디지털 포렌식에서의 메타데이터 분석 기법

디지털 포렌식에서의 메타데이터 분석 기법

 

 

 

 

 

---

📌 1. 메타데이터의 개념과 포렌식에서의 중요성

키워드: 메타데이터, 디지털 포렌식, 파일 속성, 문서 추적

메타데이터(Metadata)는 ‘데이터에 대한 데이터’로 정의되며, 파일 자체가 아닌 그 파일이 생성, 수정, 이동된 이력과 환경을 설명하는 부가 정보를 말한다.
디지털 포렌식에서는 메타데이터가 직접적인 내용 분석 없이도 파일의 행위 이력을 재구성할 수 있는 핵심 정보로 활용되며, 특히 사건 시점 파악, 사용자의 행위 분석, 조작 여부 판단 등에 결정적인 역할을 한다.

대표적인 메타데이터 항목은 다음과 같다:

• 생성일, 수정일, 마지막 접근일 (MAC Time)
• 파일 소유자, 작성자, 접근 권한
• 위치 정보(GPS 좌표), 장치 정보(EXIF)
• 문서 작성 프로그램, 버전 정보
• 해시값 및 파일 고유 식별자

이러한 메타데이터는 사용자의 의도와 무관하게 시스템 또는 애플리케이션에 의해 자동으로 생성·보존되며, 조작을 피하려 해도 흔적이 남기 쉽기 때문에 법적 증거로서의 효용성이 높다.

---

📌 2. 주요 파일 유형별 메타데이터 분석 사례

키워드: Office 문서, 이미지 EXIF, PDF 속성, 이메일 헤더

파일 유형에 따라 저장되는 메타데이터 형식과 분석 기법은 달라지며, 실무에서 자주 분석되는 유형은 다음과 같다:

• Microsoft Office 문서 (DOCX, XLSX, PPTX)
  • 작성자, 마지막 수정자, 회사명, 생성 및 저장 위치, 마지막 편집 시간, 총 편집 시간 등
  • Office Open XML 구조를 기반으로 ZIP 파일로 압축되어 있어, 내부 XML 분석을 통해 메타데이터 추출 가능
• PDF 문서
  • 작성 애플리케이션, 제작 시간, 보안 설정 여부, 암호화 상태, 생성자 정보
  • Adobe Acrobat 등에서 생성된 경우 별도의 XMP 메타데이터 구조 포함
• 이미지 파일 (JPEG, TIFF 등)
  • EXIF 데이터에 저장된 카메라 모델, 촬영 일시, GPS 좌표, ISO, 셔터 스피드
  • SNS나 메신저를 통해 업로드될 경우 EXIF가 제거되기도 하므로, 원본 이미지 확보가 중요
• 이메일 파일 (EML, MSG)
  • 송신자, 수신자, 참조, 전송 시각, 경유 서버, IP 주소 등의 헤더 정보
  • 스푸핑 여부, 전송 지연, 위조 가능성 판단에 사용

이러한 분석은 단일 메타데이터가 아니라, 다양한 항목 간의 상관관계를 기반으로 사건의 흐름을 추정하는 데 핵심적인 역할을 한다.

---

📌 3. 메타데이터 분석 도구와 실무 적용

키워드: ExifTool, FOCA, AnalyzeMFT, FTK, Autopsy

메타데이터 분석에는 다음과 같은 전문 도구들이 사용되며, 분석 환경에 따라 CLI 기반 또는 GUI 기반으로 구분된다:

• ExifTool
  • 가장 널리 사용되는 오픈소스 메타데이터 추출 도구
  • 이미지, 문서, 오디오, 비디오 등 다양한 포맷을 지원하며 정밀한 필드 추출 가능
• FOCA (Fingerprinting Organizations with Collected Archives)
  • 공개된 문서를 수집하고 그 메타데이터를 자동 분석하여 조직의 내부 사용자, IP, 프린터 정보 등 인프라 정보 노출 여부를 점검
• AnalyzeMFT
  • NTFS 파일 시스템의 $MFT 레코드를 분석하여 파일의 생성·변경 기록, 시점 변경 여부 등을 추적
  • 타임라인 분석에 유용
• FTK / Autopsy / X-Ways
  • 파일 시스템 내 파일들의 메타데이터를 자동으로 파싱하여, 시각화된 형태로 보고 가능
  • 다양한 뷰 필터, 정렬, 색인 기능을 제공하여 분석자의 효율적인 행위 기반 접근 지원
• OSINT 도구와의 연계
  • 메타데이터로 파악한 이메일, 도메인, 장치 정보를 기반으로 외부 오픈소스 정보 탐색도 가능

이처럼 메타데이터는 파일 내용이 삭제되거나 암호화되어 접근이 불가능할 때도 분석 가능한 흔적 정보로서, 실무 분석의 출발점이 되는 경우가 많다.

---

📌 4. 메타데이터 분석의 유의사항 및 법적 활용

키워드: 메타데이터 조작, 무결성, 개인정보 노출, 증거 효력

메타데이터 분석은 매우 유용하지만, 다음과 같은 유의사항과 법적 고려 요소가 존재한다:

1. 메타데이터 조작 가능성
   • 일부 메타데이터는 사용자가 직접 수정하거나 조작할 수 있으며,
     예: Word 문서의 작성자 변경, 이미지 EXIF 정보 위조
   • 해시값 비교, 복수 파일 비교, 원본 장치 확보 등을 통해 진위 판단 필요
2. 자동 변경 가능성
   • 파일 복사, 열람만으로도 접근 시간이 갱신되는 경우가 있으므로, MAC Time 분석 시 주의 필요
3. 개인정보 포함 여부
   • 작성자 이름, 이메일 주소, 위치 정보 등이 포함될 수 있으므로, 분석 후 제출 시 비식별화 필요
4. 법적 효력 확보를 위한 절차 준수
   • 메타데이터 분석도 일반 증거 분석과 동일하게, 무결성 확보, 분석 도구의 신뢰성, 문서화 절차가 필요
   • 수사기관 제출 시 분석 보고서에 해시값, 분석 환경, 도구 버전, 분석자의 서명 등 포함

결론적으로 메타데이터는 눈에 보이지 않는 디지털 행위의 흔적을 남기는 중요한 단서이며, 조작을 방지하고 정확한 해석을 위해선 분석자의 경험과 체계적인 절차가 병행되어야 한다.