I. 서론

클라우드 컴퓨팅은 데이터와 응용 프로그램을 유지 및 관리하기 위해 인터넷과 원격 서버를 사용하는 기술로써, NIST에서는 “네트워크, 서버, 스토리지, 응용프로그램 등과 같은 컴퓨팅 자원들이 공유된 풀에 언제든지 편리하게 네트워크로 접근 가능한 방식의 모델이라고 정의하고 있다[1].

클라우드 컴퓨팅은 최근 IT 시장에서 가장 큰 성장을 보이고 있는 분야 중 하나로, 수많은 기업들이 비용 절감 및 효율 향상을 위해 사설 클라우드 컴퓨팅 서비스로 가상 데스크톱 환경을 도입하고 있다. 주로 기업 내부용으로 사용되는 사설 클라우드 컴퓨팅은 기업 내부에 가상화 기술을 이용한 클라우드 서버를 구축하여, 물리적 자원을 내부 사용자들에 한하여 공유 및 사용하는 것이다[2]. Gartner에서 분석가로 활동 중인 Bittman은 2012년에 사설 클라우드 컴퓨팅 도입이 전년 대비 10배 증가하였다고 발표하였다[3]. 클라우드 서비스의 도입으로 기업은 내부 운영비를 절감하고, 사용자들은 “Any Device, Any Where, Any Time”이라는 장점을 활용하여 효율적인 업무 수행이 가능해졌다.

이처럼 클라우드 컴퓨팅 서비스 도입 및 사용이 지속적으로 증가하고 있지만, 현재 이 분야에 대한 디지털 포렌식 조사 절차 및 방법은 미흡한 실정이다. 클라우드 컴퓨팅 환경에서는 기존 데스크톱 컴퓨터 환경과 달리 사용자의 행위 및 데이터가 로컬 시스템에 거의 남지 않으며, 대부분 하이퍼바이저에 연결된 스토리지에 저장된다. 따라서 클라우드 컴퓨팅 서비스를 이용하는 사용자의 컴퓨터를 조사할 때 기존 디지털 포렌식 조사 절차 및 방법으로는 한계가 있으며, 클라우드 컴퓨팅 환경에 적용 가능한 새로운 절차 및 방법이 필요하다.

본 논문에서는 사설 클라우드 서비스로 제공되는 가상 데스크톱 환경 및 전 세계적으로 가장 많이 사용되고 있는 데스크톱 가상화 솔루션[16](Citrix, VMware, Microsoft)에 대해 소개하고, 솔루션들의 구조적 특징 및 기능을 이용하여 사용자 흔적 탐색, 사용자와 가상머신의 연결정보 확인 및 데이터 수집에 대한 디지털 포렌식 조사 절차 및 방법에 대해 제안한다.

II. 가상 데스크톱 환경

2.1 데스크톱 가상화 솔루션

일반적으로 가상화는 서버 가상화와 데스크톱 가상화로 나누어지며, 사설 클라우드 컴퓨팅에서 사용자에게 제공되는 것은 가상 데스크톱 환경(이하 VDI, Virtual Desktop Infrastructure)이다. 최근 가상화 전문 관리 업체인 Veeam에서 시장 조사 기관인 Vanson Bourne에 의뢰하여 조사한 결과, VMware가 전체 가상화 시장의 58%, Citrix가 20.2%, Microsoft가 18.6%의 시장 점유율을 가지고 있는 것으로 조사 되었으며, Citrix와 Microsoft 의 시장 점유율이 매년 확대되고 있는 것으로 분석 되었다[4]. 이 솔루션들은 다양한 기능을 가진 여러 개의 프로그램으로 구성되어 있으며, VDI 환경을 구성하기 위해서는 기본적으로 다수의 가상머신이 호스트 서버의 자원을 공유하여 동시에 구동시킬 수 있는 하이퍼바이저가 필요하다. 각 솔루션별로 사용되는 하이퍼바이저는 Citrix XenServer, VMware ESX/ESXi Server, Microsoft Hyper-V이다. VDI 환경은 하이퍼바이저를 기반으로 하여 가상머신을 사용자에게 할당, 연결 및 관리하는 역할로 Citrix XenDesktop, VMware View, Microsoft Hyper-V가 사용된다.

하이퍼바이저와 데스크톱 가상화 솔루션은 VDI 환경을 구성하는 기본 솔루션이며, 실제로는 관리 및 사용의 효율성과 편의성을 위해 이 외의 다양한 프로그램들을 사용하고 있다. [표 1]은 본 논문에서 사용한각 솔루션의 버전이다.

[표 1] 하이퍼바이저 및 데스크톱 가상화 솔루션 버전

2.2 가상 데스크톱 환경 구성

VDI 환경을 구성하는 하이퍼바이저와 데스크톱 가상화 솔루션은 제조사별로 서로 다르지만, 구성 방식은 거의 동일하다. 간단하게 구성을 살펴보면, 기본적으로 가상머신을 생성하고 이를 관리할 수 있는 하이퍼바이저 및 하이퍼바이저 관리 시스템이 필요하다. 가상머신 및 사용자 데이터가 저장되는 스토리지는 하이퍼바이저의 로컬 디스크를 사용할 수도 있지만, 일반적으로는

별도의 대용량 공유 스토리지를 사용한다. 그리고 사용자의 가상머신 접속 요청 시, 사용자 인증, 가상 머신 할당 및 연결을 위해 인증 관리 시스템과 연결 관리 시스템이 필요하다.

위의 구성 요소들을 이용한 VDI 환경 구성이 완료면 사용자는 솔루션별 전용 프로그램 또는 웹을 통해 가상머신에 접속할 수 있다. 사용자가 가상머신에 접속하는 과정은 다음과 같다. ①사용자가 가상머신에 접속하기 위해 연결 관리 시스템에 접속 요청(로그인)을 보내면, ②연결 관리 시스템은 사용자 정보를 인증 관리시스템에 보내 사용자 인증을 한다. ③사용자 인증이 정상적으로 처리되면 연결 관리 시스템에서 사용자의 가상머신이 있는 하이퍼바이저에 가상머신 사용을 요청 및 할당 받아, ④사용자에게 전달한다. 마지막으로 사용자는 전달 받은 가상머신을 일반적인 데스크톱과 동일하게 사용하면 된다.

[그림 1]은 일반적인 VDI 환경 구성을 나타낸 것이며, [표 2]는 솔루션별 VDI 환경을 구성하는 각 요소를 정리한 것이다.

[그림 1] 일반적인 VDI 환경 구성

[표 2] 솔루션별 VDI 환경 구성 요소

III. 가상 데스크톱 환경에 대한 디지털 포렌식 조사 절차

VDI 환경에서 사용자 흔적은 가상머신에 접속하여 가상머신을 전달받는데 사용되는 모든 시스템에 기록 된다. 따라서 VDI 환경에 대한 디지털 포렌식 조사는 사용자의 가상머신 접속 과정에 기반하여 수행되어야 한다. [그림 2]는 VDI 환경을 고려한 디지털 포렌식 조사 절차를 나타낸 것이다.

[그림 2] VDI 환경을 고려한 디지털 포렌식 조사 절차

VDI 환경에 대한 디지털 포렌식 조사 시 가장 먼저 해야 할 일은 용의자로 의심되는 사용자의 컴퓨터에서 가상머신 접속 여부를 확인하는 것이다. 이 때, VDI 환경은 기업 내부에서 제한된 사용자에게 제공되는 사설 클라우드 서비스로 용의자로 의심되는 사용자를 구별할 수 있다고 가정한다. 만약 사용자가 가상머신에 접속 중이라면 휘발성 데이터 수집을 통해 더 많은 정보를 획득할 수 있다. 가상머신에 접속 중이 아니라면 먼저 사용자의 컴퓨터에서 가상머신에 접속한 흔적을 확인하여야 한다. 사용자가 가상머신에 접속했다면, 사용자의 컴퓨터에 레지스트리, 웹 히스토리 및 로그 기록이 남겨져 있을 것이다. 하지만, 이러한 정보들이 삭제된 경우에는 사용자의 컴퓨터에서 가상머신 접속 정보를 획득하기 어렵다. 만약, 가상머신 접속 정보를 획득할 수 없는 경우에는 연결 관리 시스템 및 인증 관리 시스템에서 사용자와 가상머신 간의 할당 및 접속 정보를 확인하여야 한다. 이를 위해서는 각 시스템에 접속하기 위한 관리자 권한(ID, Password)이 필요하다.

위의 조사를 통해 사용자가 사건 발생 추정 시간에 가상머신을 사용한 흔적을 확인한 후에는 가상머신의 데이터를 수집하여야 한다. 조사관은 솔루션별로 제공되는 Shell 접속 프로그램을 통해 가상머신 데이터를 수집할 수 있다. 이를 위해서는 하이퍼바이저 또는 하이퍼바이저 관리 시스템에 접속하기 위한 관리자 권한이 필요하다. 만약, 사용자가 가상머신에 접속 중이었 다면 바로 데이터를 선별 수집하거나 전체 가상 디스크를 덤프할 수 있다. 이렇게 수집된 가상머신 데이터는 기존의 디지털 포렌식 조사 방법 및 도구를 사용하여 분석할 수 있다.

IV. 데스크톱 가상화 솔루션별 디지털 포렌식 조사 방법

앞에서 살펴본 바와 같이, Citrix, VMware, Microsoft의 일반적인 VDI 환경 구성은 거의 동일하다. 따라서 디지털 포렌식 조사도 같은 방법으로 수행된다. 사용자의 가상머신 사용 흔적 및 연결 정보는 사용자 컴퓨터, 연결 관리 시스템, 인증 관리 시스템에 남게 된다. 본 논문에서는 Citrix, VMware, Microsoft의 일반적인 VDI 환경을 구성하고, Windows 7, Ubuntu 12.04, Mac OS 10.8.2가 설치된 사용자 컴퓨터를 이용하여 연구하였다.

4.1 사용자의 가상머신 접속 정보 확인

4.1.1 사용자 컴퓨터

사용자가 가상머신에 접속하면, 이와 관련된 정보가 사용자 컴퓨터에 기록된다. Windows 7 사용자의 경우, VMware는 레지스트리, 로그 기록이 생성되고 Citrix는 레지스트리, 로그 기록, 웹 접속 기록이 생성된다. Microsoft는 Windows에서 기본으로 제공하는 Remote Desktop 관련 레지스트리에 생성되고 로그 기록은 생성되지 않는다. 하지만 Microsoft는 웹으로 가상머신에 접속 시 고유의 시그니처(RDWeb)를 사용하므로 이를 이용하여 웹 히스토리 에서 접속 흔적을 찾을 수 있다. [표 3]은 Windows 사용자 컴퓨터에 기록되는 가상머신 접속 정보이다.

[표 3] Windows 사용자 컴퓨터에 남겨지는 가상머신 접속 정보

Ubuntu 12.04와 Mac OS 10.8.2 사용자의 경우, VMware는 Windows와 같이 생성되는 로그 기록에서 접속 흔적을 확인할 수 있지만, Citrix는 이와 달리 로그 기록이 생성되지 않기 때문에 웹 브라우저 접속 시 남겨지는 정보를 확인해야 한다. 본 논문에서는 Ubuntu의 기본 웹 브라우저인 Firefox와 Mac OS의 기본 웹 브라우저인 Safari를 대상으로 하였다. 그리고 Microsoft는 Windows와 달리 Ubuntu와 Mac OS에서 웹 브라우저를 이용한 RDWeb 접속이 불가하기 때문에 웹 히스토리 분석을 통한 접속 흔적을 찾을 수 없다. 하지만 Microsoft 가상머신에 원격 데스크톱 연결을 할 경우 남겨지는 기록에서 접속 흔적을 확인할 수 있다. [표 4]는 Ubuntu 및 Mac OS 사용자 컴퓨터에 기록되는 가상머신 접속 정보이다.

[표 4] Ubuntu 및 Mac OS 사용자 컴퓨터에 남겨지는 가상머신 접속 정보

4.1.2 연결 관리 시스템

연결 관리 시스템은 사용자에게 가상머신을 할당및 관리하고 사용자 요청에 따라 연결 및 연결 해제하는 역할로, 사용자의 가상머신 접속에 관련된 모든 정보가 관리되고 기록된다. 조사관은 이 기록을 이용하여 사용자의 정확한 가상머신 접속/접속해제 시간을 확인할 수 있다. [표 5]는 연결 관리 시스템에 기록되는 사용자의 가상머신 접속 정보에 대한 것이다.

[표 5] 연결 관리 시스템에 남겨지는 가상머신 접속 정보

4.2 가상머신 할당 정보 확인

사용자가 가상머신에 접속하기 위해서는 연결 관리 시스템을 통해 가상머신을 할당받아야 한다. 특정 사용자에게 할당된 가상머신에는 다른 사용자가 접속할수 없으며, 특정 사용자 전용으로 사용된다. 이러한 사용자와 가상머신 사이의 연결 정보는 연결 관리 시스템 또는 인증 관리 시스템에 저장되며, 사건 용의자와 사용된 가상머신 간의 관계를 확인하는데 유용하다.

사용자와 가상머신 사이의 연결 정보를 확인하는 방법으로는, 연결 관리 시스템을 이용하여 확인하는 것과 연결 관리 시스템 또는 인증 관리 시스템에 저장되는 DB를 확인하는 것이 있다. [표 6]과 [표 7]은 사용자와 가상머신의 연결 정보를 확인하는 방법에 대해 정리한 것이다.

[표 6] 연결 관리 시스템을 이용한 연결 정보 확인

[표 7] 연결 관리 시스템 및 인증 관리 시스템 DB를 이용한 연결 정보 확인

4.3 가상머신 데이터 수집

가상머신 데이터는 각 솔루션별 하이퍼바이저 관리 시스템 및 전용 Shell 접속 프로그램을 이용하여 수집할 수 있다. 또한 사용자가 가상머신에 접속 중이었다면 바로 데이터를 선별 수집하거나 전체 가상 디스크를 덤프할 수 있다.

4.3.1 하이퍼바이저 관리 시스템

각 솔루션에서 제공하는 하이퍼바이저 관리 시스템을 이용하면 가상머신을 Export, 복제 또는 가상머신 구성 파일을 다운로드 할 수 있다. 수집하는 방법별로 가상머신 데이터를 압축하거나 원본 그대로 수집하게 되는데, 압축하여 수집된 데이터는 다시 원본과 동일한 새로운 가상머신을 생성해야만 분석이 가능하다. 또한 가상머신 복제도 원본과 동일한 새로운 가상 머신을 생성한다는 측면에서 이와 동일하다. 그리고 원본 그대로 데이터가 수집되는 경우에는 분석 도구를 이용하여 바로 분석 가능하다. [표 8]은 하이퍼바이저 관리 시스템을 이용한 가상머신 데이터 수집 방법을 정리한 것이다.

[표 8] 하이퍼바이저 관리 시스템을 이용한 가상머신 데이터 수집

4.3.2 Shell 접속 프로그램

각 솔루션은 다양한 기능이 포함된 Shell 접속 프로그램을 제공하고 있다. 이들 기능 중, 가상머신의 가상 디스크를 수집할 수 있는 기능도 있다. 단, VMware와 Microsoft는 원본 디스크와 동일한 데이터를 수집하지만 Citrix는 압축된 파일로 수집되기 때문에 XenCenter를 이용하여 복원하여 분석하여야 한다. [표 9]는 Shell 접속 프로그램을 이용한 가상 머신 데이터 수집 방법을 정리한 것이다.

[표 9] Shell 접속 프로그램을 이용한 가상머신 데이터 수집

4.3.3 수집된 데이터의 무결성 검증

수집된 데이터의 무결성 검증은 그것이 증거로써 가지는 가치를 판단할 수 있는 가장 좋은 방법이다. 본 논문에서의 수집 데이터 무결성 검증은 각 솔루션별 스토리지에 저장된 원본 가상 디스크의 해쉬 값과 수집된 가상 디스크의 해쉬 값과 비교하였다. 사용된 해쉬는 MD5와 SHA1 이며, 원본 가상 디스크의 해쉬 값은 하이퍼바이저 또는 하이퍼바이저 관리 시스템에 Shell 접속 후 생성하였다. 특히, 데이터 수집 시 압축되어 수집된 데이터(Citrix의 가상머신 Export, Shell 접속 프로그램 및 VMware의 가상머신 Export)는 복원 후 생성된 가상머신의 가상 디스크를 이용하였다.

해쉬 값 비교 결과, VMware와 Microsoft는 모두 해쉬 값이 일치하지만 Citrix는 일치하지 않았다. Citrix에서 해쉬 값이 일치하지 않는 이유는 원본 가상 디스크가 XenCenter를 통해 Export, 복제 또는 복사될 때 원본과 다른 새로운 형태의 VHD 포맷으로 재배열하기 때문이다. 이는 원본과 수집된 데이 터의 내부 Offset 값을 비교함으로써 알 수 있다. 하지만 이는 Offset의 재배열에 따른 것으로 내부적인 파일 시스템 영역이나 전체 파일의 해쉬 값을 비교한 결과는 원본과 수집된 데이터가 일치한 것을 확인할 수 있었다. 따라서 포렌식적으로 수사를 진행하는데 있어 증거로써의 가치는 분명히 있다.

현재 Citrix의 데이터 추출 시 발생되는 VHD 포맷 재배열과 관련된 문제는 다양한 실험을 통한 추가 연구를 진행 중에 있다.

V. 결론

가상 데스크톱 환경의 도입은 기업 또는 조직의 입장에서는 비용절감의 효과를 누릴 수 있으며, 개인 사용자 입장에서는 웹 서비스를 더욱 편리하게 사용할수 있다는 측면에서 큰 축복이 될 수 있다. 하지만 최근 빠른 속도로 발전하고 성장하는 클라우드 시장에 비하여 클라우드 컴퓨팅 환경에 대한 디지털 포렌식 조사 기법은 아직 걸음마 단계인 것이 현실이다. 본 논문에서는 사설 클라우드 서비스로 제공되는 가상 데스크톱 환경 및 전 세계적으로 가장 많이 사용되고 있는 데스크톱 가상화 솔루션(Citrix, VMware, Microsoft)에 대해 소개하고, 각 솔루션들에 대한 디지털 포렌식 조사 절차 및 방법에 대해 연구하였다. 이를 통해 디지털 포렌식 조사관은 가상 데스크톱 환경에 대한 디지털 포렌식 조사 시 사용자의 로컬 컴퓨터, 연결 관리 시스템, 인증 관리 시스템에서 사용자의 가상머신 사용 흔적을 확인하고, 이 후 본 논문에서 제시한 다양한 방법을 통해 사용자의 가상머신 데이터를 수집할 수 있다. 이렇게 수집된 데이터는 기존 디지털 포렌식 조사 방법을 이용하여 분석할 수 있기 때문에 현장의 조사관들에게 매우 유용하게 사용될 것이다. 또한 빠른 속도로 증가하고 있는 다양한 클라우드 컴퓨팅 환경에 대응하기 위한 디지털 포렌식 조사 절차 및 방법에 대한 연구가 본 논문을 계기로 더욱 활성화되기를 기대해 본다.

* 본 논문은 2012년도 정부(교육과학기술부)의 재원으로 한국연구재단-공공복지안전사업의 지원을 받아 수행된 연구임(2012M3A2A1051106)