저장매체(2)

| 플래시 메모리

 - 전기적으로 데이터를 지우고 재기록이 가능

 - 비휘발성 기억 장치

 - 수정이 가능하다는 점에서 ROM과 다음

 - 데이터를 고쳐 쓰기 전에 소거 동작이 필요하고, 데이터가 지워지지 않는다는 점에서 ROM과 RAM의 중간 성격을 띔

 - 충격에 강하고 저전력으로 동작이 가능

 - 녹음기, MP3, 디지털 카메라, 휴대폰, 스캐너 USB 플래시 메모리 등에 널리 사용

 - 플래시 메모리의 종류

  1) NOR 플래시

    > 속도는 빠르지만 대용량으로 구성하기에는 부적합

    > 휴대폰이라 셋탑박스 등에 주로 쓰임

  2) NAND 플래시

    > NOR 보다는 느리지만 대용량으로 구성하기에 적합

    > SD 카드나 메모리 스틱, SSD, 디지털 카메라, MP3 등에 주로 사용

 

  3) 플래시 메모리의 저장방식

    > SLC 방식 (Single Level Cell)은 각 셀이 1비트(0,1)를 사용

    > MLC 방식 (Multi Level Cell)은 각 셀에 2비트(00,01,10,11)를 사용하여 기억하는 방식이기 때문에 같은 크기의 셀을 사용한다고 했을 때 SLC 방식에 비해 MLC 방식이 더 많은 양의 데이터를 저장할 수 있음

 - 포렌식 관점에서 플래시 메모리

    > 플래시 메모리는 크기가 매우 작아서 휴대성이 좋아 범죄자가 증거물을 쉽게 은닉할 수 있음

    > 압수 수색 시 USB 메모리나 소형 메모리 카드를 숨길만한 장소까지 주의를 기울여 수색해야 하며, 수사 대상 시스템에서 메모리 카드 사용 흔적이 없는지 파악해야 함

    > 하드 디스크와 같은 저장 매체와 마찬가지로 메모리 카드에 있는 데이터를 수집할 때에도 반드시 쓰기 방지 장치를 통해 데이터 무결성을 유지해야 함

| SSD (Solid State Drive)

 - 플래쉬 메모리의 장점을 활용하며 하드 디스크 드라이브 (HDD)와 동일한 형태로 개발된 대용량 플래시 메모리

 - HDD와 동일한 연결 인터페이스를 사용하지만, 자기장을 이용하는 HDD와 달리 NAND 플래시 반도체를 이용하여 정보를 저장

 - 임의 접근을 하여 탐색시간 없이 고속으로 데이터를 입출력 가능

 - HDD에 비해 외부의 충격으로 데이터가 손상될 가능성이 적음

 - NAND 플래시를 사용하기 때문에 읽기, 쓰기, 접근 시간이 기존 HDD에 비해 매우 빠르고 소비 전력, 소음, 발열이 낮음

| 플로피 디스크

 - 자기 디스크 매체로 널리 알려짐

 - 플로피(Floppy)라는 말은 디스켓 안에 들어가는 마그네틱 판이 딱딱하지 않고 쉽게 휘어지기 때문에 붙여진 말

 - USB 메모리와 광학 매체의 등장으로 대부분 시장에서 사장됨

  

| 하드 디스크 드라이브 (Hard Disk Drive)

 - 현재 컴퓨터에서 가장 널리 쓰임

 - 중요한 역할을 하는 비휘발성 저장장치

 - 하드디스크 인터페이스

  1) ATA 인터페이스

    > 하드 디스크 등 저장장치의 표준 인터페이스

    >기존 병렬 방식에서 직렬 방식으로 발전

  2) EIDE 인터페이스

    > 기존의 컨트롤러가 두 개의 장치만 연결할 수 있는 점을 보완

  3) SATA 인터페이스

    > 병렬 전송 방식의 ATA를 직렬 전송 방식으로 변환한 드라이브 표준 인터페이스

    > SATA 방식은 기존 ATA가 4개만 연결 가능했던 것에 반해 컨트롤러에 따라 5~8개까지 가능

    > ATA에 비해 속도가 빠름

  4) SCSI

    > 주로 서버 시스템에 많이 사용

    > ATA에 비해 하나의 컨트롤러가 최대 16개의 장치가 연결가능하다는 점

    > 각 장치는 서로 독립적으로 동작이 가능

 - HPA (Host Protected Area)

   > ATA 표준에서 추가된 기능으로 해당 영역은 HDD에 의해 미리 예약된 영역으로 BIOS를 통해 접근이 불가능

   > OS에서는 보이지 않는 영역으로 일반 사용자에 의해 수정되지 않는 HDD의 영역

   > HPA를 사용하는 경우

     - 시스템 부팅이나 진단 유틸리티 저장

     - 노트북 보안 유틸리티 저장

     - 루트킷을 통한 악의적인 용도 및 데이터 은닉

 

 - DCO (Device Configuration Overlay)

   > ATA-6 부터 추가된 기능으로 이 기능을 사용하여 60GB, 1TB 등 여러 사이즈로 제조한 HDD를 같은 섹터 개수를 가지는 고정된 크기의 HDD로 구성 가능

   > DCO도 BIOS를 통해 확인되지 않으며, HDD 제조사에 따라 정의된 특별한 ATA 명령을 통해 접근이 가능

 - 두 영역 모두 동일한 HDD 내에 존재할 수 있으며, 동일한 HDD에 HPA와 DCO를 동시에 구성하기 위해서는 먼저 DEVICE CONFIGURATION SET 명령을 통해 DCO를 설정한 후 SET MAX ADDRESS 명령을 통해 HPA를 구성해야 함

 - 디지털 포렌식 관점에서 HPA, DCO

   > 두 영역 모두 BIOS에서 확인되지 않기 때문에 증거를 은닉할 목적으로 사용될 수 있음

   > 하드디스크를 조사할 때는 HPA와 DCO 영역이 있는지 확인해야 하며, 디스크 이미징의 경우 OS 상에서 BIOS를 통해 수집할 경우 HPA와 DCO 영역이 제외된 상태로 수집될 수 있음

   > 따라서 디스크 이미징 도구에서는 HPA와 DCO 영역을 고려하여, 해당 HDD의 모델이 가지는 정해진 용량을 확인해야 함