[프린터 포렌식] 복합기 내 하드디스크(HDD) 분석 논문 리뷰

프린터 포렌식의 경우에는 크게 두 가지로 분류할 수 있다. 하나는 프린트 명령을 내린 PC를 분석하는 것이고, 다른 하나는 프린트를 진행한 복합기 및 프린터기를 직접 분석하는 것이다. 이번 글에서는 프린트를 진행한 복합기를 분석하는 방법에 대해 소개한다.

1. 대형 복합기와 가정용 프린터
2. 대형 복합기 포렌식
3. 복합기 내 HDD 분석
4. 참고자료

1. 대형 복합기와 가정용 프린터

회사에서 사용하는 대형 복합기와 가정용 프린터의 차이점 중 하나는 HDD 장착 여부이다.

가정용 프린터의 경우 한번에 처리해야 할 인쇄물 데이터가 많지 않기 때문에, 128 MB 정도의 메모리만이 장착되어 있다. 메모리의 경우 휘발성 데이터로 포렌식적 분석이 쉽지 않다.

반면, 대형 복합기의 경우 회사에서 다수의 사용자가 동시에 많은 양의 문서를 인쇄해야 하기 때문에 버퍼 메모리만으로는 그 데이터를 처리할 수 없어, 30 GB 정도의 HDD가 장착되어 있다. (요즘 가정용으로 나오는 소형 복합기에는 HDD 가 장착 되어 있지 않다.)

2. 대형 복합기 포렌식

개인이 대형 복합기 내 HDD를 탈착하여 직접 분석하기란 어려운 일이다. 그러나, 압수영장을 가진 수사기관이라면 가능하다. 수사기관에서는 실무 경험을 토대로 다음의 논문을 작성하였는데, 이번 글은 해당 논문을 요약 정리하였다.

• 대검찰청 디지털수사담당관실, “디지털포렌식 관점에서의 디지털복합기내 데이터 복구 및 분석”, 2010.12

대형 복합기 내 HDD 데이터를 분석하는 방법은 다음과 같다.

• 복합기 사용자 인터페이스를 통한 정보 추출
• 복합기 내 HDD 탈착 후 분석

3. 복합기 내 HDD 분석

3.1. A사 분석 (JBIG)

A사의 경우 HDD를 마운트 시켰을 때, 파일시스템이 Linux OS 기반인 것을 확인하였고 인쇄물이 저장되는 파티션(볼룸)을 식별하였다. 해당 파티션은 헥사 단위로 분석하였을 때 Entry 관련 정보와 File Data 영역을 구분하여 저장하였다. File Data의 경우 JBIG 이미지 압축포맷을 사용하고 있었고 추출 후 jbg로 확장자를 변경 후 Viewer를 통해 내용(스캔본)을 확인할 수 있었다.

3.2. B사 분석 (tiff, Big Endian)

B사의 경우 HDD를 마운트 시켰으나 OS 관련 정보는 확인할 수 없었다. File Data 영역의 경우 tiff 형태로 저장하고 있었으며, 특히 Byte Order 가 Little Endian 이 아닌, Big Endian으로 기록되어 있어 추출 후 파일을 확인하기 위해서는 Byte Order를 변경하는 작업이 필요하였다.

4. 참고자료

대검찰청 디지털수사담당관실, “디지털포렌식 관점에서의 디지털복합기내 데이터 복구 및 분석”, 2010.12