79ed8968efc23f8650bbd58b3683756dae0a4dd7



공장 초기화의 정석


==

개발자 모드 들어가서 "USB 잠금 해제' 활성화 (비활성화면 구글 락 걸림)

전화기 끄고 컴퓨터에 USB 연결 후 볼륨 업 + 전원 버튼으로 진입

Recovery Mode -> Factory Reset = '찐' 공장 초기화

주의할 것은 설정에 있는 데이터 전체 초기화로 초기화 하면 안 된다

==


본 글에 앞서...


버닝썬 게이트 사건의 정준영이 리커버리 팩토리 리셋으로

전화기를 초기화 하는 바람에 데이터 복구를 실패한 사례가 있다

경찰이 2~3일 공백 기간을 준 게 증거 인멸하라고 한 셈


포렌식 = 데이터 복구


말 그대로 데이터 복구를 거창하게 포장한 표현이 포렌식이다

포렌식에 대해서 진실 혹은 거짓을 알기 위해 글을 작성함


A B C D 라는 블럭이 있고 

C라는 블럭에 'SSS.mp4'라는 데이터가 기록 되면

'C 블럭에 SSS.mp4 본인 자리오' 접근 금지 표기가 된다

그러면 다른 데이터가 기록되면 C에 덮어 기록될까? 답은 X


반대로 C라는 블럭에 기록된 SSS.mp4라는 파일을 지웠다

그러면 데이터도 날라갈까? 이 경우는 데이터가 그대로 있다

데이터 기록 방식을 이해 못하는 사람들은

파일 지우면 끝 아니야? 이러는 데 매우 순진한 판단이다


이 상태에서 다른 데이터 기록 없이 포렌식 툴 돌리면 

SSS.mp4라는 데이터는 100% 복구가 된다

쉽게 말하면 삭제하면 파일 이름 (=위치 정보)만 사라질 뿐

데이터는 사라지지 않는다

파일 이름과 데이터는 같은 게 아니므로 확실히 구분을 해야 한다


다르게 비유해보면


지도에서 우리 집 주소를 없애 버리면 위치 정보가 사라진다

하지만 집은 그대로 있는데 해당 위치의 주인 식별이 안 되면

누가 와서 집을 밀어 버리면 거기에 뭐가 있었는 곳인지 알 수 없게 된다

모르는 사람이 볼 때 저기에 집이 있었는지 뭐가 있었는지 모른다는 뜻

다른 건물 지어버리면 '뭐지?' 식별 불가능


이쯤에서 사람들이 가장 궁금해하고 가장 중요한 핵심 포인트


'공장 초기화 하면 디지털 포렌식이 가능한가요?'


안드로이드 기준으로 설명한다


안드로이드는 킷캣 4.4.2부터 5 롤리팝까지

데이터 보안 옵션이 선택적으로 되어 있어서

데이터 보안 옵션을 켰을 경우

공장 초기화 하면 데이터 복구가 불가능 하다


안드로이드 6 마시멜로부터는 

안드로이드 탑재 전화기 전기종에 데이터 보안화가 기본 탑재 되어있다


여기서 의문이 드는 것 하나...


'공장 초기화 해서 데이터 복구 불가능 하면 게임 끝 아닌가요?'


데이터 보안화가 된 상태에서

공초를 한 번이라도 할 경우 복구 불가능한 건 절대 사실 맞다


디지털 포렌식이 가능한 경우는

전화기가 잠금 상태가 아닌 상태여야 데이터 복구가 가능하다

참고로 포렌식 툴로 검색 기록 같은 것도 복구 된다 (엥간한 거 다 됨)


안드로이드의 경우 갤럭시 S10 이후 출시된 모델들은

'File Based Encryption'이라는 강력한 보안 암호화 시스템을 탑재하고 있는데

이게 무엇이냐 하면 잠금을 비밀번호로 설정 했을 경우

비밀번호까지도 보안화(!!) 되어 버린다

쉽게 말해서 포렌식 툴로 비밀번호를 절대 풀 수 없다는 뜻이다


File Based Encryption 기준으로

비밀번호 잠금이 되어 있다면 이미지 파일로 아예 뜰 수가 없다

휴대폰 256기가 기준으로 이미지로 뜨고

포렌식 툴 돌리는 데 복구하는 데 평균 4~5시간 소요 된다


Check Point. 여기서 알아 두어야 하는 무서운 사실


포렌식을 전문적으로 하는 사람들은 다음 사실들을 남에게 말하지 않는다


1. 최근 휴대폰들은 비밀번호로 잠겨 있으면 포렌식이 불가능 합니다

2. 데이터 보안화 된 상태로 공장 초기화 된 전화기는 복구 불가능 합니다


되게 단순하게 생각해 보면


디지털 포렌식을 진행해야 하는데 전화기가 비밀번호로 잠금 되어 있다

포렌식 툴로 비밀번호 대조 할려니까

비밀번호 자체가 암호화 되어 있어서 해독이 불가능

비밀번호 뚫으려고 공장 초기화 하자니 데이터 복구 불가능


이런 참사가 발생한다


디지털 포렌식 하는 사람들은 비밀번호로 잠금 되어 있으면

최근 출시된 전화기라면 작업 자체를 포기해버린다

비번 때문에 공초 하면 데이터 복구 안 되는 걸 업자들도 잘 알고 있다

상식적으로 모르는 게 이상하긴 하다, 모르는 척 하는 것도 코미디


유튜브에 가봐도 여러 변호사들이나

포렌식 관련자들이 비슷한 말들을 하고 있는데 정작

매우 취약한 약점은 절대 말하지 않는다는 추악한 짓을 한다는 것


사람을 바보 취급하나...


앞에서는 디지털 포렌식을 매우 만능인 척 포장하고

정작 디지털 포렌식의 취약한 약점은 전혀 말하지 않으면서

무슨 포렌식 하면 무조건 복구된다 식으로 공포감을 조성함


* 요약


1. 잠금이 풀린 상태에서만 포렌식이 가능하다

2. 최근 휴대폰들은 공장 초기화 1회라도 할 경우 데이터 복구 절대 불가능 하다

3. 비밀번호 잠금 사용한다면 비밀번호의 길이는 길게 하는 게 좋다


p.s. 최근 폰 쓰면 발 뻗고 자도 됩니다. 비번 잠금이면 NSA도 못 풉니다.