엡스타인 파일 PDF, 숨겨진 정보는 무엇일까?
미국 법무부(DoJ)가 공개한 엡스타인 파일 PDF의 기술적 분석을 통해 파일 구조 및 잠재적 취약점을 파악함
PDF 파일의 유효성 검사를 위해 다양한 도구를 사용, 버전 정보의 불일치 등 사소한 결함(Minor Defect)을 발견함
증분 업데이트(Incremental Updates)를 활용한 Bates 넘버링(Bates Numbering) 추가 방식과 숨겨진 메타데이터(Hidden Metadata) 존재를 확인
올바르지 않은 리다액션(Redaction)으로 인해 정보가 노출될 수 있는 사례를 지적하며, PDF 파일 위변조 가능성(Tampering)에 대한 경고를 보냄
PDF 버전 정보의 불일치와 분석 도구의 한계
분석에 따르면, 서로 다른 PDF 분석 도구에서 동일한 파일의 PDF 버전을 다르게 보고하는 현상이 발생했다. 특히, pdfinfo 유틸리티를 사용한 결과, 툴 A와 툴 B 간에 PDF 버전 정보가 크게 달랐다. 이는 증분 업데이트(Incremental Updates)를 제대로 처리하지 못하는 도구의 문제로, 디지털 포렌식(Digital Forensics)에서 단일 도구에 의존하는 것의 위험성을 보여준다. 따라서, 여러 도구를 활용하여 교차 검증하는 것이 중요함을 강조한다.
Bates 넘버링(Bates Numbering) 추가 방식 분석
엡스타인 파일의 Bates 넘버링은 증분 업데이트(Incremental Updates)를 통해 각 페이지에 추가되었다. 구체적으로, 폰트 리소스 정의, 페이지 객체 수정, 그리고 Bates 넘버를 그리는 내용 스트림 추가로 구성된다. 이 과정에서 사용된 폰트는 Helvetica이며, 12포인트 크기로 설정되었다. 이러한 방식은 PDF 파일의 구조적 특징(Structural Characteristics)을 이해하는 데 중요한 단서를 제공하며, 포렌식 분석(Forensic Analysis)의 핵심적인 부분이다.
숨겨진 메타데이터(Hidden Metadata)와 정보 은닉 가능성
분석 결과, 엡스타인 파일에서 숨겨진 문서 정보 딕셔너리(Document Information Dictionary)가 발견되었다. 이 딕셔너리는 마지막 증분 업데이트 트레일러에 참조되지 않아, 일반적인 PDF 뷰어에서는 보이지 않는다. 이 메타데이터는 파일 생성 및 수정 날짜, 제작 도구(OmniPage CSDK 21.1) 등을 포함하고 있어, PDF 파일 생성 및 수정 과정(Creation and Modification Process)에 대한 정보를 제공한다. 이는 정보 은닉(Information Hiding) 시도 가능성을 시사한다.
잘못된 리다액션(Redaction)과 정보 유출 위험
일부 PDF 파일에서 잘못된 리다액션(Redaction)으로 인해 텍스트가 쉽게 복사될 수 있는 문제가 발견되었다. 이는 텍스트를 단순히 검은색 상자로 가리는 방식으로, 복사 및 붙여넣기(Copy & Paste)를 통해 숨겨진 정보를 쉽게 복원할 수 있게 한다. 이러한 취약점은 DoJ의 과거 시스템에서 발생했으며, 데이터 보안(Data Security) 및 정보 보호(Information Protection) 측면에서 심각한 문제를 야기할 수 있다.
