[FORZ] 어몽어스에 디지털 포렌식이 있었다면?! 어몽어스로 알아보는 디지털 포렌식!

https://blog.naver.com/kdfc_forz/222142843549

어몽어스에 디지털 포렌식이 있었다면?! 어몽어스로 알아보는 디지털 포렌식!

---

안녕하세요, 포알즈 '명탐정 포난' 팀입니다!

저희 팀이 맡은 10월 팀기사의 주제는 바로, "어몽어스에 디지털 포렌식이 있었다면?" 입니다.

지금부터 간단한 4개의 사례를 가지고 '어몽어스'라는 게임을 재해석해 볼 텐데요!

'어몽어스' 게임 규칙 설명

먼저, '어몽어스'라는 게임의 규칙부터 설명드리겠습니다.

'어몽어스'는 학창 시절 즐겨 했던 '마피아 게임'의 확장판이라고 생각하시면 이해가 쉽습니다!

플레이어는 게임이 시작하면 '크루원' 또는 '임포스터'의 역할 중 하나를 맡게 되는데요,

마피아에서의 시민이 '크루원', 마피아는 '임포스터'라고 생각하시시면 됩니다.

자, 역할 분배가 끝나고 게임이 시작되었습니다!

'크루원' 역할을 맡은 플레이어들은 왼쪽 상단에 있는 미션을 보고, 맵 곳곳에 있는 자신의 미션을 수행해야 합니다.

미션을 착실히 수행하다 보면 '미션 게이지'가 차고, 게이지를 모두 채우면 크루원의 승리입니다!

물론 미션을 다 하지 않아도 '임포스터'로부터 이길 수 있답니다!

바로, 'REPORT"버튼을 누르거나 "EMERGENCY(긴급회의)" 버튼을 누르는 것입니다.

 "REPORT" 버튼은 맵을 돌아다니다가 이미 '임포스터'에게 당한 죽은 크루원을 보면 활성화되는 버튼이고,

"EMERGENCY(긴급회의)" 버튼은 맵의 특정 위치에서 언제든, 누구나 누를 수 있는 버튼입니다.

두 버튼 모두 한 번 눌리면 필수적으로 '토론과 투표' 시간을 거치게 되어,

'임포스터'의 흔적을 발견한 경우에 투표를 통해 승리로 향할 수 있습니다~!

​

그렇다면 '임포스터'들은 '크루원'들이 미션을 모두 끝내기 전에, 또한 투표로 몰리기 전에 할 일을 해야겠죠?

'임포스터'들의 임무는 다른 크루원들의 눈을 피해 이렇게 크루원들을 직접 죽이거나,

 '토론과 투표' 시간에 화려한 입담과 정치를 통해 다른 크루원을 임포스터로 몰아, 한 명씩 제거해 나가는 것입니다.

 이제 전체적인 게임 규칙이 눈에 들어오시나요~? 하지만 여기까지는 '마피아 게임'과 큰 차이가 없죠?

'어몽어스'에서는 각 역할 별 임무를 조금 더 쉽게 수행할 수 있도록 하는 몇 가지 장치들이 있습니다.

먼저 '크루원'들에게는 '확정 미션'과 'CCTV'라는 강력한 두 가지 장치가 존재합니다!

​

'확정 미션'은 보통 '확미'라고 불리는데요, 플레이어가 미션을 수행 중이라면 그 진행 과정이 다른 크루원들에게도 보이므로

말 그대로 플레이어가 확실한 크루원이라는 것을 증명해 줍니다.

'확미'가 있느냐 없느냐의 여부가, 아래 사진처럼 자신의 신분을 증명할 수 있느냐, 없느냐의 문제로 이어지기도 합니다.

크루원들에게 주어지는 또 다른 혜택인 CCTV!

보안실에서 볼 수 있는 CCTV는 맵에서, 특정 네 군데를 실시간으로 보여줍니다.

따라서 타이밍만 잘 잡으면 누가 임포스터인지, 누가 당했는지도 볼 수 있죠.

다음은 '임포스터'를 맡은 플레이어에게 주어지는 장치들입니다.

첫 번째는 바로 '벤트 이동'인데요, 임포스터들은 아래처럼 맵 곳곳에 있는 벤트를 타고 순식간에 맵 저편으로 이동할 수 있습니다!

물론 벤트를 타는 모습이 다른 플레이어들의 눈에도 보이기 때문에, 크루원들의 눈을 피해 몰래몰래 이동해야 합니다.

마지막으로 'SABOTAGE(사보티지)'라는 것도 있습니다! 이것은 크루원들의 미션 수행을 방해하기 위한 장치입니다.

오른쪽 하단의 버튼을 누르면, 크루원들은 하던 일을 멈추고 특정 위치로 가서 긴급 문제를 해결해야만 합니다.

크루원들이 정신없는 그 사이에 임포스터들은 또 다른 사냥감을 노릴 수 있는 것이죠!

이렇게 게임 규칙 설명을 마쳤습니다!

이제 본론으로 들어가 볼까요?

'어몽어스'에 디지털 포렌식이 있었다면?

첫 번째 사례는 앞서 설명했던 "어몽어스 CCTV가 디지털 포렌식이 가능했다면?"입니다.

이번 판의 임포스터는 파랑! 죄 없는 크루원인 노랑을 처리해버렸습니다.

 하지만 파랑이 간과한 것이 있었죠! 바로 CCTV입니다.

하필 심심해서 CCTV를 보고 있던 빨강은, 운 좋게도 파랑의 행위를 발각하게 됩니다.

서둘러 리포트를 위해 떠나는 빨강!!

 하지만 파랑이 먼저 '리포트' 버튼을 눌러버렸네요...

 임포스터들의 정치에 당해버린 크루원들은 결국 빨강을 임포스터로 몰게 됩니다.

 만약 디지털 포렌식을 통해 CCTV 접속 기록을 볼 수 있었다면 어땠을까요?

1) CCTV에 접속하기 위해, CCTV에 연결된 PC(서버)에 로그 기록을 확인할 것입니다.

CCTV 접속 기록에 해당하는 아티팩트를 디지털 포렌식으로 분석하여 그 결과를 확인하면, 빨강의 CCTV 접속 기록을 볼 수 있겠죠!?

2) 동시에 CCTV에 저장된 데이터에서, 파랑이 임포스터라는 사실도 발견할 수 있을 것입니다!

따라서 파랑과, 파랑을 옹호한 초록까지 임포스터라는 정보도 얻었습니다.

3) 추가로 CCTV 영상의 원본성을 확보한 채로 여러 툴들을 통해 CCTV 영상을 비교 분석하여,

동영상 데이터 연관 분석, 동영상 안면인식, 걸음걸이 기법 등으로 임포스터가 파랑이라는 것을 유추할 수도 있습니다!

4) 그 후 투표로 초록의 정체까지 밝혀내면 임포스터에 맞서 크루원의 승리를 가져올 수 있습니다!

---

다음 사례는, "어몽어스에 카드 디지털 포렌식이 가능했다면?"입니다.

이번 게임의 임포스터는 주황입니다! 크루원인 파랑이 카드 긋기 미션을 수행하고 있네요.

 그 사이에, 임포스터인 주황은 갈색을 처리한 후 유유히 사라집니다.

 갈색의 시체를 발견한 초록!!

초록이 리포트 버튼을 누르고, 투표가 시작됩니다.

이때 보안실과 관리실이 헷갈린 죄 없는 크루원 파랑은

이를 임포스터들에게 허점으로 잡혀, 갈색이 죽어있던 곳과 가까운 곳에 있었다는 이유로 몰리게 됩니다.

관리실에서 착실히 카드 긋기 미션을 수행하고 있었던 파랑, 디지털 포렌식이 있었다면 어땠을까요?

1) 먼저 카드 리더기에 대한 포렌식 증거 수집을 진행할 수 있습니다.

카드 리더기는 또 은행과 연결되어 있기 때문에, 언제 카드를 사용했는지부터 카드 소유주의 정보도 볼 수 있겠죠!

2) 만약 카드사 서버로 날아온 데이터에 그 카드의 소유주가 파랑이며 의심받고 있는 시간대에 카드를 사용했다는 기록을 볼 수 있다면,

파랑이는 관리실에 있었다는 것이 증명됩니다.

---

이번 게임의 임포스터도 주황입니다.

크루원 노랑을 처리하고, 벤트를 타고 도망갔네요..!

노랑의 시체를 발견한 초록이 리포트를 눌러, 토론이 시작됩니다!

원자로를 지났지만 그 근처인 보안실에 들려 CCTV를 보지 않았다는 이유로,

임포스터들에게 약점이 잡혀 몰려가는 상황이 벌어졌습니다.

 벤트 이동 기록을 볼 수 있었다면 누명을 벗을 수 있는 초록, 만약 이때 디지털 포렌식이 있었다면?

1) 벤트를 디지털 이동 수단으로 생각해봅시다! 그러면 디지털 포렌식이 가능해집니다.

2) 벤트의 사용 기록을 위해 벤트의 위치와 사용자의 위치, 사용자가 벤트를 이용한 시간 정보 등을 통해

어떤 플레이어가 언제 벤트를 타고 어디로 갔는지에 대한 정보를 얻을 수 있겠네요!

---

마지막 판입니다! 이번 판의 임포스터는 빨강이네요.

크루원인 초록은 항해실의 데이터 다운로드 미션을 위해 항해실로 가는 중입니다.

열심히 파일을 다운로드 중인 초록!

그런데 갑자기 빨강이 긴급회의를 엽니다..!?

 토론이 시작되고, 빨강은 초록이 벤트를 탔다고 주장합니다.

파일 다운로드 중이었던 초록은 자신이 미션을 하는 중이었다고 계속 말하지만,

 '확미'도 없고, 게이지가 차지 않았다는 이유로 임포스터가 거의 확실시된 크루원 초록..!

항해실의 데이터 다운로드 기록을 볼 수 있었다면 누명을 벗을 수 있을 텐데요.

초록이 원하는 대로 데이터 다운로드를 포렌식 할 수 있었다면 어땠을까요?

1) 데이터가 다운로드 되는 웹의 웹 히스토리, 캐시, 쿠키 등에서 초록의 방문 기록과 접속 기록 등을 확인할 수 있습니다.

이를 확인하면 초록이가 거짓말을 하는 것이 아님을 증명할 수 있겠죠!

2) 결정적으로 Download File List를 확인하여, 파일이 저장된 경로와 웹의 URL,

다운로드 시간과 정상적으로 다운로드 되었는지의 여부, 파일 크기 등도 확인할 수 있습니다.

이렇게 누명을 벗을 수 있겠네요!

---

이렇게 "어몽어스에 디지털 포렌식이 있었다면?"이라는 주제로 간단한 사례들을 알아봤는데요,

아래 동영상으로 한눈에 확인하세요 :-)

https://youtu.be/PlYmjjf7n9g

​

​