A Catch Technique against File Wiping for Digital Forensic on Flash Memory

플래시 메모리상에서 디지털 포렌식을 위한 와이핑 증거 확보 기법

플래시 메모리가 각종 IT 기기의 저장장치로 많이 사용되면서 범죄 관련 증거나 단서가 기기 내에 저장되는 경우가 증가하고 있다. 이러한 경우에 기기 내에 저장된 데이터를 완전히 삭제하기 위하여 안티 포렌식 기술인 와이핑 기법을 사용하는데 이에 대응하기 위해서는 플래시 메모리에 저장된 디지털 증거를 분석하기 위한 디지털 포렌식 기술이 필요하다. 플래시 메모리에 저장되어 있는 데이터를 복구하는 기법이 연구되었으나 특정한 상황을 가정한 특정 파일의 복원에 초점을 두고 있다. 하지만 디지털 포렌식 수사에서 범죄 증거뿐만 아니라 범죄 행위에 관련한 증거도 확보할 필요성이 있지만 이와 같은 연구가 미흡하다. 본 논문은 플래시 메모리에서 안티 포렌식 기술인 파일 와이핑으로 삭제된 파일에 대한 와이핑 증거 확보 기법을 제안한다. 제안 내용은 장치 내의 원본파일과 와이핑 파일로 추정되는 블록들을 검색한 후 갱신시각, 파일에 대한 정보를 통해 서로 비교하여 검증한다.