아티팩트 이야기

 내가 아티팩트를 설명할때면 항상 이 관점을 같이 얘기 하는데, 우리가 얘기하는 컴퓨터 시스템의 아티팩트는 그 모든것들이 디지털 포렌식 분석을 위해 생겨나거나 남기는 것은아니다. 이러한 관점을 항상 독자분들도 생각을 하면 좋을것 같다.

 

아티팩트란.. 

우선 아티팩트란 무엇인가 하는 내용을 짚고 넘어가는게 중요하지 않을까 한다. 

artifact

 구글에 아티팩트라는 단어를 검색해보면 위와 같은 결과를 확인할 수 있다. 정리해보자면 '자연적으로 발생한 것이 아닌 사람의 활동으로 인해 인위적으로 생겨난 무언가' 라는 뜻이라고 볼 수 있으며 이를 한국어 한 단어로 번역하자면 '인공물'이 되겠다. 참 무미건조하지만 그 뜻만 생각한다면 적절한 번역이 아닐까 하는 생각이 든다.

 그럼 컴퓨터 시스템에서 그리고 디지털 포렌식 적인 관점에서의 아티팩트란 무엇일까. 위의 정의와는 약간은 다른 부분이 있을 수도 있는데 전체적인 맥락은 비슷하다. 컴퓨터가 동작함으로 인해서 생성되는 어떤 데이터들 컴퓨터가 남기는 데이터가 될 수도 있고 사람이 남기는 데이터가 될 수도 있다.

 컴퓨터가 남기는 데이터라 함은 업데이트로 인해 생성 삭제되는 파일들과 그런 기록들 각종 로그들, 이벤트들, 에러리포트들 등 'human being'이 아닌 그 모든것들을 컴퓨터가 남기는 데이터라 할 수 있다.

  그럼 사람이남기는 데이터란 무엇일까. 예를 들자면 MS Excel을 켜서 무언가 데이터를 입력한 후 로컬에 파일을 저장했다. 또는 메모장에 에 어떤 내용을 기록한 후 파일을 저장했다. 이런 것들이 될 수있겠다.

 약간의 차이를 더 살펴보자면 어떤 사람이 엑셀 파일 저장을 눌렀을 때 NTFS파일 시스템에서는 $MFT라는 파일에 해당 엑셀 파일의 메타데이터를 기록한다. 이럴 때 엑셀 파일 자체는 사람이 남긴 데이터가 되지만 이 파일에 대한 $MFT의 데이터는 컴퓨터가 생성한 데이터가 되겠다. 그리고 이를 우리는 생성 증거와 보관 증거로 구분짓는다.

 이런것들을 왜 아티팩트라 부르는것일까 왜 한국어로 부르지는 않을까? 하는 생각보 해 본적이 있지만 왜그런지는 사실 잘 모르겠다. 이바닥에 너도나도 아티팩트라는 용어를 사용하기 때문에 소통하기 편하려면 아티팩트라고 부르는것이 적절하지 않을까 싶기도 하고. '언어의 사회성'적인 특징이 아닐까 싶다.

 

아티팩트를 보는 관점

 예를 들자면 윈도우즈의 이벤트로그, WER 같은것들은 오류 진단 하드웨어스럽게 얘기한다면 고장 탐지를 위해 기록을 남기는 것은 맞으나, 이것이 꼭 디지털 포렌식만을 얘기하는 것은 아니다. 

 NTFS 파일시스템에서 중요한 아티팩트를 꼽자면 거의 항상 최상위가 아닐까 하는 $MFT와 Jumplist는 사실 디지털 포렌식적인 목적이 전혀 없는 아티팩트라 보아도 틀리지 않을 것이다. $MFT는 NFTS파일 시스템에서 파일 메타데이터를 기록하기위한 파일이고, Jumplist는 사용자의 편의를 위해 기록되는 데이터니까.

 리눅스 시스템에서도 비슷한 관점들을 생각해볼 수 있다. 

 리눅스 시스템에서 auth.log나 kern.log(dmesg)는 누군가의 로그인 시도 기록과 성공 실패여부 또 시스템에서 발생하는 이슈들을 기록하는 데이터다. 이는 사용자 또는 관리자로 하여금 이 시스템을 파악하는데 도움을 주기위해 기록한다고 볼 수 있다.

 그럼 init.d(또는 systemd), cron, service (또는 systemctl) 관련 파일들은 어떤가? 이는 시스템의 운용 및 유지 또는 사용자의 편의를 위해 사용되지만 공격자의 'Persistance'를 목적으로 사용되기도 하며 따라서 우리는 이런 데이터들을 중요한 아티팩트로 다루고 있다.

 

 이 글을 읽는 독자라면 이런 관점들에 대해서 자신만의 생각을 잘 정리해보면 좋을것 같다는 생각이든다.

 앞으로 아티팩트 특징과 분석에 관한 이야기들을 포스팅으로 쭉 풀어보겠다.

 

* 다만 이 모든것은 필자의 개인적인 관점이며 의견이란 것을 알아주었으면 좋겠다.