## 개요 어떤 사건을 분석할 때 단독적으로 범행이 이루어지는 경우가 있긴 하지만, 대부분의 범행들은 1인 이상의 집단으로 구성되기 마련이다. 심지어 1인 범행이더라도, 특정 커뮤니티나 외부인의 조언을 통해 안전성을 확보하거나, 범행 정보를 얻어내기 때문에 다른 사람과 소통하는 과정을 확인하는 이메일, 메신저 등은 디지털 포렌식 수사에서 1순위로 확인해야 할 내용이기도 하다. 다만 개인 정보보호의 중요성이 대두되고 있는 추세이고, 선별 수집에 대한 이야기도 많이 나오고 있기 때문에, 조심스럽게 다루어야 할 부분이다. 그 누가 자신의 카톡 기록이나 문자 기록을 남과 공유하고 싶겠는가? ## 데이터 데이터는 모두가 알고 있는 내용들이 저장된다. 보낸 메시지, 받은 메시지, 주소록, 첨부파일, 보낸 시각 등 여러 정보가 저장되는데, 이는 뻔히 생각할 수 있는 정보이기 때문에 크게 중요한 사실은 아니다. 다만 메신저 포렌식에서 가장 중요한 것은 어떻게 이 정보를 찾아내는지다. 여기서 보안메신저와, 보안메신저가 아닌 메신저의 차이가 크게 나타난다. ### 일반 메신저 카카오톡 같은 경우는 보안메신저의 속성을 띄는 기능( 비밀 채팅 )을 지원하기는 하지만, 기본적으로는 일반 메신저의 속성을 띄고 있다. 데이터가 평문 형태로 로컬 영역에 저장되기 때문이다. 이런 일반 메신저의 경우에는 저장 구조를 잘 파악하여 원하는 정보를 찾아내는 것이 중요하며, 그 난이도가 크게 높지 않다. 일반 메신저의 경우에 화두가 되는 것은 바로 선별 수집이다. 선별 수집이란 전체 데이터가 아닌, 사건에 연관된 일부 데이터만 수집하는 행위이다. 개인 사생활 보호를 위해 필수적이라고 생각되며, 기술적 지원이 가능하다면 반드시 지원해야 하는 기능이라고 생각되므로, 일반 메신저 영역에서는 선별 압수, 선별 수집이 이루어지고 있다. ### 보안 메신저 보안 메신저는 해킹에 취약하지 않도록 만드는 목적일 수 있지만, 덕분에 포렌식이 어려워지는데도 한몫한다. 메시지는 모두 암호화되거나, 직렬화되어 저장되며, 데이터가 로컬에 남아있지 않는 경우도 있다. 이러한 경우에 메시지 원문을 찾기 위해서는 캐시 데이터를 이용해 일부의 대화 내용을 추출하거나, 메모리에 남아있는 데이터를 포렌식하여 평문 형태의 데이터를 찾아내는 방법이 있다. 이외에도 메시지를 암호화하고 복호화하는 방법을 분석하여 암호화된 데이터를 복구할 수도 있으며, 같은 방법으로 역직렬화를 적용할 수도 있다. 이 과정에서는 리버싱 능력이 크게 요구된다. 메신저 별로 지원하는 데이터 저장 형식이 다 다르기 때문에 직접 분석을 통해서 메신저 기능마다 저장 방식을 파악해야 하는 번거로움이 있다. ## 결론 오늘은 메신저 포렌식에 대한 개괄적인 내용을 다루어 보았다. 두서없이 작성된거 같고, 알맹이가 없어 보일수 있다. 이는 모든 메신저마다 그 특성이 다르기 때문이며, 메신저의 특성에 맞게 따로 분석할 필요가 있기 때문이다. 아티팩트 단원에서 이를 해소하기 위해 메신저 하나하나를 분석해 놓을 것이다.