[6주차] 디지털포렌식 1팀 - 디보

Magnet AXIOM은 디지털 포렌식 전문가들에게 필수적인 도구로, 다양한 플랫폼에서 효율적으로 데이터를 수집하고 분석하는 기능을 제공한다. Magnet AXIOM을 깊이 이해하고 사용하는 것은 디지털 증거 분석의 정확성화 효율성을 크게 향상시킬 수 있다. 이 도구는 복잡한 데이터 환경에서도 명확한 증거를 신속하게 찾아내는 데 적합하며, 법적 절차에서 필요한 수준의 신뢰성과 일관성을 제공한다.

---

1. Magnet AXIOM의 개요 및 주요 특징

Magnet AXIOM은 다양한 소스에서의 데이터 수집 및 분석에 중점을 두고 있다. 이 도구는 컴퓨터(Windows, macOS, Linux), 모바일 장치(Android, iOS), 클라우드 서비스(예: Google, Microsoft 계정)와 같은 다양한 데이터 소스를 지원힌다. 이를 통해 법 집행 기관, 기업 보안 팀, 정부 기관 등에서 데이터 보안과 사건 조사를 위해 널리 사용되고 있다.

 

주요 특징:

• 광범위한 데이터 수집: AXIOM은 단순한 파일 시스템 분석을 넘어 브라우저 기록, 소셜 미디어 활동, 이메일, 앱 사용 내역 등 다양한 아티팩트를 수집한다.
• 강력한 검색 및 필터링: 특정 키워드, 날짜 범위, 파일 형식 등을 기준으로 데이터를 신속하게 검색할 수 있어 분석 시간을 단축한다.
• 타임라인 기능: 사건이 발생한 시간을 기반으로 분석할 수 있어, 사건의 흐름을 이해하는 데 유용하다. 이는 특히 사건 전후의 활동을 추적하거나 주요 사건이 발생한 시점을 정확히 파악하는 데 도움이 된다.
• AI 기반 자동화: Magnet.AI 기능은 사진과 동영상 데이터를 자동으로 분류하며, 텍스트나 특정 패턴 인식을 통해 중요한 데이터를 식별하는 데 기여한다. 예를 들어, Magnet.AI는 아동 보호 사례에서 민감한 미디어 파일을 자동으로 탐지할 수 있다.
• 포렌식 이미지 지원: 다양한 포렌식 이미지 형식(E01, L01, AFF 등)을 지원해 다른 도구에서 수집한 데이터를 불러오고 분석할 수 있다.

---

2. AXIOM Process: 심층적인 데이터 수집 및 처리

2.1. 케이스 생성 및 증거 소스 설정 AXIOM Process를 실행하면 새로운 케이스를 생성하거나 기존 케이스를 불러오는 옵션이 제공된다. 케이스 생성 시에는 케이스 이름, 저장 경로, 사건 번호 등 필요한 정보를 입력한다. 이 과정에서 증거의 출처와 중요성에 따라 데이터를 체계적으로 관리할 수 있다.

2.2. 증거 소스 선택

• 컴퓨터 증거 수집: 하드 디스크, 메모리 덤프, 파일 시스템, 특정 폴더 등의 데이터를 수집할 수 있다. 예를 들어, 하드 디스크의 특정 파티션을 분석하거나 RAM에서 실행 중인 프로세스를 추적할 수 있다.
• 모바일 장치 수집: Android 장치의 경우 ADB(Android Debug Bridge)를 통해 연결하여 데이터를 추출한다. iOS 장치의 경우 iTunes 백업 데이터를 사용하거나, 장치 내 데이터를 직접 추출할 수 있다. 여기에는 사진, 메시지 기록, 앱 데이터 등이 포함된다.
• 클라우드 서비스: 사용자의 인증 정보를 통해 Google Drive, iCloud, Dropbox와 같은 클라우드 스토리지에서 데이터를 수집할 수 있다. 이 과정에서 OAuth 인증을 사용하여 데이터 보안을 유지한다.

2.3. 처리 옵션 및 분석 세부 설정

• 해시 값 계산: 데이터를 분석할 때 파일의 무결성을 보장하기 위해 해시 값(MD5, SHA-1, SHA-256 등)을 계산한다. 해시 값은 포렌식 분석에서 파일이 변조되지 않았음을 증명하는 데 사용된다.
• 사진 및 동영상 분류: Magnet.AI를 사용하여 사진과 동영상을 자동으로 분류한다. 예를 들어, 얼굴 인식이나 특정 객체 탐지를 사용해 사건과 관련된 사진을 빠르게 식별할 수 있다.
• 추가 아티팩트 검색: 아티팩트는 웹 브라우저 캐시, 애플리케이션 로그, 시스템 파일 등 다양한 형식으로 존재할 수 있으며, 추가 옵션을 설정해 심층 분석을 수행한다.

2.4. 스캔 및 데이터 처리 모든 설정이 완료되면 스캔을 시작힌다. 스캔은 수집한 데이터를 심층적으로 분석하며, 파일 시스템의 숨겨진 데이터, 삭제된 파일 복구, 암호화된 파일 해독 등을 수행한다. 이 과정에서 데이터가 자동으로 정리되고 분석 준비가 완료된다.

---

3. AXIOM Examine: 강력한 데이터 분석 및 시각화

AXIOM Examine은 수집된 데이터를 분석하는 데 사용됩니다. 이 모듈은 데이터를 직관적으로 탐색하고, 필터링하며, 시각화하는 다양한 기능을 제공한다.

 

3.1. 데이터 탐색 및 아티팩트 분석

• 아티팩트 탐색기: 수집된 아티팩트를 범주별로 나누어 탐색할 수 있다. 예를 들어, 웹 브라우저 활동을 분석할 때 방문한 웹사이트, 다운로드 기록, 저장된 비밀번호 등을 볼 수 있다. 소셜 미디어 아티팩트는 사용자의 메시지 기록, 포스트, 댓글 등으로 분류된다.
• 파일 분석: 파일의 메타데이터, 생성 및 수정 시간, 파일 경로 등 세부 정보를 제공한다. 파일 내 숨겨진 데이터를 탐지하고, 파일이 삭제되었거나 이동된 경우에도 복구 및 분석이 가능하다.

3.2. 타임라인 기능 타임라인 기능은 사건 발생 순서대로 데이터를 시각화해준다. 예를 들어, 특정 시점에 발생한 여러 이벤트를 한눈에 볼 수 있다. 타임라인 분석을 통해 사용자의 활동 패턴을 분석하고, 중요한 사건이 발생한 정확한 시간대를 파악할 수 있다. 이는 디지털 범죄 조사나 사건의 흐름을 이해할 때 매우 유용하다.

 

3.3. 데이터 필터링 및 검색

• 고급 필터링: 날짜 범위, 파일 유형, 특정 사용자 계정 등 다양한 조건을 설정해 데이터를 필터링한다. 키워드 검색을 통해 방대한 데이터 중에서 필요한 정보를 빠르게 찾을 수 있다.
• 정규 표현식(Regex) 사용: 특정 패턴의 데이터를 검색할 때 유용하다. 예를 들어, 이메일 주소나 전화번호 패턴을 찾는 데 사용할 수 있다.

3.4. 태그 및 북마크 관리 중요한 아티팩트나 증거를 태그하거나 북마크해 두면, 나중에 쉽게 접근할 수 있다. 이는 방대한 데이터를 분석할 때 필수적인 기능이며, 사건의 핵심 증거를 빠르게 찾는 데 도움이 된다.

 

3.5. 보고서 생성 및 공유

• 보고서 생성: 분석 결과를 다양한 형식(PDF, HTML, CSV 등)으로 내보낼 수 있다. 보고서는 사용자의 필요에 맞게 커스터마이징할 수 있으며, 특정 아티팩트나 분석 결과만 포함하도록 설정할 수 있다.
• 자동 보고서 미리보기: 보고서를 작성하기 전에 미리보기 기능을 사용해 정확성을 확인할 수 있다. 이를 통해 불필요한 수정 작업을 줄이고 효율성을 높인다.

---

4. Magnet AXIOM을 효율적으로 사용하는 팁

4.1. 분석 전략 수립

• 데이터를 분석하기 전에 원하는 결과와 관련된 우선순위를 정한다. 특정 데이터 소스나 파일 유형을 분석하는 것이 사건 해결에 중요한 경우, 해당 데이터를 먼저 분석하는 것이 효율적이다.
• 분석 프로파일 설정: 자주 사용하는 필터, 검색 조건, 보기 설정을 저장해 두면 향후 분석 작업에 유용하다.

4.2. 자동화 및 AI 기능 활용

• Magnet.AI: 텍스트, 사진, 동영상을 분석할 때 AI 기능을 활용하면 자동화된 작업으로 시간을 절약할 수 있다. Magnet.AI는 기계 학습 알고리즘을 사용해 증거 데이터를 분석하고 분류한다.
• 정규 표현식 사용: 키워드 검색 외에도 정규 표현식을 활용해 특정 패턴의 데이터를 찾으면 분석 작업이 더욱 효율이다.

4.3. 시스템 성능 최적화

• 하드웨어 업그레이드: AXIOM은 많은 시스템 리소스를 소모하므로, 분석 속도를 높이기 위해 32GB 이상의 RAM과 SSD 사용을 권장한다. SSD는 데이터 검색 및 처리 속도를 크게 향상시킨다.
• 임시 파일 경로 관리: 임시 파일 저장 경로를 SSD로 설정해 분석 속도를 최적화한다. 이로 인해 데이터 읽기/쓰기 속도가 빨라진다.

4.4. 협업 및 데이터 공유

• Magnet AXIOM은 팀 협업 기능을 제공하여 분석 결과를 쉽게 공유할 수 있다. 이 기능을 사용하면 팀원들과 의견을 교환하거나 피드백을 받을 수 있다. 또한, 다른 포렌식 도구와의 호환성이 높아 FTK Imager, EnCase 등과 연동하여 사용할 수 있다.

4.5. 교육 및 커뮤니티 활용

• Magnet Forensics는 다양한 교육 자료와 사용자 가이드를 제공한다. 웨비나, 공식 문서, 블로그 등을 활용해 최신 기능을 배우고 전문성을 높일 수 있다. 또한, 사용자 커뮤니티에 참여해 다른 전문가들과 경험을 공유하거나 문제 해결 방안을 논의할 수 있다.

---

5. Magnet AXIOM 단축키 및 효율적 사용

작업 속도를 높이기 위해 다양한 단축키가 제공된다. 다음은 주요 단축키이다:

 

AXIOM Examine 단축키

• Ctrl + F: 검색 창 열기
• Ctrl + P: 보고서 인쇄
• Ctrl + Shift + T: 타임라인 보기 전환
• F5: 데이터 새로 고침
• Ctrl + E: 증거 내보내기
• Ctrl + + / -: 줌 인/줌 아웃

AXIOM Process 단축키

• Ctrl + N: 새로운 케이스 생성
• Ctrl + O: 기존 케이스 열기
• Alt + E: 증거 추가
• Ctrl + R: 스캔 시작