1. 사전적 의미에서의 아티팩트
‘아티팩트’라는 용어는 넓은 범위에 걸쳐서 사용되는 용어이다. 그 사전적 의미는 다음과 같다.
1. (천연물과 대비하여) 인공물, 공예품 2. 인공 유물 3. 인위(人爲) 구조[결과], 인공 산물
또한 판타지게임이나 소설 등에서 주로 쓰이는 용어이기도 하다.
인공적인 피조물을 뜻하는 말이다. 즉, 신이 만든(곧 자연적으로 만들어진) 피조물인 'creature'와는 달리, 자연적으로 형성되지 않고 인위적으로 형성된 물건을 'artifact'라고 일컫는 것이다.
2. 디지털 포렌식에서의 아티팩트
그렇다면 디지털 포렌식에서의 아티팩트는 어떤 의미일까?
우선, 증거적인 관점에서 보면, 디지털(시스) 증거는 생성증거와 보관증거로 분류되는데, 아티팩트는 이 디지털 증거 중에서 생성증거에 해당한다고 볼 수 있다.
생성 증거는, 보관 증거와 달리 미리 정해진 시스템의 동작이나 알고리즘에 의해 생성된다. 즉, 사용자가 개입하지 않더라도여러 가지 디지털 데이터 생성 과정에서 자동으로 생성된 증거를 의미한다. 예를 들어, 윈도우 시스템의 생성 증거(아티팩트)로는 레지스트리, 프리/슈퍼패치, 이벤트 로그, 링크파일, 점프리스트 등이 있다. 즉, 이들은 윈도우 시스템에서 운영체제에 의해 자동으로 생성된 증거이다. 즉, 아티팩트(Artifact)에 해당한다.
보관증거란, 디지털 증거 중 사람이 직접 작성한 데이터를 의미하며 작성자의 사상, 감정이 표현되어 있는 경우가 많다. 예를들어, 보관 증거로는 직접 작성한 메일 내용, 블로그 및 소셜 네트워크 작성 내용, 직접 작성한 문서의 내용 등이 있다. 즉, 사용자(사람)이 직접 작성한 데이터의 내용(Contents) 그 자체를 의미한다.
참고로 문서파일 자체가 증거가 보관증거는 아니다. 문서파일을 열었을 때 사용자가 작성한 내용 자체는 보관증거에 해당하며, 이 문서파일의 메타데이터(시간정보, 사용자정보 등의 속성정보)은 생성증거에 해당한다.
3. 아티팩트의 활용
보관 증거의 경우, 사용자의 고의가 들어간 데이터이기 때문에, 전문증거에 해당하여 증거로 채택되기 어렵다. 즉, 전문증거가 증거로서 인정받기 위해서는 전문법칙 예외 규정을 따져봐야 한다. 반면에, 생성 증거(아티팩트)의 경우 전문법칙이 적용되지 않아 증거로서 그 가치가 매우 높다.
생성증거인 아티팩트는 기기의 최종 사용자의 활동에 따라 남겨지는 항목으로, 필요한 경우에 한해 흔적 또는 발자국(Foot Print)으로 볼수도 있다. (즉, ‘흔적’은 ‘아티팩트’에 포함되는 개념)그러나 (전문가가 아닌)일반 사용자는 일반적으로 이러한 아티팩트 존재한다는 사실을 알지 못하는 경우가 대부분이며, 그렇기 때문에 보관증거에 해당하는 내용(Contents)과 달리 아티팩트를 액세스하고 조작하기가 어렵다. 결과적으로, 아티팩트를 고려하여 증명의 유효성이 훨씬 더 높아질 수 있다.
디지털 아티팩트 사용 방법
- 아티팩트는 보관증거 또는 내용(Content)의 정보를 확증하는 데 사용된다.
- 아티팩트는 내용(Content)이 없는 것을 밝힐 수 있다..
- 아티팩트는 개인의 의도 또는 마음 상태를 나타낼 수 있습니다. 여기에는 인터넷 검색이 수행 된 내용과 방문 또는 조사 된 웹 페이지가 포함된다.
예를 들어, 웹 검색 키워드에서 얻은 디지털 아티팩트가 다음과 같다고 하자.
"아내 + 살인 + 보험금"
"해외도피 사례"
"언제 화재가 가장 좋은시기인가"
"방화로 당신의 흔적을 감추는 법"
이와 같은 검색 키워드가 추출되었다면, 수사관 또는 분석관은 이 PC의 사용자가 “범인은 아내를 살해하여 보험금을 타내려고 했군. 그리고 방화를 해서 자신의 흔적을 지우려고 했을 수도 있겠구나. 그리고 해외로 도피할 계획을 하고 있었나보군.”과 같이 분석해볼 수 있을 것 이다.
관련 자료 :
디지털 포렌식에서의 아티팩트(Artifact)
Reviewed by Polynomeer
on
오전 12:37
Rating:
Reviewed by Polynomeer
on
오전 12:37
Rating:
댓글 없음: