Web Browser Forensics 개요
Web Browser Forensics?
웹 브라우저 포렌식이란 사용자의 컴퓨터에 저장되어 있는 웹 브라우저 사용 흔적을 디지털 포렌식적인 방법을 이용하여 조사하는 것을 말한다. 웹 브라우저는 로그 정보(Cache, History, Cookie, Download List)를 파일로 남기는데 웹 브라우저 포렌식은 이러한 로그 정보를 분석하는 것이 일반적이다. (로그 파일 외에 다른 분석 대상도 존재한다고 한다.)
웹 브라우저 포렌식이 왜 필요한가? 오늘날 대부분의 가정집에선 컴퓨터들이 하나씩은 있을 것이다. 또는 스마트폰이 있을 것이다. 이러한 컴퓨터나 스마트폰으로 무엇을 하느냐? 게임도 할 것이고 노래도 들을 수 있을 것이고 검색도 할 수 있을 것이다. 우리는 컴퓨터를 이용하여 다양한 작업들을 할 수 있다. 잘 생각해보자. 온라인 게임이나 노래를 다운받을 때, 검색할 때 우리는 어디에 접속하는가? 넥슨이나 위메이드 등의 게임 회사 웹 사이트나 멜론이나 엠넷 등의 음악 사이트, 네이버나 다음, 구글 등의 검색 사이트일 것이다. 우리가 웹 사이트에 접속할 때 사용하는 것이 바로 IE, Chrome, Firefox , Safari, Opera 등의 웹 브라우저이다. 우리는 웹 브라우저를 굉장히 많이 사용한다. 따라서 범죄 사건에 관련된 내용이 웹 브라우저 로그 파일에 남아 있을 가능성이 크다. 이를 통해 악성코드 유입 경로나 악성코드의 목적 등 수사에 유용한 정보를 획득할 수 있다.
Cache
캐시란 웹 사이트 접속 시, 웹 브라우저가 방문 사이트로부터 자동으로 데이터를 다운받는 작업을 말한다. 그리고 동일한 사이트에 다시 접속할 땐, 웹 사이트의 데이터를 다시 다운받는 것 대신 그 캐시를 사용하여 로딩한다. 따라서 이 캐시는 우리 컴퓨터 어딘가에 저장될 것인데 이를 조사하면 유용한 정보를 얻을 수 있다.
Cache 정보는 캐시 데이터 정보와 캐시 인덱스 정보로 나눌 수 있다. 캐시 데이터 정보는 내려받은 데이터 그 자체를 의미하며 캐시 인덱스 정보는 캐시 데이터의 위치, 다운로드 URL, 다운로드 시간, 데이터 크기, 캐시 데이터 파일명과 같은 인덱스 정보를 말한다. 이것들을 활용하여 몇시에 어떤 사이트에 접속했는지, 어느 주소에서 어떤 데이터를 다운받았는지 등의 정보를 획득할 수 있다.
History
히스토리 정보란 사용자가 방문한 웹사이트의 접속 기록을 말한다. 웹 브라우저는 이 정보를 이용하여 사용자가 예전에 방문한 사이트를 다시 방문하고 싶으면 그 사이트를 로딩시켜 준다.
히스토리 정보를 통해 방문사이트 URL, 방문 시간, 방문 횟수, 웹 페이지 제목 등의 정보를 얻을 수 있다.
Cookie
쿠키란 웹사이트에서 사용자의 하드디스크에 저장해 놓은 사용자에 대한 데이터를 말한다. 쿠키에는 쇼핑몰에서의 찜목록, 로그인 정보가 담길 수 있다. 우리가 웹사이트에서 자동로그인을 활성화 시켜놓았다면 이 자동로그인에 사용되는 것도 쿠키이다.
쿠키 정보는 호스트, 경로, 쿠키 수정시간, 만료시간, 이름, 값으로 구성된다. 이를 통해서 사용자가 방문한 사이트를 알아낼 수 있으며 쿠키 만료시간을 통해서 마지막으로 해당 사이트에 접속한 시간도 구할 수 있다.
Download List
다운로드 목록 정보는 사용자가 다운받아 놓은 데이터에 대한 기록을 의미한다. 사용자가 의도적으로 데이터를 다운받은 것이므로 사용자의 의도와 관계없이 다운로드된 데이터인 캐시와는 차이가 있다.
다운로드 목록 정보에는 다운로드된 파일의 저장 경로, 다운로드한 URL, 다운로드 시간, 파일 크기, 다운로드 성공 여부 등의 정보가 포함된다. 이를 통해서 몇 시에 어떤 파일이 어디에서 다운받아 졌는지, 어디에 저장되었는지를 알 수 있다. 만약 그 파일이 악성코드라면 악성코드의 유입 경로를 파악할 수 있을 것이다.
댓글 없음:
댓글 쓰기