KDFS Challenge 2023 1위 보고서 및 후기

김영끌 랜섬웨어 유포 사건

Posted on September 28, 2024

KDFS Challenge 2023 일반 트랙에 정소민진짜예쁘더라 팀으로 참여하여, 1위(대상/경찰청장상)을 수상하였다. 1년이나 지나 후기를 업로드하기에는 다소 늦은 감이 있지만, 아직 KDFS Challenge 2024가 시작하기 전이므로 간략히 작성해 보겠다.

image.png

보고서 전문은 Github에 업로드하였으니 참고 바란다.


대회 소개

KDFS Challenge는 한국디지털포렌식학회에서 주관하며, 사건 1개에 대한 범죄 조사 보고서를 제출하게 하는 형식을 채택하고 있다. 국내 디지털포렌식 관련 대회 중 가장 저명하다고 생각한다.

대회 기간이 1달 정도로, 비슷한 느낌의 대회인 Digital Forensics Challenge 의 대회 기간이 4달 가량임을 고려하면 대회의 인지도에 비해 참가 부담이 적은 편이다. 때문에 국내 디지털포렌식 대회를 찾고 있다면 KDFS Challenge를 추천한다.


보고서

2023년에는 김영끌 랜섬웨어 유포 사건 에 대한 분석 보고서를 요구하였다. 분석을 위하여 Windows PC 포렌식암호화폐 트랜잭션 추적 기술이 필요했다.

평소 주식 투자를 즐겨하던 프로그래머 출신 피의자(김영끌)는 최근 코인 투자 간 큰 자금 손실 을 입었고, 이를 비관하여 코인 관련 커뮤니티에 범죄 예고 글을 게시하였다. 범죄 예고글을 신고 받고 피의자의 집을 압수수색하던 조사관은 피의자의 PC 내에서 랜섬웨어 범죄와 관련된 정황을 추가 식별하였다. 피의자는 범죄 예고와 관련된 행위는 인정하였으나, 랜섬웨어와 관련한 모든 내용을 부인하고 있는 상태이다.

보고서에는 두괄식으로 분석 결과를 빠르게 제시하고, 세부 사항과 점수를 위한 세부세부사항을 후술하였다. 또한 보고서 말미에 용의자의 행위로 인해 성립되는 범죄와 고려되는 법정형의 수준에 대해 기술하고, 범죄 수익 몰수 및 공범자 신원 확보를 위한 추가 조치를 다루어 산출물에 차별성을 가져가 보고자 했다. 문제 범위 밖의 사족일 수 있어 실제로 추가 점수를 얻는데 성공하였는지는 잘 모르겠다.


분석

보고서 내 분석 결과를 모두 다루기에는 내용이 너무 많으므로 특이 사항이 있는 몇 부분만 다뤄보겠다.


코드 에디터

정황 상 USB로부터 랜섬웨어 파일이 PC로 이동한 것으로 보이는데, 확실한 증거가 없어서 추가적으로 분석하였다. PC에 설치된 코드 에디터가 Visual StudioSublime Text 3이 존재하였는데, 이들의 어플리케이션 데이터를 추출하였다. 이를 통해 용의자가 직접 작성 혹은 편집한 코드 중 랜섬웨어 파일은 없었다는 점을 제시할 수 있었다.


Ledger Live

Ledger LiveLedger 하드웨어 지갑을 이용하여 암호화폐를 송수신하고 관리하기 위한 응용 프로그램이다. 다행히 실물 하드웨어 지갑이 없어도 소유한 지갑 정보나 이전 트랜잭션 내역 등은 어플리케이션 데이터에서 얻을 수 있다. 이곳에서 추출한 정보를 기반으로 암호화폐 트랜잭션 분석을 시작하였다.

image.png


Metamask

Metamask는 브라우저 확장 프로그램의 형태로 설치되어 있으며, 우리가 알고 있는 일반적 방법으로는 분석이 잘 이루어지지 않았다. 그러나 관련 논문 및 Tool이 존재하여, 이를 응용하여 이더리움 지갑 정보 등을 얻을 수 있었다. 연구가 무서워 대회로 도피한 파트 대학원생 4명은 이렇게라도 교수님을 다시 만나뵐 수 있었다.

손지훈, 박정흠. (2022). Metamask(MetaMask) 암호화폐 지갑 아티팩트 분석. 디지털포렌식연구, 16(4), 151-165


암호화폐 트랜잭션

우리는 암호화폐 트랜잭션 분석 Tool이 없었기 때문에, 임시 라이센스를 몇 군데 신청하였지만 받아주는 곳이 없었다. 그래도 다행히 Blockchain.com 같은 곳에서 검색하는 것만으로 분석할 수 있는 수준으로 문제가 출제되었다. 휴리스틱을 활용한 다음 원칙에 입각하여 분석하였다.

  1. 0.1 BTC , 0.2 BTC 등 깔끔하게 떨어지는 금액은 사용자가 결제, 송금, 환전한 금액이다.
  2. 0.012030123BTC와 같이 깔끔하게 떨어지지 않는 금액은 1번의 행위에 따라 발생한 잔금이다.
  3. 2번의 잔금이 송금된 지갑도 동일한 1번 사용자의 지갑이다.
  4. 거래소 지갑으로 송금한 경우 추가 분석을 포기한다. (사실상 불가능하므로)

image.png


마무리하며

범죄 사고 케이스를 모의 분석해 볼 수 있는 기회가 BoB 이후로 없었던 듯 한데, 경험해볼 수 있어 좋았고 대회 운영 또한 학회 측에서 관리를 잘 해주셔서 굉장히 쾌적하다는 인상을 받았다. 이래저래 좋은 대회라고 생각하고 만족스러운 결과를 얻어서 더 좋게 기억이 남는 듯하다.

1년이나 지나 기억이 많이 희석되어 간략하게 작성하였지만, KDFS Challenge 2024를 준비하는 분들께 조금이나마 도움이 되었으면 한다!

Tags: Writeup Forensics