[이제 시작이야! 디지털 포렌식] Chapter 10 휴대기기 포렌식

 

 

 

휴대폰과 더불어 휴대기기들은 완벽한 증거가 될 수 있다.

 

 

 

---

1. 셀룰러 네트워크

• 셀룰러 네트워크는 여러 개의 셀(cell)로 구성
• 각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스 제공
• 셀 사이트(cell site) : 각 셀이 네트워크에 연결될 수 있도록 하는 기지국
• 각 셀 타워는 측면마다 3개의 패널이 있고 가운데 패널은 송신기, 나머지 2개는 수신기로 사용해 라디오 신호 탐지
• 셀 사이트는 여러 셀의 교차로에 위치

- 셀룰러 네트워크의 구성요소

• 기지국 : 안테나와 관련 장비로 구성
• 기지국 제어기(Base Station Controller, BSC) : 기지국 사이의 신호 조절 -> 휴대폰의 위치가 이동될 때 핵심
• 기지국 교환센터(Mobile Switching Center, MSC) : 네트워크 안에서의 통화 처리 및 메세지 처리 -> 핵심 증거 존재
• 방문자 위치 등록기(Visitor Location Register, VLR) : 기지국 교환센터에 연결되어 있는 데이터베이스
• 인터네트워크 기능 : 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할
• 홈 위치 등록기(Home Location Register, HLR) : 가입자의 정보 수집 및 인증센터(Authentication Center, AuC) 지원
• 단문 메세지 서비스 센터(Short Message Service Center, SMSC) : 문자 메세지 또는 SMS 메세지 수집

 

• 핸드오프(handoff) : 네트워크 연결이 하나의 셀 타워에서 다른 셀 타워로 이전(신호의 강도 약해지면 발생)
• GSM(세계 무선 통신 시스템)은 한 번에 하나의 타워에 접속하는 하드 핸드오프 방식
• CDMA(코드 분할 다중 접속)은 여러 개의 타워에 동시 접속 가능하며 가장 신호 강한 타워 이용하는 소프트 핸드오프 방식

 

• 특정 핸드폰이 특정 타워에 언제 연결되어있는지에 대한 기록은 중요한 단서!!!!!!!
• 통화가 셀 타워에 도착하면 기지국 교환센터로 이동
• 네트워크 외부로 연결하려면 공중 전화망(Public Switched Telephone Network, PSTN)으로 넘김
• 난청 지역으로 신호가 안잡힐 수도 있다.
• 단문 메시지 서비스(Short Message Service, SMS)와 멀티미디어 메시지 서비스(Mulimedia Messaging Service, MMS)

- 셀룰러 네트워크의 종류

• 셀룰러 네트워크는 데이터 전송 방식에 따라 분류

 

• 1. 코드 분할 다중 접속(CDMA) : 주파수 기술을 이용하여 데이터 전송
• -> 하나의 채널에 여러 핸드폭이 각각 디지털 코드 표시
• -> 한국에서 SKT, KT, LG U+ 등
• -> CDMA 휴대폰은 SIM 카드 사용 하지 않으며, 장치일련번호로 휴대폰 식별

 

• 2. 세계 무선 통신 시스템(GSM) : 시분할 다중접속 기술 사용
• -> SIM 카드 사용
• -> 국제 이동 단말기 번호(International Mobile Equipment Identity, IMEI) 사용하여 휴대폰 식별

 

• 3. 통합 디지털 확장 네트워크(IDEN) : 양방향 라디오 같은 기능 제공
• -> SIM 카드 사용

- 선불 휴대폰

• 미국에서는 대형마느테어 식료품 구매하는 것처럼 구매 가능
• 선불 휴대폰은 완전히 현금 거래이므로 흔적 추적이 어렵다.

---

2. 운영체제

• 모든 포렌식 조사에서 휴대폰의 운영체제는 커다란 영향을 미친다.
• 심비안 OS : 노키아와 소니에릭슨의 휴대폰에서 사용
• 블랙베리 : 다양한 종류의 응용프로그램을 지원하고 멀티태스킹도 지원하며 통신업체마다 버전이 다름
• 안드로이드 : 오픈소스 운영체제로 구글에서 인수했고, 수천 개의 응용프로그램이 있음
• 애플의 iOS : Mac OS X 기반이며 애플 앱 스토어에서 수많은 앱 활용
• 윈도우 모바일 : 마이크로소프트가 휴대기기 시장에 내놓은 운영체제

---

3. 휴대폰 증거

• 개인 식별 번호(Personal Identification Number, PIN) : 휴대폰 보안 강화하는 데 사용
• PIN 연속 세 번 틀리면 잠금 상태 -> 개인 해제 키(Personal Unlock Key, PUK) 필요

 

• 단어예측(predictive test) 기능은 데이터베이스 사전을 기반으로 함
• 단어, 약어, 속어 등 사용자가 입력하는 것이 데이터베이스에 동화됨

- 통화내역기록

• 통화내역기록(Call Detail Records, CDR)은 통신업체가 문제 해결하고 네트워크 성능 개선을 위해 사용
• 통화내역기록에는 통화 시작 및 종료 시간, 수신자 발신자, 통화 시작 타워와 종료 타워 등의 정보 포함
• 그러나 누가 실제로 통화했는지 알 수 없으니 가입자 정보와 통화내역기록의 차이를 이해해야한다.
• 모든 데이터에 동일한 보존 기간을 적용하지 않음
• 보통 통신업체는 요금청구와 기타 목적을 위해 많은 기록 유지

 

• 삼각 측량(triangulation)은 세 개의 서로 다른 타워로부터 휴대폰과의 거리 측정하여 대략적인 위치 파악
• 방향 안테나는 신호의 지연 시간을 바탕으로 거리 측정하며 두 개의 타워만을 사용
• GPS를 통해서 위도와 경도를 파악 가능

- 휴대폰 증거 수집 및 처리

• 네트워크로부터 휴대폰을 고립하자.
• 포렌식 조사를 하기 전에 어떤 모델인지 먼저 확인하는 것이 중요함
• 복사본으로 조사 혹은 직접 조사 들어감
• 음성 메세지, SIM 카드, 관련 전원 케이블 등 중요 단서

- SIM 카드

• SIM(Subscriber Identity Modules) 유용한 정보 두 가지 저장
• 1. 국제 이동가입자 식별자(International Mobile Subscriber Identity, IMSI) : 가입자 계정 정보와 서비스 식별
• 2. 통합 회로 카드 식별자(Integrated Circuit Card Identifier, ICC-ID) : SIM 카드 자체의 시리얼 정보
• 이외에도 서비스 제공업체, 언어 설정, 전원 꺼진 위치, 휴대폰번호 SMS 문자 메세지(없을 수 있음)
• SIM 카드는 CPU, RAM, 플래시 기반의 비휘발성 메모리, 암호화 칩 등 여러 개의 구성요소로 구성

- 휴대폰 수집: 물리적 및 논리적

• 물리적 방법은 클로닝 하는 것처럼 비트 하나 틀리지 않고 모두 복사
• 논리적 방법은 삭제된 데이터를 가져오지는 못하고 파일과 폴더만 캡쳐
• 하드 드라이브 수집과정과 다른 점은 쓰기 차단 기기가 사용되지 않는다는 점(데이터 교류 존재해야 하므로)
• 촉박할 때는 수동적으로 기기 작동

---

4. 휴대폰 포렌식 툴

• BitPim : 강력한 오픈소스 프로그램, LG나 삼성 포함 여러 벤더에서의 CDMA 휴대폰 데이터 수집
• -> 연락처, 달력, 배경화면, 휴대폰 벨소리, 파일 시스템 등 다양한 데이터 복구 가능
• Oxygen Forensic Suite : 휴대폰 전용 포렌식 프로그램
• -> 연락처, SIM 카드 데이터, 삭제된 문자 메시지, 달력, 사진, 동영상, GPS 위치 등 복구 가능
• Paraben Corporation : 다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴 판매
• -> 네비게이션 기기도 지원
• AccessData의 MPE+ : 3500개 이상의 휴대폰 지원
• -> 통화기록, 메시지, 사진, 음성메시지, 동영상, 달력, 이벤트 등 수집 가능
• Cellebrite의 UFED(Universal Forensic Extraction Device) : 독립형 하드웨어 장비
• -> 2500개 이상의 휴대폰 지원하며 현장에서 바로 정보 축출 가능
• EnCase Smartphone Examiner : 스마트폰과 타블렛의 데이터 축출 및 검토 툴

---

5. 네비게이션

• 네비게이션에도 엄청난 양의 증거 저장 가능!!
• 네비게이션을 심플, 스마트, 하이브리드, 네트워크 4 가지로 분류 가능
• 1. 심플 네비게이션은 트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙(track) 로그 저장
• 2. 스마트 네비게이션은 기본 기능에 MP3, 사진 보기, 자주 가는 곳 저장 기능 존재
• 3. 하이브리드 네비게이션은 블루투스 휴대폰과 연결 가능하며 연결 휴대폰의 정보 저장됨
• 4. 네트워크 네비게이션은 하이브리드에 구글 검색 및 교통 정보 등 실시간 정보 기능 포함
• 트랙포인트는 해당 기기가 있었던 위치에 대한 기록이지만, 
• 웨이포인트는 사용자가 물리적으로 해당 위치에 갔다는 것을 의미하지는 않는다.

---

6. 요약

• 셀룰러 네트워크는 기지국, 기지국 교환센터, 방문자 위치 등록기 등 다양한 구성요소로 구성된다.
• 셀룰러 네트워크의 종류로는 CDMA, GSM, iDEN이 있다.
• 휴대폰 운영체제로 윈도우 모바일, iOS, 안드로이드 그리고 심비안이 있다.
• 통신업체가 유지하고 있는 기록 또한 조사에 유용할 수 있다.
• 휴대기기를 처리할 때 가장 먼저 해야 하는 것은 네트워크로부터 고립시키는 것이다.
• 특정 휴대폰은 용의자나 통신업체가 모든 데이터를 원격에서 삭제할 수 있다는 것이다.
• 모든 휴대폰이 SIM 카드를 사용하지는 않는다.
• 오늘날 네비게이션 또한 디지털 증거의 역할을 한다.

 

 

<책 출처>

이제 시작이야! 디지털 포렌식 - 존 새몬스