정보 소유자 의지로 폐기 되어야 할 디지털 정보는 그 어떤 이유에서도 복구 되어선 안된다 생각한다. 수사기관에서 피의자의 삭제된 디지털 정보를 살려내 증거로 사용하는 것을 그래서 우린 '강제' 수사의 일환으로 보는 것이다. '강제' !!
수사기관에서 강제수사로 진행되는 디지털포렌식을 방어하는 방법을 말하고자 함이 아닌, 내가 지우고자 한 디지털 정보가 안전하게 지워지도록 하는 방법을 얘기해 보고자 펜을 든다. 내가 누구에게도 보이고 싶지 않은 정보가, 내 사후에 복구 된다던지 아니면 내 의지와 관계없이 타인에 의해 복구되어 노출되는걸 생각하면 끔찍하기 때문이다.
IT기기에 저장된 정보 즉 데이터는 삭제를 해도 해당 링크만 끊어 놓고 사람에게 보여지지만 않을 뿐, 저장 공간이 여유가 있다면 그 데이터는 링크가 끊긴 상태로 유효하게 살아 있게 되는데, 이러한 링크가 끊긴 정보들을 찾아서 끄집어 내는 과정을 디지털포렌식이라고 한다.
그리고 그 반대로 내 자유 의지에 따라 삭제된 자료가 절대 복구되지 못하도록 하는 작업을 '안티포렌식' 이라고 하는데, 현존하는 가장 좋은 방법은 저장매체를 '파괴' 하는 것이다. 하지만 어디 그게 쉽나. 또 사용해야 하는데 돈도 아깝고...^^
하여, 다른 방법을 이용하여 저장매체(컴퓨터)와 스마트폰을 [안티포렌식] 하는 방법을 얘기해 보고자 한다.
삭제된 연락처, 메세지, 카카오톡메세지, 단톡방메세지, 사진, 동영상, 접속한사이트, 검색한검색어, 업로드한 파일, 다운로드한 파일, 설치했던 어플, GPS기록 등등 개인들이 사용한 스마트폰엔 그 사람의 거의 모든 정보가 담겨 있다. 그래서 수사 기관이 수사거리가 생기면 요즘엔 무조건 스마트폰을 임의 제출 또는 압수해 포렌식을 하는 거다. 개인의 스마트폰을 분석하면 그 사람의 모든게 보여진다 해도 과언이 아니다. 홀딱 벗겨지는 것이다.
문제는, 일부 사람들과 사법기관과의 문제가 아니라 내가 사용하던 폰을 판매 하거나 또는 버리거나 수리를 맡기거나 할때, 원하지 않는 내 정보들이 무방비 상태로 노출될 수도 있다는 것이다. 간혹, 본인의 은밀한 디지털 자료가 원치 않게 복구 되어 유출되는 사람들도 있는데, 나의 스마트폰 데이터가 이렇게 복구되는 것을 방지 하기 위한 몇가지 방법을 언급해 보겠다.
1. 공장초기화를 하는 방법
스마트폰 업체 및 안드로이드 진영과 애플은 고객의 정보가 쉽사리 열람 되는것에 대해 많은 우려를 하고 있다. 특히, 보안이 철저해야 하는 인사의 경우 애플의 아이폰을 선호하는 이유가 바로 원치 않는 정보 노출이 어렵기 때문이다. 이러한 것에 자극을 받은 안드로이드와 스마트폰 회사들도 2010년 초중반 부턴 포렌식으로도 복구가 불가능한 수준의 공장 초기화 기능을 제공하고 있다. (최신버전에 한함)
이는 아이폰이던 안드로이드던 마찬가지다. 공장 초기화를 하면 누가 와도 복구할 수 없다.
스마트폰 설정에 가서 '일반' 탭에 가면 재시작 메뉴가 있다. 저런 식으로 따라하면 된다.(엘지 V30기준이다)
2. 프로그램을 통한 덮어 씌우기 작업
포렌식의 개요에 대해 위에서 언급하였지만, 사람에게 보여지는 링크만 끊겼을 뿐 자료는 살아 있다고 얘기 했다. 이러한 자료는 저장공간이 부족할 때 다른 자료가 그 위에 덮어 씌워 지며 완전히 소멸되게 된다. 이러한 원리를 이용하여, 난수를 빈 공간에 수없이 썼다 지우기를 반복하는 방법이 안티포렌식 방법 중 하나이다. 그중, 신뢰도 높은 어플리케이션을 하나 소개 하겠다.
아이 쓰레드 라는 어플리케이션을 찾아서 설치해 보자. 이름과 같이 폐기 되어야할 자료에 대한 완전 파쇄기 역활을 한다.
위와 같이 지우기를 선택하고 들어가서 동그라미 친 항목(빈공간, 개인자료, 어플들 똥)을 삭제 하기로 하자. 아래 프라이버시(Privacy)는 아마도 썸네일 같은 걸 얘기하는 것 아닌가 싶다.
완전 삭제를 원하는 영역을 선택 하고 우측의 덮어 씌우기(지우기) 방법을 선택 하면 된다. 1이 써있는건 한번 한단 얘기다. 랜덤 1회를 추천한다. 랜덤 1회도 복구 못한다에 한표 건다.
3. 무식한 마지막 방법
가장 무식한 방법이긴 한데, 필요 없는것 싹 지우고 스마트폰 청소 어플 등을 이용해 한번 더 지운 후, 메모리의 빈 공간이 꽉 찰때까지 이미지 파일이나 쓰레기 파일을 복사한다. 그리고 지운다. 그리고 또 복사하고 지우고를 몇번 반복하면 유저 영역의 메모리는 복구 불가능 수준까지 안티포렌식이 될 수 있다.
다만, 운영체제 영역의 메모리 부분은 이렇게 하여 완전 지울수가 없으니 무식한 방법은 가급적 인터넷 연결도 안되고 초기화도 어렵고(버튼을 이것저것 같이 눌러야 하는 폰들도 존재함) 할때, 폰을 처분 하거나 타인에게 건네 줘야 할때 쓰도록 하자.
우리 어릴적엔 하드디스크를 쓰다가 팔아 먹거나 중고로 사는 경우도 많았다. 워낙 고가였기 때문에 중고 유통이 활발 했던 것이다. 그런데 요즘은 워낙 가격이 싸다 보니 본체를 중고처분 하지 않는 이상 저장매체만 중고 거래 하는경우는 많지 않아 그다지 쓸일은 많지 않을 것이다. 그럼에도 불구하고, 꼭 써야 할 경우가 있을 수 있으니 안내 한다.
안티포렌식을 하고 싶은 하드디스크를 선택한다.
빠른 포맷은 스마트폰 안티포렌식 설명때 얘기 했듯, 링크만 끊어 놓는것이다. 따라서 링크가 끊어진 데이터 섹터에 실제 데이터가 얹혀지지 않으면 데이터는 끊임없이 살아 있는게 되는것이다.
개념을 다시 설명하자면, 현재 실제 데이터가 얹혀져 있는 범위엔 다른 데이터가 살아 있거나 숨어 있을 수 없다. 따라서 현재 데이터가 없는 부위를 덮어 씌우거나 갈아 엎는 개념이 안티 포렌식인 것이다.
☆ 포맷의 종류 ☆
○ 하이레벨포맷(빠른포맷) - 사람 눈에 안보이게 링크만 끊어 놓는다. 사실은 디스크에 살아 있기 때문에 일반적인 복구 프로그램으로도 대부분 찾아내어 끄집어 낼 수 있다.
○ 하이레벨포맷(일반포맷) - 위 이미지의 '포맷' 에서 '빠른포맷' 선택을 해제 하고 포맷하게 되면 이게 하이레벨 포맷의 일반포멧이다. 사실 이와 같은 포맷만으로도 어지간한 복구툴로는 데이터를 복구 할 수 없다. 가령, 전문 포렌식 툴을 사용한다면 일부 살려낼 가능성도 있지만 돈을 많이 달라고 하던지 아니면 수사기관이 가져가서 하게 되는 경우일 텐데....복구율이 일반인들이 상상하는 그런 복구율이 아니다. 그저 흔적 정도를 찾아 내는 것일 뿐이다.
○ 로우레벨포맷 - 디스크를 갈아 엎는걸 말한다. 모든 논리구조가 초기화 되고 공장 출고 당시처럼 깨끗해 진다. 이제 밭을 갈고 씨앗을 뿌리기만 하면 되는 상태를 말한다.^^ 이 상태에선 복구 불가능이라고 봐도 무방하다. 로우레벨포맷을 위한 프로그램은 첨부파일로 걸어 두겠다.
2. 프로그램을 이용한 안티포렌식
프로그램을 이용한 안티 포렌식 방법도 존재 한다. 대표적인 프로그램이 '무오' 와 '퓨란' 그리고'C크리너' 아닐까 싶다. 해당 프로그램을 찾아보면 다 나오는데, 퓨란이나 가벼운 C크리너를 추천한다.
왼쪽이 퓨란이고 오른쪽이 C클리너 이다. UI가 직관적이라 사용방법은 어렵지 않다. 다만, 몇번 덮어 씌울거냐만 선택하면 된다. 정말 완벽히 해야 한다면 여러번 덮어 씌우시라.
3. 하드디스크 가득 채우고 지우기 반복
말 그대로, 꽉 채웠다가 지웠다가를 수차례 반복하면 FBI가 와도 복구할 수 없다. 꽉!@!! 채워야 한다. ^^
4. 그외, 디가우징 이라고 자기장을 이용한 물리적 파손도 있는데 이런건 판검사등 높으신 분들이 하는 방법이라 여기서 논 외로 하겠다.
가장 좋은 방법은 위 방법들을 중복하여 적용하는 것이다. 쉽게 말하면 디스크를 꽉 채우고 지우고 채우고 지우고를 반복한 후, 안티포렌식 프로그램을 돌리고 로우레벨포멧을 하는 것이다.
그럼 그 저장매체는 하느님 할아버지가 와도 복구할 수 없다.
□ 컴퓨터(SSD)의 안티 포렌식
SSD는 위에서 먼저 언급한 휴대폰이나 HDD와 같은 복잡한 안티 포렌식 과정을 거칠 필요가 없다.
그저, 불필요한 데이터를 삭제 한 후 '트림(TRIM)' 이라는 기능을 한번 사용해 주면 족하다.
SSD는 트림을 실행 함으로 인해, 빈 공간이 로우레벨 포맷 수준으로 정리 되도록 설계 되어 있어 저장 매체중 가장 완벽하고 편리한 안티포렌식 기능을 포함 하고 있다.
가급적 보안이 생명인 데이터를 다룰땐 SSD를 이용 하시길 권한다.
아래는 제조사 트림 프로그램이 없을 경우 사용 하시라고 수동 트림 프로그램과 ADADA, 삼성, Sandisk 의 트림 프로그램들을 올려 둔 것입니다. 필요한 경우 다운 ㄱㄱ
지금까지 안티포렌식을 알아 보았다.
내가 삭제한 데이터가 살아 나지 않도록 위 방법들을 이용해
자료 관리들 잘 하시기 바란다.
안전한 데이터 생활들 하시고
도움이 되었다면
좋아요 한번!!