Exif (EXchangable Image File Format) 은 우리나라 말로 교환 이미지 파일 형식을 뜻하는데, 흔히 디지털 카메라에서 사용되는 이미지 파일 포맷이라고 할 수 있습니다. Exif 파일 포맷을 따라 이미지에 Exif 메타 데이터를 포함하게 될 경우에는 과거의 GIF에서는 이정도로 세세하게 확인할 수 없었던 날짜와 시간정보, 카메라 정보, 카메라 설정, 저작권 정보 등등 다양한 사진 관련 정보들을 분석 시 확인할 수 있게 됩니다.
현재는 이미지 메타데이터의 사실상 표준 위치에 올라 있다고 할 수 있을 정도로 JPEG, WAV 등등의 포맷에 더해져서 쓰이고 있습니다.
따라서 제가 찍은 사진에 기록된 이러한 Exif 메타 데이터를 Exif 헤더를 분석해주는 프로그램을 통해 살펴보면서 각종 정보들을 조사해보도록 하겠습니다.
믿기지 않겠지만 위의 구름 사진은 제가 찍은 사진입니다. 얼마든지 퍼가셔도 좋습니다. 작년 추석 무렵, 학교 도서관을 향하던 저는 하늘이 너무 예뻐 핸드폰 카메라로 사진을 여러장 찍었고 그 중 가장 못 나온게 위의 사진입니다. 나머지 사진들은 향후 공개하겠습니다.
우선 Winhex 를 통해서 해당 이미지를 hex viewer로 열어보면 위와 같이 JPEG 파일의 Exif 헤더 부분에 각종 메타데이터들이 포함되어있는 것을 육안으로도 확인할 수 있습니다.
하지만 이를 hex viewer로 보기보다 exif 헤더의 정보를 알아서 파싱해 해석해주는 exif 뷰어들을 활용하면 훨씬 쉽게 정보를 얻을 수 있는데, 여기서는 Picasa v3.0 프로그램을 사용하여 이를 분석해보도록 하겠습니다.
Picasa 로 위의 구름 사진을 열게 되면 위와 같은 화면이 나오게 되는데 오른쪽의 속성 탭에서 각종 EXIF 헤더의 메타데이터를 보고 수정까지 할 수 있게 해줍니다. 해당 메타데이터 중 주요한 몇가지 정보들을 정리한 결과는 다음과 같습니다.
1. 찍은 날짜
위의 촬영 날짜 항목에서 알 수 있듯이 2019년 9월 15일, 오후 4시 28분입니다.
2. 카메라 종류
카메라 제조사 항목과 카메라 모델 항목을 종합해보면 Apple의 Iphone 7 plus 의 카메라로 찍은 것임을 알 수 있습니다.
3. 찍은 장소
위의 GPS 위도와 경도 항목을 참조하면 이 사진이 찍힌 장소의 위도는 37 34.544, 127 1.353 (10진수 표기) 로 이를 구글 지도에서 찾아보면 아래와 같이 신설동 오거리 부근의 위치가 나옵니다.
이는 핸드폰 사진 앱에서 확인할 수 있는 실제 찍은 장소인 성북구 안암동 5가와는 약간 거리가 있지만 위도 경도의 특성상 소수점 4-5자리까지 조금만 바뀌어도 크게 위치가 변하는 것을 감안하면 정확한 위치를 보여준다고 할 수 있습니다.
이 외에도 실제 사진에서도 찾아보기 힘든 정보들인 초점 거리(3.99mm), 플래시 사용 유무(x), 밝기(11) 등등의 세세한 정보까지 EXIF 헤더의 메타데이터에 담겨있는 것을 Picasa 프로그램을 통해서 확인해볼 수 있었습니다.
또한, 다소 사진과는 관계없어 보이기도 하는 ios 버전 (12.4.1) 등 하드웨어의 정보까지도 파악할 수 있었습니다.
이렇게 다양한 정보들이 포함되 있는 만큼 디지털 포렌식 과정에서 사진 파일들을 발견했을 때는 Exif 뷰어를 통해서 Exif 메타데이터가 존재하는지, 존재한다면 어떤 정보들이 있는지 등을 파악하는 것이 급선무일 듯 합니다.
'사이버 보안 > 디지털 포렌식' 카테고리의 다른 글
| File Time 방식으로 표현된 파일 생성 시각 분석 (0) | 2020.07.10 |
|---|---|
| MS-DOS Time 방식으로 표현된 파일 생성 시각 분석 (0) | 2020.07.09 |
| PC 물리메모리 덤프를 통해 ID, Password 정보를 찾아보자 (0) | 2020.07.09 |
