디지털포렌식 문제를 풀다보면, 네트워크 커넥션을 분석하여 IP 주소를 획득하는 경우가 많다. 이게 단순히 챌린지면 사실 큰 의미는 없지만, 만약 실무라면 어떻까? 디지털 범죄 수사에서 네트워크 데이터는 초국경성을 갖기 때문에 만약 해당 IP가 국내의 것이 아니라면 국제공조 수사를 해야한다는 사실을 인지하게 되는 것이다.


그러므로 IP주소가 어느 국가에 속했는지 판별하는 것은 중요하다. 


사실 많은 온라인 서비스에서 해당 기능을 제공한다. 한국인터넷진흥원에서 제공하는 whois (http://whois.kisa.or.kr/kor/)활용하여 ISP 제공자는 중국 소재의 CHINANETFJ라는 것을 확인하였다.

추가적으로, 해커의 것으로 추정되는 IP 주소(218.85.133.23)를 분석하여 지리적인 위치를 확인할 수 있는 Geo IP (https://geoiptool.com/ ) 서비스도 유용하게 활용할 수 있다. 아래 그림은 해당 IP가 중국에 위치함을 보여주며, 만약 포렌식 수사관이라면 국제공조 수사를 염두해야 할 것이다.


또한 이것을 데이터베이스로 구축한 MaxMind도 참고할만 하다. 지리정보 데이터베이스를 활용하여, IP 주소로부터 실제 지리적 위치를 조회할 수 있다. 설치는 아래와 같다.


마지막으로, 파이썬으로 본인이 직접 개발하는 방법도 있다. 아래 예제 코드는 Web Scraping with Python 이라는 책에서 발췌하였으며, freegeoip.net 에서 정보를 가져온다. (파이썬3 기준)

해당 소스코드를 실행해보면 캐나다 국적의 IP임을 확인할 수 있다.

CPUU님의 창작활동을 응원하고 싶으세요?