초기화된 모바일, 사진 및 동영상, SNS 등 이전 기록물은 남아 있지 않아

‘모바일 포렌식(Mobile Forensics)’은 디지털(Digital) 포렌식 기술이 스마트폰, 태블릿PC 등의 모바일 기기 분석으로 확장된 것이다. 모바일 기기에서 범죄 단서나 증거를 찾아내는 과학수사 기법이다. 스마트폰의 대중화와 다양한 모바일 기기 증가로 인해 그 중요성 및 필요성이 급격히 증가하고 있다.

주요 증거분석 유형은 다양하다. 모바일 기기로 촬영된 사진과 동영상 등의 복원, 문자메시지, 메신저(카카오톡, 텔레그램 등)를 통한 자료 등의 수·발신 기록, SNS(페이스북, 인스타그램 등), 클라우드, 웹 브라우저를 통한 업로드·다운로드 기록 등이다. 모바일 기기를 이용해 주고 모든 정보가 거의 해당된다.

모바일 기기에 기록된 데이터는 다양한 방법과 원인으로 삭제되거나 은닉될 수 있다. 대표적으로는 물리적 훼손, 잠금 상태(패턴, 비밀번호 잠금 등), 초기화된 상태가 있다. 물리적으로 훼손된 모바일 기기는 외부 충격에 의해 파손된 상태, 물에 침수나 부식된 상태, 열에 의해 손상된 상태 등으로 크게 분류할 수 있다.

이렇게 훼손된 기기는 훼손된 부품을 교체해 데이터를 획득할 수 있다. 고난도의 JTAG(제이택) 등 기술 방식으로 데이터를 획득하기도 한다. 잠겨있는 모바일 기기는 잠금 상태를 우회해 데이터를 획득하는 방법, 잠금 암호를 추적해 잠금 해제나 데이터를 획득하는 방법, 잠금 상태에서 데이터를 획득하는 방법 등을 시도한다.

잠금 상태를 우회해 데이터를 획득할 수 있는 모바일 기기는 데이터를 획득하고 분석하는 과정에 있어 큰 어려움이 없다. 잠금 암호를 추적하거나 해제해 데이터를 획득하는 경우에는 특정 암호를 풀기 위해 가능한 모든 값을 대입하는 방식(Brute –Force Attack)으로 접근한다.

패턴 잠금 및 4자리의 숫자로 잠긴 모바일 기기는 입력 방법의 수가 많지 않아 암호 추적이 가능하다. 문자 포함 자릿수가 늘어나면 잠금 해제에 오랜 시간이 걸린다.

잠금에 사용됐을 만한 정보나 단어를 입력해 암호를 알아내거나 해제하는 컴퓨터 공격법(Dictionary Attack)으로 시도한다. 암호 해제가 어려운 상태의 모바일 기기는 잠금 상태에서 데이터를 획득하는 방법을 시도하기도....................[정순채 칼럼] 모바일 포렌식 증거분석 기본은?  SDG뉴스(http://www.sdgnews.net)