.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
포렌식 종류
컴퓨터 포렌식
사이버 포렌식
디지털 포렌식
등장 배경
정보화 사회가 고도화, 새로운 조사 기술 필요
법과학
범죄 사실 규명하기 위한 각종 증거 과학적 분석
디지털 포렌식
디지털 증거물 보존, 수집, 확인, 식별, 분석, 해석, 기록, 재현, 현출하는 것을 과학적인 방법으로 수행하는 일련과정
컴퓨터보안
신속한 복구 및 사고 원인 규명을 통한 예방책 마련이 목표
컴퓨터 포렌식
사고 원인 규명, 가해자 파악, 증거 보존을 통한 법정 요구 조건 충족 등이 목표
IDS, IPS
•
IDS : 침입 방지 시스템
•
IPS : 침입 탐지 시스템 (탐지 + 방어)
BCP, DRP
•
BCP(Business Continuity Planning) : 비즈니스 연속성 계획
•
DRP(Disaster Recovery Planning) : 재난 복구 계획
일부 예방적 기능이 있으나 교정통제로 분류됨.
위험회피가 아니라 위험수용이다.
목적은 조직의 가용성 확보
대상은 통제를 가하고도 남아 있는 잔여위험이다.
어떤 조직에서든 대외비로 관리한다.
부팅
•
콜드 부팅
◦
주요 부분에 전기가 통하지 않고, 전원이 모두 꺼져 있던 상태에서 전원 스위치를 눌러 컴퓨터를 다시 키는 것
◦
POST 검사단계를 거침
◦
컴퓨터에 무리를 줄 수 있기 때문에 가급적이면 피하는 것이 좋습니다.
•
웜 부팅
◦
주요 부분에 전기가 통하는 상태에서 컴퓨터를 부팅시키는 것
◦
POST 검사단계를 거치지 않음
◦
시스템을 검사하는 과정을 생략하여 부팅 시간이 빠르고, 컴퓨터에 무리를 덜 줍니다.
증거 개시제도(Discovery)
•
영미법 소송법상의 제도로 재판이 개시되기 전에 당사자 서로가 가진 증거와 서류를 상호 공개를 통해 쟁점을 정리 명확히 하는 제도
•
전자 디스커버리
◦
기존에 증거개시의 대상을 종이문서로 제한했던 것을 확대하여 소송당사자간에 전자적 자료(ESI)를 개시하는 절차
디지털 포렌식 기본원칙
•
정당성의 원칙
◦
입수 증거가 적법절차를 거쳐 얻어져야 함
◦
독수의 과실이론: 위법하게 수집된 증거에서 얻어진 2차
증거도 증거능력이 없음
◦
위법수집증거배제법칙 : 위법절차를 통해 수집된 증거의
증거능력 부정 (불법 해킹을 통하여 얻어진 파일은 증거능
력이 없음)
◦
독수독과 (毒樹毒果): 독이 있는 나무의 열매도 독이 있다
는 뜻으로 고문이나 불법 도청 등 위법한 방법으로 수집한
증거는 증거로 사용할 수 없다는 뜻
•
재현의 원칙
◦
같은 조건에서 항상 같은 결과가 나와야 함
◦
해킹 용의자의 해킹 툴(tool)이 증거능력을 가지기 위해서는 해당 툴을 피해 시스템에 적용했을 때 피해 당시와 같은 결과가 나와야 함
•
신속성의 원칙
◦
컴퓨터 내 휘발성 정보들은 수사 진행상 신속성으로 획득 여부가 결정되는 경우가 많음
•
절차 연속성(Chain of Custody)의 원칙
◦
증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 감당자 및 책임자를 명확히 해야 함
◦
수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 함
•
무결성의 원칙
◦
수집 증거가 위 · 변조 되지 않았음을 증명
◦
수집 당시 하드디스크의 hash 값과 법정 제출 당시 하드디스크의 hash 값이 같다면 hash 함수의 특성에 따라 무결성 입증
디지털 포렌식 수행과정
디지털 증거
전자적 형태로 유통되거나 저장되어 있는 데이터로 사건의 발생 사실을 입증하거나 반박하는 정보 또는 범행 의도나 알리바이와 같은 범죄의 핵심 요소를 알 수 있는 정보
•
컴퓨터 시스템
•
통신 시스템
•
네트워크 정보
•
임베디드 시스템
종류
•
문서 파일
•
멀티미디어 데이터
•
전자 메일
•
네트워크 데이터
•
소프트웨어
•
로그 데이터
•
cctv 영상 데이터
•
임베디드 시스템의 저장 정보
•
교통카드, 신용카드, 휴대폰 사용 기록 등
데이터 분류
•
휘발성 데이터
◦
전원이 차단되면 사라지는 증거
◦
수집 프로그램을 해당 시스템에 설치하여 수집해야 하므로 일부 휘발성 데이터가 변경될 수 밖에 없음 (최소한의 변경 중요)
•
비휘발성 데이터
◦
전원이 차단되어도 유지되는 증거
◦
쓰기 방지 장치를 부착하여 진행
◦
이미징 과정을 수행
◦
분석 기술
▪
파일 복구 : 삭제된 파일을 복구, 메타 데이터 변경으로 삭제되기 떄문에 실제 데이터 복구 가능
▪
파일 카빙(File Carving) : 미사용 공간에 있는 데이터 조각으로부터 파일 내부의 고유한 포맷을 찾아 원본 파일을 복구하는 과정, 조각난 파일 복구 (메타데이터 손상, 없을 시 컨텐츠 및 파일 시그니처를 토대로 파일을 재구성하는 방법
▪
검색 : 방대한 데이터에서 사건 관련 증거 찾아냄
▪
TimeLine 분석 : 시간의 흐름에 따라 발생된 이벤트 나열
▪
파일 포맷 분석
▪
암호 해독
•
Dictionary attack
•
Steganography의 경우 해당 도구를 찾아내야만 가능함
특징
•
매체독립성
◦
사본과 원본의 구별이 불가능
◦
정보 값이 같다면 어느 매체에 있던 동일한 가치를 지님
◦
각종 디지털저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체
•
비가시성, 비가독성
◦
사람의 지각으로 바로 인식 불가능, 일정한 변환 절차를 걸쳐서 화면으로 출력되거나 인쇄된 형태로 출력되었을 때 가시성과 가독성을 가짐.
◦
디지털 증거와 출력된 자료와의 동일성 여부 중요
•
취약성
◦
디지털 증거는 삭제 · 변경 등이 용이
◦
수사기관에 의한 증거조작의 가능성 배제 불가, 디지털 증거에 대한 무결성 문제 대두
◦
하나의 명령만으로 하드 전체 포맷, 파일 삭제 가능, 파일 속성이 변경됨
•
대량성
◦
저장 기술의 발전으로 방대한 분량의 정보를 하나의 저장 매체에 모두 저장 가능, 회사의 업무처리에 있어 컴퓨터의 사용은 필수적, 회사 모든 자료가 컴퓨터에 저장됨
◦
수사기관에 의해 증거가 압수되는 경우, 업무수행에 지장을 줄 수 있음
•
전문성
◦
디지털 방식으로 자료를 저장하고 이를 출력하는데 컴퓨터 기술과 프로그램 사용됨.
◦
디지털 증거의 수집과 분석에도 전문적 기술 사용됨, 디지털 증거의 압수 · 분석 등에 있어 필수
◦
디지털 증거에 대한 신뢰성 문제 대두
•
네트워크 관련성
◦
디지털 환경은 인터넷을 비롯한 각정 네트워크를 통해 서로 연결되어 있음
◦
관할권을 어느 정도까지 인정할 것인지 국경을 넘는 경우 국가의 주권문제까지도 연관됨
