디지털포렌식 전문가 2급 필기 - 컴퓨터 구조와 디지털 저장매체 (3)

제3편 디지털 기기 및 저장매체

제1장 디지털 저장매체의 종류 및 특징

디지털 기기의 구성

ROM(Read Only Memory) : 읽기만 가능한 기억장치로, 전원 공급이 되지 않아도 내용은 사라지지 않는 비휘발성 메모리, ROM BIOS로 많이 사용

 

ROM의 종류

• Mask ROM : 제조과정에서 미리 기억, 수정 불가
• PROM(OTPROM) : 사용자가 1번 PROM Writer를 이용하여 내용을 입력할 수 있다. 수정 불가
• EPROM : 필요할 때 기억된 내용을 지우고 다른 내용을 기억할 수 있다. 자외선 이용
• EEPROM : 필요할 때 기억된 내용을 지우고 다른 내용을 기억할 수 있다. 전기신호 이용
• Flash Memory : EEPROM의 종류로 EEPROM과 달리 블록 단위로 재프로그래밍 가능, RAM과 ROM의 중간적 위치, 하드디스크의 대용으로 사용 가능하지만 데이터를 쓰는 시간이 오래 걸려 RAM의 대용으로 사용 불가

BIOS : 운영체제와 하드웨어 사이의 입출력을 담당하는 저수준의 소프트웨어와 드라이브로 구성된 펌웨어

 

RAM : 자유롭게 읽고, 쓸 수 있는 빠른 저장 장치, 전원이 공급되지 않으면 기억하는 데이터가 사라지는 휘발성 메모리

• DRAM(Dynamic Random Access Memory) : SRAM에 비해 느리지만 가격이 저렴하여 일반 PC 메모리로 많이 활용한다.
• SRAM(Static Random Access Memory) : DRAM보다 상대적으로 속도가 빠르지만 가격이 비싸 CPU 내부의 기억장치인 Cache나 Resgister에 사용

플래시 메모리(Flash Memory) : 전기적으로 데이터를 지우고 재기록이 가능한 비휘발성 기억장치

• 충격에 강하고 저전력으로 동작이 가능하여 MP3, 모바일, USB 등에 널리 사용
• 블록 내 특정 단위로 읽고 쓰기가 가능하지만 블록단위로 지워야 한다.
• 덮어쓸 수 없어 모든 블록을 지우기 전까지 해당 자료를 변경할 수 없다.
• NOR 플래시 : 속도는 빠름, 대용량 구성이 어려움
• NAND 플래시 : 속도는 느림, 대용량 구성이 용이

USB(Universal Serial Bus) 메모리 : 컴퓨터와 주변기기를 연결, 통신하기 위한 표준 인터페이스로 다양한 직렬/병렬 통신 대체를 위해 개발

 

플래시 메모리 카드 : 제조사 별로 CF, SD(Mini SD, Micro SD), Memory Stick으로 구분되는 플래시 메모리 기기

 

SSD(Solid State Disk) : 플래시 메모리의 장점을 활용하여 하드디스크와 동일한 형태로 개발된 대용량 플래시 메모리

• 반도체를 이용하여 정보를 저장(HDD는 자기장을 이용)
• HDD에 비해 외부 충격으로부터 데이터 손상 가능성이 적다.
• NAND 플래시를 사용하기 때문에 읽기, 쓰기, 접근 시간이 매우 빠르고 소비전력, 소음, 발열 등이 낮아 최근 하드디스크를 대체하는 고속의 저장매체로 많이 사용되고 있다.
• 삭제된 데이터의 공간을 미리 비워두어 쓰기 속도 저하를 완화시켜주는 TRIM, CG 같은 기능이 사용되어 기존 하드디스크와 달리 비할당 영역의 데이터가 변형 가능
• 덮어쓰기가 불가능하여 데이터를 삭제 후 저장을 해서 사용하기 때문에 쓰기 속도가 저하
• TRIM : 운영체제가 쉴 때 지워지는 데이터 공간을 비운다.
• CG : SSD 컨트롤러 자체적으로 TRIM 기능 지원

광자기 디스크(MO Disk : Magento Optical Disk) : 3.5인치 크기의 광자기 저장 매체로 레이저를 이용해 데이터를 쓰고, 지우기 때문에 자성에 의해 데이터가 지워질 우려가 없어 보관성이 뛰어나다.

 

하드디스크 드라이브(Hard Disk Drive) : 비휘발성 저장장치, ATA(IDE), SATA, SCSI와 같은 다양한 인터페이스 지원

 

CD-ROM(Compact Disc - Read Only Memory) : 기존의 음성정보 저장을 위해 개발된 CD의 발전된 형태

• 모든 디지털 정보를 기록 가능
• 초기 용량은 540MB였으나 현재 650 ~ 700MB까지 확장
• ISO 9660의 포맷을 사용

DVD(Digital Versatile Disc, Digital Video Disc) : 알루미늄 원형 판에 플라스틱 막이 코팅되어 데이터가 기록되는 저장매체

• CD-ROM과 같은 크기이지만 용량은 7배가 넘는다.
• 싱글 레이어는 4.7GB, 듀얼 레이어는 8.5GB의 데이터를 저장
• DVD-R, DVD+R, DVD-RW 등이 있다.

블루레이 디스크(Blu-Ray Disc) : DVD 디스크에 비해 훨씬 짧은 파장을 갖는 청색 레이저를 사용

• DVD와 같은 크기지만 더 많은 데이터를 저장 가능
• 싱글 레이어 블루레이 디스크는 25GB, 듀얼 레이어 블루레이 디스크는 50GB의 데이터 저장

ATA(Advanced Technology Attachment) : 하드디스크, CD-ROM 등 저장 장치의 표준 인터페이스

• IDE(Integrated Drive Electronics)라는 용어와 혼재되어 사용
• 기존 병렬 전송 방식을 사용하는 Parallel ATA(PATA)에서 직렬 전송 방식을 사용하는 Serial ATA(SATA) 인터페이스로 발전

EIDE : 기존의 컨트롤러가 두 개의 장치만 연결할 수 있는 점을 보완한 것으로 하나의 IDE에서 Primary, Secondary라는 개념을 통해 더 많은 장치들을 연결할 수 있도록 설계

 

SATA(Serial ATA) : 병렬 전송 방식의 ATA를 직렬 전송 방식으로 변환한 드라이브 표준 인터페이스

• 기존 ATA가 4개만 연결 가능했던 것에 비해 SATA 방식은 컨트롤러에 따라 5~8개까지 가능
• 각 장치와 커넥터는 1:1 연결을 하므로 ATA와 같은 점퍼 설정이 필요하지 않음
• ATA가 최대 133 MBps(MByte/sec)의 속도
• SATA1은 150 MBps
• SATA2은 300 MBps
• SATA3은 600 MBps

mSATA : 더 작은 SSD를 요구하는 노트북 등의 장치에 사용

 

eSATA(external SATA) : SATA를 외장형으로 만든 것

 

SCSI(Small Computer System Interface) : 주로 서버 시스템에 많이 사용되고 가장 큰 특징은 ATA에 비해 하나의 컨트롤러가 최대 16개의 장치가 연결 가능하다는 점

• 각 장치는 서로 독립적으로 동작 가능
• IDE/ATA 보다 발전된 방식이지만 비싼 단점으로 일반 PC에서는 많이 사용하지 않음
• SAS(Serial Attached SCSI)로 대체되어 보기 힘든 인터페이스

SAS(Serail Attached SCSI) : 직렬 SCSI 방식으로 데이터가 단일 통롤로 전송되기 때문에 병렬 기술 방식인 SCSI를 개선하여 속도와 안정성을 대폭 증가시켜 서버, 워크스테이션 등 전문 용도로 사용

• SAS-1 : 3.0 Gbit/s
• SAS-2 : 6.0 Gbit/s
• SAS-3 : 12.0 Gbit/s

HPA(Host Proteced Area) : HDD에 의해 미리 예약된 영역으로 BIOS를 통해 접근이 불가능

• OS에서는 보이지 않는 영역으로 일반 사용자에 의해 수정되지 않는 HDD의 영역이라 할 수 있다.
• 시스템 부팅이나 진단 유틸리티 저장하는 경우 사용
• CD, DVD와 같은 별도의 매체 없이 시스템 복구하는 경우 사용
• 노트북 보안 유틸리티를 저장하는 경우 사용
• 루트킷을 통한 악의적인 용도 및 데이터를 은닉하는 경우 사용
• 디스크 이미징 도구에서는 HPA 영역을 고려하여, 해당 HDD의 모델이 가지는 정해진 용량을 확인해야 한다.

DCO(Device Configureation Overlay) : DCO도 BIOS를 통해 확인되지 않으며, HDD 제조사에 따라 정의된 특별한 ATA명령을 통해 접근이 가능, 디스크 이미징 도구에서는 DCO 영역을 고려하여, 해당 HDD의 모델이 가지는 정해진 용량을 확인해야 한다.

 

IEEE 1394 : 디지털 오디오, 비디오용 시리얼 버스 인터페이스 표준 규격

USB(Universal Serial Bus) : 다양한 직렬, 병렬 통신을 대체하기 위해 개발되었고, 다양한 디지털 기기의 주변장치와 통신하기 위한 표준 인터페이스 역할을 하고 있다.

• 핫 플러그 : 기기의 전원이 켜져 있는 상태에서 연결과 해제를 할 수 있는 기능
• USB 1.0, USB 1.1 : 최저 1.5 Mbps(Low Speed 모드), 최대 12 Mbps(Full Speed 모드)의 전송 속도가 제공된다.
  USB 2.0 : USB 1.1 규격에 High Speed 모드 (최대 전송속도 480 Mbps)를 추가한 규격이다.
  USB 3.0 : Super Speed라는 명칭으로 사용되며 최대 5 Gbps 속도를 보장한다. 핀의 수가 표준은 5개 증가되어 9개, USB 온더고의 경우는 총 10개의 핀을 가지도록 변경되었다. USB 1.1 및 USB 2.0과 하위 호환 가능하다.
  USB 3.1 : Super Speed Plus 모드로 최대 10 Gbps의 전송속도를 보장한다.

USB 도식도

USB 핀맵(pin map)

RAID(Redundant Array of Independent Disk) : 복수 배열 독립 디스크라고 하며, 여러 개의 하드디스크에 일부 중복된 데이터를 나눠 저장하는 기술

 

RAID 0(스트라이핑) : 두 개 이상의 디스크에 데이터를 순차적으로 저장하는 방식

• 복수개의 디스크에 데이터를 분산해 처리하기 때문에, 처리 속도가 향상되는 강점
• 하나의 디스크에서 문제가 발생하면 RAID 0으로 구성된 모든 데이터가 유실된다는 단점
• 오직 성능 향상을 위한 구성 방식

RAID 0

RAID 1(미러링) : 데이터 처리 시, 동일한 디스크에 똑같이 저장하는 방식

• 데이터를 중복으로 기록하여 저장하기 때문에 디스크 장애 및 오류 발생 시 쉽게 복구 가능
• 중복 저장하기 때문에 실질적으로 사용할 수 있는 용량이 절반으로 줄어듦

RAID 1

RAID 5 : 패리티 정보를 별도 디스크에 보관함으로써 생기는 약점을 보완하기 위해 나온 방식

• 패리티 정보를 보관하는 디스크 구성 없이, 일정한 로직에 의해 데이터 분산처리, 에러 체크를 구성하는 방식
• 성능, 안정성을 모두 고려한 형태로 서버 구축 시 많이 사용되고 있는 레이드 방식

RAID 5

RAID 0+1 : 디스크를 먼저 스트라이핑(RAID 0) 후 미러링

RAID 0+1

RAID 1+0 : 디스크를 먼저 미러링(RAID 1) 후 스트라이핑

RAID 1+0

범용 시스템

• 개인용 컴퓨터(PC)
• 서버 컴퓨터 :  네트워크를 통해 클라이언트 요청을 처리하는 컴퓨터
• 메인 프레임 : 다수의 사용자가 작업할 수 있는 범용 목적 대형 컴퓨터, 금융기관, 정부기관에서 사용
• 슈퍼 컴퓨터 : 연구 목적으로 사용되는 초고속 컴퓨터, 핵실험, 지진 데이터 분석, 기상 예측 등에 사용

개인 휴대용 시스템

• 휴대폰 : 내부 저장 장치로 플래시 메모리가 내장됨, 평소 휴대폰을 사용하여 저장하는 대부분의 정보가 저장되며 통신을 통한 변조가 가능하기 때문에 압수 시 전자파를 차단해야 함
• IoT : 최근 건강관리와 생활 편의를 위해 스마트폰과 연동하거나 독립적으로 사용하는 스마트워치도 일종의 소형 컴퓨터 구조를 가지고 있다. 사물인터넷 기반의 새로운 장치가 계속 등장하여 디지털 포렌식 대상이 되고 있다.

네트워크 장비 : 데이터링크 계층, MAC 주소를 가지는 NIC, 물리 계층, 허브, 스위치, 라우터, 게이트웨이 등의 네트워크 기기 또한 디지털 포렌식 조사 대상

 

임베디드 시스템 등 기타

• 사무기기 : 복사기, 팩시밀리, 스캐너, 프린터, 복합기 등에도 작업한 데이터 등이 저장되는 공간이 있기 때문에 디지털 포렌식 조사 대상
• 멀티디미어 기기 : 캠코더 및 카메라 등의 영상 및 사진 정보를 담는 기기로서 포렌식 수사 관점에서 중요한 증거 대상, 내부적으로 플래시 메모리를 장착하고 있으나, 실제 영상, 사진 데이터는 소형 메로리 카드를 통해 저장되므로, 메모리 카드 또한 확보해야 함

하드디스크 : 컴퓨터가 자기장을 이용하여 데이터를 저장하는 데 사용하는 가장 일반적인 저장장치

• 컴퓨터에 저장하는 모든 데이터는 0과 1 두 디지털 신호에 의해 이루어진다. 
• 하드디스크의 경우 이러한 디지털 신호를 원반 형태의 플래터에 기록
• 자기장을 이용한 기계적 구조이기 때문에 SSD에 비해 충격, 진동, 자성 등 외부 충격에 취약
• 디스크 안팎으로 움직이는 슬라이더 끝에 헤드가 회전하는 디스크를 읽고 쓰는데 플래터 당 하나의 헤드가 존재해 플레터 집합인 디스크는 여러 헤드를 가질 수 있다.
• 플레터와 슬라이더는 모두 연결되어 있어 모든 플레터의 트랙에 데이터를 동시에 읽고 쓴다.

하드디스크의 구조

회전 대기 시간(Rotation latency Time) : 섹터를 읽기 위해 섹터가 헤드(액츄에이터 끝) 바로 아래 있어야 하는데 데이터는 항상 회전하기에 섹터가 그 위치에 올 때까지 기다려야 하는 시간

 

탐색 시간(Seek Time) : 데이터가 존재하는 곳으로 실린더가 이동하는데, 디스크 슬라이더가 요청된 데이터를 가지고 실린더로 이동하는 시간

 

동작 완료 시간(Data Access Time) : 회전 대기 시간 + 탐색 시간

디스크 팩

섹터 : 디스크에서 부채꼴 형태로 자른 뒤 트랙으로 자른 형태가 섹터 영역

• 각 섹터는 571 Byte의 공간을 차지
• 이 중 59 Byte는 각 섹터에서 고유번호 등을 저장하는 용도(섹터의 물리적인 위치 저장, 메타데이터)
• 나머지 512 Byte가 사용자들이 데이터 저장에 사용되는 영역
• 디스크에서는 섹터보다 작은 양의 데이터를 처리할 수 없기 때문에 데이터 기록의 가장 기본 단위로 쓰임

트랙 :  디스크 중심으로부터 반지름이 같은 영역을 이어놓은 원

• 반지름이 커질수록, 원이 커지는 만큼 디스크의 가장자리 영역에 데이터를 많이 보관할 수 있음

플래터(디스크 원반) : 자성체를 입힌 원판의 양면에 자성 물질을 입혀 데이터를 기록, 판독할 수 있도록 만든 장치

• 플래터는 위, 아래 2개의 표면(Surface)으로 구성

실린더 : 수직적으로 같은 위치에 있는 트랙들을 합친 것

• 헤드 암이 트랙 간 이동하는 것은 속도가 느리므로 데이터들을 하나의 실린더 안에 존재하도록 배열한다면 읽고 쓰는 속도가 빨라짐

데이터 전송 시간 : 지정한 섹터가 헤드 아래에 도착하면 디스크 주소 상의 표면 번호에 따라 필요한 헤드가 동작을 시작하여 섹터를 읽어 전송하는 시간

 

데이터 접근 시간 : 탐색 시간 + 회전 대기 시간 + 데이터 전송 시간

 

디스크 주소 지정 기법 : 논리 상태 주소(Relative Address) 표현법 : 주소 지정 기법에는 디스크 시스템 측의 데이터 전체를 블록의 나열로 보고 각 블록들에 대해 블록 번호를 부여함으로써 임의의 블록에 접근할 수 있도록 한다.

 

디스크 파티션 작업 : 하드디스크 드라이브나 메모리의 기억공간을 '파티션'이라 알려진 별도의 데이터 영역으로 분할하여 여러 개처럼 인식해주는 것

 

마스터 부트 레코드(Master Boot Record, MBR) : 항상 실린더 0, 헤드 0, 섹터 1(디스크 위의 첫 번째 섹터)에 존재

• 컴퓨터가 전원을 켰을 때 시스템에 어떤 BIOS가 초기 부트 프로그램을 읽어올 수 있는 곳이 첫 번째 섹터 MBR이다.

마스트 파티션 테이블(Master Partition Table) : 하드 드라이브에 포함된 파티션에 대한 설명이 저장

• 마스터 파티션 테이블에는 정보 공간이 4개만 있음
• 구형 하드웨어에서 4개 파티션만 사용할 수 있었으나, 용량이 확대되면서 필요한 개수가 늘어나 확장 파티션 정보를 마스터 파티션 테이블에 포함

GUID 파티션 테이블(GUID Partition Table, GPT) : MBR의 파티션 테이블 제한 때문에 새로운 파티션 테이블 형식을 개발

• 논리 블록 주소 지정(LBA) 사용
• MBR이 최대 2.2TB로 제한되는 반면 GPT는 최대 크기 및 파티션 크기를 9.4ZB까지 허용