인터넷 서비스 메모리 포렌식: RAM에서 실시간 브라우징 증거 추출

초록

본 논문은 최신 웹 브라우징 세션의 메모리(RAM)에서 사용자 이름, 비밀번호 등 민감 정보를 복구하는 실험을 수행한다. 네 가지 온라인 서비스와 두 종류의 브라우저를 대상으로 하여, 디지털 포렌식 조사자가 RAM 분석을 통해 얻을 수 있는 증거의 범위와 한계를 제시한다.

상세 분석

이 연구는 디지털 포렌식 분야에서 메모리 포렌식(memory forensics)의 실용성을 검증하기 위해 설계되었다. 먼저, 실험 환경은 최신 운영체제(Windows 10)와 두 주요 웹 브라우저(Chrome, Firefox)를 사용했으며, 각각의 브라우저에서 네 가지 대표적인 인터넷 서비스(이메일, 소셜 네트워크, 온라인 뱅킹, 전자상거래)를 선택하였다. 각 서비스는 로그인 절차가 포함된 웹 페이지를 통해 접근했으며, 로그인 직후와 일정 시간 경과 후에 시스템 메모리 덤프를 획득하였다.

메모리 덤프는 Volatility 프레임워크와 같은 오픈소스 분석 도구를 활용해 프로세스 메모리 영역을 추출하고, 문자열 검색, 정규식 매칭, 그리고 메모리 구조 해석을 통해 인증 정보와 세션 쿠키, URL 히스토리 등을 식별하였다. 특히, 브라우저가 메모리 내에 유지하는 세션 키와 자동 완성 데이터가 그대로 노출되는 경우가 관찰되었으며, 이는 사용자가 로그아웃을 수행하지 않더라도 메모리 상에 남아 있는 위험을 시사한다.

실험 결과, Chrome에서는 로그인 직후 메모리 내에 평문 형태의 사용자 이름과 비밀번호가 평균 3~5초 내에 발견되었으며, Firefox에서도 유사한 패턴이 관찰되었지만, 데이터가 암호화된 형태로 저장되는 경우가 일부 있었다. 또한, 온라인 뱅킹 사이트의 경우 보안 토큰이 메모리 상에 남아 있어, 추가적인 암호 해독 없이도 인증 절차를 우회할 가능성을 보여준다.

이러한 결과는 메모리 포렌식이 디지털 증거 수집에 있어 파일 시스템 기반 분석을 보완하거나 대체할 수 있음을 강조한다. 그러나 메모리 내용은 휘발성이며, 시스템 재부팅이나 메모리 압축 등에 의해 손실될 위험이 크다. 따라서 현장 조사 시점에서 신속한 메모리 캡처가 필수적이며, 캡처 도구 자체가 시스템에 미치는 영향을 최소화해야 한다는 점도 논문에서 강조된다.

마지막으로, 연구자는 메모리 분석을 자동화하기 위한 스크립트와 플러그인 개발의 필요성을 제시하며, 향후 연구에서는 모바일 디바이스와 클라우드 기반 서비스에 대한 메모리 포렌식 적용 가능성을 탐색할 것을 제안한다.