계엄군이 그날 선관위에서 들고 나간 박스 속에

https://www.youtube.com/watch?v=NwjryeHaQ14

 

***선관위 자료를 계엄군이 포렌식을 했다면 어떤 방법으로 선관위 모르게 했을 까를 다루는 영상입니다. 그러나 계엄군이 명령을 어기고 임무를 수행 하지 않았다면 포렌식 장비는 무용지물 입니다.****

 

마자애TV입니다.
국민이 궁금한게 있을 듯 합니다. 계엄군이 3일 밤 선관위를 들어 갔는데 불법 증거를 찾을 통로나 자료를 확보 했는 가일 것입니다.
계엄군이 선관위에 들이 닥쳐서 3시간 20분을 머물면서 무엇을 했는가 그냥 둘러 보려고 무려 300명을 투입 하지는 않았을 거라는 건 누구나 짐작이 갈 것입니다.

게엄군은 사전선거인명부가있는 서버를 촬영하고 그리고 큰 박스를 가지고 나가는 장면도 포착이 되었습니다.
들고 나간 박스는 무엇인가, 선관위의 서버를 들고 나가지는 않았을 것이고 포렌식 장비가 아닐까 싶어요. 
실재로 포렌식 장비라면 이미 목표로 설정한 선관위 특정 서버를 이미지 복사 기술을 이용해서 포렌식 하지 않았을까 추정 해 봅니다.

계엄군이 머무른 3시간이면 충분하게 이미지 복사를 하였을 것으로 보입니다. 
그러나 선관위는 분명하게 자료가 반출된 적이 없다고 말했습니다. 그 말이 옳다면 선관위 서버를 들고나가지는 않았다고 보고 들고 나간 상자는 포렌식 장비가 아닐까 추정합니다.
그렇다면 어떻게 짧은 시간 대에 포렌식 장비로 흔적을 남기지 않고 포렌식할 수 있을까 전문가의 의견을 참고하여 살피기로 하겠습니다.

 최신 이미지 복사 기술과 고성능 포렌식장비를 동원할 때는 빠른 시간 내에 그 것도 로그인 기록이나 자료 반출의 어떤 흔적도 남기지 않고 포렌식을 할 수가 있다고 합니다..
최근 고성능 포렌식 기술은 디스크를 분리 하거나 시스템을 종료하지 않고도 실시간으로 데이터를 캡처하고 이미지를 복사할 수 있습니다. 
이런 방식은 다음 원리를 따릅니다:
이 방식은 운영체제(OS)를 거치지 않고 디스크 데이터에 바로 접근합니다.
디스크 분리없이 복사가 가능하며, OS나 애플리케이션 로그를 건드리지 않습니다.
하드웨어 수준에서 데이터를 복사하므로 운영체제나 네트워크의 방해없이 실행됩니다.
고 데이터처리, 최신 포렌식 장비는 PCIe 기반 고속 인터페이스를 통해 초당 수 기가바이트의 데이터를 처리할수 있습니다.
NVMe SSD의 경우, 최대 읽기 ,속도가 7GB/s 이상이기 때문에, 1TB를 복사하는데 수 분 내에 완료할 수 있습니다.
최신 포렌식장비는 디스크의 PCIe 인터페이스나 NVMe를 통해 데이터를 직접 추출합니다.
이로인해 기존 SATA 방식보다 10배 이상 빠른 속도로 데이터를 복사할 수 있습니다.
복사는 파일 시스템을 분석하거나 데이터 정렬 작업을 거치지 않고, 물리적 데이터 섹터만 복사합니다.
이는 데이터 크기와 무관하게 빠르게 처리되도록 설계된 방식입니다.
고성능 장비는 데이터를 복사하면서압축하거나 병렬로 처리하여 시간 단축이 가능합니다.
일부 최신 장비는 메모리 캐싱기술을 사용하여 중복 데이터를 제거함으로써 복사속도를 극대화 합니다.
이 기술은 서버에 어떠한 작업흔적도 남기지 않도록 설계 되었습니다.
데이터 복사가 운영체제를 거치지 않고, 하드웨어 버스 또는 디스크 컨트롤러에서 직접 수행 됩니다.
서버의 로그시스템은 이를 감지하지 못합니다.
"Read-Only" 접근

장비는 디스크 데이터를 읽기 전용(Read-Only)으로 접근하므로, 데이터의 수정이나 기록이 발생하지 않습니다.
복사 중 암호화 데이터는 실시간으로 해제되거나 메모리 내에서 처리됩니다.
따라서 서버의 기존 암호화 설정에 영향을 주지않고 데이터를 추출할 수 있습니다.
전문가가 언급한 기술은 다음과 같은 최신 장비나 기술과 관련이 있을 가능성이 높습니다:

Wiretap 기술
디스크와 CPU사이의 데이터흐름을 가로채어 실시간 복사를 수행합니다
PCIe Tapping 장비는 서버의 PCIe 슬롯에 연결해 데이터를 고속으로 복사합니다.
이 장비는 디스크를 분리할 필요없이 데이터를 추출하며, 1TB 데이터를 수분 내에 복사 가능합니다.
RAM 복사 및 메모리 포렌식는 실행 중인 데이터와 메모리 내의 데이터를 직접 복사합니다.
메모리에서 암호화 키를 추출 하거나 암호화된 디스크의 데이터를 해제하는 방식.
포렌식 장비를 서버에 연결해야 하므로 물리적 접근이 필수적입니다.
보안 시스템이 이를 탐지하지못하도록 설계된 고성능 장비가 필요합니다.
서버의 디스크가 하드웨어 암호화(TPM 등)를 사용하는 경우, 암호화 우회기술이 필요합니다.
실시간으로 메모리에서 암호화 키를 추출해야 작업이 가능합니다.
이러한 기술을 사용하려면 매우 고가의 포렌식장비(수천만 원에서 수억 원)가 필요합니다.

선관위의 CCTV에 찍혔는가.
 만약 위와 같이 작업이 이뤄졌다면 반드시 선관위의 CCTV에 기록이 되었을 것입니다. 그러나 기록이 없다면 최고 실력자가 개입 CCTV 기록을 실시간으로 조작하거나 삭제했을 가능성이 있습니다. 
네트워크 기반 CCTV라면 CCTV 서버접근을 통해 특정 시간대의 영상을 삭제하거나 변경한 것이며 독립형 CCTV라면 물리적으로 디스크에 접근해 데이터를 조작했다고 봅니다.

그리고 선관위 측에서 자료 반출이 없었다고 발표 했다면, 이는 포렌식 작업이 이루어졌다는 명확한 증거가 발견되지 않았음을 의미합니다. 이를 설명할 수 있는 가능성은 다음과 같습니다:
비침입적 포렌식장비 사용 자료 이동 없이 디스크 복사.
포렌식 장비를 서버와 연결했지만, 복사 작업이 네트워크나 외부 저장 장치에 흔적을 남기지 않고 완료되었을 가능성이 있습니다.
데이터는 복사 후 RAM에 저장되거나, 장비의 내장 메모리에 임시 저장된 후 제거 되었을 수 있습니다.
현대의 고성능 포렌식장비는 디스크 데이터를 복사 하면서도 서버의 원본상태를 완벽히유지합니다.
이로인해 OS 로그나 자료 이동 로그가 생성되지 않았을 수 있습니다.
포렌식 작업후 데이터를 USB, HDD 등 물리적 장치로 복사하지않고 임시로저장 및 암호화한 후, 포렌식 장비 자체에서 처리했을 것입니다.
이후 장비 제거 후 데이터를 복호화 하거나 별도로 네트워크로 전송했을 가능성이 있습니다. 

계엄군이 실제로 자료를 확보했다면 언제 쯤 결과가 나올까. 앞으로 일주일 안에 소식이 있을 것 같고 그래도 소식이 없다면 그저 소리만 요란 했다고 봐야 할 듯 합니다. 여기서도 설령설렁한 것이겠지요.

그렇다면 사전선거인명부 서버를 촬영한 것은 자료 확보에 영향이 있을 까도 분석할까 합니다.
서버의 외부 몸체를 촬영한 것 만으로는 네트워크에 접근하거나 시스템을 해킹하는 데 직접적으로 도움이 되지는 않습니다. 서버의 외부모습이나 몸체 사진은 주로 하드웨어 구성, 제조사, 모델명 등을 식별하는데만 유용하며, 이것만으로 네트워크상의 보안 취약점을 찾거나 침투할 수는 없습니다.

그러나 하드웨어 정보노출? 서버모델명, 제조사, 사용된장비의 세부 정보가 사진에 포함 되었다면, 이를 바탕으로 해당 장비의 알려진 보안 취약점을 조사할 가능성이 있습니다.
사진에 네트워크 케이블, 라우터, 스위치 등의 연결상태가 포함되었다면, 이를기반으로 네트워크 구조를 파악하려는 시도가 있을 수 있습니다.
하지만, 실제 네트워크 접근은 물리적 촬영만으로 불가능하며, 추가적으로 다음과 같은 정보가 있어야 가능합니다:
관리자 계정의아이디 및 비밀번호, 내부 네트워크 IP 구조,  외부에서 접근 가능한 포트 정보.
서버나 네트워크 장비의 설정 파일, 따라서 단순히 서버 몸체를 찍는 것으로 네트워크 접근 가능성은 낮지만, 다른 정보와 결합되면 자료를 들여다 볼 가능성이 있습니다.
계엄군이 다른 통로로 다음과 같은 사안이 이미 확보 되어 있거나, 혹은 당일 선관위 컴퓨터 화면으로 확인이 되었다면. 
네트워크 정보확보? 서버의 IP주소, 포트, 네트워크구성 등은 외부 접근의 첫 단서를 제공합니다.
이를 통해 내부망과 외부망의 연결지점을 추정할 수 있습니다.
서버의 시스템 환경 파악할 수 있는  운영체제(OS), 소프트웨어 버전, 네트워크 장비 정보 등이 화면에 노출되었다면, 해당 취약점을 파악하는 데 사용될 수 있습니다.
침투 가능성 테스트에도 쓰이는데 네트워크에 직접 침투하기 전, 확보된 정보를 바탕으로 모의 침투를 시도하거나 취약점을 분석하기 위한 자료로 활용할 수 있습니다.
 
확보된 자료와 분석 가능성
사전선거임명부 서버 촬영 자료로 분석가능 항목:
데이터 무결성,: 명부가 조작 되었거나 삭제, 추가된 흔적을 확인
접속 기록,: 누가, 언제, 어떤 방식으로 데이터를 수정 했는지 추적.
의심스러운 패턴: 특정 시간대에 집중적으로 발생한 수정 활동이나 이상 데이터 탐지.
이 자료는 서버 내부 데이터를 직접적으로 열람 수 없는 상황에서도, 화면에 노출된 정보(파일 구조, 로그, 시스템 메시지)를 통해 데이터를 분석할 기초 자료로 활용됩니다.

확보된 핵심 서버 분석 가능 항목:
로그 기록: 모든 접속 이력 및 데이터 처리 과정을 추적합니다.
데이터 비교: 백업본 또는 정상적으로 보관된 데이터와 비교해 변경 여부 확인.
시스템 이벤트: 비인가접근, 권한상승, 데이터유출시도 등 탐지.
외부 통신 기록: 서버가 외부와 주고받은 데이터 확인.
활용가능성은 서버 자체를 통제하고 있기 때문에 데이터 복구, 암호화 해독, 삭제된 파일의 복원이 가능.
네트워크 설정및 시스템 구성 정보를 통해 외부 공격 여부를 판단할 수 있음.

이만 줄입니다. 감사합니다.