.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
정의
•
디지털 정보를 포함하고 있는 매체를 증거로서 확보하여, 디지털 증거의
법적 가치가 훼손되지 않도록 수집ㆍ보관ㆍ이송ㆍ분석ㆍ보고하는 일련
의 수행 절차
•
이러한 과정은 분석된 결과가 법적인 증거로 허용될 수 있도록 법적 절차
를 준수해야 하며, 신뢰성 있는 결과의 산출, 분석 결과의 정확성, 오류
발생의 최소화 등에 기초해야 함
일반적 사법 처리 과정
포렌식 조사 모델 수행 시 유의 사항
적법 절차의 준수
•
피조사자 개인의 인권을 보장해야 하고, 피조사 기관은 기업의 영업 비밀
이나 중요 자료의 노출이 발생하지 않도록 적법 절차를 준수
•
특히 디지털 포렌식 조사의 대상이 되는 저장 매체는 개인의 사생활과 관
련된 많은 정보가 저장
•
따라서 조사자가 이를 열람할 수 있는 권한을 확보하지 않은 상태에서 조
사할 경우 추후 문제가 발생
•
준수 방안
◦
수사 기관인 경우, 압수ㆍ수색 권한 혹은 영장이 한정하는 영역 내에서만 조사를 진행
◦
민간 기관인 경우, 조사를 수행할 때 발생할 수 있는 책임 여부를 사전에 상호 확인하고, 의뢰인이 위임한 부분에 대해서만 조사를 수행
원본의 안전한 보존 (펠리컨 박스)
•
디지털 데이터는 쉽게 훼손될 수 있기 때문에 데이터를 안전하게 보존할
수 있는 수단을 강구해야 함
•
특히 물리적인 충격이나 전자기파에 의해 손상을 입지 않도록 포장에
주의
•
증거 분석은 원본의 손상을 막기 위해 반드시 사본에서 수행
•
또한 생성한 사본이 원본과 동일하다는 것을 증명할 수 있는 절차적,
기술적 절차가 수반
증거의 무결성 확보
•
디지털 데이터는 완벽히 조작할 수 있기 때문에 데이터 확보 이후에는
어떠한 변경도 없었다는 것을 입증하기 위한 기술적, 절차적 수단을 확보
해야 함
•
법정에서 무결성을 증명할 수 있는 방법을 준비
증거의 신뢰성 증명
•
증거 분석은 과학적인 방법을 사용해야 하고, 해당 분야 전문가들에 의해
충분히 검토되어 신뢰할 수 있는 기술적 절차로 수행되어야 함
•
도출된 결과는 신뢰성을 검증할 수 있어야 함
분석 결과의 반복성
•
도출된 분석 결과는 동일한 실험 조건이 주어진다면, 오차 범위 내에서 항
상 동일한 결과가 나올 수 있도록 재현할 수 있어야 함
진정성 유지를 위한 모든 과정의 기록
•
디지털 증거 수집ㆍ분석을 비롯한 모든 과정을 기록함으로써 사후 검증할
수 있는 수단을 제공
•
디지털 증거의 진정성은 수집 이후부터 법정까지 진행된 증거 처리에 관
한 내용을 기록한 문서를 통해 입증
조사 준비
사건 발생 및 확인
•
일반 범죄 수사의 경우
◦
사건이 발생 시, 이에 대한 조사를 수행할 필요성이 있는 지에 확인 필요
◦
최근 컴퓨터 및 디지털 기기의 사용이 일반화됨에 따라 일반적인 민사ㆍ형사 사건의 경우에도 범죄 현장의 디지털 포렌식 조사를 수행
◦
피해자의 신고를 통한 사건 발생, 내부 조사를 통해 위법 행위 등이 발견되면 본격적인 조사가 시작
•
사이버 범죄 조사의 경우
◦
비정상적 경고의 발생
▪
침입 탐지 시스템의 경고 발생, 네트워크 방화벽 로그의 비정상적인 징후, 기타 보안 장비의 경고 신호 등
▪
네트워크 트래픽이 급증하였다면, 발생한 경보가 단순히 비정상적으로 방문자가 급증한 것이 원인인지, 내부 네트워크에서 실수로 패킷을 과다 발생시킨 것인지, DDos 공격에 의한 것인지 확인이 필요
이러한 확인 과정은 특정 사건에 대한 조사를 진행할 것인지를 결정하는 첫번째 단계이므로 신뢰성 있는 분석과 확실한 판단이 필요
•
주요 조사 대상의 선정 (조사 대상의 가치 평가)
◦
확인 과정은 나아가 주요 조사 대상이 무엇인지를 결정하고 전반적인 수사 - 계획을 설정하는 과정을 포함
◦
현대의 디지털 포렌식 수사는 엄청난 양의 데이터를 조사해야 하므로, 수 많은 잠재적인 증거 자료로부터 사건 해결에 실마리를 제공해 줄 수 있고 중요한 결과를 얻을 수 있는 자료를 우선적으로 수집ㆍ분석할 수 있도록 선정하는 과정이 필요
•
사전 조사
◦
조사 대상을 선정하기 위해서는 피조사 기관의 전산 환경, 접근 대상 시
스템의 유형, 규모, 운영체제, 네트워크 구성 등을 파악하여 증거 수집이
가능한 지를 판별
◦
특히 자체 보안 솔루션 등으로 외부 저장장치를 통한 데이터 접근이 제한되는지, DRM 시스템과 같이 접근 제어형 보안 소프트웨어가 사용되고있는 지 확인이 필요
조사 권한 획득 준비
•
권한 획득의 필요성
◦
조사에 필요한 자료이지만 별도의 접근 권한이 필요한 경우는 그에 적합
한 권한 확보 과정이 선행되어야 함
◦
수사 기관의 경우, 영장 신청 과정에서 조사가 필요한 대상과 권한 등의
내용을 상세히 기재해서 법적인 문제가 발생하지 않도록 주의
◦
차후 조사하는 과정에서, 사건과 관련 없는 정보를 열람할 경우가 분쟁이
발생할 수 있으므로 이에 대한 접근 권한을 명확히 설정해야 함
조사 팀 구성
•
인원 구성
◦
사건의 유형, 조사자의 전문성, 압수 대상 장소의 수 등을 고려하여 조사
팀의 인원을 구성
◦
추가적으로 현장 출동 후 수색 절차, 증거 수집 방법과 범위, 각 조사자의역할 등을 분담
•
사전 교육
◦
조사 책임자는 현장 조사에 참여할 인원들에게 담당할 업무와 유의사항
에 대한 사전 교육을 실시
◦
각 압수 장소에 대한 인원 배분, 시스템의 예상 수량과 장비의 배분, 또한
조사자의 전문성을 고려하여 적절한 배분과 역할을 분담
•
공증 인원 추가
◦
전체 현장 조사 과정을 검증할 자격이 있는 제3의 입회인을 참석시켜 증
거 획득ㆍ포장ㆍ봉인ㆍ이송 과정을 확인하도록 할 수 있음
◦
이는 현장 대응 과정이 공정하고 무결하다는 것을 보여줄 수 있는 효과적인 증명 방법
장비/도구 준비
•
증거 수집 장비
◦
소프트웨어 장비
이미지 작성용 프로그램, 데이터 수집 프로그램, 현장 초동 분석용 프로그램 등이 포함
◦
하드웨어 장비
현장에서 분석할 경우를 대비하기 위한 휴대용 컴퓨터(분석 소프트웨어 포함)
하드디스크 이미징 장치, 쓰기 방지 장치, 대용량 저장 매체, 광학디스크 매체
다양한 규격의 연결 케이블 및 어댑터, 시스템 분해와 해체를 위한 공구 일체
◦
기타 장비
현장 촬영을 위한 카메라 및 녹화를 위한 캠코더 등이 포함
서류 작성을 위한 각종 서식과 휴대용 프린터 등을 확
•
증거 봉인 및 포장 장비
◦
충격 완화용 보호 박스 (증거 운반용 박스), 증거를 포장할 각종 봉투와
충격흡수소재, 밀봉된 증거물의 무결성을 증명할 특수테이프 (Evidence
Tape)와 봉인지 (Seal), 압수물 라벨, 정전기 차단 봉투, CD 케이스 등
•
운반 장비
◦
증거 운반용 전문 케이스나 운반 차량이 포함
현장 대응
현장 통제와 보존
•
현장 통제와 보존의 필요성
◦
현장의 통제는 증거물을 최대한 원본 상태로 보존할 수 있고, 이를 통해
사건이 발생한 원인을 파악함으로써 본격적인 조사를 시작할 것인지를
판단할 수 있는 근거가 됨
◦
또한 증거 훼손을 막아 예기하지 못한 실수로 인해 중요한 증거 자료가
손실되지 않게 막을 수 있음
◦
현장의 통제는 증거물을 최대한 원본 상태로 보존할 수 있음
•
조사 권한 획득
◦
수사 기관은 영장을 제시하여 주요 대상에 대한 접근 권한을 받
◦
음민간 기관은 의뢰기관이 허가한 시스템에 대해서만 조사를 진행
•
조사 대상자 참여 유도
◦
일반 사용자
▪
조사 과정에 직접 참관하고, 조사 과정을 공개적으로 설명하여 참여 유도
▪
수집된 증거물에 대한 확인, 서명을 받음으로써 수집 과정과 증거물의 객관성, 신뢰성, 증거물 출처와 데이터의 동일성을 주장할 수 있도록 함
◦
시스템 관리자 (기업 등 대규모 조사)
▪
현장 상황을 가장 잘 알고 있는 대상자의 협조를 통해 압수
권한 획득과 협조
•
다양한 시스템 및 저장 매체를 조사
◦
이동식 저장 매체 조사 (USB 드라이브, 플래쉬 메모리 등)
▪
최근 대용량ㆍ 소형 저장 매체가 대중화되어 있으므로 이를 철저히 조사
◦
백업, 교체, 은닉 시스템이나 저장매체 수색 철저
▪
조사 과정에서 하드디스크 교체 흔적 등이 있는 경우 숨겨진 하드디스크나
백업용 저장 매체를 찾아야 함
▪
백업, 스토리지, 데이터베이스 서버 등 유용한 자료가 저장되어 있는 시스템
을 은닉할 수 있으므로 시스템 구성을 파악하여 은닉 여부를 탐지
◦
재래식 증거물 수집
▪
다이어리 노트, 일지, 포스트-잇 메모지, 컴퓨터 출력물 등에서 비밀번호 등 함께 수집
조사 대상 매체 확보
•
컴퓨터 조사 시 유의 사항
◦
일반적으로 컴퓨터 본체를 압수하거나 하드디스크를 분리하여 디스크만 압수
◦
레이드(Raid) 시스템을 운영하는 환경의 컴퓨터 또는 서버 시스템의 경우, 환경이 특수하므로 전체를 압수하지 못하고 사건에 연관된 일부 데이터만을 확보
◦
하드디스크를 분리할 때, 보안 시스템 또는 자동으로 파괴하는 특수한 컴퓨터도 고려해야 하기 때문에 가능한 컴퓨터 그 자체를 압수하는 것이 바람직
◦
컴퓨터와 이동식 저장 매체는 각각 다른 증거물로 관리되기 때문에 ODD 내부에 CD나 DVD가 들어있을 수 있으므로 이를 주의해야 함
증거 확보 및 수집
준비
•
조사 대상자의 증거물을 확보(압수)한 뒤 어떤 종류의 데이터를 어떤 방법으로 수집할 것 인지를 결정
•
수사 기관은 영장의 기재 내용에 의거하여 필요한 증거물을 압수하는 과정
•
포렌식 서비스 업체는 현장에서 데이터를 수집 및 분석할 것인지, 시스템나 중요 자료에 대해 사본을 생성하여 이를 확보할 것인지 등 협의
증거 수집 방법 결정
증거 확보 및 수집
•
시스템 자체를 확보하는 경우 압수 범위(본체 외의 주변 기기 수집 여부)를 결정하고 아래 절차대로 수행
시스템 확보
•
활성 시스템 조사
•
휘발성 데이터의 종류
•
휘발성 데이터 수집 시 조사 절차
•
전원 차단 시 유의 사항
◦
전원 코드 강제 분리 종료
◦
전원이 끊김과 동시에 하드디스크에 쓰기 방지되어 하드디스크의 데이터를 동결시키는 효과를 얻을 수 있음
◦
갑작스런 전원 차단으로 시스템에 치명적인 손상이 가해질 수도 있음
◦
Dos, Windows 3.1/NT/95/98/ME/2000/XP/Vista/7 Series
•
정상적인 종료
◦
시스템이 종료되는 과정에서 운영체제가 각종 임시 파일들을 삭제하고 일부 시스템 파일을 수정하는 등 작업을 수정
◦
Windows NT/2000/2003 Server, Linux/Unix, Macintosh
•
주변 기기와 케이블 분리
◦
시스템 혹은 하드디스크에 연결되어있는 주변기기와 케이블을 분리
◦
이때 시스템의 연결 포트와 케이블들을 차후에 재연결 할 수 있도록 꼬리표(라벨) 부착
하드디스크 확보
•
원/사본 디스크 확보를 위한 준비 괒어
◦
하드디스크만 확보할 경우, 시스템 시간 설정을 획득할 수 없으므로 현장에서 BIOS에 기록된 시간정보를 획득함
◦
시스템 전체를 확보하는 경우에는 조사기관의 증거 분석실에서 확인
•
BIOS 시스템 시간 정보 확인 방법
1.
시스템의 전원을 종료하고 본체를 분해
2.
시스템에 연결된 모든 하드디스크를 분리
3.
다시 전원을 연결하여 BIOS 셋업 화면으로 진입
4.
BIOS에 설정되어 있는 시스템 날짜와 시간 정보를 확인
5.
증거물 라벨지에 획득한 시간 정보를 기록
증거물 라벨지에 표준 시간을 동시에 기록하여 오차 확인
•
사본 디스크 확보
◦
하드디스크에 저장된 데이터를 복구하고 분석할 필요가 있지만 굳이 원본을 확보할 필요가 없는 경우 수행
◦
입수된 하드디스크를 분석 시스템에 연결 하여 조사/분석 과정을 수행하면, 증거물이 손상되므로 복제(사본) 디스크를 생성
•
디스크 이미징(Disk Imaging)을 이용한 사본 생성
◦
원본 디스크를 복제(Bit by Bit Copy)하여 사본 디스크를 생성
◦
디스크 이미징 H/W 장비를 이용하여 다른 하드디스크에 이를 복제
◦
또는 디스크 이미징 S/W를 사용하여 디스크 이미지 파일을 생성
▪
디스크 이미지 파일 (Disk Image or Forensic Image)
•
원본 디스크를 복제하여 이미지 파일을 생성하여 사본 디스크를 대신함
•
원본 디스크와 동일함을 증명하기 위해 검증 과정이 필요
(해쉬 함수로 무결성 검증)
데이터 선별 수집
•
의뢰 내용이 데이터에 한정된 경우, 영장의 범위가 제한된 경우
•
기업 관련 조사 시 고객정보나 기업 기밀 자료 유출을 방지하기 위한 방
법이기도 함
•
시간 단축이 필요한 납치, 인질, 살인 사건의 경우 이미징 과정 없이 데이
터 선별 수집 후 분석하는 방법론이 대두되고 있음(최근 사용 흔적을 알
수 있는 데이터를 선별하여 수집)
•
선별 수집 시에는 수집과 동시에 해쉬값이 계산되어 무결성을 유지할 수
있어야 함
증거물 포장과 봉인
•
증거물 포장
◦
물리적 충격이나 정전기/자기장의 영향을 받지 않도록 세심히 포장
◦
완충용 보호박스나 정전기/자기장 방지 봉투를 사용
◦
밀봉전용 특수 테이프(evidence tape)와 봉인지(seal)를 이용해 증거물
훼손을 막도록 마감 처리
•
증거물 인증
◦
증거물 라벨을 작성하여 참관인으로부터 확인을 받고 서명을 필하여 증
거물에 부착
◦
증거물 라벨과는 별도로 전체 증거물에 대한 압수목록을 작성
◦
증거 확보 절차 모두가 완료되면, 획득한 증거물 목록을 완성하여 조사자로부터 확인, 서명을 받고, 사건 책임자가 서명을 함
•
증거물 운반
◦
운반 과정의 최우선 사항은 증거물의 무결성 유지와 훼손 방지
◦
또한 증거물의 누락 및 도난이 없도록 연계보관 원칙을 면밀히 수행하고, 견고한 인증 과정을 거쳐야 함
•
증거물 인수인계
◦
증거물 인수인계 시 반드시 증거 목록을 함께 전달하고 이를 비교하여 누락된 증거물이 없는지 확인
◦
증거물을 전달 받을 때는 각 증거물의 밀봉전용 특수 테이프(evidence
tape)와 봉인지(seal)의 상태가 이상 없는지 확인
◦
만약 특수테이프나 봉인지가 훼손되었다면 해당 증거물은 증거물 목록에서 제외하도록 함
◦
모든 증거물의 무결성에 문제가 없다고 판단될 경우 운반 책임자는 증거
물 목록에 무결한 상태로 전달 받았다는 서명을 필함
•
분석실에 도착한 증거물 확인
◦
조사 대상자나 참관인도 운반 과정에 동행하여, 분석실에 도착 후 자신이 서명한 목록과 이상이 없는지를 확인
조사 및 분석 과정
사본 생성
•
증거물 보존을 위한 사본 생성
◦
증거물 원본에 대하여 바로 분석을 수행할 경우, 무결성에 손상을 줄 수
있으므로 원본과 동일한 저장 매체나 이미징 기술로 사본 생성
◦
일반적으로 2개의 사본을 생성하며, 하나는 분석용으로 사용하고 나머지는 만일의 사태에 대비하여 보관
•
디지털 매체에 대한 사본 생성
◦
하드디스크의 보존은 증거 확보 단계에서 수행한 디스크 이미징을 통하
여 사본 디스크나 이미지를 생성
◦
현장에서 확보한 USB 메모리, 메모리 카드, 광학 매체와 같은 휴대용 저
장 매체는 디스크 이미징 기술을 활용하여 이미지 파일을 생성하여 분석
을 수행
데이터 추출
•
정의
◦
데이터 분류를 위해서는 먼저 조사가 필요한 데이터 추출을 먼저 수행
◦
데이터 추출은 원본 증거물에 대한 무결성을 유지하면서 수행
•
구분
◦
물리적 추출: 파일 시스템과 무관하게 물리적인 매체에서 데이터를 복구
하고 식별하여 데이터 추출
◦
논리적 추출: 설치된 운영체제, 파일 시스템, 응용 프로그램에 기반하여
파일과 데이터를 복구하고 식별하여 데이터 추출
데이터 분류
•
목적
◦
조사에 필요한 데이터를 선별함으로써 분석할 데이터의 양을 줄여, 효율
적이고 신속한 분석을 가능하도록 함
◦
분류된 결과를 검토하여 상세 분석 단계로 진행할지 결정
◦
다양한 분류 방법이 존재하며, 분류된 결과는 서로 데이터가 중복될 수있음
•
일반적 데이터 분류법
◦
시간 정보(timeframe: 타임프레임)에 따른 분류
◦
위ㆍ변조 데이터 분류
◦
응용 프로그램 파일 별 분류
◦
소유자에 따른 분류 등 존재
•
시간 정보에 따른 분류
◦
사건이 발생한 시점이나 주변 시간대에서 컴퓨터의 사용 흔적을 조사하여 사용자, 작업한 내용 등을 선별하여 조사하는데 유용
◦
파일 시스템의 메타정보(마지막 수정 시간, 마지막 접근 시간, 생성 시간,
변경 상태 등)와 파일 내부에 저장된 시간과 날짜 정보를 검토
◦
사건 발생 시간대에서 작업한 파일들의 리스트를 확인하고, 범죄 행위와 관련된 파일이 없는지 키워드 검색 등을 활용하여 분석
•
특정 시간 대내에 있는 파일 분류
◦
시스템 로그 데이터와 응용 프로그램의 로그에서 특정 타임프레임 내에서 수사와 관계된 이벤트가 없는지 확인
◦
사건이 발생한 특정 시점의 전후 시간대를 기준으로 파일의 접근 및 변경 시간을 조사
•
위ㆍ변조 데이터
◦
위ㆍ변조 데이터가 발견되면 고의적으로 데이터를 은닉한 것으로 볼 수
있으므로, 여기에서 유용한 정보를 취득할 가능성이 높음
◦
위ㆍ변조 데이터 분류 방법
▪
파일 확장자의 불일치
해당 파일 구조를 비교하여 파일 확장자의 이상 유무를 판별, 불일치하는 경우 사용자가 고의적으로 은닉할 수 있으므로 실제 파일을 추출하여 분석
▪
패스워드로 접근이 제어되거나 암호화된 파일의 획득
사용자가 데이터를 숨기려고 시도한 것을 판별할 수 있음
또한 복구한 패스워드 자체는 다른 암호화 파일의 복구에 도움을 줌
•
소유자에 따른 분류
◦
누가 파일을 생성, 수정, 접근했는지를 식별하는 것은 디지털 포렌식 조
사에서 필수적으로 파악해야 할 사항
◦
특정 시간에 접근한 사용자를 확인하여 분류하기도 함
◦
프로그램 설치 시 사용자 이름이나 파일 및 디렉토리의 소유자도 활용될수 있다.
•
응용 프로그램과 파일 유형에 따른 분류
◦
사건과 관련된 정보를 효과적으로 검색하는데 도움을 줄 수 있음
◦
파일 종류 별 통계 분석으로 사용자의 컴퓨터 사용 수준을 파악할 수 있으며 시스템의 주요 사용 목적을 추측 가능
상세 분석
•
정의
•
분류된 데이터를 바탕으로 사건 유형에 맞게 본격적인 분석을 수행
•
인터넷 사용 흔적 분석, 사용자 활동 정보 분석, 시스템 사용 정보 분석,
응용 프로그램 사용 흔적 분석, 파일 분석 등
•
인터넷 사용 흔적 분석
◦
인터넷 사용 흔적 분석은 웹 브라우저, 메신저, 전자 메일 분석으로 나눔
◦
인터넷을 통한 검색이 정보 획득의 첫 번째 수단이 되면서 사용자의 최근 관심사나 취미 생활, 생활 습관으로부터 행동 패턴까지 분석이 가능
◦
용의자의 인터넷 사용 정보를 조사하면 범죄 행위에 대한 다양한 직ㆍ간
접적 증거 자료를 획득할 수 있음
◦
파일들의 위치가 다르므로 각 운영체제 및 브라우저 간의 차이점을 숙지하고 분석해야 함
◦
전자메일, 메신저 사용 흔적은 사용자의 친구, 인맥, 최근 송수신 자료 또는 대화 내용 등을 획득 가능하므로, 범죄 공모 사실, 개인의 비밀 정보 등 유용한 정보를 획득 가능
•
시스템 사용 정보 분석(레지스트리 분석)
•
파일 분
상세 분석 과정의 핵심
사용자가 범죄에 이용하였거나 작업한 데이터는 사건 해결에 결정적 단서
를 제공
데이터 분류 기법과 응용프로그램 사용 흔적 분석과 연계하여 중요 파일
들을 선별하여 분석을 수
