새로운 OS 환경은 일반 사용자들, 특히 범죄와 연루된 사용자들에게는 희소식일지도 모릅니다. 하지만, 범죄를 수사하는 포렌식 수사관들 입장에서는, 곤혹스러운 변화가 아닐 수 없죠. 분명 이 기기 안에 범죄를 증명할 데이터가 있을 것이라 확신해도, 기기 보안에 데이터 추출이 실패해버리면 범죄를 증명할 수 없기 때문입니다.
Cellebrite는 이러한 포렌식 조사원들의 노고를 잘 이해하고 있습니다. 그래서, Windows OS를 이용하는 기기는 물론, Apple Silicon과 macOS 12로 무장한, 최신의 잠긴 Apple 기기에서도 물리 추출과 논리 추출 모두를 가능하게 해주는 솔루션을 제공하고 있습니다. 그리고, 당연하게도, 이러한 수준의 솔루션은 오직 Cellebrite만이 제공해주고 있습니다. Cellebrite는 비교를 불허 하는 압도적인 기술력으로, 업계 유일의 포렌식 솔루션을 여러분들에게 제공합니다.
오직 Cellebrite 만이 하드웨어 레벨에서 암호화가 된 보안 장치를 우회하여 물리적 데이터 추출을 시행할 수 있습니다. Cellebrite가 제공하는 Digital Collector를 통해 이러한 기기의 데이터를 추출해낼 수 있습니다. 현재 Digital Collector는 Apple Sillicon과 M1을 지원합니다. 최신 Mac기기와 macOS 12에 대한 추출도 지원하며, 구동 중인 macOS 시스템에 대한 이미지 물리 추출 기능을 제공하고, macOS 10.13 버전까지의 구 버전에 대한 추출도 지원하고 있습니다.
오늘은, 이 Digital Collector를 통해 어떻게 최신 Mac으로부터 데이터를 추출 하는지 가이드라인을 제공해드리고자 합니다.
1) 여러분의 Digital Collector 동글을 연결하시고, 전원 버튼을 길게 눌러 Recovery Mode에 진입하십시오.
그럼 화면과 같이 부팅 화면에 DC ARM Boot 메뉴가 떠오를 것입니다. 이제 이 메뉴를 클릭하여 Digital Collector로 부팅 하십시오. 그럼 다음과 같이 친숙한, Digital Collector의 Pre-boot모드로 진입하는 것을 확인하실 수 있으실 겁니다.
2) 이미지 메뉴로 들어가, (필요하다면 볼륨 잠금을 해제하고) 추출 진행하기
이미지 메뉴로 들어가시면, 다음과 같이 볼륨 목록이 올라올 것입니다. 기본적으로, 여기서 원하는 볼륨을 골라 데이터 이미징을 시작하시면 됩니다. 하지만 보시는 것과 같이 볼륨이 잠겨 있을 수도 있습니다.
그럴 경우 Tools 메뉴에서 잠금해제(unlock)하고자 하는 볼륨을 선택한 뒤 Unlock Selected Device(Read Only) 버튼을 눌러 볼륨을 잠금 해제 하시면 됩니다. 이때, 조사원은 사용자 비밀번호나 복원 키를 기입해야 할 수 있습니다.
이 뿐만 아니라, Digital Collector 는 "Live" 수집 모드를 지원합니다. 이미 로그인 된 기기를 조사하거나, 모종의 이유로 시스템을 끌 수 없거나, recoveryOS 비밀번호 및 펌웨어로 기기가 보호 받고 있을 때, 조사원은 Live 수집을 통해 추출을 진행할 수 있습니다.
Live 모드로 수집을 진행할 경우, 쓰기 명령을 방지하기 위해 이미지를 복사해오는 동안 화면이 멈춰있는 것처럼 보일 수 있습니다. 이는 그렇게 설계된 것으로, 이미징이 끝날 때까지 그대로 내버려 두시면 됩니다. 물론, 이미징 중에는 컴퓨터가 꺼지거나 하는 등의 불상사를 막기 위해, 전력 공급에 주의해야 합니다.
이런 "Live" 추출을 진행하는 것은 간단합니다.
1) Digital Collector 동글을 삽입하고, MacOS App 볼륨을 실행합니다.
그러면 익숙한 pre-boot 환경 화면이 떠오를 것입니다.
2) Digital Collector를 실행합니다.
이때 관리자 비밀번호를 기입해야 하실 수도 있습니다.
3) 이미징을 실행합니다.
그럴 경우 위와 같이 경고 표시가 뜰 수 있습니다. 여기서 Continue를 눌러주시면, 이미징이 진행됩니다. 이미 시스템에 볼륨들이 마운트된 상태이기 때문에, 이전처럼 잠금 된 볼륨을 잠금 해제 할 필요는 없을 것입니다.
이와 같이 Digital Collector는 다른 포렌식 도구들과의 비교를 거부하는 사용자 경험을 조사원들에게 제공해줄 것입니다. Digital Collector는 명실공히 세계에서 독보적인 macOS 추출 도구이기 때문입니다.
이 자리를 빌어 Digital Collector를 소개해드리게 된 만큼, Digital Collector 3.3으로의 업데이트에서 바뀐 Digital Collector의 면면도 잠깐 소개해드리고자 합니다.
Digital Collector는 이전 버전까지 기본 파일 포맷으로 NTFS 포맷을 사용했습니다. 이는 분석 과정에서 최대한의 호환성을 보장하기 위해서 였습니다. 하지만 macOS에서는 데이터를 NTFS 포멧으로 바로 추출할 수 없다는 단점이 있습니다.
그럼에도 불구하고 Cellebrite가 이전에 exFAT 포맷을 권장하지 않았던 것은, 변환 과정에서 데이터가 훼손되는 이슈가 많이 발생했어서였습니다. 하지만, Cellebrite는 현재 그러한 문제들을 보완해냈습니다. 그렇기 때문에, 지금 시점에서는 exFAT 포맷을 사용하는 것이 더 유용할 것이라 판단됩니다. 따라서, Cellebrite 사는 Digital Collector 3.3 버전을 출시하며, 포맷 기본값을 exFAT으로 설정하게 됐습니다.
또 M1 칩에 관련된 이슈에 대한 공지도 있습니다.
M1 시스템은 이미징 프로세스에서 에러를 야기할 수 있는 하드웨어/소프트웨어적인 버그를 몇 가지 가지고 있습니다. 그로 인해서, 마지막 1개에서 3개의 데이터 블록이 읽을 수 없는 형태가 되기 쉬웠습니다. 보통은 사용되지 않거나 할당되지 않은 공간이죠. 이에 대한 자세한 내용은 device.log를 확인해 주시길 바랍니다.
그리고 M1 시스템을 이미징할 때, 써드 파티의 저장소를 이용할 경우 호환성 문제가 일부 발생하는 것을 확인했습니다.
Digital Collector 동글에는 모두 정상적으로 작동합니다. 하지만, 써드 파티 저장소를 사용할 경우 일부 저장소에서 데이터의 오염이나, 이미징 중 저장소가 연결 해제되는 경우가 발생할 수 있습니다. 만약 써드 파티 저장소를 사용하고자 하신다면, 현장에 저장소를 투입하기 전에 꼭 호환성을 확인해 보시길 바랍니다.
오늘도 더 나은 내일과, 더 안전한 내일을 위해 노력해주시는 모든 수사관분들과 민간인 조사원 분들께 감사를 표합니다. 여러분의 노고는 잊지 않겠습니다. 하지만, 저희 Cellebrite 사의 Digital Collector만이, 최선의 결과를 가져다 주는 것을 꼭 기억해주시길 바랍니다. 더 나은 내일, 더 안전한 내일을 위해, 최선을 다하겠습니다.
더 많은 문의를 위해 지금 연락해 보세요.
CellebriteKorea.com
Digital Collector를 활용하여 Mac OS 데이터 추출하기
1. Digital Collector 동글 연결 후, 전원 버튼을 길게 눌러 Recovery Mode로 진입하기
2. DC ARM Boot 메뉴에 진입하여 Digital Collector로 부팅하기
3. 이미지 메뉴로 들어가 (필요하다면 볼륨 잠금해제 하기) 추출 진행하기
3-1. 볼륨이 잠금해제 되어있다면 > Tools 메뉴에서 잠금해제 하고자하는 볼륨을 선택한 뒤 Unlock Selected Device(Read Only)버튼을 눌러 볼륨을 잠금해제하기
Live Data 추출하기
1. Digital Collector 동글을 삽입하고, Mac OS App 볼륨을 실행하기
2. pre-boot 환경화면에서 Digital Collector 실행하기 (필요하다면 관리자 비밀번호 기입하기)
3. 이미징을 실행하기
Windows OS , Apple Silicon, mac OS 12 물리,논리 추출가능
Digital Collector를 통해 최신 Mac으로부터 데이터를 추출 하는 가이드라인(일반추출, Live추출방법)
Digital Collector 3.3업데이트 변경 점 (포맷 기본값 형식 변경: NTFS포맷 - > FAT포맷)
M1칩 이슈: 서드파티 저장소 사용하는 경우 일부 저장소에서 데이터 오염이나, 이미징 중 연결 해제 발생 가능하니 사전에 호환성 확인