[디지털 포렌식] 구글 크롬(Google Chrome ) AppData

아티팩트

아티팩트(Artifact)란 사전적 의미로는 ‘인공물’, ‘유물’이라고 해석된다. 디지컬 포렌식에서 아티팩트(Artifact)의 의미는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말한다. 보통 시스템에 생성되는 증거를 생성 증거와 보관 증거로 분류하는데 생성 증거에 해당하는 것이 아티팩트(Artifact)이다. 예를 들어, 윈도우 시스템의 생성 증거(아티팩트)로는 레지스트리, 프리/슈퍼패치, 이벤트 로그 등이 있다. 보관 증거의 예로는 직접 작성한 메일 내용, 블로그 및 소셜 네트워크 작성 내용, 직접 작성한 문서 등이 있다.

보관 증거의 경우, 고의가 들어간 데이터이기 때문에 전문 법칙이 적용되어 증거로 인정받기 위해서는 전문 법칙의 예외 규정을 따져봐야 한다. 하지만, 생성 증거의 경우 전문 법칙이 적용되지 않기 때문에 증거로의 가치가 매우 높다.

 

웹 아티팩트(Web Artifact)

인터넷 사용자들이 남기는 방문 기록, 다운로드 정보 등은 사용자의 성향, 관심사 및 사건과 관련된 각종 단서를 파악할 수 있는 수많은 정보들을 웹 브라우저 분석을 통해 얻을 수 있다. HTTP 통신은 간편한 구현과 사용성 만큼 취약점도 많이 존재하여, 악의적 공격자들의 주 공격 대상이 되곤 한다. 침해사고 흔적을 분석할 때 대부분의 최초 유입 경로 혹은 추가적인 악성코드의 유입 여부 등이 웹 브라우저와 관련된 흔적에서 발견되는 경우가 많다.

웹 아티팩트(Web Artifact) 분석 결과는 직접 증거가 되기는 어렵지만 사건 해석에 대한 정황 증거로서 매우 유용하게 활용될 수 있다. 웹 브라우저를 이용하면, 방문하는 웹 페이지의 구현 형태에 따라 다양한 흔적이 남게 된다. 포렌식 조사를 위해 주로 확인하는 정보는 Web History, Chache, Cookie, Download File List와 같다. 대부분 방문한 URL 흔적과 송신된 인자를 분석하여 검색어 등을 찾는데 이용된다.

 

Web History

Web History에서 찾을 수 있는 정보는 사용자가 직접 방문한 웹 사이트의 접속 기록이다. 본 목적은 사용자에게 웹 사용에 관한 편의를 제공하기 위한 것이지만, 웹 서핑 시 자동으로 방문하게 되는 여러 경유 페이지 등의 경로와 구분 될 수 있다.

예를 들어, 웹 히스토리에는URL, 접속 시간, 접속 횟수, 페이지 Title이 있다.

 

Cache

웹 캐시는 웹 서비스 접속 시 방문 사이트로부터 자동으로 전달 받는 데이터이다. 네트워크 통신 속도가 매우 느렸던 시절, 원할한 웹 서핑 환경을 제공하기 위해 사용했던 기술이다. 기존에 방문하였던 웹 사이트를 재방문할 때 변경되지 않은 정보는 다운 받지 않고 캐시에서 로딩하는 방식을 이용하기 위해 설계된 기술이다. 캐시에는 다양한 데이터(이미지 파일, 텍스트 파일, 아이콘, HTML 파일, XML 파일, 스크립트 파일 등) 가 웹 페이지를 표현하기 위해 저장되어 있다.

요청된 데이터가 캐시 안에서 발견되는 경우를 ‘캐시 히트(cache hit)’라고 하고, 캐시 내에 없을 때는 ‘캐시 미스(cache miss)라고 한다. 캐시 히트가 높을수록 컴퓨터의 데이터 속도가 향상된다. 예를 들어, 자주 가는 페이지의 주소의 경우 캐시는 주소를 기억을 하고 있다. 이후 같은 홈페이지에 접속하게 되면 캐시 안의 홈페이지 데이터를 발견하는 캐시 히트가 일어나기 때문에 더 빠르게 홈페이지에 접속할 수 있게 된다. 페이지 설계에 따라 자동으로 데이터를 다운로드 받는 기술이기 때문에 악성 파일을 다운로드 하거나 악성 페이지에 접근하는데 이용될 수 있다.

예를 들어, 캐시에는 접속 URL, 캐시 파일 정보(저장 시간, 파일명, 타입, 크기, 경로)가 있다.

 

Cookie

HTTP의 일종으로 인터넷 사용자가 웹 페이지를 방문할 경우 그 웹 페이지가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일을 말한다. 정보를 사용자 시스템에 저장하기 때문에 History와 마찬가지로 방문한 페이지에 대한 정보를 제공한다. 기록 파일에 담긴 정보는 인터넷 사용자가 같은 웹 사이트를 방문할 때마다 읽히고 수시로 새로운 정보로 변화한다. 쉽게 설명하자면 처음 웹 사이트를 방문했을 때 ID와 비밀번호를 입력하면 재방문할 때마다 다시 ID와 비밀번호를 입력할 필요가 없다. 이러한 경우가 쿠키를 이용한 경우라고 할 수 있다. 쿠키는 소프트웨어가 아니므로 컴퓨터 내에서 프로그램처럼 실행될 수 없으며 바이러스, 악성 코드의 설치 또한 불가하다. 하지만, 스파이웨어를 통해 유저의 브라우징 행동을 추적하는데에 사용될 수 있고, 누군가의 쿠키를 훔쳐서 해당 사용자의 웹 계정 접근 권한을 획득할 수 있다.

예를 들어, 쿠키가 담고 있는 내용에는 이용자가 본 내용, 상품 구매 내역, 신용카드 번호, 아이디(ID), 비밀번호, IP주소 등이 있다.

 

* 스파이웨어(Spyware): 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전송하는 악성 소프트웨어

 

Download File List

웹 브라우저는 웹에서 다운로드 받은 파일의 안정적인 전송과 이력을 관리하기 위해 다운로드 되는 파일의 목록을 관리한다.

예를 들어, 다운로드된 파일 리스트에는 파일이 저장된 경로, 다운로드 URL, 파일 크기, 시간, 정상 다운로드 여부 등이 있다.

 

 

---

크롬 아티팩트 분석

 

History

 

Web History: C:\Users\사용자이름\AppData\Local\Google\Chrome\User Data\Default

Web History 정보는 history 정보와 함께 ‘historty’ 파일에서 확인할 수 있다.

 

Cache

 

Cache: C:\Users\사용자 이름\AppData\Local\Google\Chrome\User Data\Default\Cache

Cache 정보는 ‘data_0’에 인덱스 정보, ‘data_1’, ‘data_2’, ‘data_3’에 저장된다. ‘data_1’은 CPU와 가장 가까이에 있으므로 속도가 가장 빠르다. 숫자가 커질수록 뒤에 숫자가 커질수록 속도가 느려진다.

 

Cookie

Cookie: C:\Users\사용자 이름\AppData\Local\Google\Chrome\User Data\Default

Default 폴더 아래에 Cookies에서 쿠키 정보를 확인할 수 있다.

 

Download File List

Download File List: C:\Users\사용자 이름\AppData\Local\Google\Chrome\User Data\Default

Default 파일 아래에서 History 파일에 Web History에 함께 저장되어 있다.