Understanding PDF Metadata: What It Reveals About You - pdf0.ai

삼 년 전, 저는 Fortune 500 기업이 단 하나의 PDF 파일로 인해 4천만 달러 계약을 잃는 모습을 목격했습니다. 저는 사라 첸이고, 지난 12년간 문서 메타데이터 분석을 전문으로 하는 디지털 포렌식 컨설턴트로 일해왔습니다. 그 날, 변호사들과 경영진이 있는 회의실에 앉아 있었고, "깨끗한" 제안서 문서가 그들의 이전 실패한 입찰에 대한 기밀 정보를 어떻게 드러냈는지 설명해야 했습니다. PDF의 메타데이터에 보이지 않게 삽입된 정보가 경쟁자가 60초 이내에 추출한 것입니다.

문서를 준비한 경영진은 전혀 알지 못했습니다. 그는 단순히 작년의 제안서를 업데이트하고 몇몇 문구를 바꾸고 새로운 PDF를 내보냈습니다. 그러나 메타데이터는 다른 이야기를 말하고 있었습니다: 경쟁 입찰의 원래 저자 이름, 민감한 섹션이 수정된 시간을 나타내는 수정 타임스탬프, 심지어 그들의 내부 프로젝트 코드 이름을 드러내는 파일 경로까지. 이것은 보이지 않는 데이터가 어떻게 매우 가시적인 결과를 초래할 수 있는지를 보여주는 마스터 클래스였습니다.

그 사건 이후로, 저는 법률사무소에서 정부 기관에 이르기까지 15,000개 이상의 PDF 문서를 분석했습니다. 제가 배운 것은 대부분의 사람들을 놀라게 할 것입니다: 당신이 만드는 모든 PDF는 본질적으로 당신, 당신의 조직, 그리고 당신의 작업 습관에 대해 당신이 의도적으로 공유할 수 있는 것보다 훨씬 더 많은 것을 드러내는 디지털 지문입니다. 오늘, 저는 PDF 메타데이터가 무엇을 드러내는지, 그 중요성, 그리고 어떻게 자신을 보호할 것인지에 대해 보여드리겠습니다.

숨겨진 레이어: PDF 메타데이터가 실제로 포함하는 것

대부분의 사람들이 PDF에 대해 생각할 때, 그들은 화면에서 볼 수 있는 가시적 콘텐츠—텍스트, 이미지 및 레이아웃을 상상합니다. 그러나 그 가시적 레이어 아래에는 문서의 DNA처럼 기능하는 복잡한 메타데이터 구조가 있습니다. 제 포렌식 작업에서, 저는 표준 PDF 파일에서 일반적으로 포함되는 23개의 서로 다른 메타데이터 범주를 확인했으며, 각각은 이야기를 말합니다.

가장 기본적인 메타데이터는 우리가 "더블린 코어" 요소라고 부르는 것들을 포함합니다: 제목, 저자, 주제, 키워드, 제작 응용 프로그램, 프로듀서, 생성 날짜 및 수정 날짜. 이들은 악의가 없어 보이지만, 제가 본 사례 중에는 저자 필드에서 "기밀" 문서가 실제로 외부 컨설턴트에 의해 준비되었거나, 생성 날짜가 경쟁자의 유사한 문서보다 몇 달 후에 supposedly original work가 생성되었음을 증명한 경우가 있었습니다.

이 기본 사항을 넘어서, PDFs는 제가 "기술적 지문"이라고 부르는 것들을 포함합니다. 제작 응용 프로그램 필드는 PDF를 생성하는 데 사용된 소프트웨어와 버전을 정확히 알려줍니다. 당신이 Adobe Acrobat, Microsoft Word의 내보내기 기능, 온라인 변환기 또는 특수 소프트웨어를 사용했는지 알 수 있습니다. 이는 당신이 생각하는 것보다 더 중요합니다—저는 한번 200명의 조직에서 유출 출처를 식별했습니다. 왜냐하면 단 세 명만이 유출된 문서를 생성하는 데 사용된 특정 버전의 Adobe Creative Suite에 접근할 수 있었기 때문입니다.

그 다음에는 수정 이력이 있습니다. 많은 PDFs는 이전 버전의 문서를 보존하는 증분 업데이트 섹션을 포함하고 있습니다. 저는 클라이언트가 깨끗하다고 생각했던 PDFs에서 "삭제된" 내용을 복원했습니다. 한 기억에 남는 경우, 저는 최종 문서처럼 보이는 것에 삽입된 계약서에서 14개의 이전 버전을 찾았습니다. 여기에는 클라이언트의 절대 하한선을 드러내는 협상 노트도 포함되어 있었습니다—잘못된 손에서 수백만 달러의 가치가 있는 정보였습니다.

위치 데이터는 또 다른 중요한 범주를 나타냅니다. 사진에서 PDF를 만들거나 모바일 장치를 사용하여 문서를 스캔할 때, GPS 좌표가 삽입될 수 있습니다. 저는 특정 사무실 건물, 집 주소, 그리고 한 경우에는 직원이 기밀 자료 작업을 진행 중이었던 커피숍을 추적했습니다. 메타데이터는 위치뿐만 아니라 정확한 타임스탬프를 보여주어 보안 영상을 교차 참조할 수 있게 했습니다.

소프트웨어 서명: 당신의 도구가 당신을 배신하는 방법

모든 소프트웨어는 생성하는 PDFs에 독특한 마커를 남기며, 저는 제 경력 동안 400개 이상의 고유 소프트웨어 서명의 데이터베이스를 구축했습니다. 이 포렌식 기능은 인증 사례, 지적 재산 분쟁 및 보안 조사에서 매우 귀중한 것으로 입증되었습니다. 제가 이 토끼굴이 얼마나 깊은지 보여드리겠습니다.

"당신이 만드는 모든 PDF는 본질적으로 당신, 당신의 조직, 그리고 당신의 작업 습관에 대해 당신이 의도적으로 공유할 수 있는 것보다 훨씬 더 많은 것을 드러내는 디지털 지문입니다."

Microsoft Word가 PDF를 내보낼 때, 특정 제작자 문자열을 삽입하며, 여기에는 정확한 버전 번호와 빌드가 포함됩니다. 당신이 Office 2016, 2019, 또는 Microsoft 365를 사용하고 있는지, 그리고 종종 특정 월간 업데이트 버전인지 알 수 있습니다. 이 정보는 법적 사례에서 시간 라인을 마련하는 데 도움이 되었습니다—어떤 사람이 문서가 2018년에 작성되었다고 주장했지만, 메타데이터가 Office 2021에서 제작된 것으로 나타날 경우, 문제가 발생합니다.

Adobe 제품은 더욱 상세한 서명을 남깁니다. Acrobat Pro는 애플리케이션 내에서 사용된 도구에 대한 정보를 삽입합니다. OCR 기능을 사용했는지, 이미지에 어떤 특정 필터가 적용되었는지, 수정 도구를 사용했는지(그리고 중요한 것은 수정이 제대로 적용되었는지), 어떤 글꼴이 삽입되었거나 대체되었는지 알 수 있습니다. 한 조사에서, 제가 supposedly independent expert report가 실제로 전문가를 고용한 당사자와 동일한 Adobe Acrobat 설치를 사용하여 생성되었음을 확인했습니다—라이선스 키 정보가 두 문서에 모두 삽입되었기 때문입니다.

온라인 PDF 변환기와 무료 도구는 종종 고유한 메타데이터를 삽입하며, 때때로 추적 식별자가 포함됩니다. 저는 무료 PDF 생성기가 메타데이터에 고유 사용자 ID, IP 주소, 심지어 이메일 주소를 삽입하는 것을 본 적이 있습니다. 한 인기 무료 도구는 서비스 제공자가 그들의 소프트웨어로 생성된 모든 문서를 추적할 수 있도록 하는 고유 식별자를 삽입하고 있었습니다. 사용자들은 사실상 추적 가능한 정보로 그들의 문서에 워터마크를 넣고 있는지도 몰랐습니다.

소프트웨어 서명은 또한 당신의 보안 태세를 드러냅니다. 만약 제가 당신이 알려진 취약점이 있는 구형 소프트웨어 버전을 사용하고 있다는 것을 본다면, 그것은 당신의 조직의 보안 관행에 대해 무엇인가를 알려줍니다. 저는 클라이언트에게 메타데이터가 소프트웨어 버전이 3년이 지나치고 보안 결함이 가득하다고 밝힌 경우 잠재적인 파트너로부터 문서를 거부하도록 조언했습니다—데이터 처리 관행에 대한 적신호였습니다.

타임스탬프 및 수정 기록: 문서의 타임라인

시간 기반 메타데이터는 제 경험에서 다른 어떤 범주보다도 많은 조사에서 결정적인 증거로 작용했습니다. PDFs는 여러 개의 타임스탬프를 포함하며, 이 타임스탬프 간의 관계는 생성자가 결코 공유할 의도가 없는 이야기를 전달합니다. 저는 "시간적 포렌식"이라고 부르는 방법론을 개발했으며, 이는 시간라인 논쟁이 조사의 중심이었던 사례의 60% 이상에서 결정적인 역할을 한 것으로 입증되었습니다.

모든 PDF는 최소 두 개의 타임스탬프를 포함합니다: 생성 날짜와 수정 날짜. 그러나 많은 PDF는 문서가 마지막으로 인쇄된 날짜, 마지막으로 열었을 때, 특정 요소가 추가되거나 수정되었을 때의 추가 타임스탬프를 포함합니다. 저는 불과 문서의 생성 타임스탬프와 삽입된 이미지의 "마지막 수정" 타임스탬프를 비교하여 계약이 이전 날짜로 설정되었음을 입증한 적이 있습니다—이미지는 문서가 주장한 생성 날짜 두 주 후에 생성되었습니다.

타임스탬프에 삽입된 시간대 정보는 특히 드러나는 부분입니다. 저는 타임스탬프의 UTC 오프셋을 기반으로 문서가 생성된 위치를 알 수 있습니다. 이는 국제 사기 사건에서 매우 중요했습니다. 문서들이 뉴욕에서 생성되었다고 주장했지만, 실제로는 동유럽에서 제작된 경우나 그 반대의 경우가 있었습니다. 시간대 데이터는 문서의 다른 모든 부분이 속이기 위해 정밀하게 작성되었을지라도 거짓말을 하지 않습니다.