클라우드미 포렌식: 빅데이터 시대의 증거 탐색

초록

본 논문은 클라우드 스토리지 서비스인 CloudMe의 데스크톱·모바일 클라이언트와 웹 인터페이스 사용 후 남는 디지털 잔여물(artefacts)을 체계적으로 조사한다. Windows, Ubuntu, macOS, iOS, Android 환경에서 설치·제거·로그인·파일 동기화 과정에서 생성되는 레지스트리, SQLite 데이터베이스, 로그 파일, 메모리 흔적 등을 식별하고, 이를 빅데이터 기반 포렌식 분석에 활용할 수 있는 최소 증거 집합으로 정리한다.

상세 분석

이 연구는 클라우드 포렌식이 직면한 ‘볼륨·다양성·속도’(3V) 문제를 해결하기 위한 실용적 접근법을 제시한다. 먼저, 저자는 CloudMe 서비스가 제공하는 다양한 클라이언트(Windows, Ubuntu, macOS, Android, iOS)와 웹 UI를 동일한 실험 시나리오에 적용해, 각각의 환경에서 남는 잔여물을 비교 분석하였다. 실험은 가상 머신(VM) 기반 Windows 8.1, Ubuntu 14.04, macOS Mavericks와 실제 모바일 디바이스(iPhone 4, HTC One X)를 활용했으며, 각 단계(설치, 로그인, 파일 업·다운로드, 공유, 삭제, 언인스톨) 후 디스크 이미지(.VMDK)와 메모리 덤프(.VMEM)를 확보하였다.

핵심적인 증거는 크게 두 종류로 구분된다. 첫 번째는 파일 시스템 수준의 영구적 잔여물이다. 특히 %AppData%\Local\CloudMe, ~/.local/share/CloudMe, ~/Library/Application Support/CloudMe 경로에 생성되는 cache.db SQLite 데이터베이스가 가장 풍부한 메타데이터를 제공한다. 이 DB는 user_table, syncfolder_table, syncfolder_folder_table, syncfolder_document_table 등 네 개의 주요 테이블을 포함하며, 사용자 로그인 정보, 동기화 폴더 구조, 파일 해시값, 타임스탬프 등을 상세히 기록한다. SQL 쿼리를 통해 특정 파일의 업로드·다운로드 이력, 삭제 시점, 공유 대상 등을 재구성할 수 있다.

두 번째는 휘발성 메모리 수준의 흔적이다. Volatility 플러그인(pslist, netscan, memdump, yarascan 등)을 이용해 실행 중인 CloudMe 프로세스, 네트워크 연결, 메모리 내 문자열을 추출함으로써, 암호화된 인증 토큰, 세션 키, 최근 동기화된 파일명 등을 복원했다. 메모리 덤프에서는 또한 Windows 레지스트리 hives와 $MFT, $LogFile, $UsnJrnl 같은 파일 시스템 메타데이터가 함께 분석되어, 파일이 삭제된 후에도 복구 가능한 잔여 정보를 제공한다.

모바일 클라이언트에서는 iOS와 Android 각각의 샌드박스 디렉터리 내에 SQLite DB와 plist 파일이 남으며, 특히 iOS에서는 NSUserDefaults에 저장된 인증 정보와 최근 동기화된 파일 목록이 확인되었다. Android에서는 /data/data/com.cloudme/files 디렉터리와 /sdcard/CloudMe 폴더에 동일한 cache.db가 존재했으며, 루트 권한을 통해 해당 파일을 직접 추출할 수 있었다.

이러한 증거들을 종합하면, 클라우드 서비스 자체에 접근하지 못하더라도 클라이언트 측에서 충분히 사건 전후의 활동을 재구성할 수 있음을 보여준다. 또한, 대용량 데이터 환경에서 전체 디스크를 완전 복제하는 것이 비현실적이므로, 핵심적인 artefact 위치를 사전에 정의하고 선택적 추출을 수행하는 ‘데이터 마이닝 기반 포렌식’ 전략이 필요함을 강조한다.