플랫폼 인식 포렌식으로 여는 새로운 분석 길

초록

본 논문은 Windows와 Linux 환경에서 디스크·메모리 포렌식 수집 방법을 체계적으로 비교·평가한다. 파일 시스템, 암호화, 로그 보존 차이로 인한 플랫폼 별 난관을 짚고, FTK Imager·dd, LiME·Volatility 등 도구 조합을 실험적으로 검증한다. 32개의 시나리오를 통해 악성코드 감염 단계별 증거 지속성을 측정하고, 도구 신뢰성·무결성 확보 방안을 제시한다.

상세 분석

논문은 먼저 운영체제별 파일 시스템 구조와 암호화 메커니즘이 디스크 포렌식에 미치는 영향을 정량화한다. Windows는 NTFS/FAT 기반으로 기존 상용 도구(FTK Imager, Autopsy/Sleuth Kit)의 호환성이 높지만 BitLocker·EFS와 같은 전통적 암호화가 이미지 획득을 방해한다. 반면 Linux는 ext4·XFS 등 오픈형 파일 시스템을 사용해 메타데이터 접근이 용이하지만, 시스템 로그가 주기적으로 회전되어 증거 보존 기간이 짧다. 이러한 차이를 바탕으로 연구팀은 가상 머신(VMware, VirtualBox) 상에 Windows 11/10과 Ubuntu 20/24을 각각 4 GB·8 GB RAM, 80 GB 디스크로 구성하고, 실제 사용자 행위(웹 브라우징, 파일 조작, 미디어 재생)를 시뮬레이션했다.

악성코드 시나리오는 트로이목마와 랜섬웨어를 각각 1~3개씩 동시 실행하는 4단계(C0‑C3)로 설계했으며, 각 단계마다 메모리 덤프와 디스크 이미지를 수집했다. 메모리 획득은 Windows에서는 FTK Imager의 ‘Capture Memory’ 기능을, Linux에서는 커널 모듈 기반 LiME를 이용했으며, 디스크 이미지는 Windows에서 FTK Imager, Linux에서 dd 명령어로 수행했다. 모든 수집 파일은 SHA‑256 해시를 통해 무결성을 검증하였다.

도구 성능 평가는 두 축으로 나뉜다. 첫째는 ‘증거 완전성’으로, 암호화된 파일, 레지스트리 키, 프로세스 메모리 구조 등이 정상적으로 추출됐는지 확인한다. 둘째는 ‘운용 효율성’으로, 수집 시간, 시스템 부하, 실패율 등을 측정한다. 결과는 Windows 환경에서 BitLocker가 활성화된 경우 메모리 기반 키 추출이 유일한 복구 경로임을 보여준다. 반면 Linux에서는 LiME가 커널 버전마다 재컴파일 필요성을 드러냈으며, 최신 커널(5.19 이상)에서는 모듈 로드가 제한되어 dd 기반 메모리 복제가 대안이 된다.

또한, 악성코드 종류별 포렌식 흔적을 비교했다. 트로이목마는 프로세스 인젝션과 루트킷 형태로 메모리 내 은폐가 강하지만, 파일 시스템에 남는 레지스트리·시작 프로그램 항목은 디스크 포렌식으로도 탐지 가능했다. 랜섬웨어는 파일 암호화와 동시에 복구 키를 메모리에 남기는 경향이 있어, 메모리 덤프에서 복구 키를 추출하면 복구 성공률이 크게 상승한다.

마지막으로 논문은 현재 포렌식 도구가 ‘플랫폼 인식’ 수준에 머물러 있음을 지적한다. 도구가 OS별 특성을 자동으로 감지하고 최적화된 수집 파라미터를 적용하도록 설계되지 않으면, 증거 손실 위험이 증가한다. 이를 해결하기 위해 연구팀은 ‘플랫폼‑어웨어 포렌식 프레임워크’를 제안한다. 핵심 요소는 (1) OS 식별 후 파일 시스템·메모리 구조 매핑, (2) 암호화 여부 자동 판단 및 키 추출 모듈 연계, (3) 해시 기반 무결성 검증 자동화, (4) 획득 로그와 체인‑오브‑커스토디 자동 기록이다. 이러한 표준화된 절차가 도입되면, 다중 OS 환경에서도 증거의 신뢰성과 법적 admissibility를 보장할 수 있다.