웹 포렌식 (Web Forensics) 개요

웹 포렌식 (Web Forensics) 개요

보안 로그 시스템에 대해서 쓴 글을 보면 웹 로그에 대해서 잠깐 나온다. 

웹 포렌식은 웹 로그를 통해 분석하는 과정을 다룬다. 

이전에는 간단하게 설명했다면 이번엔 좀 더 자세하게 다뤄보려 한다.

 

먼저 웹 브라우저에 대해서 살펴본다. 

웹 브라우저는 웹 서버에서 쌍방향 통신하는 HTML문서나 파일과 연동하고 출력하는 응용 소프트웨어를 말한다. 

예전에 많이 쓰던 Internet Explorer부터 시작해서 가장 큰 점유율을 가지고 있는 Chrome, Mac 에서 사용하는 Safari 등이 있다.

대표적으로 Internet Explorer, Chrome, Fire Fox, Safari, Opera  다섯개의 브라우저를 살펴보도록 한다. 

 

Web Browser Forensics은 디지털 포렌식 기법을 적용하여 용의자의 컴퓨터 및 다양한 ICT기기에 저장되는 웹 브라우저 사용 흔적을 조사하는 행위로 웹브라우저가 남기는 로그파일을 분석한다. 

대부분의 정보를 인터넷을 통해 얻는 현재 범행동기, 목적, 수단, 방법, 사후처리 등의 많은 정보를 획득할 수 있다. 

Web Browser Forensics에서 획득한 증거는 직접증거보다 정황증거로서 사용될 가능성이 많다.

 

가장 대표적으로 살펴볼 4가지 로그를 살펴본다. 

 

Cache : 웹 사이트 접속 시, 방문 사이트로부터 데이터를 자동으로 다운받는 데이터이다. 이를 통해 재접속 시 다시 다운받지 않고 다운 받았던 데이터를 통해 보다 빠르게 접근 가능하다. 이미지파일, 텍스트파일, 아이콘, HTML파일, XML파일, 스크립트 등이 있다. 

다운로드 URL / 다운로드 시간 / Cache 데이터 파일명 / Cache 데이터 크기 / Cache 데이터 위치 등의 정보를 얻을 수 있다.

 

History : 사용자가 방문한 웹 사이트의 접속 정보이다. URL 입력창에 직접 주소를 입력하는 직접 접근과 링크를 통해서 접근하는 간접 접근 형식으로 분류한다. 

방문사이트 URL / 방문 시간 / 방문 횟수 / 웹 페이지 제목 등의 정보를 얻을 수 있고  방문 URL 내에 GET 방식으로 포함된 인자값을 분석하여 검색어 정보와 아이디, 패스워드를 추출할 수 있다.

 

Cookie : 웹 사이트에서 사용자의 하드디스크에 저장시켜놓는 사용자에 관한 데이터이다. 웹 사이트에서 사용자 별 서비스를 제공하기 위해 사용한다. 자동 로그인 기능, 쇼핑몰 사이트의 장바구니 등의 기능을 사용하는데 활용된다. 

호스트 / 경로 / 쿠키 수정 시간 / 쿠키 만료 시간 / 이름 / 값 등의 정보를 얻을 수 있다. 

 

Download List : 사용자가 의도적으로 선택해서 자신의 컴퓨터로 내려 받은 파일에 대한 정보이다. 

파일의 저장 경로 / 소스 URL / 파일 크기 / 다운로드 시간 / 다운로드 성공여부 등의 정보를 얻을 수 있다. 

 

다음 글에서는 각 브라우저 별로 로그파일의 경로와 분석에 대해 보도록 한다.