[UCA울산코딩아카데미] 구글 크롬 시크릿모드, 구글은 다 보고있었다고?
월스트리트저널에 따르면 구글이 크롬 브라우저의 시크릿 모드에서 사용자 몰래 수집한 데이터들을 전부 삭제할 예정이라고 합니다. 사용자만 수 백만명이니 지워야 할 데이터는 수 억건은 되겠네요.
2020년에 3명의 구글 크롬 사용자가 각종 정황 증거를 수집해서 제기된 이 집단 소송은 Google이 비공개인 시크릿 모드를 사용하는 크롬 사용자의 활동을 추적했던 방식에 대해 구글 크롬 사용자에게 절대로 저장되지않는다며 사용자를 기만하고, 개인 프라이버시를 보호하지 않았다고 소송이 시작되었습니다.
구글은 소송에 대한 합의문을 캘리포니아 주 법원에 제출했는데, 수백만 명의 웹 검색 기록을 파기할 계획이라 밝혔습니다. 이번 합의문에는 개별 사용자에 대한 손해배상은 포함되지 않았지만, 개개인이 따로 구글에 손해배상을 청구할 수 있고, 약 50명이 추가 소송을 한 걸로 나옵니다.
크롬 브라우저의 시크릿 모드가 공공도서관의 공용 PC처럼 사용할 때는 해당 디바이스에는 개인정보를 저장하지 않지만, 반대편의 구글 서버에선 구글 측이 해당 시크릿모드를 통해 통신하는 데이터를 저장 및 들여다 볼 수도 있고, 사용자 몰래 민감데이터를 통해 추적을 했다는 비난을 면키 어려워보입니다.
시크릿 모드로 전환됨
이 기기를 사용하는 다른 사용자가 내 활동을 볼 수 없으므로 비공개로 탐색할 수 있습니다. 방문하는 웹사이트와 Google을 비롯하여 해당 웹사이트에서 사용하는 서비스에서 데이터를 수집하는 방식은 변경되지 않습니다. 다운로드, 북마크, 읽기 목록 항목은 계속해서 저장됩니다.
Chrome에 저장되지 않는 항목:
방문 기록
쿠키 및 사이트 데이터
양식에 입력된 정보
다음의 관계자는 내 활동 내역을 확인할 수도 있습니다.
방문한 웹사이트
고용주 또는 학교
인터넷 서비스 제공업체
실제로 국내 디지털 포렌식 전문가들은 이미 2018년경에 해당 시크릿 모드에 대해서 구글 크롬이나 네이버웨일등을 통해 분석을 한 적이 있으며, 서울대학교 과학기술 융합대학원에서 "웹브라우저 포렌식 분석방법에 대한 비교 연구"에 대한 논문도 나와있어서 소개하고자합니다.
논문을 검색하는 사이언스온 에 들어가서 "브라우저포렌식" 으로 찾아봅니다
PDF 논문파일 다운로드 링크
Ulsancoding,com 게시물 참고
우리가 찾는 논문은 서미나씨의 논문으로 서울대학교는 수리정보과학학부 아래에 디지털포렌식 전공이 있네요
44페이지에 저희가 찾는 시크릿 모드 포렌식 분석이 있습니다.
Google Chrome 브라우저
Google Chrome 브라우저의 시크릿 모드 창에는 ‘이제 비공개로 인터넷을 사용할 수 있으며, 이 기기를 사용하는 다른 사용자가 내 활동을 볼 수 없습니다. 하지만 다운로드한 항목과 북마크는 저장됩니다.’ 또한
‘Chrome에 방문기록, 쿠키 및 사이트 데이터, 양식에 입력한 정보는 저장되지 않습니다.’라고 안내되어 있다.
사용자 홍길동이 Chrome 브라우저 시크릿 모드를 이용하여 어떠한 웹 활동을 하였는지 디지털 포렌식 도구를 이용하여 웹 아티팩트의 흔적을 찾아보았다.
먼저 마이크로소프트 Edge 브라우저 시크릿 모드에서 웹 활동 흔적을 찾은 방법과 동일하게 Chrome 브라우저 시크릿 모드 분석에서도 시행하기로 하였다.
포렌식 분석 도구인 EnCase와 FTK Imager를 이용하여 디바이스로부터데이터를 추출하고, Chrome 브라우저의 웹 아티팩트 저장 위치인
Default 폴더를 대상으로 탐색을 시도하였으나, Chrome 브라우저 시크릿 모드에서의 웹 활동은 찾을 수 없었다.
이러한 웹 아티팩트 데이터를 찾아, 사용자 홍길동이 방문한 사이트와 검색어를 통해 수사관은 범죄행위 시나리오인 청부 상해에 대한 정황 증거를 찾을 수 있었다.
[그림 49, 50]에서 확인한 URL은 사설 심부름센터인 흥신소 사이트주소였고, [그림 51]은 역할대행 심부름 센터 사이트임을 확인하였으며,
[그림 52]는 청부의 영타 검색으로 ‘청부’를 확인하였다.
[그림 51. Chrome 브라우저 시크릿 모드 방문사이트 URL③ 확인]
[그림 53. Chrome 브라우저 email 주소 확인]
[그림 52. Chrome 브라우저 시크릿 모드 검색어(cjdqn, 청부) 확인]
사용자 홍길동의 웹 활동 중 이메일 전송 흔적 역시 메모리에 남아 있어서 이메일 주소를 [그림 53]과 같이 확인할 수 있었다.
네이버웨일브라우저
네이버 웨일은 그래도 시크릿모드에서 검색기록이나 다운로드등이 저장된다고 정직하게 밝혀주고있어서 차라리 속시원하다.
여러 군데의 아티팩트에서 시크릿모드 브라우징의 흔적이 발견된다.
포렌식관련해서 네이버 웨일 관련 내용이 조금 더 추가될 예정이다.
그리고 네이버 Whale 브라우저를 이용하여 한글로 검색한 경우에는 대부분 의 포렌식 분석 도구에서 한글로 자동변환이 되지 않기 때문에 글자가 깨지는 부분의 16진수 코드 값을 유니코드 테이블에서 조회하여 그에 해당하는 한글을 확인하여야한다.
사용자 홍길동의 내역에서도 Whale 브라우저로 한글 검색어가 있으므로 검색에 대한 웹 데이터를 찾아 [그림 64, 65]처럼 한글 부분의 16진수 코드 값을 확인하고, 그에 대한 한글을 [그림 66~69]와 같이 유니코드 테이블로부터 확인하였다.
시크릿 모드 포렌식 분석 결과 비교
본 논문에서 설정한 사용자 홍길동의 웹 브라우저 시크릿 모드에 대하여 웹 활동 분석을 종료하였다.
위 분석결과 마이크로소프트 Edge 브라우저의 시크릿 모드에서는 하드디스크에 일부 웹 아티팩트가 저장되었다가 삭제된 흔적을 발견할 수 있었고, 이는 앞서 연구 논문에서도 언급하였던 것과 일치한다.
다른 브라우저의 시크릿 모드에서는 다운로드를 했을 경우엔 하드디스크에 그 흔적이 남아 있어서 관련 웹 데이터를 찾기 쉬웠다.
$MFT, Pagefile.sys, 비할당영역(Unallcated Space)등에서 일부 흔적을 발견할 수 있었으나 그 외 다른 웹 아티팩트는 찾을 수 없었다.
그래서 메모리를 덤프하여 덤프한 파일을 분석한 결과, 메모리에 남아있는 각 브라우저의 웹 브라우징 흔적을 많이 발견할 수 있었다.
하지만 메모리는 디바이스의 전원을 종료하면 삭제되는 휘발성이기 때문에 압수수색 시 컴퓨터 전원이 꺼져있다면 메모리 덤프를 통한 웹 아티팩트 포렌식 분석은 어려울 것이다.
디바이스 전원이 꺼져있다면 가상메모리 공간인 Pagefile.sys 파일을 분석하여 메모리에 저장되었던 일부 데이터를 확인하여 남아있는 웹 활동 정보를 찾을 수 있을 것이다.
이 논문에서는 홍길동이 사용한 컴퓨터의 전원이 종료되지 않은 상태에서 압수되었다는 가정 하에서 진행하였다.
PDF 논문파일 다운로드 링크
Ulsancoding,com 게시물 참고
UCA코딩아카데미
ulsancoding.com
052-708-0001
