#디지털포렌식 #디지털증거물 #사전준비 #증거수집 #포장및이송 #조사분석 #정밀검토 #보고서작성 #컴퓨터저장증거 #컴퓨터생성증거 #비가시성 #변조가능성 #복제용이성 #대규모성 #휘발성 #초국경성 #적법절차준수 #원본의안전한보존 #증거의무결성확보 #증거의신뢰성증명 #분석결과의반복성 #모든과정의기록 #디스크이미징 #디스크브라우징 #파일카빙 #데이터뷰잉 #타임라인분석기술 #안티포렌식
디지털 포렌식 개요
디지털 포렌식 개요
- Digital Forensic
- 디지털 매체(컴퓨터 포함)의 분석과 복구를 위한 과학수사의 한 분야
- 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 재현, 보고 등을 수행
- 디지털 증거물 : 컴퓨터, 서버등의 시스템이나 전자 장비에서 수집할 수 있는 것들
- 수행할 때는 과학적으로 도출되고 증명 가능한 방법으로 수행해야 함
디지털 포렌식의 등장 배경
- 정보화 사회 고도화 -> 컴퓨터를 대상으로 하거나 도구로 사용하는 범죄 급증
- 새로 생성되는 자료의 95% 이상이 디지털 형태로 존재
- 디지털 형태의 자료는 1.5년마다 2배씩 증가
디지털 포렌식의 수행 과정
- 디지털 데이터 수집
- 데이터 분석 및 증거 확보
- 조사 결과에 대한 보고서 작성
디지털 증거
디지털 증거의 유형
- 컴퓨터 또는 기타 디지털 저장매체에 저장되거나 네트워크를 통해 전송 중인 자료
- 법정에서 신뢰할 수 있는, 증거 가치가 있는 정보
- 내용물 : 사건을 직접적으로 증명해주는 증거
- 특성정보 : 증거를 식별 / 분류하는 데 도움이 되는 메타데이터 (파일명, 해시코드, 타임스탬프 등)
구분 | 설명 |
---|---|
컴퓨터 저장증거 | - 사람이 직접 작성한 증거 - 일반적으로 내용물에 해당 |
컴퓨터 생성증거 | - 사람의 개입 없이 컴퓨터의 자동화된 프로세스에 의해 생성된 증거 - 일반적으로 특성정보에 해당 |
디지털 증거의 특성
디지털 증거의 특성 | 설명 |
---|---|
비가시성 | - 디지털 증거 자체는 눈에 보이지 않는 디지털 형태(0과 1), 육안 식별 불가 - 변환절차를 거쳐 모니터 화면으로 출력하거나 프린트를 해야 가시성을 가짐 |
변조 가능성 | - 오류에 따른 손상이나 의도적인 변조가 쉬움 - 포맷, 파일 삭제 가능하며, 파일 열어보는 것만으로도 속성 변경됨 - 변조 사실을 찾아내기 어려움 |
복제 용이성 | - 원본과 동일한 내용으로 쉽게 복제 가능 - 원본과 복제본의 구별이 쉽지 않음 |
대규모성 | - 회계자료, 데이터베이스, 파일 서버 등 자료의 규모가 방대함 - 특별한 수집/분석도구나 전문인력 없이는 증거 탐색이 어려움 |
휘발성 | - 메모리나 네트워크상 일시적 휘발성 데이터가 존재함 - 증거 입수 과정에서 사라지지 않도록 각별한 주의 필요 |
초국경성 | - 디지털 장치들은 각종 네트워크(인터넷 포함)를 통해 연결됨 - 이에 장소에 구애 받지 않고 원거리 또는 타국 서버나 컴퓨터에 존재할 수 있음 - 국경을 넘는 경우 국가의 주권문제까지도 연결됨 |
디지털 증거의 법적 허용성 요건
법적 허용성 요건 | 설명 |
---|---|
인증성 | - 증거가 특정 행위로 생성된 결과물이고 - 증거의 저장 및 수집 과정에서 오류가 없어야 함 |
무결성 | - 수집, 분석, 법정 제출까지 변경이나 훼손 없이 안전하게 보호되어야 함 |
신뢰성 | - 분석 등 처리과정에서 사용된 장비 및 프로그램이 신뢰성 있어야 함 - 본석 등 처리과정에서 조작자의 기술능력과 정확성이 입증되어야 함 |
원본성 | - 증거를 가시성이 있는 형태로 변환해 제출했을 때, 원 데이터와 동일해야 함 |
디지털 포렌식의 절차
디지털 포렌식의 절차
절차 중 지켜져야 할 사항
지켜야 할 사항 | 설명 |
---|---|
적법절차 준수 | - 입수 증거는 적법절차를 거쳐 얻어져야 함 - 수사기관 : 압수, 수색 권한 혹은 영장의 영역 내에서만 조사 - 포렌식 서비스 제공자 : 의뢰인의 책임성 확인, 의뢰인이 위임한 부분만 조사 |
원본의 안전한 보존 | - 증거가 손상되지 않게 안전히 보존할 수 있는 수단 강구 - 물리적 충격, 전자기파에 대응해 포장 - 원본 손상 방지를 위해 사본으로 분석 - 원본 소실시, 사본이 원본의 모든 데이터를 보유하고 있음을 입증할 수단 강구 |
증거의 무결성 확보 | - 디지털 데이터는 완벽하게 조작할 수 있음 - 증거 확보 후 어떠한 변경도 없음을 입증하기 위한 기술적, 절차적 수단 확도 |
증거의 신뢰성 증명 | - 증거분석은 과학적인 방법을 사용 - 해당 분야 전문가에 의해 충분히 검토되어 신뢰할 수 있는 절차로 수행 - 도출된 결과는 검증 가능해야 함 |
분석결과의 반복성 | - 분석결과는 동일 실험조건에서 오차범위 내 항상 같은 결과가 나와야 함 |
모든 과정의 기록 | - 수집, 분석을 비롯, 모든 과정을 기록해야 함 - 이를 통해 사후 검증할 수 있는 수단을 제공해야 함 |
디지털 포렌식의 기술
기술 | 단계 | 설명 |
---|---|---|
디지털 포렌식 도구 | - | - 쓰기방지, 이미징, 검색, 파일 보기, 분석 및 복구 - 통합도구 : EnCase, FTK 등 |
디스크 이미징 | 증거수집 | - 원본 변경 방지를 위해 증거 디스크를 이미징해 사본 생성 - 무결성 보장을 위해 쓰기방지 장치 장착 필수 |
디스크 브라우징 | 조사분석 | - 저장매체의 내부구조 및 파일 시스템을 확인 - 파일에 대응되는 응용 프로그램 구동 없이 쉽고 빠르게 분석 - 확장자 변경한 파일, 암호 파일 등 확인 |
파일 카빙 파일 복구 |
조사분석 | - 미사용 공간에 있는 데이터 조각으로부터 - 파일 내부의 고유한 포맷을 찾아 원 파일을 복구하는 과정 |
데이터 뷰잉 | 조사분석 | - 포맷이 있는 디지털 데이터 구조를 파악해 가시적으로 출력 |
키워드 검색 | 조사분석 | - 사건 관련 키워드로 고속 검색 - 텍스트 인코딩, 대소문자 등 고려 |
파일 검색 | 조사분석 | - 파일명 또는 파일 해시코드를 이용해 특정 파일 검색 - 분석대상 축소를 위해 파일 해시코드로 알려진 파일 제외 |
타임라인 분석 기술 | 조사분석 | - 사건 재구성을 위해 시간의 흐름에 따라 발생한 이벤트를 나열 - 이후 분석 |
로그 분석 기술 | 조사분석 | - 외부 침입 흔적, 사용자가 사용한 명령어 - 시스템이 처리한 업무와 에러 등 정보 분석 |
안티 포렌식
- 포렌식 기술에 대응해 범죄자가 자신에게 불리하게 작용할 가능성이 있는 증거물을 차단하려는 활동
- 데이터 완전 삭제, 데이터 변조, 데이터 암호화
- 과거엔 이를 수동으로 처리한 반면,
-
최근에는 증거물 획득을 원천적이고 자동화된 방법으로 막아주는 전문 제품들이 등장하고 있음
Comments