리눅스 시스템에서의 파일 조작에 따른 시간변화 분석

디지털 포렌식 조사에서 파일의 시간정보는 중요한 의미를 가진다. 리눅스의 Ext4(Extended File System 4)환경에서 획득할 수 있는 파일의 시간정보는 파일 접근 시간(Access Time), 수정 시간(Modification Time), Inode 변경 시간(Change Time), 삭제 시간(Deletion Time), 생성 시간(Creation Time)이다. 일반적으로 파일의 생성, 수정, 복사 등 여러 가지 행위에 따라 시간 정보가 변화되며, 증거 분석을 위해 행위에 따른 파일 시간변화에 대한 연구가 필요하다. 본 논문에서는 리눅스 Ext4 환경에서 파일 및 폴더의 다양한 행위에 따른 시간정보를 분석하였고 이를 이용하여 악성코드의 실제 감염시간과 파일의 변조 여부를 확인하는 방안을 연구하였다.