[포렌식] 6주차 - 휴대기기 포렌식

(2021.02.08)

 

드디어 포렌식 스터디 교재의 마지막 장을 읽었다!

2012년에 나온 책이라 휴대기기 포렌식이 지금이랑 많이 다를 것 같다..

참고도서: 이제 시작이야! 디지털 포렌식

 

 

 

 

 

| 셀룰러 네트워크

 

 

셀룰러 네트워크는 여러 개의 셀(cell)로 구성되어있음

각 셀은 사전에 정해진 주파수 범위를 사용하여 특정 지역에 서비스를 제공함

각 셀의 크기와 모양은 서로 다름

각 셀에서 방출하는 라디오 신호의 강도는 범위를 제한하기 위해 통제됨

 

셀 사이트(cell site) : 각 셀의 기지국의 장비

--> 셀 사이트는 각 셀이 네트워크에 연결될 수 있도록 함

 

 

 

셀 사이트는 각 셀의 정가운데에 위치해있지 않음

 

 

 

 

셀룰러 네트워크 구성요소

 

> 기지국: 안테나와 관련된 장비로 구성되어있음

> 기지국 제어기(BSC): 기지국 사이의 신호를 조절함 --> 휴대폰의 위치가 이동될 때 핵심적인 역할을 함

> 기지국 교환센터(MSC): 네트워크 안에서 발생한 통화를 처리함

무선 네트워크의 핵심 요소로서 엄청난 양의 증거가 잠재적으로 저장되어있음

다른 무선 네트워크나 유선전화와의 통화를 조절하고 문자 메시지를 처리하며, 통화 기록과 로그도 수집할 수 있음

> 방문자 위치 등록기(VLR): 기지국 교환센터에 연결되어 있는 데이터베이스

기지국 교환센터로 통제되고 있는 모든 휴대기기는 방문자 위치 등록기에 기록됨

인터네트워크 기능은 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할을 함

> 홈 위치 등록기(HLR): 가입자의 정보가 수집되는 곳

가입자 식별 정보, 휴대폰요금 청구, 사용하는 서비스, 기기의 현재 위치 등이 포함

> 인증 센터(AuC): 연결을 조사하고 승인되지 않은 사용자를 차단함

> 단문 메시지 서비스 센터(SMSC): 문자 메시지 또는 SMS 메시지는 이의 몫임

 

통화가 셀 타워에 도착하면, 그 통화는 기지국 교환센터로 이전됨

이 통화가 네트워크 외부로 연결해야하는 것이라면, 기지국 교환센터는 공중 전화망(PSTN)으로 통화를 넘김

공중 전화망은 해당 수신자에게 통화를 돌림

 

 

핸드오프 처리 방식

 

GSM(세계 무선 통신 시스템) vs CDMA(코드 분할 다중 접속) 

 

GSM 네트워크는 하드 핸드오프 방식 사용함

--> 휴대폰은 한 번에 하나의 타워에 접속할 수 있음

--> 현재 타워에서 새로운 타워로 이전되며 휴대폰은 새로운 타워의 주파수로 전환됨

 

CDMA 넽워크는 소프트 핸드오프 방식 사용함

--> 여러 개의 타워에 동시에 접속할 수 있음

--> 가장 신호가 강한 타워를 사용함

 

 

 

셀룰러 네트워크의 종류

 

데이터 전송방식에는 

1. 코드 분할 다중 접속

2. 세계 무선 통신 시스템

3. 통합 디지털 확장 네트워크 가 있음

 

 

1. 코드 분할 다중 접속(CDMA)

 

주파수 기술을 사용하여 데이터를 전송함

하나의 채널로 여러 대의 휴대폰이 데이터를 송수신할 수 있도록 하여 각 휴대폰 통화가 특정 디지털 코드로 표시되게 함

CDMA 기술로 서비스를 제공하고 있는 업체는 SKT, KT, LG U+ 등이 있음

CDMA 휴대폰은 SIM 카드를 사용하지 않고 장치일련번호로 휴대폰을 식별함

(근데 요즘 우리나라 폰에 SIM카드 있지 않나??)

 

 

2. 세계 무선 통신 시스템(GSM)

 

GSM은 국제적임

시분할 다중접속기술을 사용함

전세계적으로 가장 많이 사용하는 데이터 전송 방식임

SIM 카드를 사용함

GSM 통신업체로는 AT&T, 버라이존, 셀룰러 원 등이 있음

국제 이동 단말기 번호를 사용하여 휴대폰을 식별함

 

 

3. 통합 디지털 확장 네트워크(IDEN)

 

양방향 라디오 같은 기능을 제공함

SIM 카드를 사용함

IDEN 통신업체로는 넥스텔, 스프린트, 부스트 모바일 등이 있음

 

 

4. 선불 휴대폰

 

미국에는 선불휴대폰을 대형마트에서 식료품 구매하듯이 구매할 수 있음

라디오 신호를 사용하여 데이터를 전송하고 네트워크에 연결해야한다는 점에서 다른 휴대폰과 동일하게 작동함

선불 휴대폰은 누가 구매하고 사용했는지 알기 어려움

다른 휴대폰과 동일하게 사용한 위치와 통화내역을 확인할 수는 있음

 

 

 

 

 

 

 

| 운영체제

 

 

휴대폰의 운영체제로는 심비안, 애플의 iOS, 윈도우 CE, 윈도우 모바일, 구글의 안드로이드, 블랙베리 OS 등이 있음

 

블랙베리: 캐나다 회사에 의해 처음으로 개발되어 기업과 정부 사용자들이 애용하였음

다양한 종류의 응용프로그램을 지원할 뿐만 아니라 멀티태스킹도 지원함

고유 운영체제로 통신업체마다 버전이 다름

 

안드로이드: 오픈소스 운영체제로 현재 오픈 랜드셋 얼라이언스가 개발 중임

구글이 안드로이드 운영체제를 인수함

안드로이드의 핵심기능을 확장시켜주는 수천 개의 응용프로그램이 있음

 

iOS: 애플의 컴퓨터와 노트북에 사용되던 Mac OS X 를 기반으로 만들어짐

 

 

 

 

| 휴대폰 증거

 

개인식별번호(PIN): 휴대폰의 보안을 강화하는 데 사용됨

 

 

통화 내역 기록(CDR)

- 통화 시작 및 종료 날짜와 시간

- 휴대폰을 건 사람과 받은 사람

- 통화시간

- 휴대폰을 한 것인지 받은 것인지

- 통화 시작 타워와 종료 타워

 

 

휴대폰 증거 수집 및 처리

- 첫 번째 작업은 네트워크로부터 휴대폰을 고립시키는 것임

- 휴대폰이 꺼져있다면 전지를 꺼내고 SIM 카드에 표시를 함

( 전지를 꺼내라는.. 것을 보니 매우 예전 모델인듯.. 함)

 

 

SIM 카드

- 사용자 식별 정보(IMSI)

- 서비스 제공업체

- 카드 식별 정보

- 언어 설정

- 휴대폰의 전원이 꺼진 곳의 위치

- 사용자가 저장한 휴대폰 번호

- 사용자가 건 휴대폰 번호

- SMS 문자 메시지

- 삭제된 SMS 문자 메시지

 

 

휴대폰 수집: 물리적 및 논리적

 

물리적 방법: 물리적 저장매체에 있는 모든 데이터를 캡쳐함

--> 하드 드라이브를 클로닝 하는 것 처럼 비트 하나 틀리지 않고 모두 복사함

--> 삭제한 정보도 캡쳐가능

 

논리적 방법: 삭제된 데이터를 가져오지는 못하고 파일과 폴더만 캡쳐함

--> 데이터는 휴대폰을 백업하거나 동기화하는데 사용되는 일반 툴을 사용하여 수집할 수도 있음

 

 

 

 

 

| 휴대폰 포렌식 툴

 

BitPim : 강력한 오픈소스 프로그램

- LG, 삼성을 포함하여 여러 벤더에서 생산하는 CDMA 휴대폰의 데이터를 수집할 수 있도록 설계되어있음

- 연락처, 달력, 배경화면, 휴대폰 벨소리, 파일 시스템 등 다양한 데이터 복구 가능

 

Oxygen Forensic Suite: 휴대폰 전용 포렌식 프로그램

- 2,300개 이상의 기기를 지원함

- 연락처, SIM 카드 데이터, 통화 그룹, 휴대폰 기록, 표준 및 개인 SMS/MMS/이메일 폴더, 삭제된 문자 메시지, 달력, 사진, 동영상, JAVA 프로그램, GPS 위치 등을 축출할 수 있음

 

Paraben Corporation: 다양한 휴대기기 전용 포렌식 하드웨어 및 소프트웨어 툴을 판매함

네비게이션 기기도 지원함

 

AccessData 의 MPE+: 3,500개 이상의 휴대폰을 지원함

통화기록, 메시지, 사진, 음성 메시지, 동영상, 달력, 이벤트 등을 수집할 수 있음

동일한 인터페이스를 사용하여 여러 대의 휴대폰과 컴퓨터를 분석하여 상관관계를 확인 할 수 있음

 

Cellebrite의 UFED: 독립형 하드웨어 장비

연락처, 사진, 동영상, SMS, MMS, 통화기록 등 다양한 정보를 축출할 수 있음

2,500개 이상의 휴대폰 지원하고, 현장에서 정보를 바로 축출할 수 있도록 설계되어있음

SIM 카드 읽기와 클로닝 기능이 포함됨

 

EnCase Smartphone Examiner: 스마트폰과 태블릿의 데이터를 축출하고 검토할 수 있게하는 툴

블랙베리, 아이툰 백업, SD 카드 등에서 데이터를 수집할 수 있음

 

 

 

 

 

| 네비게이션

 

트랙포인트(trackpoint), 웨이포인트(waypoint), 트랙로그(track log)를 저장할 수 있음

 

네비게이션 데이터는 시스템 데이터와 사용자데이터 두가지로 분류할 수 있음

 

 

시스템 데이터

 

트랙 포인트는 해당 기기가 있었던 위치에 대한 기록

--> 시스템에서 자동으로 생성하며 사용자가 수정할 수 없음

--> 저장되는 시간이나 거리는 변경할 수 있음

 

트랙 로그는 모든 트랙포인트의 포괄적인 목록

--> 이 목록은 경로를 되돌아가는 데 도움을 주기 위한 기능임

 

 

사용자 데이터

 

웨이 포인트는 사용자가 생성한 데이터의 일부

--> 웨이포인트는 실제로 사용자가 물리적으로 해당 위치에 갔다는 것을 의미하지는 않음