안티포렌식 (Anti-Forensics)

안티포렌식 (Anti-Forensics)

디지털 포렌식 조사를 방해, 지연, 무력화하기 위해 디지털 증거를 은닉, 변조, 파괴하는 일련의 기법 및 행위

목적: 증거 인멸, 포렌식 분석 방해, 사건 조사 지연, 책임 회피

특징: 포렌식의 역(逆)기술, 지속적으로 진화, 탐지와 은닉의 공방, 기술적+물리적 기법 포함

주요 기법

• •데이터 은닉: 스테가노그래피(이미지/오디오에 데이터 숨김), 슬랙 공간(Slack Space) 활용, ADS(Alternate Data Stream, NTFS), 암호화된 볼륨(VeraCrypt 히든 볼륨)
• •데이터 암호화: 전체 디스크 암호화(FDE, BitLocker/FileVault), 파일/폴더 암호화, 암호화 통신(Tor/VPN)
• •타임스탬프 조작: MAC 시간(Modified/Accessed/Created) 변조, Timestomp 도구, $MFT 직접 수정
• •로그 삭제/변조: 이벤트 로그 삭제(wevtutil), Syslog 변조, 로그 순환 조작, 쉘 히스토리 삭제
• •디스크 와이핑: 안전 삭제(Secure Erase), 덮어쓰기(DoD 5220.22-M), SSD TRIM, 물리적 파괴
• •메타데이터 제거: EXIF 데이터 삭제, 문서 속성 제거, 파일 시스템 메타데이터 조작
• •흔적 제거: 브라우저 히스토리 삭제, 프리페치 삭제, 레지스트리 정리, 임시파일 삭제

대응방안: 무결성 검증(해시값 사전 확보), 타임라인 분석(시간 불일치 탐지), 메모리 포렌식(휘발성 데이터 확보), 네트워크 포렌식(통신 기록 확보), 스테가노그래피 탐지(통계적 분석), 로그 중앙 집중(SIEM, 원격 로깅으로 삭제 방지), 파일 카빙(삭제 파일 복구), Shadow Copy/스냅샷 분석

적용사례: APT 공격자의 흔적 삭제, 내부자 범죄 증거 인멸, 랜섬웨어의 로그 삭제, 산업스파이 데이터 은닉

비교: 안티포렌식(증거 파괴·은닉/공격자 관점) vs 디지털 포렌식(증거 수집·분석/조사자 관점), 데이터 은닉(존재 숨김/복구 가능) vs 데이터 파괴(완전 삭제/복구 불가)

연관: 디지털 포렌식, 침해 대응, 스테가노그래피, 데이터 복구, 로그 분석