1. 컴퓨터 하드웨어 : 컴퓨터 하드웨어 구성 부품 Part.1

컴퓨터 포렌식 분석관은 주로 증거가 될 수 있는 데이터가 저장된 매체를 다룬다.

주로 하드 디스크와 CD와 DVD, 플래시 메모리 장치, 스마트폰, 태블릿, 그리고 예전에 사용하던 플로피 디스크와 테이프가 주를 이루지만 이에 국한되지는 않는다.

이런 다양한 장비들이 분석관을 힘들게 하겠지만 매체장치는 독립적으로 동작할 수 없기 때문에, 분석관은 컴퓨터의 다양한 구성 부품과 기능에 대한 지식을 반드시 갖춰야 한다.

분석관은 배심원들에게 컴퓨터가 어떻게 동작하는지 설명하기 위해 법원으로부터 법정 출석 요구를 받을 수 있다.

이런 일을 대비해 분석관은 기술적인 관점에서 컴퓨터의 기능을 알고 이썽야 하며, 그 기술적인 개념을 실생활에서 쉽게 이해할 수 있는 용어로 바꾸어 말할 수 있어야 하고 상대방 변호사가 해당 분석관이 법정에서 증언할 수 있는 능력을 갖추었는지 확인하기 위해 이의를 제기함으로서 예비 심문선서 조사를 받을 수 있다.

컴퓨터와 관련해 일상적으로 사용되는 RAM이나 CMOS, SCSI, BIOS, POST 와 같은 약어에 대해 분석관이 모호하거나 제대로 설명하지 못한다면 분석관의 신뢰성은 실추돼 전문가로서 자격을 잃을 수 있다.

분석 대상의 컴퓨터 시스템이나 분석을 위한 포렌식 플랫폼에서 문제가 발생할 수 있는데 이를 해결하기 위해서는 근본 원리를 알고 있어야만 한다.

컴퓨터 하드웨어 구성 부품

컴퓨터 포렌식에서 사용되는 컴퓨터 구성 부품과 시스템을 설명하기 위한 용어를 소개한다.

케이스(Case)

케이스 또는 섀시는 주로 금속 물질이며, 컴퓨터 시스템 구성 부품을 감쌀 뿐만 아니라 담고, 지탱해준다. 케이스는 전기에 감전되는 것을 막아주며 내부 구성 부품을 먼지와 습기, 외부에서의 직접적인 충격으로부터 보호해준다.

ROM(Read-Only Memory)

ROM은 데이터를 영구적으로 혹은 반영구적으로 저장할 수 있는 메모리의 한 종류로, 그 안에 내용을 추가하거나 수저아는 것이 거의 어렵거나 불가능한 성질을 갖고 있다.

ROM의 또 다른 중요한 성질은 비휘발성으로 시스템의 전원이 꺼지더라도 그 안에 저장된 내용이 그대로 유지된다. 읽기 전용과 비휘발성이라는 성질은 컴퓨터가 부팅에 필요한 컴퓨터 시동 구성 설정과 코드를 갖고 있는 파일을 ROM에 저장하는데 적합하다.

RAM(Random Access Memory)

컴퓨터의 주 메모리로서 데이터와 코드, 설정 등을 저장하기 위한 임시 작업 공간으로서 임의로 접근할 수 있는 메모리 칩이기 때문에 RAM 이라고 한다.

칩 이전에는 테이프 장치가 주된 매체로 사용됐는데, 테이프에 접근하기 위해서는 선형 또는 순차적으로 처리돼 속도가 느렸다.

칩과 디스크가 등장한 이후, 데이터에 임의로, 그리고 직접 접근할 수 있게 돼 데이터를 읽고 쓰는 속도가 개선됐다.그래서 Random Access Memory 라는 이름은 초기에 테이프 장치와 구별할 수 있는 메모리 종류에 사용했고 오늘날 대부분의 메모리는 임의로 접근할 수 있기 때문에 테이프와는 구별할 수 있는 용어와 기본적이고 기능적인 의미는 그 유래를 잃어버리게 됐다.

다른 성질로 RAM 과 ROM 을 고별할 수 있는 것은 휘발성으로 알려진 성질이다.

RAM 은 주로 휘발성 메모리로, 주로 전원이 꺼지면 메모리에 저장돼 있던 데이터가 사라지나 ROM 은 비휘발성 ㅔㅁ모리로 전원이 꺼져도 메모리에 저장돼 있던 데이터는 계속 남아있다.

그러나 중요한 것은 비휘발성 RAM(NVRAM, NonVolatile Random Access Memory)

이라고 하는 비휘발성 형태의 RAM 메모리도 있기 때문에 모든 RAM 이 휘발성이라고 생각해서는 안된다.

전원 공급 장치(Power Supply)

공급되는 전압(교류 120볼트나 240볼트)을 여러 시스템 구성 부품이 필요로 하는 전압과 전류로 바꾸는 역할을 한다.

ATX 폼팩터 메인보드의 경우 전원 공급 장치에서 직류 전압 3.3볼트와 5볼트, 12볼트가 공급된다.

메인보드 또는 마더보드

메인보드는 컴퓨터 케이스 안에서 가장 큰 PCB 기판이다. 케이스 위에 메인보드를 지탱하는 격리 절연기 라고 하는 받침대 위에 설치되는데, 공기의 흐름을 위한 공간을 확보하고 케이스에 PCB 기판이 접촉하거나 접지가 되지 않게 하기 위함이다.

메인보드에는 일반적으로 CPU 소켓, BIOS, CMOS, CMOS 배터리, 시계, RAM 메모리 슬롯, IDE 컨트롤러, SATA 컨트롤러, USB 컨트롤러, 플로피 디스크 컨트롤러, AGP, 또는 PCI Express 비디오 슬롯, PCI 또는 PCI Express 확장 슬롯 등이 있다.

SCSI 컨트롤러와 유무선 네트워크 인터페이스, 비디오, 사운드, FireWire 같은 여러 개의 확장 카드가 필요했던 기능들이 이제는 메인보드에 탑재돼 있다.

CPU 또는 마이크로프로세서(microprocessor)

장치의 두뇌 역할을 하는 CPU는 미세한 층에 배열된 트랜지스터가 대규모로 조합된 것으로 데이터를 처리하거나 해석하고, 명령어를 수행한다. 컴퓨터의 기능과 명령어는 이 장치가 수행하며 현대의 프로세서는 엄청난 양의 열을 발산하기 때문에 구성 부품이 정상적으로 동작하고 고장 나지 않게 하기 위해 열을 빠르고 효율적으로 내릴 수 있어야만 한다.

방열기(Hear Sink)와 팬(fan)

CPU를 식히기 위해 CPU에 붙어 있다. 방열기와 CPU는 직접적으로 연결돼 있는데, 그 사이에는 주로 써멀 컴파운드가 발라져 있다. 방열기는 고열의 전도율을 가진 물질로 구성돼 있어 칩에서 열을 가져와 열에너지를 공기중에 소멸시키는 역할을 한다. 어떤 고가의 시스템에는 RAM 메모리와 칩셋, 하드 디스크, 비디오카드에 방열기와 팬 같은 열처리 솔루션이 장착된다. 수냉식 시스템은 게이머들 사이에서 유행하는데 수냉식 시스템 주변에서 작업을 할 때에는 물과 전기가 상충돼 시스템이 피해를 입을 수 있기 때문에 주의해서 작업을 수행해야 한다.

하드디스크

대부분의 컴퓨터 시스템에서 주된 저장 매체로 사용되고 있으며 부트 파일과 운영체제 파일, 프로그램과 데이터가 저장된다. 분당 4,800 ~ 15,000번 정도로 회전하는 얇고 단단한 플래터로 구성돼 있다. 자화된 플래터가 회전하는 동안 플래터 표면 위로 움직이는 헤드로 접근이 가능하다. 헤드는 극성을 감지하거나 미세하게 변화시키는 방법으로 데이터를 읽고 쓴다. 극성을 양극으로 바꾸면 1 이 되고, 음극으로 바꾸면 0 이 되기 때문에 2진법을 사용할 수 있다.

플래터의 여러 위치에 데이터를 쓰거나 읽기 위해 하드 디스크는 주소 지정 방법을 사용한다.

원래 CHS(C는 실린더, H는 헤드, S는 섹터) 방식을 사용해 주소를 지정했다.

섹터는 하드 디스크가 한 번에 기록할 수 있는 가장 작은 크기다. 섹터는 운영체제에서 사용할 수 있게 512바이트 크기를 가진다. 

플래터의 각 면은 트랙이라고 하는 동심원들로 포맷된다. 섹터는 이 트랙에 포함되며, 각 트랙의 섹터 수는 같다. 실린더는 논리적인 개념으로 수직 축을 따라 플래터의 각 면에 정려돼 있는 헤드가 위치하는 곳을 말한다. 따라서 헤드는 모든 플래터 위의 같은 섹터 번호를 가리킨다. 헤드는 각 플래터마다 2개가 있으면 한 면에 1 개가 있는데, 플래터의 각 면을 0번 면과 1번 면 이라고 한다. 플래터의 개수에 따라 헤드마다 번호가 매겨지며 하드 디스크의 용량 계산을 위해 다음과 같은 공식을 사용한다.

하드 디스크의 전체 용량(바이트) = C * H * S * 512

C는 하드 디스크의 실린더 전체 개수

H는 헤드의 개수

S는 트랙당 존재하는 섹터 개수

512는 운영체제에서 사용하는 섹터 크기

위 공식은 트랙당 섹터의 수가 하드 디스크의 모든 트랙이 같은 수의 섹터를 갖는 동안까지 적용된다.

하지만 CHS 주소 지정 방식은 하드 디스크의 용량을 제한하게 된다. 안쪽 트랙을 섹터로 나누는 데 한계가 있기 때문인데 반면에 바깥 쪽 트랙은 안쪽 트랙보다 더 많은 데이터를 저장할 수 있다.

그래서 안쪽 트랙과 같은 개수의 섹터로 나누면 버려지는 공간이 많아지므로 이런 문제를 해결하기 위해 ZBR 방식이 개발됐다. ZBR 방식은 영역에 따라 트랙당 섹터의 개수를 다르게 하는 방법으로, 바깥쪽 영역의 트랙이 안쪽 영역의 트랙보다 많은 섹터를 갖는데 이 방법을 사용해 하드 디스크의 용량을 키울 수 있게 됐다.

ZBR 방식을 사용하는 최신 하드디스크는 앞의 하드 디스크 용량 계산식을 더 이상 적용할 수 없다. 대용량의 하드 디스크에 주소를 지정하기 위해 새로운 주소 지정 방법이 개발됐는데, 이 방법을 LBA 방식이라고 한다. LBA 방식은 단순하게 섹터마다 번호를 붙여 사용하는데, 번호는 0번부터 시작한다.

하드 디스크는 내부적으로 섹터 번호를 CHS 값으로 바꿔 데이터를 읽고 쓴다.

ZBR 방식에서 하드 디스크의 용량 계산은 전체 LBA 섹터의 수에 512(바이트)를 곱하면 하디 디스크의 바이트 단위 용량이 된다.

하드 디스크의 인터페이스나 컨트롤러에 따라 하드 디스크는 ATA 와 SATA, SCSI 로 구분되는데, ATA는 병령 ATA이기 때문에 SATA와 구별되게 PATA 라고 쓰기도 한다.

SSD(Solid State Drive)

기존 하드 디스크 내부의 모든 구성 부품을 제거하고 USB 디스크에 사용되는 NAND 메모리칩을 사용한다. SSD에 저장되는 데이터는 반 영구적으로 기록되기 때문에 비휘발성 데이터라고 한다.

플래터를 사용하는 기존 하드 디스크에 SSD가 추가된 하이브리드 하드 디스크도 있으며 두 종류의 하드 디스크의 장점을 하나의 하드 디스크로 합치려는 시도로 볼 수 있다.

SSD는 속도와 용량 면에서 급속히 발전하고 있으며, 주로 휴대용 컴퓨팅 장치에 사용됐으나 지금은 데스크톱 컴퓨터의 저장장치로 사용되고 있는 추세다.

SSD는 몇 종류의 폼팩터가 있는데 표준 하드 디스크의 크기로 만들어진 SSD 를 쉽게 찾아볼 수 있을 뿐만 아니라 랙 마운트 시스템에도 장착 가능한 크기로 만들어진 SSD 도 있다.

최근에는 메인보드의 슬롯에 직접 장착이 가능한 보드 형태의 SSD 판매되고 있다. 그리고 메모리칩이 시스템 메인보드에 직접 장착된 BGA 형태의 SSD 도 있는데 BGA 형태의 SSD는 공간과 에너지를 절약할 수 있으며, 미래에는 BGA SSD 가 대세가 될 것이 분명하다. 폼팩터에 대해 좀 더 설명하면 SATA 와 미니 SATA, FPCB, SAS 등 다양한 폼팩터가 사용되고 있다.

SCSI

애플 컴퓨터 시스템에 처음 도입된 소형 컴퓨터의 입출력 인터페이스로, 다른 컴퓨터 시스템에도 적용됐다. SCSI 는 스캐너와 하드 디스크와 같이 고속의 입출력을 필요로 하는 장치들에 사용되는 속도가 빠르고 성능이 좋은 인터페이스다. SCSI BIOS 는 성능을 개선하기 위한 방법으로 읽기/쓰기 대기 열을 요청하는 지능적인 BIOS 이기 때문에 고성능 시스템을 위한 선택이 될 수 있다.

SCSI 디스크는 IDE 에 해당하는 주-종속 PIN 구성을 사용하지 않고 점퍼를 고정시키는 방법으로 ID 숫자를 할당하는 방법이 가장 널리 사용된다.