Introduction to Magnet AXIOM

디지털포렌식의 중요성이 대두되며 많은 기관이나 기업에서 디지털포렌식을 수행하게 되었다. 과거에는 디지털포렌식 도구 선택의 폭이 넓지 않았기 때문에 많은 분석가가 사용하는 EnCase 제품을 사용했지만, 점차 각국의 다양한 제조사에서 디지털포렌식 도구를 개발하고 있기에 디지털포렌식 도구 선택의 폭이 넓어졌다. 따라서, 최근에는 더욱더 쉽게 디지털포렌식을 수행할 수 있게 하는 도구를 선정해 사용하는 추세이며, 그중 가장 대표적인 도구인 MAGNET AXIOM을 많은 분석가가 사용하고 있다.

MAGNET AXIOM은 가장 포괄적이고 통합된 디지털포렌식 플랫폼을 제공하는 도구이다. 이는 Magnet Forensics에서 제작한 디지털포렌식 솔루션이며, 직관적인 UI를 제공해 디지털포렌식을 처음 접하는 분석가도 쉽게 사용할 수 있다.

1. AXIOM 특징

1.1. 아티팩트 데이터 분석

기존에 개별로 분석했던 아티팩트를 통합해 분석할 수 있으며, 시스템 아티팩트 외 다양한 어플리케이션의 아티팩트 분석을 지원한다. 또한, AXIOM은 새로운 버전 릴리즈가 잦은 만큼 빠르게 최신 아티팩트들의 분석을 지원한다.

1.2. 다양한 익스플로러 지원

파일시스템, 레지스트리를 확인할 수 있는 익스플로러뿐만 아니라, 커넥션이나 타임라인, 아티팩트, 미디어 등 다양한 익스플로러를 지원한다. 그 중 미디어 익스플로러는 사진이나 동영상 등 미디어 파일의 메타데이터 기반 필터링 등 다양한 기능을 제공하기 때문에 더욱 강력한 미디어 분석이 가능하다.

1.3. 다양한 필터 기능 제공

Evidence, 아티팩트, 날짜 및 시간, 키워드 등 다양한 필터 기능을 제공해 프로세싱이 완료된 케이스를 다각도로 검토할 수 있다.

1.4. 분석 현황을 실시간으로 확인

분석 프로세스(AXIOM Process)와 뷰 프로세스(AXIOM Examine)를 분리해 프로세싱이 진행되는 중에도 분석 현황을 확인할 수 있다.

2. AXIOM 모듈

AXIOM은 3가지 모듈(Computer, Mobile, Cloud)로 구성된다. Vehicle 모듈은 모든 라이선스에 기본적으로 탑재되어 있다. 이는 Berla 사에서 제작한 상용 도구인 iVE를 이용해 수집한 차량 데이터를 분석할 수 있는 모듈이며, AXIOM에서 차량 데이터를 직접 수집할 수 있는 기능은 지원되지 않는다.

[그림 1] Evidence Source

2.1 AXIOM Computer

[그림 2] Evidence Source - Computer

Computer 모듈은 컴퓨터를 분석하기 위한 모듈이며, Windows, MAC, Linux, Chrome book 운영체제를 지원한다. 앞서 언급한 운영체제 모두 분석은 지원하지만, 수집은 Windows 운영체제만 가능하다. MAC이나 Linux 수집이 필요한 경우에는 AXIOM Cyber 제품을 사용해야 한다.

2.2 AXIOM Mobile

[그림 3] Evidence Source - Mobile

Mobile 모듈은 다양한 모바일 환경에 대해 분석을 수행한다. Android와 iOS, Kindle Fire는 AXIOM으로 수집 또한 가능하다. AXIOM에서 직접 수집한 데이터 외에도 GrayKey에서 수집한 데이터나, Cellebrite 사의 UFED 등에서 수집한 데이터(.ufd, .ufdx)는 AXIOM에서 분석할 수 있다.

2.3 AXIOM Add-On Cloud

[그림 4] Evidence Source - Cloud (Acquire Evidence)

AXIOM Cloud의 'Acquire Evidence'에서는 [그림 4]와 같은 항목들을 수집할 수 있다. 수집 시 관리자 자격 증명이 필요한 서비스는 일반 AXIOM에서는 수집 불가능하기 때문에 AXIOM Cyber를 사용해야 한다.

AXIOM Cyber에서는 향상된 Cloud 모듈을 제공하므로 더 많은 종류의 클라우드 기반 서비스를 수집할 수 있다. 자세한 내용은 아래의 [그림 5]에서 확인할 수 있다.

[그림 5] AXIOM Cloud와 AXIOM Cyber Cloud 비교

[그림 6] Evidence Source - Cloud (Load Evidence)

AXIOM Cloud의 'Evidence Load'에서는 MAGNET FORENSICS라는 항목으로 다른 도구를 이용해 수집한 데이터나, 별도의 항목이 나누어져 있지 않은 데이터를 로드할 수 있다. MAGNET FORENSICS로 로드할 수 있는 데이터 형식은 .aff4나 .zip이다.

3. AXIOM 라이선스 종류

AXIOM 라이선스는 모듈의 구성에 따라 그 명칭이 달라진다. 이때, 구매할 수 있는 모듈의 최소 단위는 Computer+Mobile이며, Cloud 모듈은 Add-On 형식이기 때문에 단독 구매가 불가능하다.

구매할 수 있는 모듈 구성과 구성 유형별 라이선스의 명칭은 다음과 같다.

포함된 모듈 라이선스 명칭 라이선스 방식 구매 가능 대상
일반 기업,
컨설팅 및 서비스 제공 기업
국가기관, 사법기관
AXIOM
Computer + Mobile
AXIOM Core Term (Term; 연간구독형) Dongle / LLS / CLS O O
AXIOM Complete (Perpetual; 영구갱신형) Dongle / LLS / CLS X O
AXIOM
Computer + Mobile + Cloud
AXIOM Term (Term; 연간구독형) Dongle / LLS / CLS O O
AXIOM Full-Suite (Perpetual; 영구갱신형) Dongle / LLS / CLS X O
AXIOM
Computer + Mobile + Cloud + Cyber
AXIOM Cyber Term (Term; 연간구독형) Dongle / Machine / LLS / CLS O O
AXIOM Cyber (Perpetual; 영구갱신형) Dongle / Machine / LLS / CLS X O

각 라이선스 방식의 의미는 다음과 같다.

라이선스 방식 의미
Dongle USB를 이용하여 라이선스 인증 동글로 사용하는 방식
LLS Local License Server; 로컬 환경에 서버를 구축한 후 라이선스 인증서버로 사용하는 방식
CLS Cloud License Server; 클라우드 환경에 서버를 구축한 후 라이선스 인증서버로 사용하는 방식
Machine 오직 하나의 머신(PC, 워크스테이션 등)에서만 라이선스를 종속시켜 사용하는 방식
머신이 사용불가 상태가 되지 않는 이상 머신 변경 불가능