휘발성(Volatilities)과 비휘발성(Non-Volatilities)

 활성 시스템(Live system)에서 디지털 데이터는 그 특성에 따라 휘발성 데이터와 비휘발성 데이터로 나눌 수 있다.

휘발성 데이터는 일반적으로 컴퓨터에서 전원 연결이 끊키면 사라지는 데이터를 의미한다. 휘발성 데이터는 전원과 밀접한 연관이 있으나 모든 휘발성 데이터가 전원 공급을 기준으로 데이터가 사라지지는 않는다. 예를 들어, 실시간으로 변화하며 프로그램이 메모리에 적재되어 CPU를 점유하고 있는 프로세스 정보는 작업이 종료되면 사라지기도 한다. 휘발성 데이터는 컴퓨터가 현재 실행중인 프로그램 및 데이터를 저장하는 RAM(Random Access Memory)에 저장된다.

 

 비휘발성 데이터는 휘발성 데이터와 반대로 전원 연결이 끊켜도 사라지지 않는 데이터를 말한다. 즉, 현재 사용되지 않거나 접근되지 않는 데이터라고도 할 수 있다. 비휘발성 데이터의 예시로는 이미지, 문서, 오디오, 비디오, 데이터 베이스 등이 있으며 하드 드라이브, SSD, 클라우드 등에 저장된다.

---

휘발성 데이터와 비휘발성 데이터

• 휘발성 데이터 : 전원 연결이 끊키면 사라지는 데이터(프로그램이 실행 혹은 동작 중일 때만 존재)
• 비휘발성 데이터 : 전원 연결이 끊켜도 사라지지 않는 데이터

---

휘발성 데이터와 비휘발성 데이터의 유형

• 휘발성 데이터 유형 : Cache, Registers, Process, Network, Logon User 등등
• 비휘발성 데이터 유형 : Prefetch, Registry, 문서, 이미지, 비디오, 오디오, 데이터 베이스 

---

휘발성 데이터와 비휘발성 데이터의 저장 위치

• 휘발성 데이터 : RAM
• 비휘발성 데이터 : 하드 드라이브, SSD, 클라우드

---

휘발성 데이터와 비휘발성 데이터의 특징

휘발성 데이터

• 전원 공급이 사라지면 데이터가 휘발
• 실시간으로 변화하기에 해당 동작 상황이 아니면 확보 불가능

 

비휘발성 데이터 

• 전원 공급이 사라져도 데이터가 바로 사라지지 않음
• 저장 장치로써 복제 가능
• 이미지 형태로 제작 가능

 

---

 침해사고 발생 시 휘발성 데이터에서 네트워크 관련 정보 중에서 특히 ARP(Address Resolution Protocol) 정보는 같은 네트워크 상에 범인이 있는 경우 유용하다. 비휘발성 데이터에서 윈도우 레지스트리는 윈도우 운영체제와 관련된 설정 및 선택 항목등이 담겨있는 데이터 베이스이다. 윈도우 레지스트리에 저장되는 정보 중 AppCompatCahe라고도 불리는 ShimCache는 시스템이 종료된 뒤에 기록되는 특징이 있다. 따라서 시스템 재부팅 이후에 확인 가능하며 마지막으로 시스템을 부팅한 이후에 생성되는 항목은 ShimeCache 메모리에만 저장된다.

 

 휘발성 데이터와 비휘발성 데이터는 디지털 포렌식적 관점에서 침입자에 대한 각종 정보들을 얻을 수 있는 중요한 아티팩트들이라고 할 수 있다. 이러한 데이터들은 선별적으로 수집(법에 위촉될 수 있기 때문)하는 것이 중요하며 비휘발성 데이터보다 휘발성 데이터를 먼저 수집하는 것이 일반적이고, 같은 정보를 여러 방식으로 수집하기도 한다. 비휘발성 데이터 중에서는 Prefetch 파일을 먼저 수집한다. 무결성보다 신속성이 우선시 되는 침해사고 대응에서는 쓰기 방지 도구를 사용하지 않고 신속한 수집을 목표로하기도 한다.