인터넷과 이메일

◆ 인터넷 개요

 

· 브라우저 : 인터넷에 있는 정보를 보고 접속할 때 사용하는 프로그램

                ex) Internet Explorer, Google, Firefox

· URL(Uniform Resource Locator) : 호스트 + 도메인 이름 + 파일이름으로 구성

                                             ex) http://www.google.com 

· HTTP(Hypertext Transfer Protocol) : 인터넷에서 사용되는 프로토콜(다른 장비와 통신할 수 있도록 사전에 협의한 방법)

                                                 웹사이트를 보고 사용하는데 활용

· 도메인 이름 ex) google, naver 등

· 최상위 도메인 : 인터넷 도메인 네임 시스템을 구성하는 요소 중 최상단(top)에 위치함

                       ex) .com, .net, .org

 

브라우저는 HTTP 프로토콜을 사용해 www.google.com을  을 호스트하는 서버에 get요청을 전송함

URL 입력 후 브라우저는 도메인 이름을 IP(Internet Protocol) 주소로 변환함

(인터넷은 IP주소로 작동 O, 도메인 이름 - 사람들이 기억하기 쉽게 하기 위한 것)

 

· 도메인 네임 서버(Domain Name Server , DNS) : 특정 도메인 이름을 그에 해당하는 IP 주소로 변환함

 

 

· HTML(Hypertext Markup Language) 문서 : 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등의 정보 저장됨

                                                          웹페이지 구성 요소의 파일이름도 포함

                                                           프로그래밍 언어 X

 

· 정적(static) vs 동적(dynamic)

 - 정적 웹 페이지 : 이미 만들어져 있는 페이지

                         페이지의 내용, 레이아웃 등이 모두 페이지를 읽어오기 전에 결정됨

 - 동적 웹 페이지 : 요청됨과 동시에 만들어짐 (요청되기 전에는 존재 X)

                         데이터베이스에 저장되어 있는 여러 구성요소로 만들어짐

 

+ whois : 특정 도메인 이름과 관련 있는 개인, 업체 식별할 때 이용하는 검색 쿼리

              해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처 등의 내용 확인 가능

 

              but, 사생활 보호하도록 도메인 등록하면 whois검색해도 실제 등록자의 정보 표시 X

 

▶ P2P(Peer-to-Peer)

 파일을 공유하는 데 주로 사용

 클라이언트/서버 네트워크와 다른 점 : P2P 네트워크에서는 하나의 컴퓨터가 클라이언트/서버 네트워크 역할 가능

 

· 그누텔라(Gnutella) : P2P 네트워크 시스템이나 아키텍처에 사용되는 주요 기술 中 하나

  - 울트라피어(ultrapeer) : 필요한 대역폭과 가동 기간(네트워크에 있는 시간) 있으면 사용하는 노드

  - 리프(leaf) : 이외

· 사용순서 

 1) KaZaA, Frostwire, GigaTribe, cMule 등 P2P 클라이언트 프로그램 다운로드, 설치

 2) 공유폴더 생성

 3) 검색 후 원하는 파일이 저장된 컴퓨터의 목록 확인

 4) 사용자가 파일을 다운로드하면 지정된 디렉터리나 기본설정 폴더에 파일 다운로드 됨 (HTTP를 사용해 파일 전송)

 

▶ INDEX.DAT 파일

 바이너리 파일. 인터넷 익스플로러(IE)가 사용됨

 한 시스템 → 여러 개의 INDEX.DAT 파일 존재

 방문한 URL, 방문횟수 등(툴을 사용해야 볼 수 있음)의 정보 기록·유지 

 

 

◆ 웹 브라우저 - 인터넷 익스플로러

 

▶ 쿠키

 웹 서버가 사용자의 컴퓨터에 저장해놓은 작은 텍스트 파일

 

· 용도

 - 세션을 관리하는 데 사용

 - 특정 웹 사이트에서 사용자의 선호사항 기억하는 데 사용

ex) Amazon.com - 방문시 기존의 구매, 검색 기록 바탕으로 상품 추천

 

 INDEX.DAT파일에서 관리

 쿠키의 내용을 해독하는 것 어려움 ( ∵ 평문으로 저장 X) → 쿠키 값 해독하는 툴 이용

 

▶ 임시 인터넷 파일(웹 캐시)

 디운로드 시간을 단축시켜 줌

 사진 파일 같은 웹 페이지 구성요소를 재사용해 동일한 파일을 여러 번 다운로드해야 하는 시간 제거 → 속도↑

 INDEX.DAT 파일을 사용해 관리됨

 '마지막으로 확인한 날짜' 정보 이용  서버에 페이지 최신 버전이 있는지 확인, 있으면 브라우저는 최신버전 다운로드

 

 윈도우 탐색기를 통해 확인 가능. 임시 인터넷 폴더 내 내용( 썸네일 & 웹페이지 정보의 조각들로 구성)을 목록화하여 보여줌

 ex) Hotmail Inbot - HoTMail[#].htm

      Yahoo! - ShowFolder.htm

      Hotmai 메시지 - getmsg[#].htm

      Yahoo! 메시지 - ShowLetter[#].htm

 

▶ 인터넷 기록

 Internet Explorer - 사용자의 기록 유지 → 사용자가 매번 브라우저의 주소 창에 URL을 재입력 X

 INDEX.DAT 파일 - 특정 사이트를 몇 번 방문했는지, 파일의 이름이 무엇인지 등을 유지관리함

 

 인터넷 기록 : 여러 개의 폴더 + INDEX.DAT 파일들로 구성

 - 폴더 : 사전에 정해진 이름 짓는 방법 사용

            그 뒤에 날짜의 범위 적음

   ex) MSHist01  /    2011    /    1011   /     2011     /1008

      → 폴더이름 / 시작연도 / 시작날짜 / 마지막연도 / 마지막 날짜

 

 기본 설정으로 인터넷 기록은 20일마다 삭제되도록 되어있음

 

NTUSERS\Software Microsoft\ Windows\Current Version \Internet Settings\ URLHistory

이 값이 기본설정인 20일보다 적게 설정되어있으면 잠재적인 증거를 제거하기 위해 조치를 취했다는 것

 

▶ 레지스트리에 있는 인터넷 익스플로러의 흔적

· NTUSER.DAT 파일 : 설정, 각 사용자 프로파일을 위한 정보 저장

                             브라우저의 기록 - 이러한 정보의 일부

                             시스템에 있는 프로파일 당 하나의 NTUSER.DAT 파일 존재

   

IE는 매일 레지스트리에 많은 흔적을 남김 → 특히 NTUSER.DAT에 저장됨

ex) 주소창에 입력한 URL, 비밀번호 저장하고 있는지, 디폴트 검색 사이트가 무엇인지 등

 

- 레지스트리 값에 대한 파일 경로 : NTUSER\Software\Microsoft\Internet Explorer\Typed URLs

※ 사람이 레지스트리를 직접 읽을 수 없음 ! 툴 필요(RegEdit, RegRipper, Registry Viewer)

 

▶ 메신저 프로그램

 텍스트 기반의 실시간 통신을 하는 데 사용됨

 ex) Trillian, AOL 인스턴트 메신저, 야후 메신저 등

 각 프로그램마다 메신저 프로그램의 기능이 다르고, 다른 흔적을 남김

 ☞ 설치여부, 대화명·스크린 네임 목록

 

 범죄에 악용할 수 있는 방법이 많음 !

 

▶ IRC(Internet Relay Char)

 상업용 메신저 프로그램 이외에 조사해야하는 메신저 프로그램

 대규모 채팅 네트워크로서 특정 업체나 단체가 통제 X

 정식적인 등록 과정이 없어 사용자가 거의 완전한 익명성 보장 받음 

 무료

 네트워크 - Undernet, IRCnet, EFnet 등 여러개의 소규모 네트워크로 구성됨

 

· 클라이언트에 직접 연결(Direct Client Connection, DCC) 기능 - 두 사용자가 하나의 컴퓨터에서 상대방의 컴퓨터로 직접 연결 가능하게 해줌 . 네트워크 서버 통과 X

 → 사생활 보장, 증거 안남김

 범죄에 이용 多

 

▶ ICQ"I Seek You"

 1996년에 개발된 메신저 프로그램

 인기 多 ( 4천 2백만 이상의 사용자, 4억 2천 5백만 건 이상의 다운로드, 매일 11억 건 이상의 문자 송수신 등)

 

 IRC와 다르게 ICQ에는 등록과정 존재, 등록된 사용자에게 사용자 식별번호 or UIN(user identification number) 부여

 높은 수준의 프라이버시 유지 → 대화 위해서 초청받아야 함

 중앙서버를 통ㅎ ㅐ트래픽을 라우팅 함 → 서버를 찾을 수 있으면 일부 흔적이 서버에 남아있을 수 있음

 

 

◆ 이메일

 

 모든 잠재적 디지털 증거 中 가장 훌륭한 증거

 영속성이 강해 여러 곳에 저장되어 있기 때문에 삭제가 힘듬

 

▶ 이메일 접속

1) 인터넷으로 접속하는 방법 : 웹 브라우저 사용

   ex) 구글의 gmail, 마이크로소프트의 hotmail 등

2) 이메일 클라이언트 프로그램 사용하는 방법 - 이메일 작업을 위해 설계된 이메일 전용 프로그램

   ex) MS의 outlook, window live mail 등

   - outlook : 데이터를 .pst나 .ost 파일로 저장

   - window live mail, outlook express : .dbx 사용

 

▶ 이메일 프로토콜

이메일은 다양한 프로토콜 사용해 송수신

 

· 단순 우편전송 규약(Simple Mail Transfer Protocol, SMTP) : 이메일 클라이언트가 이메일을 보내거나 서버가 이메일을 송수신할 때 사용

· 우체국 프로토콜(Post Office Protocol, POP) : 이메일 클라이언트가 이메일을 받을 때 사용

· 아이맵(Internet Message Access Protocol, IMAP) : 양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용

 

▶ 증거로서의 이메일

 이메일에서 수집할 수 있는 증거 : 사건 관련 내용의 이메일, 이메일 주소, IP주소, 날짜와 시간

 여러 곳에서 이메일 데이터 발견 가능 ! ( 용의자 컴퓨터, 수신자 컴퓨터, 회사 서버, 스마트폰 등 )

 웹 기반 증거와 마찬가지로 시간이 매우 중요

 

· 이메일 주요 구성요소 : 헤더, 바디, 첨부파일 등

 - 헤더 : 송신자가 수신자로 이메일 보낼 때 거쳤던 경로 정보 기록 ( like 여권 )

           서버 하나를 거칠 떄마다 헤더에 정보 추가

           헤더 정보는 아래에서 위로 읽어야 함

 - 바디 : 메시지 자체

 - 첨부파일 : 사진, 문서, 스프레드시트 파일 등 사용자가 생성한 파일 등 포함

 

▶ 이메일 - 흔적 지우기

· 스푸핑(spoof) : 이메일이 실제로 다른 사람 or 다른 위치에서 보내진 것처럼 보여지게 위조하는 것

· 공용 이메일 계정 : 사용자가 익명의 계정 생성·로그인 정보를 다른사람과 공유 → 임시 보관함 폴더 이용해 서로 대화 가능

 

▶ 이메일 추적하기

 로그에 크게 의존

· 메시지 헤더에 있는 메시지 ID 정보 : 이메이 서버가 할당하는 고유번호

 메시지 ID와 서버의 로그의 상관관계 확인 → 특정 컴퓨터에서 메시지 송수신한 것을 증명 가능 

 

 

◆ 소셜 네트워크 사이트

 

거의 모든 사람들이 페이스북, 트위터 등의 소셜 네트워크 매체 사용함 

 

※ 업체들이 정보를 특정기간만 보존 ! 시간이 지나면 필요로 하는 데이터가 삭제될 것

서비스 제공 업체로부터 증거 수집을 하기 위해서는 빨리 소환장, 수색영장을 받아 데이터를 수집해야 함