.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
활성 시스템 (Live System)
운영 중인 시스템
•
휘발성 데이터(Live Data, Volatile Data)
◦
시스템의 RAM에 저장되어 있어 전원을 차단하면 수집할 수 없는 데이터
•
활성 시스템 정보
◦
“사건 현장에서 촬영한 즉석 사진” 과 같이 당시 시스템의 동작 상태를 그대로 나타내는 시스템 사용 정보
활성 시스템 조사란(Live Forensics)?
•
Live Forensics: 활성 상태의 시스템에서 증거 수집 및 분석을 수행하는 일련의 조사 과정
•
디스크 이미지 조사 기반의 일반적 디지털 포렌식 과정과는 다르게 시스템이 구동 중인 상태에서 데이터를 선별 수집 및 조사를 진행함
•
시스템의 전원을 차단하면 수집할 수 없는 휘발성 데이터와 신속한 조사에 필요한 비휘발성 데이터를 선별해서 수집
포렌식 패러다임의 변화
•
하드디스크 용량이 급격하게 증가함에 따라 디스크 이미지 기반의 증거 조사가 어려워짐
•
현장에서 증거의 선별 수집 및 즉각적인 분석이 이루어지는 현장 중심의 포렌식 조사에 대한 관심 증대
시스템의 현재 상태가 중요한 경우
•
침해 사고 조사의 경우, 시스템의 현재 상태가 매우 중요
•
시스템의 당시 상황이 쟁점인 경우, 이를 증명할 수 있는 증거 수집 과정이 필요
이미지 획득이 불가능한 시스템의 경우
•
서버와 같이 시스템을 압수하기가 용이하지 않은 경우, 시스템을 끄지 않고 조사를 수행할 수 있어야 함
•
법 집행기관이 아닌 기관에서 조사할 경우, 디스크 이미징을 수행할 수 없는 경우가 발생
•
디스크 이미지 기반의 조사는 기업 비밀 노출 및 프라이버시 침해 문제 발생
활성 데이터
활성 시스템에서 수집할 수 있는 휘발성 데이터와 조사에 필요한 비휘발성 데이터를 포괄하는 개념
활성 데이터 조사 고려사항
조사 대상 시스템의 무결성 보장
•
이론적으로는 수집 데이터의 내용은 물론 메타 데이터까지 변경되지 않아야 함
•
휘발성 데이터 수집 및 분석은 필연적으로 대상 시스템에 영향을 미침
•
휘발성 저장 장치에서 수집한 증거의 법적 효력에 관한 연구 필요
◦
절차적 방법 : 입회인의 서명
◦
기술적 방법 : 메타데이터 변경의 최소화, 수집 데이터의 위조 불가능성
데이터 수집의 용이성
•
이미지 생성 없이 필요한 데이터만 선별적으로 수집 가능
인증 절차 우회
•
사용자 인증이 불필요하며, 자동 암호화 솔루션 우회 가능
활성 시스템 조사 시 주의사항
•
시스템에 주는 영향을 최소화
•
신뢰성 있는 도구 사용
•
신중한 조사
◦
한번 변경되면 원래 상태로 되돌릴 수 없음
•
조사과정의 기록
◦
조사 시각, 수집 데이터 명시 및 변경 데이터 명시
