오늘은 디지털 법의학 도구의 열네 번째 글입니다. 이번에는 디지털 법의학 도구 중에서 중요한 분석 기술인 타임스탬프 위조 판별에 대해서 정리하려고 합니다. 디지털 데이터에는 시간을 알 수 있는 타임스탬프가 있는데 조작이 될 수 있기 때문에 타임스탬프 위조 판별 기술이 필요합니다. 이러한 타임스탬프 위조 판별에 대해서 쉽게 설명하겠습니다.
1. 타임스탬프란 무엇인가?
타임스탬프는 디지털 파일이나 시스템에서 특정 이벤트가 발생한 시점을 기록한 메타데이터입니다. 운영체제는 보통 다음 세 가지 종류의 타임스탬프를 제공합니다:
- Created (생성일): 파일이 처음 만들어진 시점
- Modified (수정일): 가장 마지막으로 내용이 변경된 시점
- Accessed (접근일): 파일을 열거나 실행한 시점
이러한 타임스탬프는 법적 증거로도 활용되며, 사건 발생 시간과의 연관성을 보여주는 중요한 단서가 됩니다. 특히 형사 사건에서는 누가, 언제, 어떤 파일을 작성하고 접근했는지 여부가 결정적인 요소로 작용하기 때문에, 타임스탬프 분석의 신뢰성 확보는 중요합니다.
2. 타임스탬프 위조의 방식
(1) 시스템 시계 변경
가장 단순한 방법으로, 컴퓨터의 날짜 및 시간을 수동으로 변경한 뒤 파일을 생성하거나 수정하면 조작된 타임스탬프가 기록됩니다. 이 방법은 흔히 초보적인 조작 수단으로 사용되며, 사후 분석 시 시스템 로그를 통해 추적이 가능한 경우가 많습니다.
(2) 파일 속성 편집 도구 사용
특정 툴을 사용하면 파일의 메타데이터를 직접 수정할 수 있습니다. 예를 들어, BulkFileChanger, Attribute Changer 등의 도구는 손쉽게 타임스탬프를 위조할 수 있게 해줍니다. 이런 툴들은 원래는 시스템 관리자용으로 만들어졌지만, 악의적인 목적으로 악용될 여지가 많습니다.
(3) 백업 파일 활용
이전 시점의 백업 파일을 덮어쓰기하거나 원래 위치로 복원하면, 과거의 타임스탬프를 재현할 수 있어 위조로 활용될 수 있습니다. 백업을 통해 되살린 파일은 원본과 동일한 내용을 담고 있지만, 시간 정보는 과거의 것으로 덮어쓰기되므로 정밀한 분석 없이는 위조 여부를 판단하기 어렵습니다.
(4) 스크립트 또는 명령어 조작
명령줄에서 touch(리눅스), powershell(윈도우) 등을 사용하면 타임스탬프를 조작할 수 있습니다. 이 방법은 자동화된 환경에서 특히 효과적이며, 수십 개의 파일을 동시에 조작할 때 사용됩니다.
3. 타임스탬프 위조 판별 기법
(1) 로그파일과 타임스탬프 비교
이벤트 로그, 시스템 로그, 보안 로그 등과 비교하여 타임스탬프의 신뢰도를 판단합니다. 예를 들어, 파일 수정 시간보다 로그에 기록된 접근 시간이 늦다면 위조 가능성이 있습니다. 로그는 대개 자동 생성되므로 비교적 위조하기 어려운 편이며, 독립적인 증거로서 강력한 보조 역할을 합니다.
(2) 파일 시스템 분석
NTFS, ext4 등의 파일 시스템은 타임스탬프 외에도 다양한 메타데이터를 저장합니다. MFT(마스터 파일 테이블), USN 저널 등을 통해 실제 파일의 생성 및 변경 이력을 추적할 수 있습니다. 이러한 데이터는 일반 사용자 눈에는 보이지 않지만, 포렌식 분석 도구로 추출해 분석할 수 있습니다.
(3) 해시값 비교
같은 타임스탬프를 가진 파일이라도 해시값(MD5, SHA-1 등)을 비교하면 파일 내용이 달라졌는지 확인할 수 있습니다. 타임스탬프는 같지만 해시값이 다르다면 위조 가능성이 있습니다. 따라서 법적 증거로 제출될 디지털 파일은 반드시 해시값과 함께 보존해야 합니다.
(4) 메모리 덤프와의 연관 분석
RAM 메모리 분석을 통해 파일에 대한 접근 흔적이나 실행 흔적이 실제 시간과 일치하는지 검토합니다. 이는 타임스탬프 위조 판별에서 간접적인 증거로 활용됩니다. 특히 시스템이 켜져 있던 동안의 활동을 보여주는 휘발성 정보는 위조 탐지에 유용합니다.
(5) 클라우드 백업 또는 동기화 로그
Google Drive, Dropbox, OneDrive 등은 파일 변경 이력을 별도로 저장합니다. 이 기록과 로컬 타임스탬프를 비교해 불일치를 찾을 수 있습니다. 클라우드 서비스는 조작이 어려우므로 위조 여부를 판단하는 데 있어 중요한 참조 자료로 사용됩니다.
4. 타임스탬프 위조 판별 도구 소개
- X-Ways Forensics: 타임스탬프 포함 다양한 메타데이터를 분석할 수 있는 포렌식 도구
- Autopsy/Sleuth Kit: 파일 시스템 기반 분석에 적합하며, 타임스탬프 위조 판별에 자주 사용됨
- EnCase: 법적 증거 확보에 특화된 상용 포렌식 플랫폼
- Log2Timeline: 타임라인 생성 도구로, 다양한 소스의 타임스탬프를 통합 분석함
5. 사례로 보는 타임스탬프 위조 판별
(1) 사례 1: 공공기관 문서 조작 사건
문서의 생성일이 사건 발생 이후임에도 불구하고, 수정을 가한 후 타임스탬프를 조작한 것이 드러났습니다. 로그와 MFT 분석을 통해 조작 사실이 밝혀졌습니다. 이 사례는 타임스탬프만으로는 진실을 밝힐 수 없으며, 반드시 다각도의 분석이 필요함을 보여줍니다.
(2) 사례 2: 기업 내부 자료 유출 사건
직원이 기밀 파일을 외부로 유출한 후, 파일의 생성일과 수정일을 조작해 무관함을 주장했습니다. 그러나 클라우드 백업 시스템의 기록과 해시값 분석을 통해 위조가 드러났습니다. 이는 디지털 증거의 무결성 확보가 얼마나 중요한지를 일깨워줍니다.
6. 법적 효력과 주의점
- 타임스탬프 단독으로는 법적 증거로서의 효력이 약할 수 있으므로, 반드시 다른 증거와 함께 사용해야 합니다.
- 수집된 타임스탬프 데이터는 해시값으로 무결성을 검증한 후 보관해야 법적 효력이 인정됩니다.
- 조작 방지를 위한 WORM(Write Once Read Many) 장비 사용도 고려할 수 있습니다.
- 분석 및 보고 시에는 조작 가능성과 분석 한계에 대한 명확한 설명이 필요합니다.
마무리: 타임스탬프 위조 판별은 정밀한 분석이 핵심
타임스탬프 위조 판별은 디지털 포렌식에서 필수적인 분석 기술입니다. 단순히 타임스탬프 값을 확인하는 것만으로는 충분하지 않으며, 시스템 로그, 파일 시스템 구조, 클라우드 기록, 해시값 등 다양한 데이터를 종합적으로 분석해야 합니다. 위조를 식별하는 능력은 디지털 증거의 신뢰도를 결정하며, 궁극적으로 사건의 진실을 밝혀내는 열쇠가 됩니다.
앞으로 사이버 범죄가 더욱 지능화됨에 따라, 타임스탬프 위조 판별 기술 또한 고도화되고 자동화될 필요가 있습니다. 이를 위해 지속적인 연구와 훈련이 중요합니다. 특히 디지털 포렌식 전문가들은 새로운 조작 기법에 대비하기 위한 최신 기술 습득과 분석 도구 활용 능력을 갖춰야 할 것입니다.