대검찰청, Mac 자료 수집 및 분석 기법 보고서 내놔

2015. 5. 27. 15:43애플 스페셜, 특집





지난 5월 초 대검찰청은 Mac 컴퓨터의 자료 수집 및 분석 기법에 대한 보고서를 내놨습니다.


보고서에는 국내 Mac OS 사용자의 증가에 따라 수사 검사실에서 Mac 분석 요청 건수가 매년 증가하고 있다고 언급했습니다. 그러나 기존 윈도우 계열 운영체제에 대한 포렌식 분석 기법이 주를 이루고 있어 다른 구조를 가진 Mac OS를 분석하기에 한계를 가지고 있고 Mac OS 상의 중요 증거 및 정보 수집에 대한 신뢰할 수 있는 분석 기법 연구가 필요하다고 합니다.


국제 특허, 지적 재산권 훈련 프로그램을 운영하는 미국의 WIPA에서 지난 4월까지 총 6개월간 훈련한 결과를 토대로 작성된 이번 보고서에는 Mac 컴퓨터의 구조 분석을 통한 데이터 수집, 의미 있는 분석 결과를 도출해 낼 수 있도록 접근하였습니다.



<Mac OS 구조와 분석 기법에 대한 연구 보고서>


사실 Mac OS의 데이터 분석에 관한 보고서는 그동안 국내에서도 많이 나와 있지만 대부분 연구 목적으로 작성된 것이며, 이번 보고서는 현장에서 수사관이 직접 활용할 수 있는 매뉴얼을 만들었다는 데 의미가 있습니다.


보고서는 Mac OS에 대한 포렌식 관점에서 범죄 증거와 밀접하게 관련된 사용자의 행위, 흔적에 대한 데이터를 수집 할 수 있는 툴을 소개하고 방안을 제시하였습니다.


보고서는 OS X 10.4 타이거부터 10.9 매버릭스까지의 운영체제를 대상으로 각종 응용 프로그램의 구조를 파악하고 데이터 수집 방법을 구체적으로 제시합니다.


다만 디스크 이미지(.dmg)와 시스템을 암호화하는 FileVault의 경우 소개와 접근 방식이 언급되어 있으나 AES(Advanced Encryption Standard)로 암호가 걸린 디스크 이미지에 대한 복호화에 대한 구체적인 해법은 제시하고 있지 않습니다.


또한 시스템을 128비트로 통채로 암호화하는 FileVault는 이전까지 선택 옵션이었으나 최신 운영체제인 요세미티부터 기본 지원으로 바뀌었는데 그 부분에 대한 해법도 제시하지 않고 있습니다.


하지만 현장 차원에서 매뉴얼이 작성된 만큼 향후 수사관들이 Mac OS 상에서의 범죄 증거와 밀접하게 관련된 개인 작업 기록 등을 찾아내는데 용이할 것으로 보입니다.