성착취물 포렌식 해서 분석하면 어떤 결과물이 나올까요?
모바일 포렌식과 관련하여 작성하고자 합니다. 최근에 네이버 등 사이트 접속자 중에 70% 가량이 모바일 등, 포터블 기기에서 접속했다고 하는데요, 그런만큼 모바일 기기의 포렌식이 중요하게 대두되고 있습니다.
1. 왜 포렌식을 하는가
너무 당연한데, 각종 접속기록, 영상 기록, 사진 기록 등을 확보하여 범죄를 저질렀다는 것을 “증명”하기 위해 수사기관이 피의자 또는 용의자의 디지털 기기를 포렌식 하는 것입니다. 이렇게 확보된 자료는 카메라등이용촬영죄나, 아동청소년 성착취물, 또는 불법촬영물 등의 혐의를 특정하는 것에 쓰이게 되며, 이는 재판에서 주요한 증거로 사용되게 됩니다. 특히 최근들어 핸드폰 포렌식을 많이 하다보니 관련 자료들이 많이 나오고 있으나, 모바일 포렌식에 대한 기초적 지식 없이 이야기하는 부분들을 바로 잡고자합니다.
2. 최신 안드로이드 스마트폰 (UFS 등이 달린 갤럭시S2X 모델 등)의 모바일 포렌식
최근 안드로이드 스마트폰에서는 eMMC라고 불리는 기초적 저장장치가 아닌, UFS라는 파일 시스템을 사용한 플래시 메모리를 사용하여 파일들을 저장하고 있습니다. 기존보다는 복잡한 방식의 파일 시스템이나, 파일을 불러들이거나 저장하는 속도가 매우 빨라졌기에 이를 쓰는데요, 이러한 파일 시스템을 쓴다고 하여 포렌식이 더 잘 된다거나, 반대로 파일이 복구가 잘 되지 않는 다는 것은 아닙니다.
하지만, 많은 스마트폰 제조업체들이 사용자의 개인정보를 보호하기 위한 장치를 계속 추가하여 사용자가 삭제한 파일에 대해 바로바로 기록을 없애거나, 아니면 보안모드를 만들어 두는 등의 방법을 쓰고, 또 파일 자체에 대한 암호화를 하는 경우가 많은데요, 사실 이러한 기능들은 100% 신뢰를 할 수가 없으며, 바로바로 기록을 없애는 행위 (TRIM)는 기기에 달린 메모리의 성능을 현격하게 떨어트릴 수 있기에 이러한 기록의 삭제가 안될 것을 가정하셔야 하는 부분이 있습니다. 또한 국내 회사의 경우 이러한 암호화 된 파일을 개인이 푸는 것은 불가능하나 수사기관 등에는 복호화를 할 수 있는 모바일포렌식 장비가 있습니다.
3. 최신 아이폰의 모바일 포렌식
아이폰의 경우 안드로이드 스마트폰과 같은 “소프트웨어적 암호화” 뿐만 아니라 “하드웨어 암호화”를 진행하는 것으로 알려졌습니다. 애플 측에 따르면 아이폰 및 모든 기기에 탑재된 “Secure Enclave의 전용 실리콘 칩”에 이러한 파일 암호화를 하는 고유키를 저장하고 있으며, 데이터에 무단으로 접근하는 것 등을 막도록 하고 있습니다. 그렇지만 이스라엘의 셀레브라이트 사에서는 꾸준히 아이폰의 암호를 해제하고 파일을 복원하는 등의 장비를 출시하고 있는데요, 최근에는 작년 모델인 아이폰 11 (iOS13)의 복호화 및 파일 복구 장비를 발표하였습니다.
4. 성착취물 영상의 분석 방법
최근 성착취물 관련하여 영상을 분석하는 논문이 나왔습니다. 촬영에 사용된 기기, 저장을 한 기기, 유포된 메신저 또는 클라우드 서비스의 종류에 따라 파일의 변화가 어떻게 진행이 되는지, 영상 파일 내의 구조 등을 통해 확인할 수 있다는 것을 증명하였으며, 뿐만 아니라 포렌식을 진행한 기기의 시스템 로그(기록)를 통해 어떠한 경로로 유포/저장 되었는지를 확인할 수 있게 되었습니다. 즉, 여러 단계의 유포과정을 거쳤을 지라도 인코딩 등을 통해 이러한 기록들이 파일 데이터에 남아있어 추적이 가능하다는 것입니다.
5. 성착취물 유포 사건에 대한 분석
4번 항목에 대한 보충 설명으로, 성착취물 영상을 분석하였더니 아래와 같은 도표가 나왔습니다.
이 사진의 3차 구매자가 올린 링크(URL)이 신고가 되었고, 여기에 올라온 영상 파일을 분석한 결과 LINE 메신저를 통해 유포된 것을 받은 것을 확인한 수사기관은 해당 업체에 압수수색 영장을 발부하여 2차 구매자의 명의를 확보, 이후 주거지를 확인하여 PC 및 스마트폰을 압수했습니다.
스마트폰은 비록 공장초기화가 되어 영상 기록이 남지 않았고, PC에서 해당 성착취물을 찾아 분석하였더니 텔레그램을 통해 1차 구매자로부터 받은 것임을 확인했습니다.
이렇게 여러 단계에 거쳐 성착취물의 제작자 및 최초 유포자를 검거하는 것이 가능한 것이 포렌식입니다. 디지털 파일이기에 사용자의 눈으로 보이지 않은 수많은 메타데이터들이 존재하고, 포렌식은 단순히 파일을 복원하는 것이 아닌 파일 안에 있는 이러한 정보(메타데이터)들까지도 복원을 할 수 있다는 점을 명심하시길 바랍니다.
'성범죄 전문 정보 > 좆선일보, 엔번방 등 디지털 성범죄 정보' 카테고리의 다른 글
메가클라우드 해외메일, 검거 사례가 생기고 있습니다. (0) | 2021.04.15 |
---|---|
정말 좆선일보 아청물은 없었을까? (0) | 2021.04.15 |
좆선일보, 수사가 시작되었습니다. (0) | 2021.04.13 |
디지털성범죄의 위장수사는 어떻게 이루어질까? (0) | 2021.04.13 |
좆선일보 이더리움 거래내역, 벌써 추적 끝났나? (0) | 2021.04.13 |
댓글