본문 바로가기
AhnLab 보안in

[Tech Report] 아이폰 백업 파일의 흔적을 찾아라

by 보안세상 2020. 4. 16.

2012.11.15

 

1부_아이폰 백업 파일의 흔적을 찾아라(이번 호)
2부_앱을 읽으면 사용자의 라이프스타일이 보인다(12월 호)

최근 전 세계 스마트폰 이용자 수가 10억 명을 돌파한 것으로 알려졌다. 10억 명의 스마트폰 사용자들은 다양한 앱을 이용하고 수많은 정보를 스마트폰에 기록한다. 그리고 배터리 충전이나 사진 등의 데이터를 저장하기 위해 스마트폰을 컴퓨터에 연결한다. 이 과정에서 스마트폰에 기록된 데이터는 컴퓨터에 백업 파일로 남게 된다. 그러다 보니 최근 포렌식 중에 스마트폰의 백업 파일이 자주 등장하고 있다. 스마트폰의 백업 파일은 사건 용의자의 인간 관계는 물론, 행위 분석이나 이동 경로 파악 등에 이용된다. 이 글에서는 스마트폰 백업 파일이 어떤 경로에 존재하고, 어떠한 정보를 갖고 있으며, 특히 포렌식 측면에서 가치 있는 데이터는 무엇인지 알아본다. 수많은 스마트폰 기종을 모두 다룰 수 없는 관계로, 아이폰 백업 파일 포렌식에 대해 월간 안 2012년 11월호부터 2회에 걸쳐 살펴볼 예정이다.

드라마 ‘유령’을 집필한 김은희 작가는 경찰청 사이버수사대에서 ‘휴대전화와 컴퓨터를 보면 그 사람의 머릿속을 들여다보는 것과 같다’는 말을 듣고 사이버범죄를 드라마 소재로 선택하게 됐다고 한다. 그렇다면 휴대전화 기능과 컴퓨터의 기능이 합쳐진 스마트폰을 들여다보면 과연 무엇이 보일까?

 

 

사용자들은 스마트폰을 다양한 용도로 활용한다. 스마트폰 주소록에 지인들의 정보를 담기도 하고, 캘린더나 일기장을 통해 하루 일과를 정리하기도 한다. 야외 활동을 많이 하는 사용자라면 지도 등 GPS 기반의 다양한 앱을 이용할 수도 있다. 이렇게 다양하게 이용되는 스마트폰은 배터리 충전이나 데이터 저장을 위해 컴퓨터에 연결되기 마련이다. 이 과정에서 스마트폰의 데이터는 컴퓨터로 전송되고, 또 저장된다. 백업 파일 생성 및 저장부터 아이폰 백업 파일 포렌식 과정을 단계별로 짚어가면서 백업 파일에 얼마나 중요한 정보가 저장되어 있는지 파헤쳐보자.
 

 

 

 

 [그림 1] 모바일 등을 기반으로 한 용의자 행위 추적 프로그램 GeoTime

 

(출처 : http://www.itproportal.com/2011/05/11/uk-police-buy-social-network-tracking-software/)

 

 

아이폰 백업 파일 생성

 

 

 

아이폰을 컴퓨터에 연결하고 아이튠즈(iTunes)를 실행시키면 ‘요약’ 탭에서 백업에 대한 항목을 찾을 수 있다. 아이폰의 데이터를 백업할 수 있는 방법은 ‘아이클라우드(iCloud)에 백업’과 ‘이 컴퓨터에 백업(로컬 백업 암호화)’ 등 두 가지다.


우선 ‘아이클라우드에 백업’은 원격지(remote)에 있는 애플 서버에 사용자의 백업 파일을 전송하는 것이다. 하지만 아이클라우드는 기본 5기가만 지원하기 때문에 전제 파일을 백업하는데 무리가 있다. 기본 설정으로 ‘아이클라우드에 백업’이 설정되어 있으며, 사용자 편의에 따라 ‘이 컴퓨터에 백업’으로 변경이 가능하다.

 


‘이 컴퓨터에 백업’은 아이폰이 연결된 컴퓨터에 폴더를 생성하여 백업 파일을 만든다는 의미다. ‘이 컴퓨터에 백업’을 선택하면 패스워드를 설정할 수 있다. ‘로컬 백업 암호화’ 기능을 ‘끔(OFF)’으로 선택할 경우, 패스워드를 설정하지 않고도 백업 파일을 생성할 수 있다.

 

 

[그림 2] 아이튠즈를 이용한 아이폰 백업 파일 생성

 

 

 

백업 파일 폴더 구조

 

 

아이튠즈를 이용한 백업이 완료되면 [표 1]의 백업 경로에 백업 파일이 생성된다.

 

 운영체제  백업 경로
 Windows XP C:\Documents and Settings\[user name]\Application Data\Apple Computer\MobileSync\Backup\
 MAC OS X ~/Library/Application Support/MobileSync/Backup/
 Windows 7 C:\Users\[user name]\AppData\Roaming\AppleComputer\MobileSync\Backup\

[표 1] 운영체제 별 아이폰 백업 파일 생성 경로

 

 

 

해당 폴더로 이동하면 [그림 3]과 같이 식별 가능한 파일명과 SHA1으로 해시(hash)된 파일명들이 존재한다는 것을 알 수 있다. 식별이 가능한 파일들과 그렇지 않은 파일들의 기능을 알아보자.

 

[그림 3] 백업 파일이 생성된 폴더

 

 

 

• Manifest.mbdb: 백업 폴더 안에 저장되어 있는 파일명을 기록
• Info.plist: Build Version, Device Name, GuID, ICCID, Last Backup Date 등을 기록
• Manifest.plist: Applications, Date, Encrypt 유무, System Domain Version 등을 기록
• Status.plist: BackupState, UUID, Version 등을 기록
• App Files: 파일명을 SHA1으로 해시하여 저장 <Ahn>

 

 

 

* 이어지는 자세한 내용은 안랩 홈페이지를 참고하세요