Daily Archives: 2013-05-23

You are browsing the site archives by date.

[포렌식] 분석툴(Encase, FTK 등)이 알려주지 않는 진실

포렌식을 잘 알지못하는 사람들은 고가의 분석툴만 있으면 정보유출 흔적, 내부부정 등을 찾아 낼수 있다고 알고 있다.
하지만, 실제 많은 케이스 분석결과 분석툴보다는 회사내에서 사용하는 시스템에서 대부분의 결정적인 증거가 발견되었다.
한가지예로, 자체 개발해서 사용하고 있는 메신저 대화내용에서 많은 흥미로운 진실들을 밝혀 낼 수 있었다.
이러한 메신저의 구조를 아는것이 무엇보다도 중요하다. 대화기록은 디폴트로 저장되는지 데이터 파일이 디비 형태로 있는지 등등을 파악하는것이 필요하다.

또한, 최근 정보보안에 많은 기업들이 투자를 하고 있다. 특히 문서보안(DRM)을 도입한 기업의 경우에는 파일들이 암화되어 분석툴에서 분석을 해주지 못한다.
즉, 키워드 검색이 불가능하다. 이럴 경우에도 내부 시스템을 잘 알고 있다면 별도의 다른 방법으로 쉽게 해결이 가능하다.

마지막으로, 회사내부에서 사용하고 있는 그룹웨어, 이메일, 정보유출방지 시스템, 방화벽 로그 등을 적절히 활용한다면 만족할만한 결과를 얻을 수 있을 것이다

Keep going with Staying Power