디지털 포렌식

문제2) 최근 많은 범죄들이 지능화, 고도화되면서 디지털 포렌식의 중요성이 증가하고 있다. 이러한 디지털 포렌식과 관련하여 아래 사항을 설명하시오.

 

가. 디지털 포렌식의 개념

나. 디지털 포렌식의 유형과 절차

다. 디지털 포렌식 기술 및 활용분야

 

답)

 

 

1. 사이버 공간에서의 범죄 증거 확보 기법, 디지털 포렌식의 개념

개념	컴퓨터를 이용하거나 활용해 이뤄지는 범죄 행위에 대한 법적 증거 자료 확보를 위해 컴퓨터 시스템, 네트워크 등 디지털 자료가 법적 증거물로 법원에 제출될수 있도록 확보하는 일련의 절차와 방법
기본 원칙	내용
정당성의 원칙	증거가 적법 절차에 의해 수집되었는가?  위법 수집 증거 배제 법칙. 위법하게 수집된 증거에서 얻어진 2차 증거도 증거 능력이 없음  독수 독과(과실) 이론.
재현의 원칙	같은 조건과 상황하에서 항상 같은 결과가 나오는가? 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 피해 결과와 일치하는 결과가 나와야 함.
신속성의 원칙	컴퓨터 포렌식의 전 과정이 신속하게 진행되었는가? 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라짐.
연계 보관성의 원칙 Chain of Custody	증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확해야 함. 수집된 저장 매체가 이동 단계에서 물리적 손상이 발생하였다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수 인계하여 이후의 단계에서 적절한 조치가 취해지도록 해야 함.
무결성의 원칙	수집된 증거가 위변조 되지 않았음을 증명. 일반적으로 해쉬 값을 이용하여 수집 당시 저장 매체의 해쉬 값과 법정 제출 시 저장 매체의 해쉬 값을 비교하여 무결성 입증.

 

2. 디지털 포렌식의 유형과 절차

가. 디지털 포렌식의 유형

 

분류	구분	내용
분석 목적에 따른 분류	사고 대응 포렌식	침해 사고에 대응하여 범죄자 파악이 목적. 해킹 등 침해 시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자 의 신원, 피해 내용, 침입 경로 등을 파악. 네트워크 기술, 서버 로그 분석 기술, 유닉스/리눅스/윈도우 서버 등 운영 체제 기술 필요.
	정보 추출 포렌식	범행 입증에 필요한 증거물 획득이 목적. 디지털 저장 매체에 기록되어 있는 데이터를 복구하거나 검색 하여 증거물 획득.
분석 대상에 따른 분류	디스크 (데이터 포렌식)	디스크의 증거(데이터) 식별 및 복구. 각종 보조 기억 장치에서 삭제된 파일 복구, 증거 분석, 증거 훼손 방지를 위한 쓰기 방지 등 사후 조치. 디렉터리 구조, 키워드 검색, MAC Time 및 시계열 분석 등의 기법 사용.
	시스템 포렌식	운영 체제, 응용 프로그램 및 프로세스 분석하여 증거를 확보.
	네트워크 포렌식	네트워크를 통한 데이터 및 로그 분석. 방화벽 로그, 웹 프록시 캐시, ARP 테이블 스니핑된 트래픽 로깅 파일, IP 발신자 추적, 라우터 로그 분석 등을- 통하여 증거 확보.
	인터넷 포렌식	인터넷(웹 등) 통신 히스토리 분석. 웹 히스토리 분석, 전자 우편 헤더 분석, IP 추적 기술 이용.
	모바일 포렌식	휴대용 기기에서 필요한 정보를 입수하여 분석. 휴대용 기기의 은닉 용이성으로 세심한 분석 필요.
	암호 포렌식	문서나 시스템에서 암호를 추출 증거 수집에서 비인가 접근을 막기 위해 문서나 시스템에 암호를 설정한 경우 암호 분석 필요.
	회계 포렌식	저장된 회계 데이터를 추출하고 회계 전문가가 분석할 수 있도록 데이터를 정제. 기업의 부정과 관련된 수사 시 필요.
	이메일 포렌식	전자 메일, 메신저 등에서 증거 자료 확보, 분석. 발신자 추적, 메일 검색, 삭제된 메일 복구 등의 기술 활용.
	소스 코드 포렌식	프로그램 소스 코드 유형을 보고 작성자를 구분(필적 감정과 유사한 형태). 프로그램 개발 흔적을 조사하여 원시 코드와 실행 프로그램과의 상관 관계를 분석.
	데이터베이스 포렌 식	데이터베이스에서 데이터 추출 및 분석. 압수 수색이 현실적으로 어려운 대형 시스템에서 디지털 증거물 획득 및 분석. 증거 획득 과정에서 관계자 입회 및 작업 과정 결과 파일에 대한 해쉬 값 계산, 문서화 후 서명 절차 등이 필요.
	멀티미디어 포렌식	디지털 형태의 그림, 음악, 비디오 파일에 관련된 저작권, 자료의 위 변조 여부 분석 및 데이터 은닉 기술(Steganography) 등이 해당됨.

 

나. 디지털 포렌식의 절차

 

단계	설명	고려사항
수사 준비	전문 인력과 포렌식 도구의 활용 방안 수립 보관의 연속성 방안 수립 데이터의 무결성 유지 방안 수립 수사 참조 라이브러리 준비: 잘 알려진 파일에 대해 쉽게 식별	전 과정에 대한 기록 준비 하드디스크 복사 도구 자료 검사 도구 자료 무결성 도구 시스템 분석용 도구 암호용 도구
증거 수집	증거 수집 및 수집 시간/과정 기록 디스크 이미징, 복제, 해싱(Hashing) 기법 활용 자료 삭제/파괴 행위 방지, 시스템 목록 작성, 하드디스크 이미징 시스템/네트워크/프로세스 상태 수집, 증거물 무결성 확보	휘발성 증거 우선 수집 전원 차단 여부 결정 증거 수집 대상에 따른 대응(복제/원본/출력 등)
보관/이송	증거의 훼손, 변경, 유출 방지 라벨링 부착하여 이력 관리 증거 자료 이중화, 쓰기 방지/봉인, 증거물 담당자 목록 기록 관리 정전기 방지용 팩, 하드 케이스 등 안전한 포장, 접근 통제	증거물의 이력 관리(Chain of Custody)
증거 분석	수집된 데이터 복구 및 증거 분석 암호 해제, 삭제 파일 복구, 고급 검색, 이메일 분석, 웹 히스토리 분석 기법 활용	증거 무결성 Slack Space 등 고려 Time Line
보고서 및 증거 제출	분석 과정 및 결과에 대한 보고서 작성 증거물과 보고서를 법정에 증거로 제출 6하 원칙에 따른 객관성 유지.	누구나 쉽게 이해할 수 있도록 쉽고 상세한 설명

 

3. 디지털 포렌식의 기술 및 활용분야

가. 디지털 포렌식 기술

 

구분	증거 복구	수집 및 보관	증거 분석
저장매체	하드디스크 복구 메모리 복구	하드디스크 복제 기술 메모리 기반 복제 기술 저장 매체 복제 장비	저장 매체 사용 흔적 분석 메모리 정보 분석
시스템	삭제 파일 복구 파일시스템 복구 로그온 우회 기법	휘발성 데이터 수집 시스템 초기 대응 포렌식 라이브 CD/USB	윈도우 레지스트리 분석 시스템 로그 분석 프리 패치 분석
데이터처리	언어 통계 기반 복구 암호해독/DB 구축 스테가노그래피 파일 조각 분석	디지털 저장 데이터 추출 디지털 증거 보존 디지털 증거 공증/인증	데이터 포맷 별 분석 영상 정보 분석 데이터베이스 정보 분석 데이터 마이닝
응용/네트워크	파일 포맷 기반 복구 암호통신 내용 해독	네트워크 정보 수집 네트워크 역추적	네트워크 로그 분석 해시 데이터베이스
기타 기술	개인 정보보호 기술, 범죄 유형 프로파일링 연구, 통합 타임라인 분석
최근 IT기술이 발전함에 따라 디지털 데이터 형태의 대용량 정보를 이용한 디지털 범죄가 날로 증가 추세

 

나. 디지털 포렌식 활용분야

 

활용분야	설명
전자증거개시제도 (E-Discovery)	정식 재판이 진행되기 전 소송 당사자 간 공소 제기된 사건과 관련된 정보를 서로의 요청에 의해 공개하는 제대로 재판 없이 합의를 이끌어내 는 효과로 시간 낭비를 줄이고, 쟁점을 명확화
침해사고 대응	외부 해킹 공격 및 악성코드 유입 등에 따른 침해 사고 조사
내부 감사	퇴사자, 협력 업체 인원 등에 대한 감사, 내부 정보 유출 조사 등
포렌식 회계 감사	기업의 분식회계 조사, 재무 조작 검사, 상장사에 대한 재감사
민사 소송 대응	소비자에 의한 소송 대응, 기업 간 소송 대응

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥