본문 바로가기
커뮤니티

경찰청 사이버테러대응센터 한국경찰이 컴퓨터 꺼도 남는 '컴퓨터 5분 흔적' 으로 구글 하드디스크 암호 단어 포착!

by 깝태 2011. 1. 12.

구글이 뒷덜미 잡히게 된건가요,, 아마 구글의 사생활 침해때문에 세계적으로 현재 검사받고 있는 상황으로
알고 있습니다. 아마 유명한 구글 검색을 이용한 해킹 또는 구글 어스 여러 서비스가 포함될것 같습니다.

어제 인가, 경찰청 사이버테러대응센터에서 한국경찰이 컴퓨터 꺼도 남는 '컴퓨터 5분 흔적' 이라는 방법을 이용해
구글의 하드디스크 암호를 풀어내 증거를 잡아냈다고 합니다. 이 사건으로 인해 IT 강국이라는 말이 무색하지 않게 느껴집니다.
많은 분들이 우리나라가 무슨 IT 강국이냐, 다른 나라 해커들은 금방 하는건데. 말로 많이들 하시지만 직접 세계에 퍼진
우리나라의 대기업들(삼성, LG 등)의 컨텐츠를 전체적으로 파악하시거나 현재 우리나라의 IT 컨텐츠를 정확히 보시기전에
함부로 IT 강국이 아니라는 말은 하지 않았으면 하는 개인적인 바람입니다.



출처 - http://news.joinsmsn.com/article/aid/2011/01/11/4575215.html?cloc=olink|article|default

----------------------------------------------------------------------------------

수사관이 들이닥칠 때 용의자가 증거를 숨기기 위해 컴퓨터 전원을 꺼도 5분 안에만 메인 메모리를 뒤지면
암호 열쇠의 단서를 찾을 가능성이 있다. 메모리에 저장된 정보가 전원을 끄는 즉시 사라져 버리는 것은 아니기 때문이다.
[미국 프린스턴대 제공]


세계 최대 정보검색 업체인 구글이 개인정보 무단 수집 혐의로 한국 경찰의 수사를 받고 있다. 경찰청 사이버테러대응센터는 지난해 8월 구글코리아 에서 압수한 하드디스크를 해독해 그 증거를 잡았다. 대응센터가 어떻게 구글의 암호를 풀고 증거를 확보했을까.

경찰청이 구글에서 압수한 하드디스크. 

대응센터 이병길 수사관이 1년여 전 외국인 해커를 검거한 과정을 통해 이를 추정해볼 수 있다. 당시 해커는 국내 기업을 해킹해 설계도면 등 비밀자료를 빼낸 뒤 요구한 돈을 받으러 한국에 왔다. 기업 관계자를 만나기 위해 커피숍에 나와 있던 해커는 검거 당시 외장 하드디스크를 갖고 있었다. 증거가 되는 설계도면 등이 들어 있을 것으로 추정됐다. 하지만 외장 하드디스크 안의 모든 파일은 최강 암호화 프로그램 중 하나인 ‘트루크립트(TrueCrypt)’로 암호화돼 있었다. 암호를 알지 못하면 해커를 그냥 놓아줄 수밖에 없는 상황이었다. 순간 이 수사관은 해커가 켜놓은 노트북에 주목했다. 이 수사관은 즉시 해커 노트북의 메인 메모리(RAM)에 들어 있는 내용물을 모두 복사했다. 해커가 외장 하드디스크에 접속하기 위해 사용했을 비밀번호 등 암호를 푸는 단서가 있을 수 있기 때문이다. 일반적으로 컴퓨터를 꺼도 메인 메모리는 5분 정도는 일부 정보를 갖고 있다. 이 경우 남아 있는 정보에서 암호 열쇠의 흔적을 찾을 수도 있다.

 수사대는 독자 개발한 암호 찾기 소프트웨어에 해커 컴퓨터에서 복사한 데이터를 걸었다. 몇 초 만에 외장 하드디스크 접속 암호와 암호화한 파일용 암호가 나왔다. 32비트로 ‘2C 01 AF 4A 2E 6C 7E 4B’와 같은 ‘수수께끼 자물쇠’가 4줄이나 됐다. 이런 긴 암호를 하나하나 숫자와 문자를 대입해 푸는 것은 사실상 불가능하다. 이 암호로 외장 하드디스크를 열자 그 속에는 국내 기업 컴퓨터를 해킹해 빼낸 설계도면 등 비밀자료들이 고스란히 남아 있었다.

<여기를 누르시면 크게 보실 수 있습니다>

 암호는 어떤 프로그램이나 패스워드를 써도 컴퓨터 안에 흔적이 남는다. 수사관들이 추적하는 것은 바로 그 흔적이다. 흔적이 남는 곳은 컴퓨터의 메인 메모리와 하드디스크다. 그 속에 각종 자료가 있지만 그곳으로 들어가 파일을 열어볼 수 있는 암호 열쇠 역시 함께 있는 경우가 많다.

 구글 하드디스크의 경우는 더 어려웠다. 암호가 이중으로 걸려 있었기 때문이다. 컴퓨터를 켤 때도 암호를 입력해야 했고, 이를 통과한 뒤에도 하드디스크 안의 파일이 통째로 암호화 프로그램으로 막혀 있었다. 더욱이 하드디스크 안의 파일은 ‘트루크립트’ ‘비트라커(BitLocker)’ 등 시중에 나와 있는 눈에 익은 프로그램이 아닌, 구글이 직접 개발한 프로그램에 의해 잠겨 있었다.

 이중의 벽에 막힌 수사관들은 우선 압수한 컴퓨터의 하드디스크부터 복사했다. 원본을 가지고 암호를 풀려고 조작하다 보면 데이터를 날릴 수 있기 때문이다. 그런 다음 하드디스크에서 접속 암호의 단서를 추적했다. 아울러 떼낸 하드디스크를 암호가 걸려 있지 않은 다른 컴퓨터에 연결해 접속 인증 과정을 생략하는 방식도 시도했다. 이런 과정을 거쳐 첫 번째 관문을 통과했다.

 두 번째 암호와 맞닥뜨린 수사팀은 하드디스크에 저장된 자료의 앞부분을 주목했다. 거기에는 ‘10 4C AB 2A 7E’와 같은 숫자·문자의 조합이 난수표처럼 배열돼 끝없이 이어지고 있었다. ‘바로 이거다’라는 생각이 직감적으로 들었다. 수사팀은 준비한 암호 해독 규칙을 난수표 같은 문장에 역으로 적용해 수많은 정보를 평문으로 만들었다. 암호 열쇠인 듯한 기록만 골라내 이리저리 대입해 보기를 수백 차례, 어디선가 보호색으로 위장한 카멜레온(암호)이 잠시 눈을 떴다. 그 짧은 눈의 번득임을 수사팀은 놓치지 않았다. 순식간에 카멜레온의 목덜미를 낚아챘다. 두 번째 비밀의 문도 그렇게 열렸다.

대응센터 정석화 수사팀장은 “모든 컴퓨터의 암호를 다 풀기는 어려워도 상당 부분은 그 흔적이 남기 때문에 찾을 가능성이 크다”고 말했다.

박방주 과학전문기자, 박혜민 기자