본문 바로가기

Book review

포렌식이란 무엇인가? (윈도우 포렌식 실전 가이드 - 한빛미디어)


한빛리더스 세번째 미션을 수행하면서 선택한 도서는 윈도우 포렌식 실전 가이드입니다. 
제가 꽤 오래전 루트킷에 대해서 책을 읽고 한참 정보를 습득하는 과정에서 알게된 용어 포렌식... 후에 찾아보니 CSI 같이 컴퓨터에 남겨진 흔적으로 각종 범죄에 쓰인 증거를 수집하는 과정을 얘기하는 단어더군요.
이 책은 우리가 사용하는 컴퓨터로 벌어지는 범죄를 수사하기 위해서 운영체제 베이스 깊숙히 남겨진 정보를 찾는법을 알려줍니다. 저자는 한국 현실에 적합한 내용으로 구성하기 위해서 윈도우 베이스로 설명합니다. 처음에는 라이브 리스폰스라 불리는 증거 수집 방법에 대해서 각종툴의 간단한 사용법과 더불어서 설명합니다. 이 단계에서는 휘발성 정보의 수집법에 촛점이 맞춰져 있는데요. 사실 우리가 알고있는 컴퓨팅 환경에서는 전원을 차단해서 종료하기 이전까지는 메모리나 네트워크 관련한 정보 등이 사라지지 않고 남아 있게 마련입니다. 그리고 여기에는 많은 정보가 함축되어 있다고 볼 수 있습니다. 따라서 가장 중요한 초기단계의 증거 수집법이라 할 수 있는거죠. 예를 들어 (이 경우에 적합한 예인지는 모르겠습니다) 하드디스크의 데이터를 사용자 실수로 삭제한경우에도 전원 차단 이전, 즉 컴퓨터를 종료하기 이전에 복구 가능한 비율이 7~80%가 된다고 들었던 기억이 납니다. 전원 차단 이후에는 50%대로 떨어진다고 말이죠. 비율이 정확히 맞는지는 잘 모르겠네요 =ㅅ= 제 기억도 자고나면 재부팅 되는 컴퓨터처럼 50%이하의 내용만 기억하나 봅니다 ㅋ


그 이후에는 메모리 분석법, 실행파일 분석법, 레지스트리 분석법 등 좀더 윈도우의 깊숙이 파고드는 내용을 볼 수 있습니다. 이 절의 내용들은 윈도우의 메모리는 어떻게 구성되고 어떤식으로 동작하는가, 실행파일 PE 파일의 구조는 어떻게 되고, 섹션 별로 데이터 분석하는 법, 레지스트리의 구조는 어떻고 시스템 키 값 분석은 어떻게 하는지 등의 내용이 주욱 이어집니다. 


이 책을 읽어보시면 실제 포렌식 조사에 쓰이는 툴이 생각보다 복잡하거나 비공개된 지식의 총아가 아니라 윈도우를 이용하는데 있어서 다양한 정보를 수집하는 그런 정도의 툴이라는 것, 그리고 그런 툴을 어떻게 사용하는지, 또한 윈도우를 구성하는 기본적인 메모리, 실행파일, 레지스트리에 대해서 우리가 흔히 몰랐던 것이나 그내부적인 구조, 동작법 등 시스템을 이해하고  깊이있는 기초 지식을 배울 수 있다는 점에서 큰 장점이 있습니다. 실제적으로 툴 보다는 윈도우 시스템에 대해서 더 많은 정보를 알게 될 수 있었습니다. 또한 이 책과 더불어 [API로 배우는 Windows 구조와 원리 - 한빛미디어]를 읽으시면 더할 나위 없이 좋은 배움의 장이 될 것으로 생각이 됩니다.
반면에 포렌식 책임에도 실제적으로 포렌식 조사를 통해서 케이스별 분석 하는 방법이나 찾아낸 정보를 활용하는 점에 대해서는 상대적으로 설명이 빈약하거나 없는 경우가 많았습니다. 이는 물론 지식을 기반으로 한 그들의 노하우와 지식 체계는 곧 연봉과 명성으로 이어지는 만큼 공개하기 어려웠을 것이라는 생각은 합니디만, 기왕에 책으로 공유하고자 함에는 좀 더 실례와 더불어 현실적인 정보가 더 많았으면 하는 아쉬움이 듭니다.


보안 관련한 도서는 참 오랫만에 읽어보았습니다. 요즘 세상은 정보를 숨기기는 어렵고 찾아내기는 쉬운 세상이라고 합니다. IT 산업에 있어서는 참 어려운 화두라고 생각합니다. 반면에 컴퓨터를 이용한 범죄에 대해서는 물리적 폐기를 하였다 하더라도 어떤 식으로든 증거를 찾아내고 컴퓨터가 멀쩡한 상태에서는 더욱 많은 증거를 수집하기 좋은 시대가 되었습니다. 포렌식이라는 분야가 많이 발달하여 컴퓨터로 인해서 피해를 보는 일들이 많이 없어지면 좋겠다고 생각합니다. 이 책이 그 일을 앞당기는데 일조하길 바랍니다.