[Digital Forensic] EXIF 정보 확인

- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182

* EXIF(EXchange Image File format)
- 디지털 카메라를 기반으로 촬영한 이미지 파일 포맷으로 JPEG, TIFF, RIFF, WAV 등의 확장자에서 이미지 파일의 메타데이터로 존재한다
- 보통 일반적인 디지털 카메라 외에도, 스마트폰(안드로이드 / 아이폰 등)도 동일하게 EXIF 포맷으로 이미지가 저장된다
(물론 EXIF 정보를 남기는 옵션을 끄면 해당 이미지는 추가적인 메타데이터 없이 저장된다)
- 실제 사건에서는 내부 정보 유출 사건 등의 영역에서 중요 정보가 되는 경우가 많은 정보

 

 

 

* EXIF 획득 가능 정보

• 촬영 기기의 제조사
• 촬영 기기 모델명
• 촬영 일시
• GPS 정보
  (단, GPS 값은 각 기기별 기능 활성화가 필요한 경우가 존재)

- 이미지 포맷 파일의 속성에서 '자세히'를 누르면 EXIF 버전 정보 및 메타 데이터들을 확인할 수 있음
- 포렌식 툴에서 별도 모듈을 사용해서 EXIF 이미지 정보를 확인하거나, Hex 값 내에서 별도로 식별하는 방법도 존재함

Autopsy의 EXIF Metadata 확인

 

 

 

* GPS 정보 확인 방법
- 구조는 위도 / 경도의 각 값이 세미콜론(;)을 구분자로 하여 구분
- 각각 '도', '분', '초'에 해당하며, '초'의 경우 위치 확인에 큰 차이가 없어 반올림하여 표현해도 무방함
- Google Maps에서 GPS 정보 검색이 가능함

Google Maps의 위도 > 경도 / 도 > 분 > 초 순서로 입력

- 위도와 경도는 구분을 쉼표(,)로 입력하며 도/분/초 구분은 공백으로 적용하여 검색하면 정상적으로 조회가 가능하다