비트토렌트 싱크 포렌식 조사

초록

본 논문은 BitTorrent Sync 2.0을 이용한 파일 동기화 과정에서 남는 디지털 흔적을 분석한다. Windows, macOS, Ubuntu, iOS, Android 등 다양한 플랫폼에서 설치·제거·로그인·로그아웃·파일 동기화 시 생성되는 artefact를 식별하고, 이를 기반으로 IoT 포렌식에 적용 가능한 조사 절차를 제시한다.

상세 분석

본 연구는 P2P 기반 클라우드 스토리지인 BitTorrent Sync(이하 BTS)의 포렌식 특성을 규명하기 위해 체계적인 실험 설계를 수행하였다. 먼저, 실험 환경으로 Windows 8.1, macOS Mavericks 10.9.5, Ubuntu 14.04.1 LTS, iOS 7.1.2, Android KitKat 4.4.4를 선정하고, 각 OS별 표준 가상 머신 및 실제 모바일 디바이스에 BTS 2.0을 설치하였다. 실험 단계는 (1) 설치 전 시스템 상태 백업, (2) BTS 설치 및 초기 설정, (3) 파일 동기화 시나리오 실행, (4) 로그인·로그오프 반복, (5) 프로그램 제거, (6) 포렌식 이미지 획득 및 분석으로 구성된다.

분석 도구로는 FTK Imager, Autopsy, Volatility, RegRipper, 그리고 모바일 전용 도구인 Cellebrite UFED와 Android Debug Bridge를 활용하였다. Windows에서는 레지스트리 키(HKEY_CURRENT_USER\Software\BitTorrent Sync)와 프로그램 파일 디렉터리(Program Files\BitTorrent Sync) 아래에 설치 로그, 설정 파일(.sync, .db), 그리고 동기화된 파일의 메타데이터가 남는 것을 확인했다. 특히, %AppData%\Roaming\BitTorrent Sync 폴더에 저장된 sync.log는 동기화 이벤트와 오류 정보를 시간순으로 기록한다.

macOS에서는 ~/Library/Application Support/BitTorrent Sync 경로에 동일한 로그와 데이터베이스가 존재하며, Spotlight 인덱스를 통해 파일 접근 기록이 추가로 남는다. Ubuntu에서는 /home/사용자/.config/BitTorrent Sync와 /var/log/syslog에 동기화 관련 로그가 기록되며, 패키지 관리 기록(dpkg 로그)에서도 설치·제거 시점이 추적 가능하다.

모바일 측면에서는 iOS에서 /private/var/mobile/Containers/Data/Application/…/Documents 폴더에 sync.db와 로그 파일이 남으며, Keychain에 저장된 인증 토큰을 통해 로그인 상태를 복원할 수 있다. Android에서는 /data/data/com.bittorrent.sync 폴더에 shared_prefs와 로그 파일이 존재하고, SQLite 데이터베이스에 공유 폴더 정보와 파일 해시가 저장된다. 또한, Android 로그캣(logcat)에서도 BTS 서비스 시작·종료 이벤트가 포착된다.

제거 단계에서는 레지스트리와 파일 시스템에 남는 잔여물(삭제된 파일의 섀도우 복사본, 레지스트리 잔여키 등)이 포렌식적으로 의미가 있음을 확인했다. 특히, Windows에서는 $MFT와 $LogFile을 통해 삭제된 BTS 파일의 복구가 가능했으며, macOS와 Linux에서도 파일 시스템 저널을 이용해 삭제 흔적을 복원할 수 있었다.

연구 결과를 바탕으로 저자는 “IoT 포렌식용 BitTorrent Sync 조사 절차”를 제안한다. 절차는 (① 초기 이미지 확보, ② 파일 시스템 메타데이터 분석, ③ 레지스트리·설정 파일 추출, ④ 로그·데이터베이스 파싱, ⑤ 네트워크 트래픽 재구성, ⑥ 타임라인 구축)으로 구성되며, 각 단계에서 사용 가능한 도구와 분석 포인트를 상세히 기술한다. 이 절차는 P2P 클라우드 서비스 전반에 적용 가능하도록 설계되었으며, 특히 분산형 동기화 특성으로 인해 중앙 서버 로그가 존재하지 않는 상황에서도 충분한 증거 수집이 가능함을 강조한다.

본 연구는 클라우드 기반 IoT 환경에서 P2P 스토리지 서비스가 남기는 디지털 흔적을 체계적으로 정리함으로써, 기존 중앙집중형 클라우드 포렌식의 한계를 보완하고, 향후 법적 증거 확보와 사건 대응에 실질적인 가이드라인을 제공한다.