휴대폰 포렌식업체의 분석결과가 다른 이유

1. 데이터베이스 확보(메모리의 할당영역 추출) 기술 차이

과거 FDE방식의 암호화폰까지는(삼성 휴대폰 기준 노트9까지) 피지컬덤프를 진행하여 메모리의 할당영역과 비할당영역  전체에 대한 삭제된 데이터를 복원 또는 분석하는 것이 가능했다면

FBE방식의 암호화폰인 이후 모델들은 메모리의 할당영역에 대한 로지컬덤프를 진행하여 데이터를 분석하는 것이 가능합니다.

그런데 최신 휴대폰의 메모리 할당영역의 로지컬덤프 기술은 국내 전체 포렌식업체들 중 단 1%에 해당할 정도의 극 소수의 업체만 확보하고 있는 기술입니다.

나머지 99%에 해당하는 국내 대부분의 포렌식업체들은 최신 휴대폰의 메모리 할당영역 로지컬덤프를 하지 못하여 각 휴대폰 제조사에서 제공하는 백업메뉴얼대로 라이브데이터 위주의 백업을

진행하고 이를 소스데이터로서 분석 시도합니다.

즉, 데이터베이스를 온전히 추출할 수 있는가 상당한 데이터베이스가 누락된 상태로 백업된 데이터만 가지고 분석했다고 하는가에 따른 분석결과의 차이가 발생합니다.

 

2. 분석알고리즘과 노하우의 차이

세상엔 다양한 포렌식 전문 장비나 프로그램, 상용 일반복구프로그램들이 존재합니다.

상용프로그램으로 개발되지 않은 오픈소스 알고리즘들도 존재하구요.

휴대폰에서 추출한 데이터베이스(소스데이터)가 동일한 것이라 하더라도 분석알고리즘이 다른 프로그램들을 사용해보면 그 결과에 차이가 납니다.

게다가 동일한 소스데이터에 동일한 포렌식 프로그램을 사용한다고 하더라도 분석 엔지니어가 다르면 결과가 다르기도 합니다.

즉, 분석엔지니어가 의뢰받은 포렌식 분석 대상 기기나 항목에 관하여 얼마나 다양한 프로그램으로 분석을 시도해보았는가와 프로그램숙련도 등 엔지니어의 경험치가 결과의 차이를 만듭니다.

 

3. 의뢰 상황(의뢰시점과 휴대폰 사용)

시점으로는 첫 번째 의뢰한 업체가 유리합니다.

그 이유는 휴대폰은 전원이 인가되어있는 상태에서는 지속적으로 불특정 데이터들을 영구히삭제 하는 중이기 때문입니다.

즉, 두 번째 분석을 맡게 될 엔지니어는 이미 더 많은 데이터가 유실 된 상황에서 의뢰를 맡게 된다는 것 입니다.

그것이 최초의 의뢰가 중요하다는 가장 핵심 이유입니다.