트럼프 집회 총격범의 핸드폰 포렌식 사례

2024년 07월 13일 미국 펜실베니아 주에서 2024년 미국 대통령 선거 공화당 후보인 도널드 트럼프 전 미국 대통령을 대상으로 발생한 총격 사건이 발생

 

FBI는 총격범(Thomas Mattew Crooks)의 핸드폰을 입수 수사관들은 총격범의 동기와 MindSet을 파악하기 위한 분석을 진행하고 있으나 아직 단서가 없음.

 

이렇게 늦게 수사가 진행되는 이유를 알려면  전자 기기 수사 분석 프로세스에 대한 자세한 사항을 파악해야함.

 

1. 법 집행기관, 특수기관은 다양한 증거 분야를 전문으로 하는 법의학(포렌식) 부서가 있음.

2. 범죄현장조사팀은 지문과 현장의 개체를 수집

3. 의료전문팀은 시체를 조사

4. 화기전문가는 탄도학에 대해 초점을 맞춤

5. 전자기기에 대해서는 디지털 포렌식 팀에서 담당

6. 컴퓨터, 핸드폰, 태블릿, 드론 등과 같은 정보가 저장되어 있는 전자기기에서 증거를 수집하고 분석하는 것은
    디지털 포렌식 팀이 책임을 가지고 있음.

 

이를 위한 디지털 포렌식 소프트웨어와, 하드웨어가 존재하며 핸드폰, 컴퓨터, 드론과 같이 서로 상이한 제품도 많기에

수사가 어떤 기기를 타겟으로 하는지에 따라 사용할 수 있는 포렌식 툴도 전부 달라짐.

 

장치 압수

 

수사 프로세스에서 중요하지 않은 것이 뭐가 있겠냐만은, 장치 압수 프로세스도 아주 중요한 단계임.

모바일 장치는 네트워크, 앱, 서비스를 사용해 계속 내부 데이터가 변경됨. (컴퓨터도 마찬가지)

압수를 위해서 원격 와이핑, 추가 데이터 변경을 막기 위해서 즉시 네트워크 연결을 끊어야 함.

(패러데이 백 같은 방법을 사용)

디지털 데이터 환경의 휘발성 데이터는 기기를 확보하는데 지연이 생기면 중요한 데이터가 손실될 수 있는 결과를 초래할 수 있음.

 

디바이스 데이터에 액세스

 

장치 압수 프로세스 이후의 문제는 디바이스를 잠금해제하고 데이터에 접근하는 것이다.

최신 디바이스들은 고급 암호화 메커니즘을 가지고 있어 더 접근하기 힘들어짐

이 문제로 인해서 총격범이 사망하며 얼굴 인식도 작동하지 않고, 비밀번호를 알아내기 더 힘들어져 수사가 지연되었음.

FBI는 버지니아의 연구소로 기기를 보내 결국 잠금해제를 성공했다.

 

왜 이렇게 까지 하냐면(수사를 해야하니까가 아님.) 핸드폰 제조사는 제품 잠금 해제를 해달라는 요청을 받아들이지 않음.

또한 수동으로 암호해제를 한다는 선택지도 있으나 이는 여러번을 시도하게 되면 기기가 비활성화 되거나

기기 내 데이터가 전부 삭제되어 버리기 때문.

 

법의학 전문가들은 특정 디바이스의 잠금 화면과 로그인 시도 횟수 제한을 우회할 수 있음.

후자의 경우(로그인 시도 횟수 제한) BruteForce로 알려진 공격을 시도.

 

Brute-Force라는 공격은 잠금된 디바이스 데이터에 접근하는 데 가장 효과적인 공격 중 하나임. 이유는 무조건 성공하니까.

하지만 몇년, 몇십년 이상 걸릴 수도 있는 공격이다

 

총격범인 Thomas Mattew Crooks의 핸드폰은 무차별 대입(Brute Force)공격이 가능한 모델이었기 때문에 이 기능으로 풀린 것으로 보인다.

 

장치 데이터 획득

 

다음 프로세스는 디지털 포렌식 수사관이 디바이스에서 사용 가능한 데이터를 추출해 사본을 만드는 것

Itunes 백업을 사용한 iOS 백업, ADB 백업을 사용한 안드로이드 백업 등이 있음.

내부 파일에 대한 액세스를 하는 '간단한' 방법은 없다고 봐야한다.

 

암호화 해제

 

일부 응용 프로그램은 파일을 암호화 해 추가 보호 기능을 사용한다.
이러한 프로그램은 복호화 키가 없다면 읽을 수가 없다.

 

디지털 포렌식 도구는 장치에서 획득한 파일들을 처리 시에 암호화된 파일을 탐지하고 해당 키가 파일 시스템에 존재하는 경우 해독해서 사용자에게 보여준다.

이러한 기능을 사용함에도 복호화에 실패한다면 해당 애플리케이션을 직접 실행해 내부 데이터를 '캡처'하는 방식으로 증거를 수집할 수도 있다.

 

디지털 아티팩트 추출

 

사용자는 UI 단에서 확인하니 데이터 확인이 용이하나, 실제 데이터가 저장된 데이터베이스에는 사람이 보기 힘들게 저장되어있다. XML이나 JSON같은 구조화된 형식을 사용하는 경우도 있으며 여러 형식이 더 존재한다면 해당 형식에서 추출할 수 있는 데이터를 재구성해 확인해야한다. 이는 전문가의 능력을 따르고, 시간도 많이 걸리는 작업이다.

 

디지털 포렌식 도구는 '디지털 아티팩트'라고 알려진 법의학적으로 중요한 전자 데이터를 자동으로 기기에서 수집, 분석해사용자가 확인하기 편하게 만들어 준다. 이는 보통 채팅, 이메일, 웹 히스토리, 위치 정보, 사진, 비디오, 문서, 다수의 파일 시스템 등이 있음. 

파일시스템 분석은 포함된 데이터 양에 따라 몇 시간에서 며칠까지 걸릴 수 있음.

 

이러한 프로세스를 진행하는 중에 데이터 추출을 위해 여러 도구를 사용하는 것이 업계 표준이라는 점을 언급하는 것도 중요하다. 소프트웨어 공급업체는 서로 다른 기술을 사용하고, 이로인해 만들어진 아티팩트 결과도 다를 수 있다.

여러 소프트웨어를 사용하고 크로스체크를 통해 검증하는 것이 중요하다.

 

장치 데이터 분석

 

현대 사회에서 스마트폰은 사용자의 연락처, 전화, 대화, 흥미를 가지는 분야, 생각 등이 포함된 작은 블랙박스와도 같다

FBI는 총격범의 스마트폰에서 범죄동기를 찾고 있음. 범죄 동기는 지극히 개인적인 것이기 때문에 위에 언급한 아티팩트인 메모, 캘린더, 문서, 검색 기록, 이메일, 거래 내역 등에서 확인할 수 있다.

 

수집한 모든 데이터 유형에는 굉장히 많은 텍스트 기록이 포함될 수 있다. 이를 수사관이 모두 체크할 수 없기 때문에

특정 단어를 검색하고, 응용 프로그램 유형, 연락처 등의 다양한 기준으로 데이터를 필터링 해야함.

 

중요할 수 있는 정보는 예를 들어 

 

위치 정보 : 경로 및 자주 방문하는 장소

사진, 비디오 : 사진과 비디오에 숨겨진 메타데이터(위치 정보)가 존재할 수 있음.

시스템 아티팩트 : 기기 및 애플리케이션의 상호작용 내용, 생활 패턴 분석

 

디지털 포렌식은 간단한 과정이 아니다. 사용하고 있는 디지털 포렌식 도구가 모든 응용 프로그램을 지원하는 것이 아니며

용의자가 희귀한 프로그램을 사용하고 있다면 수사관이 수동으로 분석해야 한다. 필요시에는 스크립트도 직접 만들어

해당 상황에 맞게 커스터마이징도 해야한다.

 

지금까지 트럼프 총격범인 Crooks의 핸드폰을 기반으로 포렌식 진행 프로세스를 간단히 알아보았다.

하기에 추가적으로 확인해볼만한 사이트도 첨부한다

 

https://belkasoft.com/six_steps_to_mobile_validation_sans

SANS Institute: Six Steps to Successful Mobile Validation

https://belkasoft.com/even-5-more-bloopers-of-digital-forensic-investigator

EVEN 5 MORE Bloopers of a Digital Forensic Investigator (Part 3)