#article

모바일 포렌식 소프트웨어: Belkasoft X를 선택해야 하는 이유

소개

Belkasoft는 설립된 지 10년이 넘는 기간 동안 주로 컴퓨터 포렌식 도구로 유명했습니다. 하지만 최근 몇 년 사이, 많은 DFIR 전문가들이 Belkasoft 제품을 선택하는 핵심 이유는 모바일 디바이스 포렌식과 분석 기능입니다. Belkasoft는 Cellebrite와 함께 Windows 플랫폼에서 Checkm8 기반 iOS 전체 파일 시스템 획득을 지원한 세계 최초의 두 회사 중 하나였으며, 대부분의 경쟁사는 이 기능에서 6~12개월 뒤처졌습니다. 이는 Belkasoft가 모바일 포렌식 도구로 인기를 얻은 여러 이유 중 하나일 뿐입니다. 전화 포렌식 분야에서의 탄탄한 평판은 전 세계 많은 수사관들이 Belkasoft를 기본 솔루션으로 선택하게 만들었습니다.


BELKASOFT X 체험판을 요청하세요

이 글에서는 Belkasoft X의 모바일 포렌식 기능을 살펴보고, 디지털 포렌식과 사고 대응 조사에서 스마트폰과 태블릿 포렌식의 주력 도구로 Belkasoft 제품을 선택해야 하는 이유를 설명합니다.

Belkasoft X

Belkasoft X(Belkasoft Evidence Center X)는 컴퓨터, 모바일, 드론, 차량, 클라우드 포렌식을 위한 Belkasoft의 플래그십 도구입니다. 다양한 모바일 디바이스를 획득하고 분석하며, 여러 분석 작업을 실행하고, 사건 전반 검색, 아티팩트 북마크, 보고서 작성을 도와줍니다. 다재다능한 기능 덕분에 모바일 디바이스 포렌식에 최적이며, 핵심 데이터를 확보하도록 지원합니다. 무료 체험판은 https://belkasoft.com/trial에서 이용할 수 있습니다.


BELKASOFT X 체험판을 요청하세요

Belkasoft R

Belkasoft R(Belkasoft Remote Acquisition)은 Belkasoft X Corporate의 구성 요소입니다. 이는 다양한 종류의 디바이스와 선택한 아티팩트만 포함하는 부분 이미지 등을 포렌식 무결성을 갖춘 방식으로 원격 획득할 수 있는 도구입니다(컴플라이언스나 eDiscovery 목적에 적합). 이 제품은 모바일 디바이스를 원격으로 획득할 수 있는 고유한 기능을 제공하여, 모바일 포렌식 워크플로우의 가치를 높입니다. Belkasoft X Corporate의 무료 체험판은 https://belkasoft.com/x-corporate-editions에서 제공됩니다.

모바일 포렌식에 대한 Belkasoft의 지원 개요

모바일 디바이스를 다룰 때 가장 먼저—그리고 가장 중요한—단계 중 하나는 데이터 획득입니다. 데이터를 획득하지 못하면 분석할 수 없습니다. Belkasoft X는 스마트폰과 태블릿을 포함한 현대의 휴대용 디바이스 획득을 강력히 지원하며, 모바일 포렌식에 필수적인 도구입니다.

Belkasoft X는 두 주요 플랫폼(iOS 및 Android) 모두에 대해 여러 가지 획득 방식을 지원합니다. Microsoft(Windows) 폰도 지원하지만 더 이상 생산되지 않으므로 여기서는 다루지 않습니다.

iOS와 Android는 데이터 획득 시 고유한 특성이 있습니다. 표준 백업 메커니즘으로 iOS는 iTunes, Android는 ADB가 있고, AFC 및 MTP/PTP 프로토콜을 통해 미디어 파일을 추출할 수 있습니다. 그러나 iTunes와 ADB가 제공하는 정보의 범위는 매우 제한적입니다. 디바이스 파일 시스템과 같은 보다 포괄적인 이미지를 확보하려면, 대개 루팅, 탈옥, 익스플로잇 등 제조사가 승인하지 않은 방법이 필요하며, 이러한 방법은 디바이스나 칩셋에 따라 달라집니다.

따라서 모바일 포렌식에서는 하나의 도구 안에 다양한 획득 옵션이 있는 것이 중요합니다. 이렇게 하면 안전을 위해 더 간단하고 직관적인 방법부터 시작할 수 있습니다.

Belkasoft X의 강점은 가장 비침습적이고 안전한 방법으로 시작하여, 더 포괄적이지만 위험한 방법으로 단계적으로 진행할 수 있다는 점입니다—이는 모바일 포렌식에서 매우 가치가 큽니다.

iOS 획득 지원

iOS의 경우, Belkasoft X는 iTunes 백업 획득을 지원하며, 패스코드를 모를 때 디바이스 잠금 해제를 피하기 위해 락다운 파일을 사용하는 기능도 제공합니다. 또한 Apple File Conduit(AFC) 프로토콜을 사용하여 미디어 파일을 획득할 수 있습니다. Belkasoft X의 또 다른 중요한 기능은 일부 iOS 디바이스에 대해 알 수 없는 패스코드를 무차별 대입으로 시도할 수 있다는 점으로, 전화 포렌식에서 매우 중요한 기능입니다.

더 나아가, 고급 기법(탈옥된 iPhone/iPad에서의 획득, Checkm8 기반 획득, 에이전트 기반 획득 등)을 통해 전체 파일 시스템과 키체인(내장 비밀번호 저장소)까지 획득할 수 있습니다. 명확히 하자면, 당사의 Checkm8 기반 및 에이전트 기반 획득은 탈옥이 아니므로, 여러 국가에서 증거물에 대해 탈옥이 법적으로 불가능한 상황에서도 더 포렌식 친화적인 방법입니다.

에이전트 기반 획득은 많은 고객이 인정한 Belkasoft X의 장점 중 하나입니다. 동일한 기능을 제공하는 도구는 많지 않습니다. Checkm8은 지원 기종(iOS A5–A11 칩셋)에 제한이 있지만, 에이전트 기반 획득은 최신 iPhone에서도 동작하며, 지원 iOS 범위도 iOS 10까지 거슬러 올라갈 정도로 넓습니다.

또한 Belkasoft X는 Checkm8 측면에서도 경쟁사 대비 부가 기능을 제공합니다. 예를 들어 USB 제한 모드 해제가 가능합니다. 이는 마지막 잠금 해제 후 1시간이 지나면 Lightning 케이블을 통한 데이터 전송을 비활성화하는 iOS 보안 기능입니다.

이외에도 자동 화면 캡처나 크래시 로그 추출 같은 iOS 획득 방식이 있으며, 제한적이긴 하지만 수사에 유용한 최신 IP 주소 등 정보를 제공할 수 있습니다.

Belkasoft X의 iOS 획득에 대해 더 알아보려면 https://belkasoft.com/webinar의 웨비나를 참고하세요. Previous webinars 탭에서 잠긴 iPhone 조사, iPhone USB 제한 모드 우회 등의 녹화를 보실 수 있습니다.

BELKASOFT X 체험판을 요청하세요

Android 획득 지원

Android의 경우, Belkasoft는 표준 ADB 백업 생성과 ADB 기반의 여러 획득 방법을 지원합니다. 그중 하나는 APK 다운그레이드 획득으로, 원래 애플리케이션(예: WhatsApp)을 이전 버전으로 교체한 뒤 ADB 백업을 사용해 훨씬 더 많은 데이터를 포함시키는 방식입니다. 이는 이전에는 접근할 수 없던 데이터에 접근 가능하게 해 주므로, 모바일 포렌식의 돌파구라 할 수 있습니다. 마지막에는 원래 앱 버전으로 복원됩니다.

Belkasoft X의 또 다른 ADB 기반 Android 획득 방식은 자동 화면 캡처입니다. 이는 아마 가장 안전한 데이터 추출 방식이므로, 더 위험한 방법을 시도하기 전에 사건이나 획득을 시작할 때 우선 고려할 수 있습니다. 앞서 언급했듯 모바일 포렌식에서는 비침습적 방법이 우선시되는 경우가 많습니다.

또한 2024년 3월 1일 보안 패치가 적용되지 않은 Android 12 및 13 디바이스에 대해 내부 파일 시스템의 ..data\data 하위에 위치한 애플리케이션 폴더에 완전 접근이 가능한 신규 획득 방식이 있습니다. 이 방식은 루팅 없이 보안 제약을 우회할 수 있어, APK 다운그레이드와 유사하지만 더 강력합니다.

전반적으로, 이 강화된 앱 획득 방법을 논리적 옵션과 함께 사용하면 Android 12/13 디바이스에서 보다 철저한 데이터 수집이 가능해져, 포렌식 목적에 맞는 애플리케이션 데이터의 퍼즐을 더 쉽게 맞출 수 있습니다.

Belkasoft X는 특정 제조사나 칩셋에 특화된 Android 획득 방식도 지원합니다. Spreadtrum, MTK(MediaTek), Kirin, Qualcomm 기반 디바이스가 이에 해당하며, MTK의 경우 에이전트 기반 두 가지를 포함해 최대 세 가지 방법을 제공하고, Qualcomm은 EDL(Emergency Download) 모드를 통해 지원합니다.

이 제품은 루팅된 디바이스 획득과 TWRP 추출 분석도 지원합니다. 또한 JTAG 이미지와 칩오프 덤프 분석, 타사 이미지(포렌식 제품 이미지 및 벤더 독자 형식 포함) 가져오기도 가능합니다. 예를 들어 Belkasoft X를 통해 HiSuite 백업과 샤오미 이미지를 분석할 수 있습니다. 이처럼 폭넓은 Android 획득 방법 지원은 모바일 포렌식 조사에서 매우 효과적입니다.

Belkasoft X의 Android 획득에 대해 더 알아보려면, https://belkasoft.com/webinar의 웨비나를 확인하세요. Previous webinars 탭에서 Android 폰 조사: Belkasoft X로 데이터 추출 및 분석 등의 녹화를 볼 수 있습니다.

SIM 카드 클로닝

Belkasoft X는 하드웨어 SIM 카드 리더기를 사용하거나, Android 디바이스의 해당 기능을 통해 SIM 카드의 전체 내용을 복제할 수 있습니다. SIM 카드에는 전화번호 외에도 가입자 식별(IMSI), 네트워크 고유 데이터, 그리고 경우에 따라 연락처나 SMS 등 중요한 포렌식 정보가 포함됩니다. 전화번호 추적, 메시지 복구, 신원 확인이 핵심인 사건에서 유용합니다.

클라우드 포렌식

클라우드 포렌식은 모바일 포렌식과는 성격이 상당히 다르지만, 이러한 획득은 모바일 디바이스에서 얻은 데이터를 보완하거나 입증하는 데 도움이 될 수 있습니다. 이 글의 주제는 아니므로 간단히, 모바일 조사에 유용할 수 있는 Belkasoft X의 기능 두 가지를 예로 들면:

  • WhatsApp 다운로드(QR 유무 모두). WhatsApp 추출은 난도가 높아, 이용 가능한 방법이 많을수록 가치가 큽니다.
  • iCloud 다운로드. iPhone 획득이 불가능한 경우, iCloud가 해당 디바이스에서 백업된 데이터의 소스가 될 수 있습니다.

이 두 가지(및 그 외 다수) 옵션은 Belkasoft X에서 클라우드 기반 데이터 소스를 사건에 추가하면 사용할 수 있습니다. 클라우드 데이터는 디바이스 획득 방법이 남긴 공백을 메우며, 모바일 포렌식 작업을 종종 보완합니다.


BELKASOFT X 체험판을 요청하세요

모바일 애플리케이션 분석

이제 디바이스 이미징을 성공적으로 마쳤습니다. 축하합니다! 이제 이미지 내용 분석을 진행해야 합니다.

현대의 스마트폰에는 수백만 개의 앱이 존재하며, 분석 자동화 없이는 사건 기록이 끝없이 커질 수 있습니다. Belkasoft X는 WhatsApp, Signal, Telegram, Instagram, TikTok, Viber, Tinder, Pinterest 등 1,500개 이상의 주요 앱과 버전을 지원합니다. 아티팩트 자동 추출 지원 덕분에 모바일 포렌식의 강력한 조력자가 됩니다.

대부분의 앱은 SQLite 데이터베이스에 데이터를 저장하지만(SQLite 분석은 또 다른 주제입니다), 단순히 DB 브라우저로 열기만 해서는 모든 데이터를 추출하기 어렵습니다. DB Browser for SQLite 같은 표준 무료 도구(그리고 대부분의 포렌식 도구조차도!)는 프리리스트, WAL(Write-Ahead Log) 및 저널 파일, 미할당 영역에 있는 삭제 데이터를 복원하지 못하는 경우가 많습니다. 또한 많은 앱이 강력한 암호화를 사용하여, 복호화 키 없이는 데이터베이스를 열 수 없게 합니다.

Belkasoft X는 여러 WhatsApp 버전을 복호화 및 디코드할 수 있으며, 루팅이 필요하지 않습니다. Android 12–13용 방법을 사용하여 복호화 키를 추출할 수 있습니다. 또한 iOS용 Signal도 난제지만, 전체 파일 시스템 추출과 키체인 확보(또는 타사 추출로 키를 확보) 후에는 분석이 가능합니다.

Belkasoft X 인터페이스는 오디오, 채팅, 문서, 사진 및 동영상, 지오로케이션 데이터, 암호화폐 지갑과 거래, 피트니스·수면·심박 등 모바일(및 기타) 아티팩트를 보기 좋게 정리해 보여줍니다.

다른 도구들이 종종 사건당 한 대의 디바이스만 허용하는 것과 달리, Belkasoft는 필요한 만큼 디바이스를 추가할 수 있습니다. 이를 통해 Connection Graph로 ‘조망도’를 얻을 수 있으며, 사건 내 인물·디바이스 간의 소통(채팅, SMS, 보이스메일, 통화, 이메일)을 확인할 수 있습니다. 마지막으로, 디바이스 종류와 관계없이 추가된 데이터셋 간 연계를 만들 수 있는데, 이는 경쟁 제품에서는 지원하지 않는 경우가 많습니다. 그렇지 않다면, 한 사용자의 모바일과 다른 사용자의 노트북 데이터를 상호 연계하는 작업은 두 개의 서로 다른 소프트웨어와 형식 차이 속에서 매우 힘들고 시간이 오래 걸리는 수작업이 될 것입니다.

Belkasoft X 내장 지도에서 모바일로 촬영한 사진 등 지오로케이션 데이터를 검토

모바일 포렌식을 위한 Belkasoft 솔루션의 장점

Belkasoft가 점점 더 많은 디지털 포렌식 전문가와 인시던트 대응자에게 모바일 포렌식의 1순위 도구로 선택되는 이유는 다양합니다. 예를 들면:

  • Checkm8 및 에이전트 기반 획득 등 고급 방식을 포함한 견고한 디바이스 획득 지원
  • 모바일 포렌식을 폭넓게 아우르는 광범위한 지원 디바이스 모델
  • 포렌식 무결성을 갖춘 모바일 디바이스 원격 획득
  • Belkasoft X가 기본 제공으로 지원하는 다수의 모바일 앱 및 아티팩트
  • 매우 합리적인 가격: 타사 모바일 포렌식 소프트웨어 대비 훨씬 저렴
  • 기간제 아닌 영구 라이선스

Belkasoft를 시험해 보시겠습니까?

이 글을 통해 Belkasoft 도구를 써 보고 싶어지셨다면, https://belkasoft.com/trial에서 다운로드할 수 있습니다. Belkasoft X 설치 패키지에는 컴퓨터와 모바일 데이터가 담긴 샘플 이미지가 포함되어 있습니다.

더 고도화된 이미지로 시험해 보고 싶으신가요? Android 포렌식 조사를 다룬 BelkaCTF 2(“Drugdealer case”)를 풀어 보세요. Belkasoft X의 강력함을 직접 보실 수 있습니다: 가장 어려운 과제도 몇 분 만에 해결됩니다. 이는 Belkasoft의 폭넓은 기능으로 모바일 포렌식이 실제로 어떻게 작동하는지 보여 주는 훌륭한 예입니다.

전체 CTF를 진행할 시간이 부족하다면, 커뮤니티의 어려운 질문에 답하는 짧은 BelkaTalk 동영상을 시청해 보세요. 그중 일부는 모바일 디바이스 포렌식에 초점을 맞추고 있습니다.

BELKASOFT X 체험판을 요청하세요

더 보기

🌐 This article is also available in other languages
English Español Tiếng Việt العربية Italiano 日本語 Deutsch Português ไทย Français