예전 국내 시장에 다양한 포렌식 이미징 장비가 사용됐지만 최근에는 다음과 같이 몇개의 제품으로 수렴되어 가고 있다. 소스 및 대상 디스크가 동일하다면 최근 장비는 성능 차이가 크지 않기 때문에 구매 시 복제, 이미징 이외에 어떤 부가기능을 제공하는지 알아보고 구매하는 것이 좋다.
○ Tableau – TX1, TD2U, TD3 (현재 판매 안함)
○ MediaImager – GM4, GM5, GM7
○ MediaClone – SuperImager
2016년 EnFuse(올해부터 Enterprise World에 통합됨)에 갔을때 관심있던 제품이 Atola Insight Forensic 이미징/복제 장비였다. 저장장치의 회로기판, 펌웨어, 헤드 손상 등의 이유로 이미징이 잘 안되는 저장장치가 많았는데 Atola 제품은 이런 손상을 식별하고 최대한 수집이 가능하도록 지원하고 ATA 패스워드에 의해 Lock이 걸린 제품도 풀어준다고 하여 관심이 높았다.
저장장치의 물리적인 부품 손상이 아니면 대부분 펌웨어 수준에서 컨트롤이 가능하기 때문에 PC-3000과 같은 도구가 있으면 좋겠지만 복구 업체가 아닌 입장에서 그럼 제품을 도입 및 유지관리할 때 ROI가 나오지 않기 때문에 적당한 수준에서 손상된 저장장치를 처리해주는 것이 필요했는데 그에 맞는 제품이 Atola 제품이라고 생각했다. 물론 구매하지 않아 얼마나 효용이 있는지는 테스트할 수 없었다. 구매하려고 해도 Insight Forensic 제품은 다른 제품에 비해 투박한 외형을 가지고 있어 선뜻 마음이 가지 않았다. 그러던 와중에 새로운 Atola TaskForce 제품이 출시되었다.
이전 제품과 형태는 크게 다르지 않지만 디스플레이로 서비스 프로 4를 제공하고 무엇보다 지원하는 모든 인터페이스 포트를 스위칭만으로 소스모드에서 대상모드로 변경이 가능하다. 또한 12개 이상의 이미징 세션을 동시에 동작시킬 수 있다. 물론 다중 저장장치를 처리할 일이 많지 않다면 해당 제품의 스펙이 과도해보일 수 있지만 TaskForce 제품은 최근 포렌식 업계에 화두가 되고 있는 자동화(오토메이션) 지원을 위한 제품이라고 보면 된다.
해외 포렌식 업계에서도 한 조직에 접수되는 케이스가 너무 많아 매 건을 일일이 처리하다보니 뒤에 접수되는 사건의 처리 지연이 계속 가중되어 이를 해결하기 위한 자동화 방법이 이슈가 되고 있다. 국내에서도 경찰 조직에서도 각 경찰서에서 접수되는 증거물이 지방청으로 이관되고 지방청에는 이렇게 이관된 증거물을 누적되어 경찰서에서 이관한 증거물의 결과를 다시 받기까지 평균 30일 ~ 45일까지 소요된다.
예전에는 디지털포렌식을 활용하는 사건이 많지 않았지만 최근에는 디지털 매체가 연관된 대부분의 사건이 분석 대상이 되어 벌어진 현상으로 디지털포렌식 시장이 넓어진 것의 반대급부로 볼 수 있다. 자동화는 보통 포렌식 랩을 갖추고 있는 조직에서 많이 고민한다. 자동화 솔루션 중 가장 널리 알려진 것은 AccessData의 AD Lab이만 타사 도구를 Lab으로 묶는 것에는 많은 한계가 있다.
최근에 이런 이슈의 대안이 될 수 있는 마그넷 포렌식의 AUTOMATE가 출시됐다. AUTOMATE에서 다양한 이미징 장비를 지원하지만 최근 북미에서 Atola TaskForce 제품과 결합된 형태로 많이 팔리고 있어 향후 AUTOMATE 제품도 테스트해볼 겸 구매했다. AUTOMATE와 TaskForce 통합은 다음 동영상을 보면 한눈에 이해할 수 있을 것이다.
# Atola TaskForce 주요 특징
이미징 장비이기 때문에 기본적으로 복제, 이미징, 와이핑, 해싱 등을 지원한다. 기타 제품에 대한 자세한 내용은 제품 사이트를 확인하면 되므로 여기서는 주요한 특징만 알아보자.
여러 인터페이스와 다중 이미징 세션 지원
- SATA(6포트), SAS(6포트), USB(4포트), IDE(1포트)의 기본 인터페이스 이외에 확장 모듈을 통해 Thunderbolt(맥북 연결), Apple PCIe SSD, M.2 SSD 를 지원
- 2개의 10Gb 이더넷 포트를 이용해 네트워크 상의 스토리지에 이미징 지원
- 모든 인터페이스 포트를 스위칭만으로 소스(Source)/대상(Target) 변경 가능 (소스모드면 자동 쓰기방지 지원)
- 지원하는 포트를 이용해 동시에 12개 이상의 이미징 세션 동작 가능
- 8개까지 병렬 세션을 지원하여 성능 영향 없음
손상된 드라이브 지원
- 손상된 디스크 및 SSD에 대한 처리 지원
- 정상 헤더를 통해서만 이미징 가능
- 표면 스크래치 또는 펌웨어 문제가 발생한 드라이브 이미지 가능
- 상세한 드라이브 진단 기능
다중 사용자 접근
- 내부 OS는 리눅스이지만 사용자 셸은 윈도우 10 환경의 크롬 브라우저로 기본 앱 동작
- PC, 노트북, 모바일, 태블릿에서 접근하여 제어 가능
자동화 지원
- 웹 API를 통해 자동화 지원
- Express 모드를 사용하면 장치 연결되는 순간 자동으로 이미징 시작
- 10Gb 이더넷 연결을 이용해 네트워크 스토리지에 자동 이미지 저장 지원
몇 주 사용해본 입장에서 다른 제품에 비해 좋은 점은 다음과 같이 2가지이다.
- 이미징과 Post-Hash(Verify) 작업을 분리해주어 각각의 성능 확인 가능
- 이미징 전/후 사용자 선택에 따라 장치의 전원 오프 가능
대부분의 장비는 이미징 후에도 전원 차단을 하지 않아 디스크 타입의 저장장치에 매우 무리를 주고, 조사관 입장에서 안정성을 위해 전원을 오프하고 저장장치 분리 후 다시 작업해야 하지만 TaskForce는 그럴 필요가 없음
Atola TaskForce의 성능은 현재 Tableau TX1, Logicube Forensic Falcon과 비교 중이므로 결과가 나오면 공유할 예정이다.