UPS(Uninterruptible Power Supply)와 전원 차단

디지털 포렌식 분석 시에 전원차단하는 내용에 대해 언급하려한다.

 

사고분석할 때 디지털 증거를 보존하기 위해 통상적으로 갑작스럽게 전원을 차단하여 하드디스크를 그 상태 그대로 보존한다.. 라고 알고있었다.

물론 반은 맞고 반은 틀린 말이다. 이런 갑작스러운 전원 차단 또한 적용되어야할 대상이 다르고 방법도 다르다.

 

1. 개인 PC에 일어난 침해사고 분석시에 전원차단

먼저 개인PC에 대한 사고분석을 할 때, 이 경우는 PC뒤의 본체 전원 플러그를 뽑는 식으로 전원을 갑작스럽게 차단해야한다. 돼지코(?)에 꽂힌 콘센트 전원을 빼면 안되는가?? 안된다. UPS라는 기능 때문이다.

 

UPS (Uninterruptible Power Supply) 란, 무정전 전원공급 장치라는 뜻으로.. 

갑작스러운 전원차단이 일어나더라도 컴퓨터에 전원을 공급하는 장치이다.

주전원의 상실이 감지되면 즉각 축전지의 전원공급장치를 통해 전기를 일시적으로 공급받는 원리. 

(자세한 동작원리가 궁금하면 전기과 출신 친구에게 문의.. )

 

시스템을 갑자기 중단시켜 침해사고가 발생한 그 상태 그대로 보존해야 하는데, UPS가 동작해버리면 중요한 증거 데이터가 소실될 수 있다.

컴퓨터에 있는 전원 플러그를 뽑아버리는 것이 UPS 기능이 동작하는 것을 막는 방법이다.

PC마다 UPS기능이 있고 없고 차이가 있겠지만, 그걸 알아낼 수가 없으므로 그냥 일단 전원 플러그를 뽑아버리자

 

2. 서버컴퓨터, DB, 웹서버에 일어난 침해사고 분석시에 전원차단

결론적으로 얘기해서 서버컴퓨터나 DB, 웹서버는 반드시 정상종료해야한다.

통상적으로 서버급 컴퓨터 들은 개인PC에 비해 장애대비능력이 현저히 떨어진다.

 

그렇기 때문에 갑자기 전원 플러그를 빼버리면 심각한 데이터 손실을 야기한다.

손실된 데이터 가운데 사고분석에 필수적인 내용이 포함되어있을지 누가 아는가

 

 

방금 설명한 전원차단 작업은 라이브 포렌식이 이루어지고 난 후 즉각적으로 진행되어야 한다.

사고분석이란게 워낙 변수가 많은 업무이다보니.. 정답은 없다. 

라이브 포렌식을 천천히 해도 상관없는 경우가 있는 반면

해커가 안티포렌식을 수행하면 최대한 라이브  포렌식을 빠르게 진행하고 전원 플러그를 뽑거나 해야한다.