디지털 포렌식이라는 말 정도 들어봤던 나에게 이 책은 많은 지식을 알려주었다. 더군다나 누구나 쉽게 이용할 수 있는 오픈소스 툴을 이용할 수 있다는 것이 읽는 내내 흥미로웠다.
디지털 포렌식이란 컴퓨터가 만든 데이터를 활용하여 범죄수사를 하고 진실을 찾는 행위를 말한다. 이는 기본적인 범죄수사 과정과 유사하게 증거를 ①획득(acquisition)하고 ②분석(analysis)하여 결과를 ③제출(presentation)하는 과정으로 이루어진다. 여기서 증거란 디지털 저장매체를 말하는데 하드디스크나 광학 저장매체 뿐만 아니라 휴대폰, 임베디드 시스템의 칩, 심지어는 하나의 문서 파일일 수도 있다. 역시 이 세 단계 중에서 가장 중요한 단계는 분석단계라고 할 수 있으며 이 책도 분석과정이 치중해서 설명하고 있다.
그동안 디지털 포렌식을 위해서는 클로즈 소스 도구가 많이 이용되었으나 이 책은 오픈소스 도구를 다루고 있다는 것이 특징이자 장점이라고 할 수 있다. 전체 10장으로 구성된 이 책의 1장은 이 책의 두가지 키워드인 ‘디지털 포렌식’과 ‘오픈소스’에 대한 개략적인 설명이 되어 있으며 2장과 3장은 본론에 들어가기에 앞서 포렌식 작업을 위한 시스템 작업을 설명하고 있다. 그리고 4장부터 6장까지는 대표적인 OS인 윈도우와 리눅스, 맥OS에서 작업할 수 있는 디지털 포렌식 기술에 대해 설명하고 있다.
개인적으로 윈도우만 사용하고 있기 때문에 4장에 치중하여 내용을 살펴보았다. 앞부분에서도 이야기되었듯이 디지털 포렌식이란 증거를 찾는 과정이므로 그 증거가 남아있는 가장 대표적인 장소인 ‘파일’에 대해서 설명하고 있다. 윈도우의 파일구조는 FAT와 NTFS로 나누어지는데 최근의 윈도우 버전은 NTFS를 지원하는 것이 더 일반적이기 때문에 전체 분량은 NTFS에 더 많은 할애를 하고 있다.
증거를 찾기 위한 또 하나의 일반적인 방법은 레지스트리 작업이다. 윈도우의 레지스트리는 최고의 중요한 포렌식 아티팩트라고 할 수 있다. 레지스트리란 기존의 윈도우3.1에서 사용되었던 .ini 파일을 대체하는 기능으로 환경설정 값을 보관하는 계층적 데이터베이스이다. 일반 사용자들은 레지스트리에 접근할 필요가 거의 없지만 사실 디지털 포렌식이 아니더라도 윈도우 중급 사용자 이상이라면 한번씩 들어봤을 기능이며 또 관심을 갖고 들여다 보는 정도는 해보았을 것이다. 하지만 ‘괜히 건드렸다가 망가지지 않겠나’라는 두려움으로 선뜻 건드리지 못했던 사용자들이라면 이 책의 내용을 통해 레지스트리에 대한 이해를 도울 수 있을 것이다. 그 외에 디지털 포렌식의 방법으로 이벤트 로그, 프리패치 파일, 바로가기 파일, 실행파일 등을 살펴보는 방법에 대해 간략히 설명하고 있다.
7장에서는 아주 유용한 내용으로서 인터넷을 통해 찾아낼 수 있는 증거에 대해 살펴보고 있다. 첫 번째 주제로 브라우저를 언급하고 있는데 현재 사용되는 웹 브라우저인 인터넷 익스플로러, 파이어폭스, 크롬, 사파리의 즐겨찾기(북마크)와 캐시 기능을 통한 디지털 포렌식에 대해 설명하고 있으며, 윈도우에서 이용할 수 있는 아웃룩 클라이언트와 리눅스의 mbox와 maildir의 이메일 포맷을 분석하는 방식을 설명하고 있다.
이 책을 통해 디지털 포렌식의 기본 개념과 함께 실제 사용하는 컴퓨팅 환경을 통해 간단한 방법으로 데이터를 수집하고 분석하는 방식에 대해서 재미있게 공부할 수 있었다. 디지털 포렌식에 관심있는 독자가 아니더라도 컴퓨터 하드웨어나 프로그래밍 지식이 있다면 흥미롭게 읽을 수 있는 책이라 생각한다.