디지털 포렌식 관점에서 클라우드 스토리지 분석 연구 동향

chwrld·2024년 4월 13일

forensic

목록 보기

2/2

[Ref] https://koreascience.kr/article/JAKO202213250973530.page

해당 논문을 바탕으로 클라우드 포렌식에 대해 알아보고 논문을 Follow-UP 해보자.

🔖 INDEX

클라우드 스토리지의 개념

서비스 대상, 서비스 방식의 분류 기준에 따른 클라우드 스토리지 종류별 특징과 장단점

클라우드 스토리지 서비스에 대한 디지털포렌식 관점의 아티팩트 수집 및 분석 연구 동향

클라우드 스토리지 데이터 수집의 한계

💭 클라우드 스토리지?

사용자가 컴퓨터, 스마트폰, 태블릿 등 다양한 기기에서 인터넷망을 통해 데이터를 저장하고 공유하는 형태의 데이터 저장소를 말한다.

👍 장점

장소의 제약 없이 접근 가능하다

저장소의 용량 조절이 유연하다

데이터 손실, 스토리지 분실 등의 우려가 적다

👎 단점

데이터 송수신 과정에서 통신 환경에 따른 지연 발생

스니핑, 스푸핑 등 여러 보안 위협 노출

서비스 대상 기준에 따른 클라우드 특징

	특징
개인용	✔ 개인의 데이터 백업을 주목적으로 사용, ✔ 모바일 기기에서 로컬 스토리지와 자동 동기화 기능 제공 ✔ 연락처, 메일, 문자메시지, 메신저 대화 및 인터넷 검색 기록, 미디어 파일등의 모바일 백업 데이터, 개인정보 등이 저장될 수 있음 ✔ Onedrive, Google Drive, Dropbox, Amazon Drive, iCloud, Mega Cloud, pCloud, 네이버 Mybox 등
비즈니스용	✔ 회사, 기업, 학교 등 단체의 데이터 공유, 공동작업, 협업, 데이터 백업 등을 목적으로 사용 ✔ 관리자와 사용자 계정으로 구성된 그룹 형태로 관리 ✔ 회사의 업무 관련 데이터, 고객 정보 ✔ Google Workplace, Onedrive Business Plan 1, 2, Dropbox Business Standard, Advanced 등
클라우드 컴퓨팅용	✔ 클라우드 컴퓨팅 플랫폼에서 비즈니스 앱 실행을 위해 사용 ✔ 스토리지 용량, 데이터 송수신/입출력 횟수별 가격 책정 ✔ 비즈니스 앱 종류에 따라 스토리지 종류와 데이터 저장 형태, 저장되는 데이터의 종류가 상이함 ✔ AWS Storage (S3, EFS, FSx, EBS, Data Sync 등), Azure Storage (Disk Storage, Blob Storage,Data Lake, NetApp File 등), Naver Cloud platform Storage (Object Storage, Archive Storage, Block Storage, Backup, NAS 등)

서비스 분류 기준에 따른 클라우드 특징

	특징
퍼블릭 클라우드	✔ 서비스 공급자가 시스템의 모든 관리, 유지보수를 담당하므로 사용자가 전문적인 지식이 없어도 웹, 애플리케이션, API 등을 이용해 쉽게 저장소를 이용 및 관리할 수 있다. ✔ Google, Microsoft 등의 글로벌 기업에서 제공하는 주요 퍼블릭 클라우드 스토리지는 데이터 서버가 여러국가에 분산되어 있으므로 사용자의 스토리지 내 파일이 여러 지역에 걸쳐 저장될 수 있다. ✔ 수사관이 클라우드 스토리지 내 데이터를 수집하기 위해서는 클라우드 스토리지 서비스를 직접 이용하거나 서비스 공급자의 협조가 필요하다. ✔ Microsoft의 Onedrive, Google의 Google Drive, 네이버의 Mybox, Amazon의 Amazon Drive, Dropbox, Megacloud 등
프라이빗 클라우드	✔ 인프라를 소유하는 사용자에 의해 시스템이 유지·관리되기 때문에, 데이터 제어에 제약 이 없고 높은 수준의 보안 기능을 적용할 수 있다. ✔ 사용자는 클라우드 스토리지 서비스를 이용·관리하기 위한 전문적인 지식이 요구될 수 있다. ✔ 서비스 인프라를 사용자가 소유하기 때문에 데이터 서버 접근이 용이하다. ✔ 데이터 서버에서 대상 데이터에 대해 물리적으로 bit-by-bit 이미징이 가능하다

특징

퍼블릭 클라우드

✔ 서비스 공급자가 시스템의 모든 관리, 유지보수를 담당하므로 사용자가 전문적인 지식이 없어도 웹, 애플리케이션, API 등을 이용해 쉽게 저장소를 이용 및 관리할 수 있다.
✔ Google, Microsoft 등의 글로벌 기업에서 제공하는 주요 퍼블릭 클라우드 스토리지는 데이터 서버가 여러국가에 분산되어 있으므로 사용자의 스토리지 내 파일이 여러 지역에 걸쳐 저장될 수 있다.
✔ 수사관이 클라우드 스토리지 내 데이터를 수집하기 위해서는 클라우드 스토리지 서비스를 직접 이용하거나 서비스 공급자의 협조가 필요하다.
✔ Microsoft의 Onedrive, Google의 Google Drive, 네이버의 Mybox, Amazon의 Amazon Drive, Dropbox, Megacloud 등

프라이빗 클라우드

✔ 인프라를 소유하는 사용자에 의해 시스템이 유지·관리되기 때문에, 데이터 제어에 제약 이 없고 높은 수준의 보안 기능을 적용할 수 있다.
✔ 사용자는 클라우드 스토리지 서비스를 이용·관리하기 위한 전문적인 지식이 요구될 수 있다.
✔ 서비스 인프라를 사용자가 소유하기 때문에 데이터 서버 접근이 용이하다.
✔ 데이터 서버에서 대상 데이터에 대해 물리적으로 bit-by-bit 이미징이 가능하다

🙉 클라우드 스토리지 서비스에 대한 디지털포렌식 관점의 아티팩트 수집 및 분석 연구 동향

논문에 소개된 연구를 몇가지 소개한다.

모바일 클라우드 스토리지 아티팩트 분석 연구

정현지 외 2명은 iOS, 안드로이드 운영체제를 대상으로 Dropbox, Evernote, ucloud, N드라이브, 다음 클라우드의 5개 클라우드 스토리지 서비스의 아티팩트를 수집하는 방법론을 제시하고 수집 데이터를 분석하여 디지털 포렌식 관점에서 유의미한 아티팩트를 정리하였다.

정현지, 박정흠, 이상진 "클라우드스토리지서비스에 대한 디지털 포렌식 조사방법" 디지털포렌식연구 , (8), pp.1-26, 2011

Grispos, George 외 2명은 iOS 3.0, Android 2.1, Android 2.3 환경에서 Dropbox, Box, Syncplicity, SugarSync의 클라우드 스토리지 4종에 대한 아티팩트 분석 연구를 수행하였다. Celebrite 사의 UFED를 이용하여 스마트폰 데이터를 수집 및 분석하였으며, 분석 결과 클라우드 스토리지에 저장된 이미지 파일, 데이터 송수신 로그(transaction log), 동기화 및 설정과 관련한 각종 json, xml 파일 등이 스마트폰 내 저장되는 것을 확인하였다

Grispos, G., Glisson, W. B., Storer, T. , “Recovering residual forensic data from smart- phone interactions with cloud storage providers”.
arXiv preprint arXiv:1506.02268, 2015

PC 클라우드 스토리지 아티팩트분석연구

남기욱 외 3명은 Windows 환경에서Dropbox 클라우드 아티팩트를 수집하고 분석하는연구를수행하였다. 기존 Dropbox 관련 연구에서아티팩트로제시된 파일 로드 및 동기화 관련파일(filecache.dbx, config.dbx 등)이 삭제되거나 복호화 방안이 달라진 것을 확인하고, Dropbox에서 추출할 수 있는 새로운 아티팩트를 분석하여 제시함으로써 극복하는 방안을 마련하였다. 또한, NTFS 시간 변화를 통해 로드 및 동기화에 대한 행위를 구분함으로써 분석을 통해 제시한 아티팩트에서 시간 정보 수집의 한계도 극복하였다.

윤혜민, 김재욱, 황은비, 김해니, 권태경, “Windows 10 환경의 Box 클라우드아티팩트분석.”, 정보보호학회지, 29(6), pp.29-37, 2019

Web 클라우드 스토리지 아티팩트 분석 연구

김도현 외 2명은 디지털 포렌식 관점에서의 구글 클라우드 데이터를 통해 사용자 행위를 분석하는
연구를 수행하였다. 구글 Takeout에는 약 28개의 구글 서비스의 데이터를 포함하고 있으며, 이 중 약 11개가 디지털포렌식 관점에서 사용자 행위 분석에 유용하게
사용할만한 정보를 포함하고 있다. 따라서 이 서비스에 대한 데이터에 대하여 타임 라인, 검색 및 웹브라우징 내역, 파일 정보, 위치 정보 분석 등 4가지 관점에서 분석하고, 각 관점으로 분석한 내용을 통합적으로 활용하여 사용자 행위를 분석하는 방안을 제시하였다. 또한, 구글 Takeout의 데이터 분석을 지원하는 도구를 개발하고 오픈 소스를 공개하였다.

김도현, 김준기, 이상진, “디지털포렌식관점에서의 구글 클라우드 데이터 분석연구.” 한국정보통신학회 종합학술대회 논문집, 24(1), pp.102-104, 2020

👾 클라우드 스토리지 데이터수집의 한계

클라우드 스토리지 서비스의 데이터 저장 용량이 최소 2GB에서 최대 10TB로 확대됨에 따라, 모든 데이터를 수집한 후 분석하는 것은 시간과 프라이버시 문제로 인해 한계가 있음을 인지하게 됨.
이에 따라, 클라우드 스토리지 데이터를 효율적으로 관리하고 법적 문제를 최소화하기 위해 데이터의 선별 수집 방안에 대한 연구가 진행됨.
한중수 외 5명의 연구에서는 OAuth2.0 프로토콜을 기반으로 하는 OpenAPI를 활용하여 사용자의 클라우드 스토리지 데이터에 원격으로 접근하는 방법을 제안함.
이 접근 방식을 통해, 사용자의 ID와 비밀번호가 확보된 상황에서 클라우드 스토리지 내 저장된 파일들의 메타데이터를 먼저 수집하고, 사건과 관련 있는 파일 정보만을 선별하여 원격으로 파일을 수집하는 방안을 제시함.
그러나 이 방법은 스토리지 소유자의 ID와 PW가 필요하다는 한계가 있음.

🔥 결론

스토리지 종류별 특성과 장단점을 비교분석하고, 클라우드 스토리지 서비스의 디지털 포렌식 관점에서 아티팩트 수집 및 분석의 최신 연구 동향을 조사함.
스토리지 용량 증가와 프라이버시 문제로 인해 발생하는 데이터 수집의 한계를 극복하기 위해, OpenAPI를 이용한 원격 데이터 선별 수집 방안이 제안됨.
그러나 OpenAPI 사용 시 필요한 소유자의 계정 정보(ID/PW)가 있어야 하는 한계가 있음.
이에 따라, 소유자의 계정 정보 없이도 PC나 모바일에서 아티팩트를 활용하여 데이터를 원격으로 수집할 수 있는 새로운 연구 방안의 필요성이 강조됨.