3.3 Exif Data의 조작
위에서 살펴본 것처럼 Exif Data는 촬영환경, 위치, 시각정보 등 수많은 정보를 담고 있어 무결성이 검증될 경우 법정에서 실체적 현장을 재현하는데 탁월한 효과를 발휘할 수 있다. 그런데 이와는 반대로 Exif Format의 바이너리 데이터가 조작될 경우 엄청난 역효과를 낳을 수 있기 때문에 바이너리 데이터를 조작할 경우 이를 탐지할만한 장치가 있는지 실험하여 보았다.
3.3.1 GPS 정보의 조작
바이너리 수정툴인 UltraEdit-32를 이용하여 해당 디지털이미지의 GPS 정보를 수정해보았다. 다른 필드의 수정없이 원본 이미지의 GPSLatitude값과 GPSLongitude값 만을 조작해서 구글어스 상에서 이미지가 찍힌 위치를 광화문인 것처럼 조작할 수 있었다.
이 경우 JPEG Format 자체의 데이터 조작 검증 유무를 탐지하는 필드가 있는지 발견하기 위해 원본 이미지와 사본 이미지를 바이너리 디핑(binary diffing)툴인 Alaxis Merge를 이용하여 두 이미지 간 차이를 실험해보았다.
실험결과 전체 바이너리 데이터 중 GPS Latitude, GPS Longitude 값만 변화할 뿐 다른 값은 변하지 않았다.
3.3.2 시각 정보의 조작
역시 UltraEdit-32를 이용하여 다른 이미지의 DataTimeDigitized 필드를 수정하여 보았다.
시각정보도 GPS 정보와 마찬가지로 조작할 수 있었으며, 촬영일시와 저장일시 간 논리적 검증장치 등 검증 필드는 없는 것으로 보였다.
실험결과 전체 바이너리 데이터 중 DataTimeDigitized 값만 변화할 뿐 다른 값은 변하지 않았다. 결국 종합해보면 다른 외부적 검증장치 없이 디지털 이미지 자체만으로는 Exif Data의 무결성 여부를 검증할 수 없다는 결론을 내릴 수 있었다.
3.3.3 Exif Data 조작에 사용될 수 있는 유틸리티
WINHEX, UltraEdit 등 바이너리 수정툴을 이용하여 직접적으로 Exif Data를 조작할 수도 있지만, 유틸리티를 통하여 손쉽게 조작할 수도 있다. 대표적인 유틸리티를 살펴보면 다음과 같다.
|
제품명 |
상용여부 |
비고 |
|
Opanda PowerExif |
유료 |
필드의 바이너리 구조를 직접 볼 수 있음 |
|
PhotoMe |
무료 |
Mac, Windows 버젼 제공 |
|
Exif Viewer |
무료 |
Firefox의 add-on으로 작동 |
|
ExifTool |
무료 |
console 프로그램의 형태로 제작 |
'Digital Forensics > Forensics Generalization' 카테고리의 다른 글
| CSI Effect!? (2) | 2010.12.16 |
|---|---|
| 포렌식 관점에서 바라본 Exif Format-4 [Exif Data의 무결성 검증은 어떻게 할것인가] (0) | 2010.12.14 |
| 포렌식 관점에서 바라본 Exif Format -2 [Exif Format의 구조] (1) | 2010.12.14 |
| 로카르의 교환법칙 (0) | 2009.10.26 |
