이 시각 주요 뉴스

여백

디지털 포렌식을 위한 데이터 복원 기술

이승윤 기자l승인2019.04.23 13:49:00l수정2019.05.22 08:58

크게

작게

메일

인쇄

신고

[CCTV뉴스=이승윤 기자] 컴퓨터 하드디스크나 디지털기기의 스토리지가 TB급 이상으로 대용량화됨에 따라, 사용자 실수나 컴퓨터 오작동 혹은 해킹 등으로 인한 저장된 데이터의 소실이 과거에 비해 더욱 큰 문제가 되고 있다. 데이터 복원 기술은 개인, 기업, 공공기관, 교육기관, 군부대 등 다양한 보안 분야에서 데이터 안정화의 기반을 구현하는 데 활용되고 있다.

데이터 복원의 핵심 기술은 GPT의 구조와 엔트리 분석, 파괴된 RAID 구조 복원 과정을 거쳐 완성된다. 이런 소실된 데이터를 복원하는 기술은 사이버 범죄수사(Digital Forensics, 디지털 포렌식)에서 데이터의 해킹 경로를 탐지하거나, 디지털 증거의 수집/복구/분석 등 다양한 부분에 적용되고 있다.

▲사이버 범죄수사에서 데이터의 해킹경로 탐지

▲이미지 파일 카빙(Image File Carving) 같은 디지털 증거수집/증거

복구(증거 데이터 획득)/증거분석

▲디지털 증거를 확보하기 위한 디지털 포렌식 기술에 응용

▲사건사고 예방과 사후증거 활용 등 사회안전망 구축을 위한 CCTV

시스템의 훼손된 영상을 복원하는 기술에 응용

다양한 저장장치(하드디스크, USB 등)의 데이터 복원을 통해 복원된 디지털 증거는 사이버 범죄수사에서 법적인 효력을 갖고 있어 매우 중요한 기술이다. 이에 관련 기술시장을 선점함으로써 정보지원 기업의 매출 중대 등 커다란 경제적 효과를 얻을 수 있어 데이터 복원과 관련된 보다 선진화된 기술개발이 필요하다.

데이터복원 관련 핵심기술은 GPT(GUID Partition Table) 분석, GPT의 구조와 엔트리 분석, 파괴된 RAID 구조 복원, HEX 에디터를 이용한 16진수로 된 엔트리 구조 분석을 거쳐 완성된다. 최근에는 사건사고 예방이나 사후증거 활용 등 사회안전망 구축을 위한 CCTV 시스템의 훼손된 영상을 복원하는 기술에도 응용되면서 보안 산업분야의 데이터 복원 기술을 견인하고 있다.

데이터 복원 기술의 핵심

먼저 MBR과 GPT 엔트리의 분석 기술에 대해 알아보자. 윈도우에서 사용하는 디스크의 형식은 MBR 디스크, GPT 디스크, 기본 디스크, 동적 디스크 등 4가지가 있다. MBR 디스크는 전통적인 BIOS 방식의 시스템에서 사용되는 디스크 형식이며, GPT 디스크는 EFI 방식의 시스템에서 사용되는 디스크 형식이다.

이들의 차이점은 디스크에 관한 정보를 담는 데 MBR을 사용하느냐 GPT를 사용하느냐에 따라 BIOS(Basic Input/Output System), EFI(Extensible Firmware Interface), MBR(Master Boot Record), GPT(GUID(Globally Unique Identifier) Partition Table)로 구분된다. MBR 디스크는 PC의 BIOS에서 기본적으로 사용하는 디스크 형식으로 MBR과 파티션 테이블의 구조는 다음과 같다

▲PC의 BIOS에는 컴퓨터의 하드웨어를 체크하고 부팅할 수 있는 프로그램이 설치돼 있다.

▲IOS의 마지막에는 시스템의 첫 번째 하드 디스크의 첫 번째 실린더/헤드/섹터(CHS 0:0:1 시작 지점 - Statirng Point)로 이동하라는 명령이 포함돼 있으며, 디스크의 시작 지점에 위치하고 있다.

MBR의 크기는 총 512바이트로 부팅정보를 담고 있는 440바이트의 Master Boot Code 영역과, 파티션정보를 담고 있는 64바이트의 Partition Table 영역으로 구성된다[표 1].

[표 1] MBR의 구조 자료: 마이크로소프트 테크넷 자료종합(2016)

프라이머리 파티션 테이블 영역(64바이트)은 16바이트의 프라이머리 파티션 테이블에 기록되는 파티션 엔트리로 구성돼 있다. 따라서 MBR 디스크에서 생성할 수 있는 파티션의 개수는 최대 4개(64÷16=4)다[표 2].

[표 2] 파티션 엔트리의 구조 자료: 마이크로소프트 테크넷 자료종합(2016)

확장 파티션과 EBR

최대 4개에 불과한 파티션 개수의 제한을 해결하기 위한 방안으로, MBR은 파티션 테이블에 기록된 파티션 중 하나를 확장 파티션으로 명시하고 확장 파티션 내에서 다시 MBR과 비슷한 역할을 하는 EBR을 추가로 생성하는 방법이나 EBR을 통해 확장 파티션 내에 다시 논리 드라이브 파티션을 생성해 파티션 개수의 한계를 해결하는 방법 등이 등장했다.

EBR은 MBR과 거의 유사한 구조를 갖고 있으며, EBR 내의 파티션 테이블은 총 4개, 파티션 엔트리의 구조는 MBR의 파티션 엔트리와 동일하다. EBR의 파티션 테이블에 기록된 파티션 엔트리는 MBR과는 다르다. 즉, EBR은 확장 파티션이 아닌 각 논리 드라이브의 시작 부분에 위치하고 있다.

EBR의 파티션 테이블을 통한 논리 드라이브 기록방법은 첫 번째 파티션 엔트리의 논리 드라이브에 관한 정보가 기록되며, 두 번째 파티션 엔트리는 제1 엔트리 다음에 위치한 논리 드라이브의 EBR을 지칭하는 정보가 기록된다. 3~4번째 파티션 엔트리는 사용하지 않는다.

MBR 디스크의 해결과제로는 MBR 디스크의 각 섹터 인식용 주소 체계는 32비트 체계이기 때문에 인식 가능한 주소의 한계가 232개이며, 섹터 크기가 512바이트다. 따라서 232×512=2TB의 용량 한계의 문제가 있다. 이에 향후에는 파괴된 RAID 구조 복원기술 정보(HEX 에디터를 이용한 16진수로 된 엔트리 구조 분석 기술 포함)의 개발이 필요하다.

RAID 데이터 복구 기술

HEX 에디터를 이용한 16진수로 구성된 엔트리 구조의 분석을 포함한 파괴된 RAID 구조 복원 기술은, 독립 디스크의 중복 배열을 의미하는 다중 디스크의 결합에 사용되는 저장 기술을 의미한다.

이 기술의 장점은 디스크 드라이브 중 하나는 시스템의 성능에 영향을 주지 않으며, 데이터 손실에 대한 높은 보호 기능을 통해 스토리지의 성능을 향상시킬 수 있다는 것이다. RAID 기술의 해결과제는 드라이브 파티션 시 데이터의 이동위치를 쉽게 찾을 수 있는 방법과, 열이나 진동 등으로 인한 펌웨어(Firmware)의 영향을 최소화 하는 것이다.

RAID 드라이브의 데이터 손실에 대한 주요 원인은 사용자 실수, 하드 디스크 손상, 파티션 테이블의 손상과 시스템 변경 등을 들 수 있다. RAID 데이터 복구 방법으로는 Yodot과 같은 RAID 드라이브를 위한 데이터 복구 애플리케이션을 이용하는 방법이 있다.

데이터 복원 기술시장의 흐름

폭발적인 데이터 증가(2018년까지 연평균 44%의 증가세)로 인해 일관성 있게 데이터 증가를 관리하는 것이 최우선 관심사로 부상되고 있다. 특히 통합 데이터 백업으로 대용량 데이터를 중앙에서 관리함에 따라 확장형 플랫폼이 더욱 절실해지고 있다.

또한 다양한 저장장치를 혼용하는 사용 환경이 증가하면서 제2, 제3의 플랫폼이 혼재하는 경우가 많아, 백업 관리자는 보호 요구사항이 각기 다른 이기종 환경을 수용해야 하는 어려움이 있으며, 심지어 각 영역별로 가장 효율적인 데이터 보호 방식을 활용해야 한다는 부담까지 증가하고 있다. 따라서 더욱 효율적이고 통합된 데이터 보호 전략을 지향하면서 사용 편의성을 향상시키는 것이 매우 중요해지고 있다. 이는 스토리지 관리자의 관리 범위를 안정적으로 확대할 수 있는 자동화를 요구하고 있다.

주요 크리티컬 애플리케이션의 RPO

다양한 제3 플랫폼 컴퓨팅 환경은 최종 사용자에게 ‘중단 없는’ 애플리케이션 서비스를 제공할 수 있는 고가용성에 대한 요구가 증가하고 있으며, RPO(Recovery Point Objective)와 RTO(Recovery Time Objective) 또한 더욱 기대치가 높아지고 있다. 주요 크리티컬 애플리케이션(Critical application)의 RPO는 다음과 같이 나타났다[표 3].

▲소기업(직원 수 1000~4999명)의 82.3%, 대기업(직원 수 1만 명 이상)의 87.5%는 RPO가 1시간 미만인 것으로 나타났다.

▲소기업의 73.4%, 대기업의 77.6%는 동일 애플리케이션의 RTO가 4시간 미만인 것으로 나타났다.

▲다운타임(Down time) 비용은 22만 4952달러(소기업)~165만 9482 달러(대기업)로 나타났다.

[표 3] 주요 크리티컬 애플리케이션의 RPO 자료: 스토리지 플랫폼환경 관련 IDC 자료 종합(2016)

디스크 기반 데이터 복구 기술이 지속적으로 성장하면서 백업 윈도우, 백업 영향 최소화, 복구시간 단축, 데이터 보호 인프라의 효율적인 활용에 대한 관심이 높아지고 있다. 디스크 기반 솔루션은 신속한 백업과 복구(증분, 차등), 용량 사용률 극대화(중복 제거), 실시간 데이터 이동(복제)과 같은 테이프 백업과 차별화되는 다양한 기능을 제공하고 있다. 이는 비즈니스 운영 개선으로 이어지므로, 기업 시장에서 점차 테이프 사용이 줄어들고 디스크 기반 솔루션이 점차 늘어날 것으로 예상되고 있다.

맺음말

하드디스크 데이터 복원 기술이 확산되면서 다양한 보안 기술 분야의 안정화 기반을 구축해가고 있다. 아울러 전 분야(개인, 기업, 공공기관, 교육기관, 군부대 등)의 다양한 컴퓨팅 기기에서 대용량 저장장치가 이용되고 있다. 최근에는 500GB~500TB급의 초대용량 저장장치들이 보편화되면서 소실된 데이터 복원에 대한 요구가 증가함에 따라 대용량 하드디스크의 GPT나 RAID 시스템 관련 핵심 기술 개발이 본격화되고 있다.

이는 디지털 포렌식에서 매우 중요한 역할을 담당하고 있는 저장장치의 데이터 관리에 매우 중요한 가치를 부여하고 있다. 대용량 하드디스크의 GPT나 RAID시스템 관련 기술 개발과 상용화할 수 있는 데이터 복원 기술, GPT 분석 기술, GPT의 구조와 엔트리 분석 기술, 파괴된 RAID구조 복원 기술, HEX 에디터를 이용한 16진수로 된 엔트리 구조 분석 기술 등은 보안 네트워크의 패킷을 파일로 복원해 데이터 유출을 방지·검출하며, 보안 사고에 대비한 네트워크 포렌식(Network Forensics) 증거로도 유용하게 활용될 수 있다.

이메일, 웹서비스 등 다양한 서비스와 프로토콜의 트래픽을 감시할 수 있음은 물론이고, 파일이 아닌 다양한 제어 패킷까지 수집·복원할 수 있어, 이를 통해 보안 사고를 예방할 수 있다. 복원된 파일을 바이러스 백신 프로그램으로 검사해 바이러스의 출처와 감염 경로를 파악할 수 있으며, 이런 기능은 특히 정보보호 제품 중 DLP(Data Loss Prevention)에 일부 구현돼 있다.

국내에서는 아직 외산 제품을 판매하는 수준이며, 장비도 매우 고가로 원천 기술이나 개발은 아직 미비한 상황이다. 데이터 복원 기술은 기술적 측면으로는 네트워크 패킷 수집과 복원에 대한 기술력을 확보해 정보보호 제품으로의 파급효과를 기대할 수 있다. 경제적·산업적 측면으로는 수입대체와 해외수출을 기대할 수 있으며, 유사기능의 외산 고가 장비를 대체할 수 있어 시장성 확보 가능성이 매우 높은 미래유망 기술이다. 이에 관련 기업이나 연구자들의 첨단 데이터 복원 관련 전후방 원천(핵심) 기술 개발에 대한 공동 노력이 요구된다.

작성 : 박세환 | 기술법인 엔펌(ENF) 전문위원.
한국CCTV연구소 영상보안CCTV산업발전연구회 회장,
한국산업기술진흥협회 ReSEAT프로그램 전문위원

#디지털포렌식#데이터복원#사이버범죄#수사

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .