05. 인터넷과 이메일 포렌식

INDEX.DAT 파일

한 시스템에는 여러 개의 INDEX.DAT 파일이 존재한다. 이 파일은 방문한 URL, 방문 횟수 등 다양한 정보를 기록하고 유지한다. 이런 정보는 숨겨져 있기 때문에 반드시 툴을 이용해야 볼 수 있다. IE에는 히스토리, 쿠키, 임시 인터넷 파일로 3개의 디렉터리가 있다. INDEX.DAT 파일은 각 디렉토리에 있는 정보와 내용을 기록하고 유지하는데 사용된다.

 

> 쿠키

쿠키는 서버에서 클라이언트에 주는 값으로 클라이언트의 웹 브라우저에 저장되어 있는 텍스트 파일이다. 이 쿠키도 INDEX.DAT 파일에서 관리되는데 이 파일에는 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있다.

(쿠키에서 웹 주소가 발견되었다 != 실제로 그 사이트에 방문했다)

 

> 임시 인터넷 파일(웹 캐시)

웹 캐시는 동일한 웹페이지 구성요소를 저장해놓고 재사용하여 다운로드 시간을 단축시킬 수 있다. 이런 웹 캐시를 임시 인터넷 파일이라고 부르는데 이 파일 역시 INDEX.DAT 파일에서 관리한다. 사용자가 윈도우 탐색기로 임시 인터넷 파일을 확인할 수 있는데 이 정보는 실제 내용을 가상화해서 보여주는 것이다. 실제는 임시 인터넷 폴더의 하부 디렉토리에 있으며 INDEX.DAT이 특정 파일이 어디에 있는지 관리한다. 임시 인터넷 파일에서는 웹 메일의 증거도 찾을 수 있는데 이런 정보들은 파일이름으로도 유추할 수 있다. ex)Msgview[#].htm, getmsg[#].htm 

그리고 사진의 크기도 증거가 될 수 있다. 보통 웹 캐시들은 작은 사진으로 구성되어 있는데 커다란 사진을 발견했다면 이는 증거가 될 수 있다.

+ HTTPS 같은 경우 웹 캐시를 저장하지 않는다.

 

> 인터넷 기록

INDET.DAT 파일은 인터넷 기록, 특정 사이트를 몇 번 방문햇는지, 파일 이름이 무엇인지 등을 유지관리 한다. 인터넷 기록 폴더는 이름을 짓는 방법이 정해져있다. 폴더이름+시작연도+시작날짜+마지막사용연도+마지막사용날짜 의 형식이다. 이 기록은 시스템에서 자동으로 20일마다 삭제된다.

NTUSERS\Software Microsft\Windows\CurrentVersion\Internet Setting\URLHistory의 값이 20일보다 적게 설정되어 있다면 잠재적인 증거를 제거하기 위해 조치를 취한 것을 알 수 있다.

 

NTUSER.DAT 파일

IE가 레지스트리에 남긴 흔적들은 NTUSER.DAT에 저장된다. 예로 브라우저가 비밀번호를 저장하고 있는지, 디폴트 검색 사이트가 무엇인지, 사용자가 주소창에 어떤 URL을 입력했는지가 저장되어 있다. 입력한 URL 같은 경우는 1~25까지의 번호가 매겨져 있는데 가장 적은 숫자가 가장 최근에 입력도니 것이다. 이 항목은 25개만 저장될 수 있어서 오래된 항목부터 삭제한다. 사람들이 레지스트리를 직접 읽을 수는 없기 때문에 툴을 이용해 조사해야한다.

경로는 NTUSER\Softwrae\Microsoft\Internet Explorer\Typed URLs 이다.

 

메신저 프로그램

메신저 프로그램은 텍스트 기반의 실시간 통신을 하는데 사용된다. 이런 프로그램들은 다양한 범죄를 계획하고 실행할 때 사용된다. 최근 텔레그램을 이용한 성착취 사건도 이런 범죄의 예다. 메신저 프로그램은 프로그램마다, 버전마다 기능이 다르고 다른 흔적을 남긴다. 광범위하게 봤을 때 메신저 프로그램은 다른 프로그램들과 달리 설치여부를 흔적으로 남긴다. 따라서 이 흔적을 이용해 특정 메신저 프로그램이 피해자와 공범자 간의 대화 수단으로 사용되었는지를 증명할 수 있다. 그리고 메신저 프로그램은 친구 목록 또는 연락처를 유지한다. 이런 대화명 또는 스크린 네임 목록을 사용하여 여러 사람의 관계를 확인할 수 있다. 특정 인물과 대화명을 연결할 수 있는데 한 사람이 여러 개의 대화명을 가질 수 있고 이런 대화명은 의미가 없는 경우가 많다는 점을 알고 있어야 한다. 사용자가 통제할 수 있는 설정 사항은 증거로 활용할 수 있다. 차단, 날짜 시간, 개인 아이콘이나 사진, 로그 활성화/비활성화, 영상 통화/파일 전송 등을 자동으로 수락하는지 여부, 계정과 핸드폰의 연결 등이 있다. 이 중 로그 기능은 보통 활성화 되어 있지 않는데 활성화시켜 놓으면 대화 내용과 연결 내용 같은 정보가 기록된다. 로그를 활성화 시키지 않고도 직접 수동으로 세션 로그를 저장할 수 있는데 저장되는 위치가 다르다. 일반적으로 자동으로 저장되는 로그는 디폴트 위치, 수동으로 저장할 때는 위치를 직접 선택해야 한다.

 

IRC(Internet Relay Chat)

이 프로그램은 다음과 같은 이유로 메신저 프로그램보다 범죄활동에 활용되기 쉽다.

- 대규모 네트워크로서 특정 업체나 단체가 통제하는 것이 아니기 때문에 감독자가 조금이거나 아예 없다.

- 정식적인 등록 과정이 없기 때문에 사용자의 익명성의 거의 완전하게 보장 받을 수 있다.

- 무료다.

- 클라이언트 직접 연결 기능(DDC)으로 네트워크 서버를 통과하지 않아 완전히 사생활 보장.

IRC 네트워크는 여러 개의 소규모 네트워크로 구성되어 있고 사용자들은 자신만의 채팅방/채널을 생성한다. 

 

ICQ

IRC와 다르게 ICQ는 등록 과정이 있으며 등록된 사용자에게 사용자 식별 번호 또는 UIN을 부여한다.

- 높은 수준의 프라이버시 유지

- 초청을 받아야만 대화 참석 가능

- 중앙 서버를 통해 트래픽을 라우팅(서버를 찾을 수 있으면 일부 흔적은 서버에서 발견 가능)

 

이메일

이메일을 접속하고 관리하는 방법은 2가지가 있다. 인터넷으로 접속하거나 이메일 클라이언트 프로그램을 사용하는 것이다. 이메일은 SMTP, POP, IMAP과 같은 이메일 프로토콜을 이용해 이메일을 송수신한다. 이메일 데이터는 여러 곳에서 수집 가능하다. 수신자의 컴퓨터, 회사 서버, 백업 매체, 스마트폰, 서비스 제공자, 이메일 전송 경로에 있던 서버 등에 있을 수 있다. (업체는 특정기간만 정보를 보존하기 때문에 빠르게 조사해야한다) 전송한 이메일은 모두 헤더가 있는데 이 헤더에는 송신자라 수신자로 이메일을 보낼 때 거친 경로를 추가한다. 이를 위조하기 위해 스푸핑 소프투웨어를 이용해 다른 사람 또는 다른 위치에서 보내진 것처럼 위조하기도 하고 헤더를 수정하거나 제거할 수 도다. 또, 이메일은 직접 보내지 않고 공용 이메일 계정을 이용해 임시 보관함에 저장했다가 삭제 할 수도 있다. 

이메일을 추적할 때는 로그에 크게 의존한다. 헤더에 추가되는 정보 중에 메시지 ID가 있다. 메시지 ID는 이메일 서버가 할당하는 고유 번호로 메시지 ID와 서버 로그의 상관관계를 확인하면 특정 컴퓨터에서 메시지가 송수신된 것을 증명할 수 있다. 

 

소셜 네트워크 사이트

소셜 매체의 증거는 용의자의 컴퓨터, 핸드폰, 서비스 제공자의 네트워크 등을 포함해 다양한 곳에서 수집이 가능하다. 로컬 컴퓨터에서 증거를 복원하는 것은 쉽지 않다. 페이지 파일에 증거가 있을 수도 있고 INDEX.DAT 파일에 존재할 수 도 있다. 사용자의 확인 이메일은 History.IE5\Index.dat 파일에 저장되고 페이스북 프로파일은 Content.IE5 디렉토리의profile[#].htm 파일에 저장된다. 친구 검색 결과는 History.IE Index.dat 파일에 저장되어 있을 수도 있다.