이번에 리뷰 해볼 논문은 한국정보과학회에 2021년에 투고된 IoT 기기 플래시 메모리의 Ext4 파일 시스템을 위한 디지털 포렌식 절차 라는 논문이다.
논문 원문은 아래의 주소에서 확인해 볼 수 있다. URL : https://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE10594624
<aside> 3️⃣ Ext4 파일시스템에 대한 binwalk 의 카빙 능력이 조금 부족하다. 그렇기 때문에 binwalk 를 조금 수정해서 IoT기기에서 파일시스템을 추출해야하거나, 다른 방법으로는 플래시 메모리를 디솔더링(Desoldering)을 진행해서 파일시스템을 추출하는 방법이 있다.
</aside>
최근 급격한 통신기술의 발달에 따라 IoT(Internet of Things)의 확산이 가속화되고 있으며 IoT 기기는 인간의 삶과 밀접한 분야에서 활용되어 범죄 및 사고 경황 정보 조사에 적극적으로 활용되고 있다. 하지만 IoT 기기는 상이한 규격으로 인해 실제 현장에서 사용될 수 없는 추상적인 방법론을 제시하는 연구가 대부분이다. 펌웨어 분석을 진행할 때 사용하는 도구로 binwalk 도구를 사용하는데 해당 도구는 ext4 파일시스템에 대한 분석 및 추출을 제대로 수행하지 못하고 있다. 이러한 문제점을 해결하기 위해 binwalk의 올바른 ext4 파일 시스템 추출 및 분석방안을 제시하고 이를 이용해 실제로 IoT 기기(DJI Phantom 4 Pro V2.0 Drone)의 플래시 메모리로 부터 ext4 파일 시스템을 추출하는 절차를 제안한다.
IoT, digital forensic, digital forensic process, ext4 file system
최근 급격한 속도로 발전된 통신기술은 새로운 패러다임인 IoT(Internet of Things)의 확산을 가속화 하고 있다. IoT는 상이한 영역 간 사물들이 인간의 명시적 개입 없이 사물-사물 혹은 사물-사람 간의 상호 정보 교환하며 지능적 서비스를 제공할 수 있는 통신 및 기기 인프라 기술로 정의 할 수 있다. 특히 사용자와 밀접한 서비스를 제공하는 IoT의 특성상 사용자에게 발생할 수 있는 범죄 및 사고에 대해 데이터 기반의 경황 정보 조사에 적극적으로 활용 되고 있다.
IoT 기기가 설치된 환경에서 범죄나 사고 발생시 사용자 주변 IoT 기기에는 범죄 및 사고 정황과 밀접한 중요 데이터가 저장될 수 있다. 그렇기 때문에 범죄 및 사고에 대한 경황 정보 조사를 위해 IoT 기기에 대한 디지털 포렌식의 중요성이 부각되어 있다.
IoT 기기는 목적에 따라서 상이한 하드웨어 및 소프트 웨어 규격을 가지기 때문에 일반화된 디지털 포렌식 절차 수립이 필요하다. 다양한 연구가 진행 되었지만, 이론적 접근을 통해서 추상적인 방법론을 제시하고 있어서 실제 환경 및 현장에 적합하지 않다는 문제점이 있다.
일반적인 디지털 포렌식은 JTAG, UART 등 기기 개발 당시에 사용하던 디버그 인터페이스를 통해서 수행된다. 하지만 최신 사용 IoT 기기는 보안성 강화를 위해서 디버그 인터페이스를 숨기거간 삭제를 하기 때문에 일반적인 디지털 포렌식 방법을 적용할 수 없다. 사전 연구에서 상용 IoT기기에서 디버그 인터페이스를 삭제 및 은닉하였음을 확인해 볼 수 있었고, 그렇기 때문에 IoT 기기에서 저장매체 역할을 하는 플래시 메모리로 부터 직접 데이터를 추출하는 방법을 사용한다.
플래시 메모리 통신 인터페이스 방식에 따라서 datasheet를 기반으로 칩에 있는 pin의 기능과 command를 확인 가능한 경우 모듈에 내장하는 arduino(아두이노), raspberrypi(라즈베리파이)를 통해서 이미지를 추출할 수 있다. 또한 열을 가해 기기로 부터 직접 플래시 메모리를 획득할 수 있는 디솔더링(desoldering) 방식을 통해서 전용 socket을 통해 추출하는 것도 가능하다.
IoT 기기에서 사용하는 파일시스템은 ext4, JFFS2, SquashFS 등을 사용하는데 많은 기능을 필요로 할때에는 ext4 파일시스템을 사용한다. 하지만 파일시스템을 추출할때 대부분 많이 사용하는 도구가 binwalk 인데, 최신 revision까지도 ext4 파일시스템에 대한 분석이 불가능한 경우가 있다.
해당 논문에서는 사전식별, 식별 정보를 바탕으로 메모리 이미지 덤프, 덤프한 이미지로 부터 ext4 파일시스템 추출 및 파일 시스템 마운트 순서로 IoT 기기의 플래시 메모리에서 실제로 사용할 수 있는 디지털 포렌식 절차를 제안한다.
Ext4 파일시스템은 Ext3 파일 시스템에서 확장성 및 안정성을 향상 시키고 디스크 용량 증가 및 여러 기능을 향상 시키기 위해서 개발 되었다. 기본적으로 리눅스 배포판의 기본 파일 시스템으로 사용 중이다.