KR20110070767A - 네트워크 기반 원격 포렌식 시스템 - Google Patents
네트워크 기반 원격 포렌식 시스템 Download PDFInfo
- Publication number
- KR20110070767A KR20110070767A KR1020100108730A KR20100108730A KR20110070767A KR 20110070767 A KR20110070767 A KR 20110070767A KR 1020100108730 A KR1020100108730 A KR 1020100108730A KR 20100108730 A KR20100108730 A KR 20100108730A KR 20110070767 A KR20110070767 A KR 20110070767A
- Authority
- KR
- South Korea
- Prior art keywords
- forensic
- data
- unit
- remote terminal
- analysis
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 원격지에서도 포렌식 분석 센터에 접속하여 포렌식을 진행할 수 있도록 하는 네트워크 기반 원격 포렌식 시스템에 관한 것으로, 원격지에 있는 증거 장치를 연결하고, 가상 포렌식 툴을 통해 상기 증거 장치에 대한 포렌식을 수행하는 하나 이상의 원격지 단말; 및 광역 네트워크를 통해 상기 원격지 단말과 연결되어 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말의 요구사항을 처리하고 요구사항 처리결과를 상기 원격지 단말에 제공하는 수사 센터 시스템을 포함하는 네트워크 기반 원격 포렌식 시스템을 포함할 수 있다.
Description
본 발명은 디지털 방식으로 포렌식 분석을 수행하는 장치에 관한 것으로, 특히 원격지에서도 포렌식 분석 센터에 접속하여 포렌식을 진행할 수 있도록 하는 네트워크 기반 원격 포렌식 시스템에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-019-03, 과제명: 정보투명성 보장형 디지털 포렌식 시스템 개발].
종래에는 디지털 포렌식 분석을 위해 현장에서 증거를 압수해 포렌식 분석 센터로 가져가거나, 현장 분석을 위해 서류 가방 크기의 이동형 포렌식 툴킷(toolkit)을 현장으로 가지고 가는 방법을 취해왔다.
하지만, IT관련 범죄뿐 아니라 각종 범죄에서 디지털 매체를 사용하는 횟수가 증가함에 따라 분석돼야 할 데이터의 양 또한 급속히 늘어나고 있는 반면, 현장에서 확보된 증거는 여전히 확보 현장에서 포렌식 분석 센터까지 분석할 디바이스 및 시스템을 물리적으로 이동시킨 후, 포렌식 시스템에 접속해 이를 분석하도록 하고 있다. 이에 증거 이동에 시간적, 금전적 비용이 엄청나게 소요되고 있으며, 확보된 증거를 분석할 수 있는 인력에도 한계가 있어서 분석을 위한 대기에도 많은 시간이 허비되고 있다.
한편, 이동형 포렌식 툴킷이 제안되어 현장에서 이미지 생성 및 휘발성 증거자료 확보 등에 이를 주로 사용하고 있지만, 이동형 포렌식 툴킷의 한정된 자원을 활용해 대용량의 데이터를 분석하거나 안티포렌식 기술이 적용된 데이터를 분석하는 데는 무리가 있다.
이 외에 eDiscovery를 지원하는 포렌식 툴 등에서 사전에 감시의 대상이 되는 시스템에 에이전트 등을 설치하고 해당 시스템에 대한 모니터링을 수행하며, 필요 시 대상 데이터에 대한 이미지나 스냅샷을 생성해서 포렌식 서버 시스템으로 전송하는 기능을 제공하고 있다. 하지만 이런 툴의 경우, 모니터링 대상 시스템이 사전에 정의가 되어있고 이 시스템에 에이전트를 설치할 수 있는 환경이 되어야 적용이 가능하다.
또한 분석 대상이 되는 데이터의 용량이 커지고 안티포렌식 기술의 발달로 이에 대응하기 위한 포렌식 시스템의 기능 및 자원(resource)에 대한 요구사항이 증가하고 있다. 이에 따라 랩 형태의 포렌식 시스템을 구축하거나, 고가의 하드웨어 장비를 증설하는 등 대용량의 데이터를 빠르게 처리할 수 있는 고도화된 시설을 갖춘 포렌식 분석 센터들이 개소되고 있다.
하지만, 시설비 등에 많은 비용을 필요하므로 대부분 주요 지역의 한 두 곳에 설비를 갖출 수 있으며, 타 지역에서는 여전히 포렌식 분석이 불가능하거나, 분석 대상 증거를 센터로 전달하고 다시 결과를 수령해야 하는 복잡한 과정이 필요하다.
이렇게 기존 디지털 포렌식 절차상의 데이터 수집, 전송 및 분석에 따르는 비용적인 측면 외에도 기존 툴들을 사용함에 있어서 여러 가지 문제점이나 불편이 존재한다. 기존 툴들은 전문가 또는 툴 사용법에 대한 Skill을 습득해야만 원하는 정보를 획득할 수 있는데, 툴 사용 전문가에 대한 자격증까지 존재할 정도로 툴에 대한 사용법을 익히는 것이 쉽지 않다. 이러한 상황에서 툴에 대한 비전문가나 초보인 경우, 동일한 툴을 이용하더라도 툴 전문가가 수행한 결과와 같은 결과를 얻을 수 없다는 문제점이 있다.
또한 기존의 툴은 찾고자 했던 것을 찾을 수 있도록 하는데 초점이 맞춰져 있어서 단편적인 정보를 얻을 수는 있으나 정보간의 연관성을 파악하기는 어렵다는 문제가 있다. 또한 대부분의 초보자들은 뭘 찾아야 하는지, 어떤 기능을 사용해야 하는지 잘 모르며 찾고자 하는 것이 명확하지 않은 경우가 많은데, 이럴 때 기존 툴은 단서를 찾기가 어렵고 대안을 제공하지 않는다는 단점이 있다. 이러한 부분은 수사관이 실질적인 수사에 집중하기 보다 포렌식 툴을 사용하는데 많은 노력을 기울여야 하는 상황이 될 수 있어 디지털 포렌식의 활용성을 저하시키게 된다.
이 외에도 기존의 포렌식 툴은 찾고자 하는 내용을 찾을 수 있도록 하는데 초점이 맞춰져 있어서 단편적인 '정보'를 얻을 수는 있으나 정보간의 '연관성'을 파악하는데 어려움이 있다. 이러한 연관성의 파악은 수사관의 몫으로서 남겨져 수사 경험과 노하우에 따라 동일한 툴과 데이터를 이용해도 동일한 결과를 얻을 수 없다는 단점이 있어왔다.
상술한 바와 같이 종래의 디지털 포렌식 방법은 대용량의 데이터를 빠른 시간 내에 효율적으로 분석하는데 여러 가지 한계를 가진다.
도1은 종래의 기술에 따른 디지털 포렌식 장치를 도시한 도면이다.
도1을 참조하면, 상기 디지털 포렌식 장치(100)는 하나의 장치로 구현되며, 이미지 생성부(101), 저장장치(102), 분석부(103), 검색부(104), 출력부(105) 및 쓰기방치 장치(120) 등을 포함할 수 있다.
이에 증거품으로 포렌식 분석 센터로 가져온 증거 장치(110)(예를 들어, 하드 디스크, 물리 메모리, SSD(Solid State Drive) 등)가 쓰기방지 장치(120)에 연결되면, 이미지생성부(101)는 쓰기방지 장치(120)를 통해 읽어지는 데이터 스트림을 이용해 포렌식 이미지를 생성해 저장장치(102)에 저장한다.
그러면, 분석부(103)가 포렌식 이미지에 대한 파일 속성 별 분석, 타임라인 분석, 이메일 분석, 로그 분석 등을 수행하거나, 검색부(104)가 포렌식 이미지 내에 포함된 정상, 삭제 파일 등을 대상으로 질의어 및 패턴 검색 등을 수행하는 절차를 거쳐, 출력부(105)에서 보고서 및 화면 출력 등을 통해 포렌식 결과를 사용자에 통보하도록 한다.
이와 같이, 종래의 디지털 포렌식 장치(100)를 이용하고자 하는 경우, 분석 대상 디스크 또는 시스템을 포렌식 분석 센터로 이동시킨 후, 상기 디지털 포렌식 장치(100)을 통해 이미징 및 분석을 수행하거나, 상기 디지털 포렌식 장치(100)가 탑재된 이동식 시스템 또는 메모리를 현장에 직접 가지고 가서 분석을 수행하는 문제가 있다.
하지만 이러한 경우, 앞서 설명된 바와 같이 물리적인 이동에 따른 시간 및 비용이 불필요하게 소요될 뿐 만 아니라, 상기 디지털 포렌식 장치(100)에 포함된 한정된 자원만을 이용하여 포렌식을 진행할 수 있어 처리 용량 및 속도가 한정되는 문제를 가지게 된다.
이에 본 발명에서는 수사 현장 또는 원하는 장소 등 언제, 어디서나 자격을 갖춘 사람은 누구든지 네트워크를 통해 원격지의 포렌식 분석 센터에 접속하여 포렌식을 진행할 수 있도록 하는 네트워크 기반 원격 포렌식 시스템을 제공하고자 한다.
또한 분산 환경, 그리드 환경, 또는 클라우드 컴퓨터 환경 등에 포함된 자원을 활용할 수 있도록 함으로써, 처리 용량 및 속도를 유동적으로 증대시켜 줄 수 있도록 하는 네트워크 기반 원격 포렌식 시스템을 제공하고자 한다.
상기 과제를 해결하기 위한 수단으로서, 본 발명의 일 실시 형태에 따르면, 원격지에 있는 증거 장치를 연결하고, 가상 포렌식 툴을 통해 상기 증거 장치에 대한 포렌식을 수행하는 하나 이상의 원격지 단말; 및 광역 네트워크를 통해 상기 원격지 단말과 연결되어 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말의 요구사항을 처리하고 요구사항 처리결과를 상기 원격지 단말에 제공하는 수사 센터 시스템을 포함하는 네트워크 기반 원격 포렌식 시스템을 제공한다.
상기 수사 센터 시스템은 상기 원격지 단말의 요구사항을 처리하고, 요구사항 처리 결과를 출력하는 포렌식 분석 시스템; 및
상기 원격지 단말에 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말과 상기 포렌식 분석 시스템간 데이터 통신을 중계하는 포렌식 서버 시스템을 포함할 수 있다.
상기 포렌식 서버 시스템은 상기 원격지 단말 및 상기 포렌식 분석 시스템과의 연결 및 데이터 통신을 지원하는 통신부; 상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부; 및 상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 포함할 수 있다.
상기 가상화부는 포렌식을 지원하기 위한 사용자 인터페이스와 포렌식 처리 결과를 시각화하여 제공하는 시각화 모듈; 포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함할 수 있다.
상기 포렌식분석시스템은 상기 포렌식 서버 시스템과의 연결 및 데이터 통신을 지원하는 통신부; 상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부; 상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부; 상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및 상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 포렌식 서버 시스템을 통해 상기 원격지 단말로 반환하는 프로세스 제어부를 포함할 수 있다.
상기 수사 센터 시스템은 상기 원격지 단말과 연결되어 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말의 요구사항을 처리하고 요구사항 처리결과를 상기 원격지 단말에 제공하는 확장 가능한 포렌식 서버 시스템; 및 상기 확장 가능한 포렌식 서버 시스템의 동작에 필요한 자원을 제공하는 랩/분산 시스템을 포함할 수 있다.
상기 확장 가능한 포렌식 서버 시스템은 원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부; 상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부; 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부; 상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부; 상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 원격지 단말로 반환하는 프로세스 제어부를 포함할 수 있다.
상기 확장 가능한 포렌식 서버 시스템은 상기 원격지 단말과의 통신을 지원하며 상기 원격지 단말에 상기 가상 포렌식 툴을 제공하는 서버 기능부; 멀티 소스원을 가지는 데이터의 데이터 포맷을 내부 포맷으로 변환시키고, 포렌식 이미지를 생성하는 데이터 입력부; 상기 원격지 단말의 요청에 따라 상기 포렌식 이미지에 대한 증거 검색 및 분석을 수행하는 데이터 처리부; 상기 데이터 처리부의 처리결과를 상기 원격지 단말에 통보하는 데이터 출력부; 상기 데이터 처리부와 상기 데이터 출력부의 제어하에 저장장치에 데이터를 저장 또는 독출하는 데이터 관리부; 및 상기 원격지 단말로부터 입력되는 데이터와 상기 원격지 단말에 제공되는 데이터에 대한 증거화를 수행하는 디지털 데이터 증거화부를 포함할 수 있다.
상기 확장 가능한 포렌식 서버 시스템은 클라우딩 방식으로 포렌식 서비스를 제공할 수 있는 것을 특징으로 한다.
상기 확장 가능한 포렌식 서버 시스템은 클라우딩 방식으로 포렌식 서비스를 제공할 수 있는 것을 특징으로 한다.
상기 서버 기능부는 상기 원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부; 상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부; 및 상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 포함할 수 있다.
상기 데이터 입력부는 멀티 소스원을 가지는 입력 데이터의 데이터 포맷을 내부 포맷을 통일시키는 멀티소스 데이터 회득/변환부; 및 상기 멀티소스 데이터 회득/변환부의 출력에 대한 포렌식 이미지를 생성하는 이미지 생성부를 포함할 수 있다.
상기 데이터 출력부는 상기 데이터 처리부의 동작 결과를 시각화된 자료로써 제공하는 데이터 시각화부; 및 상기 데이터 처리부의 동작 결과를 보고서 형태로 제공하는 리포팅부를 포함할 수 있다.
상기 확장 가능한 포렌식 서버 시스템은 사건별 카테고리에 대한 프로파일을 관리 및 제공하는 프로파일 관리부를 더 포함할 수 있다.
상기 프로파일 관리부는 사용자 로그를 메모리에 기록하는 로그 기록부; 사건 카테고리와 상기 사용자 로그를 매핑시키고 유효한 로그만을 선택하는 로그 필터부; 상기 유효한 로그에서 기능 및 사건별 분석 패턴을 추출하는 연관성 분석하는 연관성 분석부; 및 상기 연관성 분석의 분석 결과에 따라 사건별 카테고리에 대한 프로파일을 생성 또는 업데이트하는 프로파일 생성 및 업데이트부를 포함할 수 있다.
상기 데이터 관리부는 상기 저장장치에 저장된 데이터를 이용하여 두 개 이상의 사건을 병합하거나 사건의 일부를 새로운 사건으로 추출하는 기능을 더 포함할 수 있다.
상기 사건은 사건 이름, 생성날짜/시간, 생성자 중 하나 이상을 표시할 수 있는 메타데이터 영역; 데이터 또는 데이터 셋(set)의 경로, 물리적 어드레스, URI 중 하나 이상을 표시할 수 있는 사건 데이터 식별 영역; 및 데이터 또는 데이터 셋에 수행할 수 있는 기능을 인가된 범위에서 정의하는 기능 허용 셋 영역을 포함할 수 있다.
상기 사건은 포렌식 클라우드 서비스 방식에 따라 상기 원격지 단말에 제공되는 것을 특징으로 한다.
본 발명의 네트워크 기반 원격 포렌식 시스템은 수사 현장뿐 만 아니라 언제, 어디서나 네트워크를 통해 포렌식 분석 센터에 접속하여 포렌식을 진행할 수 있도록 함으로써, 물리적 거리 이용을 위한 비용을 절감시키고 기구축된 포렌식 시스템의 활용도를 높일 뿐 아니라, 수집된 증거 데이터를 축적하고 필요 시마다 쉽게 이용할 수 있도록 함으로써, 업무의 효율성을 증대시켜 줄 수 있도록 한다.
또한, 본 발명의 네트워크 기반 원격 포렌식 시스템은 분산 환경, 그리드 환경, 또는 클라우드 컴퓨터 환경 등에 접속하여 가용 자원을 최대한 활용할 수 있도록 함으로써, 처리 용량 및 속도도 유동적으로 증대시켜 줄 수 있도록 해준다.
도1은 종래의 기술에 따른 디지털 포렌식 장치를 도시한 도면이다.
도2는 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도3은 본 발명의 일 실시예에 따른 포렌식 서버 시스템의 상세구성을 도시한 도면이다.
도4는 본 발명의 일 실시예에 따른 가상화부를 도시한 도면이다.
도5는 본 발명의 일 실시예에 따른 포렌식 분석 시스템의 상세구성을 도시한 도면이다.
도6은 본 발명의 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도7은 본 발명의 다른 실시예에 따른 확장 가능한 포렌식 서버 시스템의 상세 구성을 도시한 도면이다.
도8는 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도9는 본 발명의 또 다른 실시예에 따른 포렌식 클라우드 시스템의 상세구성을 도시한 도면이다.
도10은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템에 의해 제공되는 포렌식 클라우드 서비스의 개념을 나타낸다.
도11은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템의 구성 및 운용예를 도시한 도면이다.
도12은 본 발명의 일 실시예에 따른 사건 구조(Case structure)를 도시한 도면이다.
도13은 본 발명의 일 실시예에 따른 사건 병합 및 추출 예를 도시한 도면이다.
도14는 본 발명의 또 다른 실시예에 따른 프로파일 관리부의 상세구성을 도시한 도면이다.
도2는 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도3은 본 발명의 일 실시예에 따른 포렌식 서버 시스템의 상세구성을 도시한 도면이다.
도4는 본 발명의 일 실시예에 따른 가상화부를 도시한 도면이다.
도5는 본 발명의 일 실시예에 따른 포렌식 분석 시스템의 상세구성을 도시한 도면이다.
도6은 본 발명의 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도7은 본 발명의 다른 실시예에 따른 확장 가능한 포렌식 서버 시스템의 상세 구성을 도시한 도면이다.
도8는 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도9는 본 발명의 또 다른 실시예에 따른 포렌식 클라우드 시스템의 상세구성을 도시한 도면이다.
도10은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템에 의해 제공되는 포렌식 클라우드 서비스의 개념을 나타낸다.
도11은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템의 구성 및 운용예를 도시한 도면이다.
도12은 본 발명의 일 실시예에 따른 사건 구조(Case structure)를 도시한 도면이다.
도13은 본 발명의 일 실시예에 따른 사건 병합 및 추출 예를 도시한 도면이다.
도14는 본 발명의 또 다른 실시예에 따른 프로파일 관리부의 상세구성을 도시한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도2는 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도2를 참조하면, 네트워크 기반 원격 포렌식 시스템은 수사 센터 시스템(200)과 광역 네트워크를 통해 수사 센터 시스템(200)에 접속되는 원격지 단말(240)로 이루어지며, 수사 센터 시스템(200)은 포렌식 서버 시스템(210), 포렌식 분석 시스템(220), 및 저장장치(230) 등을 포함할 수 있다. 또한, 네트워크 기반 원격 포렌식 시스템은증거품인 증거 장치(110)에 저장된 내용이 비정상적으로 조작되는 것을 방지하기 위한 쓰기방지 장치(350)를 더 포함할 수 있다.
이때, 포렌식 서버 시스템(210)과 포렌식 분석 시스템(220)은 포렌식 분석 센터 내에 구축된 로컬 네트워크로 연결되고, 포렌식 서버 시스템(210)과 원격지 단말(240)는 광역 네트워크로 연결될 수 있다. 또한, 시스템 활용성을 극대화시키기 위해 다수의 포렌식 분석 시스템(220)이 포렌식 서버 시스템(210)과 연동되어 사용될 수도 있다.
이하, 각 구성요소의 기능을 살펴보면 다음과 같다.
원격지 단말(240)는 컴퓨터, 웹북, 휴대폰, 스마트 폰 등과 같이 네트워크를 이용한 데이터 통신이 가능한 모든 전자 기기가 적용될 수 있다. 이에 원격지 단말(240)은 포렌식 서버 시스템(210)로부터 가상 포렌식 툴을 제공받아 원격지(예를 들어, 수사 현장)에 위치한 수사관이 가상 포렌식 툴을 이용하여 포렌식을 진행할 수 있도록 해준다.
이때, 가상 포렌식 툴을 서블릿(Servlet) 형태로 제공될 수 있으며, 가상 포렌식 툴을 이용한 포렌식은 실제적으로 원격지 단말(240)과 포렌식 서버 시스템(210)간의 요청/응답 과정을 통해 이루어진다.
포렌식 서버 시스템(210)은 현장에 존재하는 원격지 단말(240)과의 연결 및 데이터 통신을 지원하고, 원격지 단말(240)이 접속되면 해당 원격지 단말(240)에 가상 포렌식 툴을 제공한다. 이에 수사관이 가상 포렌식 툴을 이용하여 포렌식을 위한 다양한 요구사항을 발생하면, 포렌식 서버 시스템(210)은 포렌식 분석 시스템(220)을 호출(invoke)해서 해당 요구사항을 처리하고, 처리 결과를 원격지 단말(240)에 반환해준다. 즉, 원격지 단말(240)과 포렌식 분석 시스템(220)간 데이터 통신을 중계해준다.
이에 현장에 출동한 수사관은 종래와 달리 증거품을 포렌식 분석 센터로 가져가거나 포렌식 툴킷을 현장으로 가지고 가는 번거로움 없이, 현장에 존재하는 원격지 단말(240)를 통해 포렌식을 진행할 수 있게 되는 것이다.
포렌식 분석 시스템(220)은 종래의 포렌식 장치와 유사한 구조를 갖지만 통신 기능과 프로세스 제어 기능을 추가로 제공한다. 즉, 종래와 달리 포렌식 서버 시스템(210)과의 연결을 수행한다. 이에 포렌식 서버 시스템(210)를 통해 제공되는 데이터 스트림을 이용하여 포렌식 이미지(즉, 수사관이 획득한 증거품인 증거 장치(110)의 복사본)를 생성 및 저장하거나, 원격지 단말(240)의 요청에 응답하여 포렌식 이미지에 대한 분석 및 검색 등을 처리한 후, 그 결과를 포렌식 서버 시스템(210)를 통해 원격지 단말(240)에 제공하는 등의 동작을 추가로 수행한다.
저장장치(230)는 포렌식 분석 시스템(220)의 제어 하에 포렌식에 필요한 각종 정보를 저장 및 관리한다. 이러한 저장장치(230)는 시스템 구현 환경에 따라 포렌식 분석 시스템(220)의 내부에 존재할 수도, 독립장치로써 포렌식 분석 시스템(220)의 외부에 따로 존재할 수 있을 것이다.
이하, 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템의 동작 방법을 설명하면 다음과 같다.
수사관이 현장에 도착하여 수사에 사용될 원격지 단말(240)를 확보한 후, 포렌식 서버 시스템(210)에 접속하면, 포렌식 서버 시스템(210)는 포렌식을 지원하기 위한 가상 포렌식 툴을 원격지 단말(240)에 제공한다.
원격지 단말(240)이 가상 포렌식 툴을 제공받은 상태에서, 수사관이 증거 장치(110)를 원격지 단말(240)에 연결하고 가상 포렌식 툴을 이용해 포렌식 이미지 생성, 포렌식 이미지 분석 및 검색 등을 위한 다양한 요구 사항을 발생하면, 포렌식 서버 시스템(210)은 광역 네트워크를 통해 이를 전달받게 된다.
그러면, 포렌식 서버 시스템(210)은 포렌식 분석 시스템(220)을 호출해서 원격지 단말(240)의 요구사항을 처리하고, 처리 결과를 원격지 단말(240)에 알려준다.
이와 같이, 포렌식 시스템이 네트워크 기반으로 구축되는 경우, 수사관은 수사현장 또는 원하는 시간 및 장소에서 웹 브라우저 등을 통해 원격지에 위치한 포렌식 서버 시스템에 접속하여, 서블릿 형태로 제공되는 가상 포렌식 툴 환경을 사용할 수 있게 된다.
그 결과, 기구축된 포렌식 시스템의 활용성을 높이고 물리적 거리 이동에 따른 비용을 감소할 수 있게 되며, 증거품을 중앙 포렌식 분석 센터에 수집하여 많은 수사관이 언제, 어디서나 이를 활용할 수 있도록 함으로써, 업무의 효율성을 높이는 효과를 제공할 수 있게 된다.
도3은 본 발명의 일 실시예에 따른 포렌식 서버 시스템의 상세구성을 도시한 도면이다.
도3을 참조하면, 포렌식 서버 시스템(210)은 통신부(211), 접근 제어부(212), 가상화부(213), 및 프로세스 제어부(214) 등을 포함할 수 있다.
통신부(211)는 원격지 단말(240)과의 연결 및 데이터 통신을 지원하며, 포렌식 서버 시스템(210)이 웹 기반으로 구현될 경우에는 웹 서버를 구동, 관리한다. 또한, 포렌식 센터 내에서 로컬 네트워크로 연결된 포렌식 분석 시스템(210)과의 연결 및 데이터 통신도 함께 지원한다. 즉, 통신부(211)는 원격지 단말(240)과의 네트워크 연결뿐 만 아니라 포렌식 분석 시스템(210)과의 내부 네트워크 연결에 대한 관리도 수행한다.
접근 제어부(212)는 사용자 아이디 및 비밀번호 등을 이용한 인증 동작을 수행하여 원격지 단말(240)의 접근 권한을 확인하고, 확인 결과에 따라 원격지 단말(240)의 데이터 및 기능에 대한 접근 권한을 제어한다.
가상화부(213)는 접근 권한이 가지는 원격지 단말(240)에 한하여 원격지 단말(240)와의 접속 프로토콜에 맞는 가상 포렌식 툴을 제공한다. 예를 들어, 원격지 단말(240)가 PC 등의 단말로 구현되어 웹 프로토콜을 이용해서 접속하는 경우에는, 가상 포렌식 툴을 서브릿(Servlet) 등의 형태로 제공할 수도 있다. 또한 원격지 단말(240)가 스마트폰 단말기인 경우에는, 가상 포렌식 툴을 포렌식 기능을 가지는 애플리케이션(Application) 형태로 제공할 수 있다.
이러한 가상화부(213)은 도4에서와 같이 포렌식을 지원하기 위한 사용자 인터페이스, 포렌식 이미지, 포렌식 이미지의 분석 또는 검색 결과 등을 시각화하여 제공하는 시각화 모듈(212a)과, 포렌식 이미지에 포함된 파일 시스템의 구조를 파싱하고, 이를 관리하는 가상파일 시스템(Virtual File System, VFS) 모듈(212b)로 이루어진다.
프로세스 제어부(214)는 다수의 수사관이 다수의 원격지 단말(240)을 통해 동시 접속하더라도, 가상 포렌식 툴을 이용한 포렌식이 가능하도록 시스템 프로세스(미도시)를 제어하는 역할을 수행한다.
도5는 본 발명의 일 실시예에 따른 포렌식 분석 시스템의 상세구성을 도시한 도면이다.
도5를 참조하면, 포렌식 분석 시스템(220)은 종래의 포렌식 장치와 달리 이미지 생성부(223), 분석부(224), 및 검색부(225) 이외에 통신부(221), 프로세스 제어부(222)를 더 포함할 수 있다.
통신부(221)는 포렌식 서버 시스템(210)과의 연결 및 데이터 통신을 지원한다.
프로세스 제어부(222)는 포렌식 서버 시스템(210)를 통해 입력되는 원격지 단말(240)의 데이터 및 요청 메시지에 따라 나머지 구성 요소(즉, 이미지 생성부(223), 분석부(224) 및 검색부(225))의 동작을 제어하여 포렌식 이미지를 생성 및 저장하며, 포렌식 이미지에 대한 분석 및 검색 등을 처리한 후, 처리 결과를 포렌식 서버 시스템(210)를 통해 원격지 단말(240)에 반환시켜 준다.
이미지 생성부(223)는 원격지 단말(240)로부터 제공되는 데이터 스트림으로부터 증거 장치(110)의 복사본이 포렌식 이미지를 생성하고, 이를 저장장치(230)에 저장한다.
분석부(224)는 원격지 단말(240)로부터 전송되는 요청 메시지에 응답하여, 포렌식 이미지에 대한 데이터 타입, 확장자, 시그니쳐, 크기 등의 파일 속성 별 분석, 타임 라인 분석, 이메일 분석, 로그 분석 등을 수행한다. 분석부(224)는 기본적으로 하드 디스크 드라이브뿐 아니라, 물리 메모리, SSD(Solid State Drive) 등 다양한 저장 디바이스를 대상으로 레지스트리 분석, 이메일 분석, 히든(hidden) 영역 분석 이외에도 통계적 분석, 타임라인 분석, 연관성 분석 등 디지털 포렌식을 위한 다양한 분석 방법을 제공할 수 있다.
검색부(225)는 원격지 단말(240)로부터 전송되는 요청 메시지에 응답하여 포렌식 이미지 내에 포함된 정상, 삭제 파일 등을 대상으로 수사관이 요청한 질의어 및 패턴 등에 대한 검색을 수행한다. 이때 검색은, 비트스트림 단위, 파일 단위, 인덱스 검색, 삭제 파일 및 유실 파일 검색 등 다양한 검색 방법을 이용할 수 있다.
더하여, 본 발명의 네트워크 기반 원격 포렌식 시스템을 상기에서와 같이 포렌식 서버 시스템(210)과 포렌식 분석 시스템(220)으로 분리하여 구현할 수도 있지만, 이를 하나의 시스템으로 통합하여 구현할 수 도 있다. 즉, 도6에 도시된 바와 같이 포렌식 서버 시스템(210)과 포렌식 분석 시스템(220)을 기능을 통합하여 하나의 시스템으로 구현할 수 도 있다.
도6 및 도7은 본 발명의 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도6를 참조하면, 수사 센터 시스템(300)은 포렌식 서버 시스템(210)과 포렌식 분석 시스템(220)의 기능을 확장 가능한 포렌식 서버 시스템(310)으로 통합하여 구성될 수 있음을 알 수 있다.
그리고 확장 가능한 포렌식 서버 시스템(310)는 도7에 도시된 바와 같이, 포렌식 서버 시스템(210)의 통신부(311), 접근 제어부(312) 및 가상화부(313)와 포렌식 분석 시스템(220)의 이미지 생성부(315), 분석부(316) 및 검색부(317)를 함께 구비하고, 포렌식 서버 시스템(210)의 프로세서 제어부(214)와 포렌식 분석 시스템(220)의 프로세서 제어부(222)를 하나의 프로세서 제어부(314)로 통합시켜 준다.
즉, 확장 가능한 포렌식 서버 시스템(310)의 프로세서 제어부(314)는 원격지 단말(240)로부터 전송되는 요청 메시지에 따라 이미지 생성부(311), 분석부(316) 및 검색부(317)의 동작을 제어하고, 제어 결과를 해당 원격지 단말(240)로 반환시켜 줄 뿐 아니라, 다수의 수사관이 다수의 원격지 단말(240)을 통해 동시에 접속하더라도 가상 포렌식 툴을 이용한 포렌식이 가능하도록 시스템 프로세서(미도시)를 제어하는 역할을 함께 제공한다.
이에 더하여, 확장 가능한 포렌식 서버 시스템(310)의 프로세서 제어부(314)는 로컬 또는 광역 네트워크를 통해 확장 가능한 포렌식 서버 시스템(310)에 연결될 수 있는 랩/분산 시스템(320)의 자원을 활용하여 이미지 생성부(315), 분석부(316) 및 검색부(317)를 구동시켜 줄 수도 있다.
더욱 상세하게는, 이미지 생성부(315), 분석부(316) 및 검색부(317)를 를 스레드 혹은 프로세스 등의 실행 가능한 상태로 모듈화하고, 프로세스 제어부(314)에서 현재 포렌식에 필요한 모듈을 랩/분산 시스템(320)에 탑재시켜 원격지 단말(240)의 요구 사항을 처리하도록 한다.
이때, 랩/분산시스템(320)으로는 포렌식 분석 센터 내의 로컬 시스템뿐 아니라, 다양한 분산 시스템 환경, 그리드(Grid) 환경, 클라우드 컴퓨팅 환경 등에 존재하는 사용 가능한 시스템이 적용될 수 있다.
또한 이러한 기능은 확장 가능한 포렌식 서버 시스템(310)의 프로세서 제어부(314) 뿐 만 아니라 포렌식 분석 시스템(220)의 프로세서 제어부(222)에서 동일하게 제공할 수 있을 것이다.
이와 같이 본 발명에서는 기능별로 모듈화된 이미지 생성부(315), 분석부(316) 및 검색부(317)를 로컬 또는 광역 네트워크 상에 존재하는 다양한 자원을 활용해서 구동시킴으로써, 포렌식 시스템의 확장성(scalability)을 높일 수 있고, 이를 통해 포렌식 요구사항 중 가장 큰 이슈인 처리 속도가 크게 향상되도록 해준다.
그리고 본 발명에 따른 네트워크 기반 원격 포렌식 시스템은 상술한 형태에 한정되지 않으며, 본 발명의 기술적 사상의 범위 내에서는 어떠한 변형 형태도 가능하다. 또한 네트워크 사용을 위한 프로토콜도 HTTP등의 웹 프로토콜 및 TCP, UDP 등 구축되는 환경에 따라 다양한 프로토콜이 이용될 수 있다.
도8 및 도9는 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
먼저 도8을 참조하면, 수사 센터 시스템(400)은 클라우딩 방식으로 디지털 포렌식 서비스를 제공할 수 있도록 포렌식 클라우드 시스템(410) 및 저장장치(420) 등을 포함할 수 있다. 포렌식 클라우드 시스템(410)은 확장 가능한 포렌식 서버 시스템(310)이 분산/병렬처리를 지원하는 클라우드 플랫폼 상에서 운용되는 형상을 가진다.
포렌식 클라우드 시스템(410)은 도9에 도시된 바와 같이, 서버 기능부(411), 데이터 입력부(412), 데이터 관리부(413), 데이터 처리부(414), 데이터 출력부(415), 디지털 데이터 증거화부(416), 및 프로파일 관리부(417) 등을 포함할 수 있다.
서버 기능부(411)는 통신부(411a), 접근제어부 (411b), 및 가시화부(411c), 프로세스 제어부(411d)로 구성되어, 원격지 단말(240)과의 통신을 지원하며 원격지 단말(240)에 가상 포렌식 툴을 제공한다.
통신부(411a)는 유, 무선 네트워크와 다양한 통신 프로토콜을 지원하고, 접근제어부(411b)는 원격지 단말(240)에 대한 인증 및 접근 권한 할당 동작을 수행한다.
가시화부(411c)는 다양한 원격지 단말(240)과 프로토콜을 지원하기 위한 역할을 담당한다. 예를 들어, 스마트폰 단말기의 경우에는, 해당 단말기에서 포렌식 클라우드 서비스를 받을 수 있도록 애플리케이션 프로바이더(Application Provider) 제시 및 애플리케이션(Application)을 제공하며, PC 등의 단말에서 웹 프로토콜을 이용해서 접속하는 경우에는 서브릿(Servlet) 등을 제공함으로써 포렌식 클라우드 서비스를 사용할 수 있는 가상화된 환경을 제공하는 등 원격지 단말(240)와 접속 프로토콜에 맞는 사용자 환경을 제공한다.
프로세스 제어부(411d)는 서비스를 제공하기 위한 다양한 프로세스를 제어하는 역할을 담당한다.
데이터 입력부(412)는 멀티소스 데이터 획득/변환부(412a), 이미지 생성부(412b)로 구성되어, 멀티 소스원(Source)을 가지는 데이터의 데이터 포맷을 내부 포맷으로 변환시키고 포렌식 이미지를 생성한다. 멀티소스 데이터 획득/변환부(412a)는 웹 메일, 데이터베이스 쿼리(DataBase Query), 임시 데이터(temporary data) 등과 같은 멀티 소스원)로부터 전송되는 데이터를 수집하고, 이를 내부 포맷으로 통일시킨다. 이미지 생성부(412b)는 멀티소스 데이터 획득/변환부(412a)의 출력 데이터에 대한 포렌식 이미지를 생성한다.
데이터 관리부(413)는 데이터 처리부(414)의 출력데이터를 저장장치(420)에 저장하거나 데이터 출력부(415)에 제공한다. 또한, 저장장치(420)에 저장된 데이터를 데이터 처리부(414) 및 데이터 출력부(415)에 제공한다. 저장장치(420)에 저장되는 데이터는 포렌식 클라우드 시스템(410)의 관리 정책에 따라 원본 데이터(raw data), 이미지 포맷, 또는 서비스를 위해 미리 정의된 형태 등과 같이 다양한 형태를 가질 수 있다.
데이터 처리부(414)는 검색부(414a), 분석부(414b)로 구성되어, 원격지 단말(240)의 요청에 따라 포렌식 이미지에 대한 증거 검색 및 분석을 수행한다.
검색부(414a)은 원격지 단말(240)로부터 전송되는 요청 메시지에 응답하여, 포렌식 이미지에 대한 증거 검색을 수행하고, 분석부(414b)는 원격지 단말(240)로부터 전송되는 요청 메시지에 응답하여, 포렌식 이미지에 대한 증거 분석을 수행한다.
증거 검색 방법은 데이터 입력부(412)의 출력을 이용하여 증거 검색을 수행하며, 증거 검색을 위해서는 비트스트림 단위, 파일 단위, 인덱스 검색, 삭제 파일 및 유실 파일 검색 등 다양하게 적용될 수 있으며, 증거 분석 방법은 하드 디스크 드라이브뿐 아니라, 물리 메모리, SSD(Solid State Drive) 등 다양한 저장 디바이스를 대상으로 한 레지스트리 분석, 이메일 분석, 히든(hidden) 영역 분석 이외에도 통계적 분석, 타임라인 분석, 연관성 분석 등이 다양하게 적용될 수 있다.
데이터 출력부(415)는 데이터 시각화부(415a), 리포팅부(415b)로 구성되어, 포렌식 결과가 시각화된 자료 또는 보고서 형태 등으로 제공한다. 데이터 시각화부(415a)는 데이터 처리부(414)의 동작 결과를 시각화된 자료로써 제공하고, 리포팅부(415b)는 데이터 처리부(414)의 동작 결과를 보고서 형태로 원격지(230) 및/또는 데이터 관리부(413)에 제공한다.
디지털 데이터 증거화부(416)는 원격지 단말(240) 및 분석부(414b)에 의해 획득된 증거 데이터 및 분석 결과 보고서에 대한 공증을 수행함으로써, 시스템내 데이터에 대한 증거화를 수행한다. 즉, 증거 데이터 및 분석 결과 보고서 등을 증거로서 채택될 수 있도록 제출용 디지털 문서에 포렌식 클라우드 서비스 또는 공인된 인증기관의 서명을 추가함으로써, 해당 제출 내용이 위, 변조되지 않았음을 증명될 수 있도록 한다. 이와 같이 생성된 제출용 디지털 문서는 통신부(411a) 등을 통해 전자 법원 등의 제출기관에 바로 네트워크를 통해 전송될 수 있다.
또한 필요한 경우, 포렌식 클라우드 시스템(410)은 상기의 기능이외에 포렌식을 수행하기 위해 필요한 기능을 다양하게 추가할 수 있다.
예를 들어, 포렌식 클라우드 시스템(410)은 프로파일(profile) 기반의 자동화된 분석 기능을 제공하기 위해 프로파일 관리부(417)을 추가로 구비할 수도 있다. 프로파일 관리부(417)에 대해서는 이하에서 상세히 설명하기로 한다.
이와 같이 구성되는 포렌식 클라우드 시스템(410)는 윈도우 기반의 단일(Single) 플랫폼이 아닌 분산/병렬처리를 지원하는 클라우드 플랫폼 상에서 운용된다. 이에 사용자 개개인이 포렌식 툴 운용 및 관리에 노력을 기울일 필요가 없고 다수의 사용자가 동시에 포렌식 클라우드 시스템(410)에 접속해서 서비스를 사용할 수 있어, 시스템 및 데이터의 활용성이 높아진다.
또한, 클라우드의 특성상 시스템 확장성(scalability)이 높아 필요에 따라 쉽게 성능을 높일 수 있는 장점이 있다.
도10은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템에 의해 제공되는 포렌식 클라우드 서비스의 개념을 나타낸다.
네트워크 기반 원격 포렌식 시스템에 의해 제공되는 디지털 포렌식을 수행하기 위한 모든 기능은 포렌식 클라우드에서 제공하고, 사용자들은 다양한 형태의 원격지 단말(240)을 이용해 클라우드에 접속하고 원하는 포렌식 기능을 요청하면 그 수행 결과가 단말을 통해 디스플레이 된다.
또한 원격지 단말(240)은 직접 웹 데이터/이메일을 획득하거나 데이터베이스 쿼리(DB Query), 임시저장 데이터 등 다양한 소스(Source)에서 획득되는 데이터를 확보해 포렌식 클라우드 시스템으로 전송할 수도 있다.
도11은 본 발명의 또 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템의 구성 및 운용예를 도시한 도면이다.
사용자는 스마트 폰, 노트북 등과 같은 원격지 단말(240)을 이용해 포렌식 클라우드에서 제공하는(예를 들면, 애플의 앱스토어와 같은 형태의) 사건 제공자(Case Provider)에 접속한 후, 사용자 인증 과정을 거친 후 필요한 사건을 찾고 자신의 원격지 단말(240)에 해당 사건을 다운로드 받을 수 있다.
하나의 사건은 데이터와 해당 데이터를 분석하거나 검토할 수 있는 기능을 포함하는 GUI 기반 어플리케이션(Application)으로 정의할 수 있다.
보안을 강화하기 위해 포렌식 클라우드 서비스는 다운로드 전 각 사건에 사용자에게 허가된 권한에 따라 사용할 수 있는 기능이나 볼 수 있는 범위의 데이터를 제한하거나 사용 기간을 설정할 수 있다.
데이터 관리부(413)는 사용자의 요청에 따라 저장장치(420)에 수집되어 있는 데이터나 직접 수집한 데이터를 이용해서 새로운 사건을 생성할 수도 있다. 즉, 사용자는 포렌식 클라우드에서 제공하는 데이터 관리용 어플리케이션을 이용해 저장장치(420)에 수집되어 있는 데이터나 직접 수집한 데이터를 이용해서 새로운 사건을 생성할 수도 있다.
또한 두 개 이상의 사건을 병합할 수도 있고, 사건의 일부를 새로운 사건으로 추출할 수도 있다.
도12은 본 발명의 일 실시예에 따른 사건 구조(Case structure)를 도시한 도면이다.
사건 구조는 사건 이름, 생성날짜/시간, 생성자 등을 표시할 수 있는 메타데이터 영역(Case Metadata, 511)과, 데이터 또는 데이터 셋(set)의 경로, 물리적 어드레스, URI 등 데이터의 위치를 식별할 수 있도록 하는 사건 데이터 식별 영역(Case Data Identifier, 512), 그리고 각 데이터 또는 데이터 셋에 수행할 수 있는 기능을 인가된 범위에서 정의하는 기능 허용 셋 영역(Function Permission Set, 513)의 3가지 영역으로 구성된다.
기능 허용 셋 영역(513)은 예컨대, 유닉스의 파일 허용 셋(Permission set)에서 읽기/쓰기/실행(read/write/execute)이 가능한 경우 777 등의 모드(mode)로 설정되는 것처럼 포렌식을 수행하기 위한 다양한 기능들이 정의될 수 있고, 정의된 기능과 이에 대한 허용(Permission)의 조합으로 나타낼 수 있다.
두개 이상의 사건이 병합되는 경우는, 도13에 도시된 것처럼 두 사건의 합집합으로 나타낼 수 있고, 공통적인 데이터에 설정된 기능 허용 셋(Function permission set)은 정책에 따라 재설정된다.
사건의 일부를 추출하는 경우에도 도13에 도시된 것처럼 쉽게 사건을 구성할 수 있다. 이 외에도 필요에 따라 다양한 동작(operation)이 제공될 수 있다.
또한 사건을 선택 시, 도9의 프로파일 관리부(417)를 통해 프로파일(Profile) 기반의 자동화된 분석 기능을 제공할 수 있다. 프로파일은 수사 노하우를 기반으로 사건 카테고리마다 분석해야 할 내용/키워드 등을 정의한 것이다.
도14는 본 발명의 또 다른 실시예에 따른 프로파일 관리부의 상세구성을 도시한 도면이다.
도14를 참조하면, 프로파일 관리부(417)는 로그 관리부(417a)는 로그 기록부(417a), 메모리(417b), 로그 필터부(417c), 연관성 분석부(417d), 프로파일 생성 및 업데이트부(417e)를 포함할 수 있다.
먼저, 사용자가 포렌식 클라우드 서비스에 접속하면, 이후 사용자의 로그를 기록하는 로그 기록부(417a)가 동작해 사용자의 액션(action)을 메모리(147-2)에 기록한다.
로그 필터부(417c)는 사건 카테고리와 해당 사용자 로그를 매핑시키고 유효한 로그만을 선택하고(즉, 불필요한 로그는 제거하고), 연관성 분석부(417d)는 유효한 로그에서 사건별로 많이 검색되는 단어, 분석되는 데이터 및 사용되는 기능 및 사건별 분석 패턴 등을 추출한다.
그리고 프로파일 생성 및 업데이트부(417e)는 기존에 생성된 프로파일을 참조해서 사건 카테고리(category) 간의 연관성을 파악하여 해당 사건 카테고리에 대한 프로파일을 생성하거나 업데이트한다.
상기의 추출 및 연관성 분석을 위해서 통계적 분석, 인공지능적인 학습, 데이터 마이닝 등 다양한 방법이 사용될 수 있다.
이에 본 발명에서는 사용자가 프로파일을 이용한 포렌식을 요청하면, 프로파일에 정의된 방법 및 절차대로 자동화된 분석을 수행한 결과를 보고서 형태 등 다양한 형태로 제공하거나 시스템 유휴 시간에 사전에 분석을 수행하여 결과를 미리 저장해두었다가 요청 시 제공할 수 있게 된다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
110: 증거 장치 120: 쓰기 방지 장치
200, 300, 400: 수사 센터 시스템 210: 포렌식 서버 시스템
220: 포렌식 분석 시스템 230, 330, 420: 저장장치
240: 원격지 단말 310: 확장 가능한 포렌식 서버 시스템
320: 랩/분산 시스템 410: 포렌식 클라우드 시스템
200, 300, 400: 수사 센터 시스템 210: 포렌식 서버 시스템
220: 포렌식 분석 시스템 230, 330, 420: 저장장치
240: 원격지 단말 310: 확장 가능한 포렌식 서버 시스템
320: 랩/분산 시스템 410: 포렌식 클라우드 시스템
Claims (18)
- 원격지에 있는 증거 장치를 연결하고, 가상 포렌식 툴을 통해 상기 증거 장치에 대한 포렌식을 수행하는 하나 이상의 원격지 단말; 및
광역 네트워크를 통해 상기 원격지 단말과 연결되어 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말의 요구사항을 처리하고 요구사항 처리결과를 상기 원격지 단말에 제공하는 수사 센터 시스템을 포함하는 네트워크 기반 원격 포렌식 시스템.
- 제1항에 있어서, 상기 수사 센터 시스템은
상기 원격지 단말의 요구사항을 처리하고, 요구사항 처리 결과를 출력하는 포렌식 분석 시스템; 및
상기 원격지 단말에 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말과 상기 포렌식 분석 시스템간 데이터 통신을 중계하는 포렌식 서버 시스템을 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제2항에 있어서, 상기 포렌식 서버 시스템은
상기 원격지 단말 및 상기 포렌식 분석 시스템과의 연결 및 데이터 통신을 지원하는 통신부;
상기 원격지 단말의 접근 권한을 제어하는 접근 제어부;
상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부; 및
상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제3항에 있어서, 상기 가상화부는
포렌식을 지원하기 위한 사용자 인터페이스와 포렌식 처리 결과를 시각화하여 제공하는 시각화 모듈;
포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제2항에 있어서, 상기 포렌식분석시스템은
상기 포렌식 서버 시스템과의 연결 및 데이터 통신을 지원하는 통신부;
상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부;
상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부;
상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및
상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 포렌식 서버 시스템을 통해 상기 원격지 단말로 반환하는 프로세스 제어부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제2항에 있어서, 상기 수사 센터 시스템은
상기 원격지 단말과 연결되어 상기 가상 포렌식 툴을 제공하며, 상기 원격지 단말의 요구사항을 처리하고 요구사항 처리결과를 상기 원격지 단말에 제공하는 확장 가능한 포렌식 서버 시스템; 및
상기 확장 가능한 포렌식 서버 시스템의 동작에 필요한 자원을 제공하는 랩/분산 시스템을 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제6항에 있어서, 상기 확장 가능한 포렌식 서버 시스템은
원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부;
상기 원격지 단말의 접근 권한을 제어하는 접근 제어부;
상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부;
상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부;
상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부;
상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및
상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 원격지 단말로 반환하는 프로세스 제어부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제6항에 있어서, 상기 확장 가능한 포렌식 서버 시스템은
상기 원격지 단말과의 통신을 지원하며 상기 원격지 단말에 상기 가상 포렌식 툴을 제공하는 서버 기능부;
멀티 소스원을 가지는 데이터의 데이터 포맷을 내부 포맷으로 변환시키고, 포렌식 이미지를 생성하는 데이터 입력부;
상기 원격지 단말의 요청에 따라 상기 포렌식 이미지에 대한 증거 검색 및 분석을 수행하는 데이터 처리부;
상기 데이터 처리부의 처리결과를 상기 원격지 단말에 통보하는 데이터 출력부;
상기 데이터 처리부와 상기 데이터 출력부의 제어하에 저장장치에 데이터를 저장 또는 독출하는 데이터 관리부; 및
상기 원격지 단말로부터 입력되는 데이터와 상기 원격지 단말에 제공되는 데이터에 대한 증거화를 수행하는 디지털 데이터 증거화부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 확장 가능한 포렌식 서버 시스템은
클라우딩 방식으로 포렌식 서비스를 제공할 수 있는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제9항에 있어서, 상기 확장 가능한 포렌식 서버 시스템은
클라우딩 방식으로 포렌식 서비스를 제공할 수 있는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 서버 기능부는
상기 원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부;
상기 원격지 단말의 접근 권한을 제어하는 접근 제어부;
상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 툴을 제공하는 가상화부; 및
상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 데이터 입력부는
멀티 소스원을 가지는 입력 데이터의 데이터 포맷을 내부 포맷을 통일시키는 멀티소스 데이터 회득/변환부; 및
상기 멀티소스 데이터 회득/변환부의 출력에 대한 포렌식 이미지를 생성하는 이미지 생성부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 데이터 출력부는
상기 데이터 처리부의 동작 결과를 시각화된 자료로써 제공하는 데이터 시각화부; 및
상기 데이터 처리부의 동작 결과를 보고서 형태로 제공하는 리포팅부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 확장 가능한 포렌식 서버 시스템은
사건별 카테고리에 대한 프로파일을 관리 및 제공하는 프로파일 관리부를 더 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제8항에 있어서, 상기 프로파일 관리부는
사용자 로그를 메모리에 기록하는 로그 기록부;
사건 카테고리와 상기 사용자 로그를 매핑시키고 유효한 로그만을 선택하는 로그 필터부;
상기 유효한 로그에서 기능 및 사건별 분석 패턴을 추출하는 연관성 분석하는 연관성 분석부; 및
상기 연관성 분석의 분석 결과에 따라 사건별 카테고리에 대한 프로파일을 생성 또는 업데이트하는 프로파일 생성 및 업데이트부를 포함하는 네트워크 기반 원격 포렌식 시스템.
- 제14항에 있어서, 상기 데이터 관리부는
상기 저장장치에 저장된 데이터를 이용하여 두 개 이상의 사건을 병합하거나 사건의 일부를 새로운 사건으로 추출하는 기능을 더 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제15항에 있어서, 상기 사건은
사건 이름, 생성날짜/시간, 생성자 중 하나 이상을 표시할 수 있는 메타데이터 영역;
데이터 또는 데이터 셋(set)의 경로, 물리적 어드레스, URI 중 하나 이상을 표시할 수 있는 사건 데이터 식별 영역; 및
데이터 또는 데이터 셋에 수행할 수 있는 기능을 인가된 범위에서 정의하는 기능 허용 셋 영역을 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
- 제15항에 있어서, 상기 사건은
포렌식 클라우드 서비스 방식에 따라 상기 원격지 단말에 제공되는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/971,177 US20110153748A1 (en) | 2009-12-18 | 2010-12-17 | Remote forensics system based on network |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20090127544 | 2009-12-18 | ||
| KR1020090127544 | 2009-12-18 | ||
| KR1020100052027A KR20110070733A (ko) | 2009-12-18 | 2010-06-01 | 네트워크 기반 원격 포렌식 시스템 |
| KR1020100052027 | 2010-06-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20110070767A true KR20110070767A (ko) | 2011-06-24 |
Family
ID=44402203
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100052027A KR20110070733A (ko) | 2009-12-18 | 2010-06-01 | 네트워크 기반 원격 포렌식 시스템 |
| KR1020100108730A KR20110070767A (ko) | 2009-12-18 | 2010-11-03 | 네트워크 기반 원격 포렌식 시스템 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100052027A KR20110070733A (ko) | 2009-12-18 | 2010-06-01 | 네트워크 기반 원격 포렌식 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (2) | KR20110070733A (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014193058A1 (ko) * | 2013-05-30 | 2014-12-04 | 한국전자통신연구원 | 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법 |
| KR101658043B1 (ko) | 2015-08-20 | 2016-09-20 | 주식회사 웨어밸리 | 자동화 도구를 이용한 데이터베이스 포렌식 방법 |
| KR101710426B1 (ko) | 2015-11-30 | 2017-02-27 | 동양대학교 산학협력단 | 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템 |
-
2010
- 2010-06-01 KR KR1020100052027A patent/KR20110070733A/ko active Search and Examination
- 2010-11-03 KR KR1020100108730A patent/KR20110070767A/ko not_active Application Discontinuation
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014193058A1 (ko) * | 2013-05-30 | 2014-12-04 | 한국전자통신연구원 | 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법 |
| US9734346B2 (en) | 2013-05-30 | 2017-08-15 | Electronics And Telecommunications Research Institute | Device and method for providing security in remote digital forensic environment |
| KR101658043B1 (ko) | 2015-08-20 | 2016-09-20 | 주식회사 웨어밸리 | 자동화 도구를 이용한 데이터베이스 포렌식 방법 |
| KR101710426B1 (ko) | 2015-11-30 | 2017-02-27 | 동양대학교 산학협력단 | 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110070733A (ko) | 2011-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20110153748A1 (en) | Remote forensics system based on network | |
| CN109034993B (zh) | 对账方法、设备、系统及计算机可读存储介质 | |
| US20220245128A1 (en) | Utilizing Independently Stored Validation Keys to Enable Auditing of Instrument Measurement Data Maintained in a Blockchain | |
| CN109039749B (zh) | 一种远程日志采集和加密传输系统及方法 | |
| Teing et al. | CloudMe forensics: A case of big data forensic investigation | |
| CN105009121B (zh) | 预测存储服务 | |
| CN102708152A (zh) | 一种电子证据的综合管理方法 | |
| CN114144798A (zh) | 安全事故调查事件捕获 | |
| CN112235253B (zh) | 数据资产的梳理方法、装置、计算机设备和存储介质 | |
| CN104993957A (zh) | 一种为使用Log4j的分布式应用提供云端日志服务的方法 | |
| CN112017007A (zh) | 用户行为数据的处理方法及装置、计算机设备、存储介质 | |
| Quick et al. | Big Digital Forensic Data: Volume 1: Data Reduction Framework and Selective Imaging | |
| KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| CN114175067A (zh) | 安全事故调查工作空间生成和调查控制 | |
| KR20150136369A (ko) | 로그 보안 및 빅 데이터를 이용한 통합 관리 시스템 | |
| CN113810475A (zh) | 一种基于大数据架构的Wifi探针设备管控系统 | |
| JP2021167757A (ja) | データベース管理支援装置、方法及びプログラム | |
| Lim et al. | A framework for unified digital evidence management in security convergence | |
| CN111352985A (zh) | 一种基于计算机系统的数据服务平台、方法、存储介质 | |
| Bhatia et al. | CFRF: cloud forensic readiness framework–A dependable framework for forensic readiness in cloud computing environment | |
| CN109165308A (zh) | 一种基于云计算的远程取证系统 | |
| WO2010119628A1 (ja) | 環境情報集計システム及び方法 | |
| US11818087B1 (en) | User-to-user messaging-based software troubleshooting tool | |
| US11835989B1 (en) | FPGA search in a cloud compute node | |
| CN116382596B (zh) | 基于分布式技术的时空大数据存储方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |