Digital Forensics 글 연재 (5) - 디지털 데이터의 분류

데이터의 생성과정에 따른 증거 분류

앞서 우리가 다루었던 컴퓨터 저장장치에 생성되는 정보의 분류에 대한 논의를 해보고자한다.

 

컴퓨터에서 생성되는 데이터는 크게 2가지로 구분지을 수 있다.

 

글을 작성하다보니 데이터 <-> 증거 이 두 단어를 섞어쓰는 경향이 있는데 이 글에서는 같은 의미로 생각해주면 좋을 것 같다.

 

1. 컴퓨터가 생성한 데이터

 컴퓨터가 생성한 데이터 또는 컴퓨터에 의해 생성된 데이터, 즉 사람이 인위적으로 생성한 데이터가 아니라 컴퓨터가 정해진 로직에 따라 동작해 스스로 생성한 데이터를 일컫는다.

 예를 든다면 보안에 관심있는 여러분들이 본다면 어디선가 한번쯤 들어보았을 만한 데이터들 윈도우 시스템으로 예를든다면 이벤트 로그, 점프리스트, 프리패치, 웹로그, 입출금 기록, 통화 기록 등이 되겠다.

 분명히 사람의 행위가 개입할 수도 하지 않을수도 있지만 컴퓨터는 어떤 행위가 발생한 사실에 대해 정해진 로직을 따라 이러한 행위들을 기록하는 정보들이다. 그리고 이런 유형의 데이터는 전문법칙의 영향을 받지 않는다.

2. 컴퓨터에 저장된 데이터

위의 예시에서 벗어나는 데이터들. 예를 들면 워드프로세서로 작성된 문서, 이메일, SNS 서비스의 채팅기록 이러한 종류의 데이터는 사람이 컴퓨터라는 전자데이터를 표현할 수 있는 매체를 빌어 개인의 의견이나 생각 표현한 것으로 볼 수 있다. 따라서 전문법칙이 적용될 수 있다.

 

데이터의 유형에 따른 분류

데이터에는 다른유형의 분류또한 존재한다. 바로 저장되는 매체의 특성에 기인하는 것인데 바로 휘발성을 가지고 있는지, 또는 비휘발성인지 그리고 실시간성이 요구되는지가 바로 이러한 특성이다.

1. 휘발성 데이터

 우리가 흔히 램(Random Access Memory, RAM) 이라고 부르는 저장장치는 저장 장치이긴 하지만 우리가 생각하는 그런 상대적으로 영구적(permanent)인 특성을 가지진 않는다. 메모리에 인가된 전원이 사라지는 즉시 데이터가 소멸되기 시작하기 때문이다.

 이외에도 현재 실행 중인 프로세스, 연결 된 네트워크 정보(IP, Port, Protocol), 파일 핸들 등 이런 정보들은 컴퓨터 전원을 종료하거나, 재부팅 시 사라지는 정보들이므로 휘발성 데이터들이라 할 수 있다.

2. 비휘발성 데이터 

 휘발성 저장장치가 아닌 저장장치, 말이좀 이상하긴 한데 흔히 생각해볼 수 있는 HDD, SSD, USB 등의 저장장치에 저장된 데이터들. 클라우드에 저장된 데이터도 비휘발성 데이터로 넣지않을까? 하는 생각도 든다.

 이러한 데이터들의 특징은 저장장치에 '파일'이라는 형태로 기록되어 있으며 전원을 제거해도 이러한 데이터들이 곧바로 사라지지 않는다는 것이다. 혹자는 이런 의문이나 질문을 가질수도 있다. "HDD는 강한 자기장에 노출되면 데이터가 소실되고, SSD는 오랫동안 전원이 인가되지 않으면 서서히 데이터가 사라지는데요?" 맞는 말이다. 하지만 여기서 중요한것은 '실시간성 or 즉시성' <- (지어낸 단어다) 이라고 보면 좋을 것 같다. 당장 인가된 전원을 제거한다고 해서 저장된 파일들이 사라지거나 하지는 않으니까 말이다. 물론 전원을 껐다가 켜면 삭제되도록 설정한 특수한 상황도 존재할수는 있지만, 일반적인 상황에서 말이다.

3. 네트워크 데이터(패킷)

네트워크를 통해 통신이 이루어질때 '패킷'이라는 단위로 이루어진다. 이 패킷은 파일로 저장될 수도 있고 패킷이 분석되어 현재 시스템에 영향을 미칠 수도 있지만 패킷 자체로는 그냥 소모되고 마는 실시간성이 부여되어있는 종류의 데이터라 볼 수 있다.