에 필요한 모든 데이터를 철저히 분석할 수 있습니다.

3. 보고서 생성 및 공유
마그넷 엑시엄은 포렌식 조사 결과를 다양한 형식으로 보고서를 생성할 수 있습니다.
보고서에는 발견된 증거, 분석 결과, 타임라인 등 모든 관련 정보를 포함할 수 있어, 법정에서도 유효한 증거로 활용할 수 있습니다.
공유 기능을 통해 팀 내 협업을 쉽게 할 수 있습니다.

4. 사용자 친화적 인터페이스:
직관적인 사용자 인터페이스를 통해, 복잡한 포렌식 작업도 쉽게 수행할 수 있습니다.
초보자부터 전문가까지 모두가 쉽게 사용할 수 있도록 설계되었습니다.

◎ 마그넷 엑시엄의 장점
효율성: 한 번의 수집으로 다양한 데이터 소스를 분석할 수 있어 시간과 노력을 절약할 수 있습니다.
정확성: 강력한 분석 도구를 통해 높은 정확도의 결과를 도출할 수 있습니다.
확장성: 다양한 디지털 소스와 포렌식 기법을 지원하여, 어떤 사건에도 유연하게 대응할 수 있습니다.
신뢰성: 법적 효력이 있는 보고서를 생성할 수 있어, 법정에서도 신뢰할 수 있는 증거로 사용할 수 있습니다.

◎ 결론
마그넷 엑시엄은 디지털 포렌식 전문가들에게 필수적인 도구로, 효율적이고 정확한 조사와 분석을 가능하게 합니다. 디지털 증거 수집부터 분석, 보고서 생성까지 모든 과정을 아우르는 마그넷 엑시엄을 통해, 디지털 포렌식 조사를 한층 더 효과적으로 수행할 수 있습니다.

디지털포렌식과 사고대응(DFIR, Digital Forensic and Incident Response)에 대해서 개인적인 생각을 정리해 봤습니다.
먼저 국가법령정보센터에서 디지털포렌식를 찾아보니
전자정보를 수집ㆍ보존ㆍ운반ㆍ분석ㆍ현출ㆍ관리하여 범죄사실 규명을 위한 증거로 활용할 수 있도록 하는 과학적인 절차와 기술을 말한다.
라고 정의되어 있습니다.

정의와 관련해서 정리하면 디지털포렌식은 주로 수사관 분들이 사용하던 기술이죠.
개인적인 생각으로는 국외나 국내 수사관 출신분들이 다양한 직군에 포진하면서 디지털포렌식 대중화(?)에 기여하신 것은 아닌지 싶습니다.
아무튼 회계감사 분야에서 디지털포렌식을 사용하기도 하고, 침해사고 대응과 관련해서도 법적 분쟁 발생 시 법원에서 디지털포렌식을 통해 제출된 자료에 대해서만 법적 증거력 인정을 받는 부분이 있다 보니 디지털포렌식을 사용하기도 합니다.

국내 디지털포렌식 단체와 관련된 내용을 찾아보니 아래와 같습니다.

2003년 사이버포렌식전문가협회(KCFPA) 설립
2006년 한국디지털포렌식학회(KDFA) 설립
2009년 디지털포렌식산업포럼 출범
2010년 (사)한국포렌식학회(KAF) 설립
2013년 법무부와 한국포렌식학회의 공동 주최로 제1회 국가공인 디지털 포렌식 전문가 2급 자격시험 시행
2013년 디지털포렌식전문가 검정시험 국가 공인
2013년 디지털 포렌식 전문가 1급 자격시험 시행
2016년 (사)한국디지털포렌식전문가협회(KDFPA) 설립

디지털포렌식은 무결성에 문제가 발생하지 않도록 이미징만 수행하면 무료솔루션으로도 가능하지만 앞선 말씀드린 것과 같이 현재까지 법정에서 증거력 인정을 받은 솔루션은 오직 Encase 뿐이다 보니 상용이든 무료이든 그 외 솔루션은 무의미해집니다. 관련해서 디지털포렌식 후발주자로 엄청난 편의성을 제공하고 있는 Magnet AXIOM이 아직 법원에서 공식적인 증거력 인정을 받지 못하고 있다 보니 수사관분들이 Magnet AXIOM으로 분석해서 Encase에서 분석한 것처럼 문서를 만들고 법원에 자료를 제출한다고 합니다. 또한 국내 디지털포렌식 자격시험 시에도 Magnet AXIOM은 사용 불가라고 하죠. 디지털포렌식 솔루션이 발전해도 시험은 과거에 머무는 것은 아닌지 아쉽습니다.

디지털포렌식을 사용한다는 건 저장장치 이미징을 먼저 수행해야 되는데, 무조건 시스템 전원을 차단시켜야하죠. 이 때 무결성이 깨지지 않도록 쓰기방지 장치를 통해 이미징을 수행해야하는데, 무결성 때문에 이미징 수행 전 라이브 시스템에서 휘발성 증거를 수집하는 것이 디지털포렌식에 문제가 없는지 질문을 하게 되는 것 같습니다.
개인적으로 이미징 수행 전 휘발성 증거 수집 시 수집 방법과 도구, 수집 시간, 수집한 데이터의 위치와 보관 방법, 수집된 데이터의 무결성 검사 등 모든 단계와 결정이 정확하게 기록되어 문서화한다면, 이후 디지털포렌식을 수행하더라도 법원에서 증거력 인정을 받을 수 있지 않을까 생각해 봅니다.
 
근데, 대부분의 침해사고가 발생한 기업의 경우 보안에 최선을 다했다는 소명에 집중하지, 분석 결과 해커가 국내 B사를 해킹하여 손해를 입혔는데 국내 A사를 통해 경유한 흔적이 확인되었다고, B사가 A사에게 손해배상청구 고소ㆍ고발한 사건이 있는지와 과연 앞으로도 그렇게 손해배상청구 고소ㆍ고발 건이 발생할지 생각해 볼 때 낮다라는 생각이 들긴 합니다. 

아무튼, 전원을 차단하는 것과 관련해서 어떤 서비스담당자는 서버에서 스크립트를 실행하는 것조차 문제 발생 시 책임지겠다는 각서를 쓰라고도 하죠. 그렇다 보니 침해사고가 발생한 시스템이 대고객 서비스라고 가정했을 때, 수사기관 요청이 아닌 자체 정보보호팀에서 디지털포렌식 목적으로 이미징을 수행하기 위해 서버를 종료해야 된다고 했을 때 과연 얼마나 많은 서비스담당자나 관련 직책자들이 시스템 종료 결정을 내릴지 의문이 들기도 합니다.
 
디지털포렌식이 대중화(?)되기 전 침해사고대응은 라이브 시스템에서 빠르게 휘발성/비휘발성 증거를 수집하기 위해 스크립트를 이용하거나 로그를 분석했죠. 그래서 다양한 운영체제와 환경에서 테스트 되어 문제가 발생하지 않는 스크립트라고 한다면, 또한 손해배상청구 고소·고발 건에 대응 하기 위한 것이 아니라면, 라이브 시스템에서 휘발성/비휘발성 증거를 수집하여 분석하는 것도 원인을 파악하고 대응 방안을 마련할 수 있는 가이드를 제시할 수 있다고 생각이 듭니다.

마무리를 지어보자면, 침해사고분석에 있어서는 디지털포렌식이 만능은 아니다 입니다.
시스템관련 보안이 지속적으로 강화되다보니 취약한 시스템을 직접 공격하던 방법이 어려워지자, 사용자PC를 감염시켜 시스템에 접근하는 사고사례가 많아져 시스템보다는 사용자 PC에 대한 디지털포렌식이 주를 이루는 것 같습니다.
다운로드 되었으나 실행 후 삭제된 악성코드 관련 정보 분석은 디지털포렌식이 필요하겠지만, 라이브 상태에서 메모리덤프를 수행했다면 실제 악성코드 분석이 가능하겠죠. 파일리스 악성코드 분석 또한 라이브 상태에서 메모리덤프 수행이 필요하겠죠. 단편적으로 놓고 본다면 수사/감사기관에서의 디지털포렌식은 사용자PC에서 증거인멸을 복구하는 관점이었고 침해사고분석은 서버라면 어떤 취약점으로 어떻게 공격이 들어와서 무슨 피해가 발생했나, 사용자PC라면 어떤 취약점으로 어떻게 악성코드에 감염되서 무슨 피해가 발생했나로 볼 수 있겠습니다.
디지털포렌식이 대중화(?)되면서 디지털포렌식을 우선시하다보니 법정에서 증거력 인정을 받기 위해 무결성을 훼손하지 않아야 한다는 이유로  실행 중인 상태에서 휘발성 정보를 저장하는 것을  패스하지 않았으면 합니다. 앞서 말씀드린 대로 모든 단계를 기록하여 문서화하고 디지털포렌식을 위한 이미징을 수행하면 좋겠다는 생각이 듭니다. 디지털포렌식의 장점과 침해사고분석의 장점을 조화롭게 사용할 수 있는 노하우가 필요해 보입니다.

MCFE(Magnet Certified Forensics Examiner)는 마그넷 엑시엄(MAGNET AXIOM) 제품을 사용하여 디지털포렌식(Digital Forensic) 역량을 입증하는 자격증 중 하나입니다.
 
시험시간은 120분, 2023년 기준 온라인 객관식 75문제이고, 2번의 기회가 있으며, 100점 환산기준 80점이 넘으면 합격입니다.
시험을 등록하면 메일로 시험관련 링크를 받을 수 있습니다.
로그인해서 마그넷 엑시엄(MAGNET AXIOM) 제품을 다운받아 설치하고
증거파일을 다운받아 분석하여 정답을 체크하면 됩니다.
2년마다 갱신해야되는데, 자격증에 관리번호가 없다는게 조금 신기합니다.

Zero Trust User Access

'IT > Cheat Sheet' 카테고리의 다른 글

XSS(Cross-Site Scripting)  (0) 2024.04.29
XDR vs SIEM  (0) 2024.04.29
Wpscan  (0) 2024.04.29
Wireshark Display Filter  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29

XSS(Cross-Site Scripting)

'IT > Cheat Sheet' 카테고리의 다른 글

Zero Trust User Access  (0) 2024.04.29
XDR vs SIEM  (0) 2024.04.29
Wpscan  (0) 2024.04.29
Wireshark Display Filter  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29

XDR vs SIEM

'IT > Cheat Sheet' 카테고리의 다른 글

Zero Trust User Access  (0) 2024.04.29
XSS(Cross-Site Scripting)  (0) 2024.04.29
Wpscan  (0) 2024.04.29
Wireshark Display Filter  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29

Wpscan

'IT > Cheat Sheet' 카테고리의 다른 글

XSS(Cross-Site Scripting)  (0) 2024.04.29
XDR vs SIEM  (0) 2024.04.29
Wireshark Display Filter  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29
Wireshark  (0) 2024.04.28

Wireshark Display Filter

'IT > Cheat Sheet' 카테고리의 다른 글

XDR vs SIEM  (0) 2024.04.29
Wpscan  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29
Wireshark  (0) 2024.04.28
Wireless IoT Standards  (0) 2024.04.28

Wireshark Filter

'IT > Cheat Sheet' 카테고리의 다른 글

Wpscan  (0) 2024.04.29
Wireshark Display Filter  (0) 2024.04.29
Wireshark  (0) 2024.04.28
Wireless IoT Standards  (0) 2024.04.28
Windows to Unix  (0) 2024.04.28

Wireshark

'IT > Cheat Sheet' 카테고리의 다른 글

Wireshark Display Filter  (0) 2024.04.29
Wireshark Filter  (0) 2024.04.29
Wireless IoT Standards  (0) 2024.04.28
Windows to Unix  (0) 2024.04.28
Windows Services (Creation)  (0) 2024.04.28

+ Recent posts