Digital Forensic [디지털 포렌식 기본]

디지털 포렌식의 정의

​

디지털 포렌식 (Digital forensic)

디지털 데이터를 근거로 삼아 해당 디지럴 기기를 매 개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법 또는 기업에서 정보보호 도구로 사용하거나 기업의 위험관리 정책 관련 도구로 사용되는 절 차와 방법으로 정의할 수 있다. 즉 사용 주체와 이용 목적에 따라 그 정의가 조금씩 다르다 고 할 수 있다.

​

디지털 포렌식의 방법론은 로카르드의 교환법칙’의 개념을 근간으로 하고 있으며， 디지털 포렌식의 목적은 법정에서 디지럴 매체 등이 증거로서 인정받을 수 있도록 디지털 매체와 관련 된 데이터 등을보존하고복구 분석하는것이다. 디지털증거는디지럴 포렌식 기법을이용하 여 수집된 데이터로 법정에서 증거 능력을 가지는 디지털 데이터를 말한다.

​

디지털 포렌식 수행 절차

디지털 포렌식의 수행절차는 6단계로 구분된다.

​

1.사전 준비단계 -> 2.증거 수집 단계 -> 3.증거 이송 단계 -> 4.증거 분석 단계 -> 5.정밀 검토 단계 -> 6.결과 문서화 단계

​

(1) 사전 준비단계 절차

증거 수집 단계에서 사용해야 할 도구나 장비 등을 숙지하고 증거 수집 단계를 뒷받침하기 위한 물리적 준비를 하는 단계이다.

평상시에는 문제 없이 동작하던 것들이 수사 당시에는 작동을 하지 않을 수도 있는 경우를 위해 여러 가지 대안을 마련한다,

또한 여분의 도구나 케이블 등을 준비하고 평상시의 준비 과정을 일컫는 것이다.

​

(2) 증거 수집단계 절차

증거를 획득한 사람, 증거 획득 감독, 증거 획득 인증의 역활을 하는 사람들이 각각 있어야 하며 참관한 상태에서 증거를 수집해야 한다.

사전 준비 단계에서 숙달하였던 도구나 장비 등으로 디지털 증거를 수집하고 물리적인 증거들은 압수하는데 압수할 목록을 미리 정하고

증거 압수를 수행하는 등의 절차를 거친다, 이때 적법절차를 거쳐야 하며 위법절차를 거치게 되면 증거로서 효력을 가지지 못한다.

가장 중요한것은 모든 증거에 증거 라벨을 부착해야한다.

​

(3) 증거 이송 단계 절차

해당 증거의 무결성 등을 보존하기 위해 CoC(Chain of Custody) 를 수행해야 한다. 이때는 증거 포장부터 신중하게 해야 하며 증거

이송 단계에서도 신중을 기해야 한다. 이때 중간자가 증거 를 변경,삭제 할수 있기때문에 철저한 절차를 거쳐야 한다.

​

(4) 증거 분석 단계

증거 수집 단계에서 수집하였던 활성 정보나, 디스크(이미지) , 메모리 이미지 등을 분석하는 단계로 각 데이터들을 분석하여 어떠한 의사

결정을 할 수 있게 해주는 정보를 추출해야 한다. 이 단계에서는 증거물 분석 시 원본 증거물을 손상시키지 않기 위해 증거물 복제를 시도하는

과정을 포함되어 있다.

​

증거물 복제 규칙

1. 원본 증거물의 무결성을 유지하기 위해 쓰기방지장치를 사용한다.

2. 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리 해야 한다.

3. 원본/보관용/분석용 증거물에 대한 무결성을 유지해야한다.

4. 분석/보관용/ 복제 증거물에 대한 일련번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.

5. 증거물복제는 자 입회 하에 이루어져야하며 복제 증거물과무결성에 대하여 입회자와 분석에 대한 책임자의 서명이 있어야 한다.

6. 원본 증거물의 복제는 원본 증거물이 위치하고 있던 장치와 동일하거나 거의 유사한 장치 에서 이루어져야한다.

​

(5) 정밀 검토 단계

정밀 검토 단계는 디지털 포렌식을 수행한 자가 정확하게 분석을 수행하여 정보를 추출 하였 는지 검토한 단계이다. 이 단계에서는 발견되지 않은 증거가 없는지 다시 한번 살펴보거나 잘못 추출 된 증거가 있는지 분석을 하는 단계로 정확성을 위해 수행되는 단계이다.

​

(6) 결과 문서화 단계

얻어진 정보와 그 정보의 객관적인 설명 해당 문서를 읽는 사람은 이 분야를 모르는 사람일 수도 있으니 몇 가지의 간략한 부연설명， 정보가 의미하는 결과 등을 기술하는 단계이다. 보 고서에는 다음과 같은 항목들이 기본적으로 기재되어야 한다.

​

디지털 포렌식 관련 법규

​

(1) 자유심층주의

법정에 제출 된 증거의 증거능력을 법률을 근거로 판단하는 것이 아닌 법관의 자유판단을 근 거로 판단하는 주의이다.

​

(2) 위법수집증거배제법칙

이 법칙은 위법한 절차에 의하여 수집된 증거에 대한 증거능력을 배제(인정하지 않는) 법칙이다.

​

(3) 전문증거배제법칙

전문증거는 사실인정이라는 기초하에 경험자가 경험적 사실을 법원에 직접 보고하지 않고 다 른 형태로 간접적으로 보고하는 것을 말한다. 이런 증거는 원천적으로 증거가 될 수 없다는 법 칙이 전문증거배제법칙이다.

​

​

증거 인증 과정

증거 인증 과정은 다음과 같다.

​

증거 구별 -> 증거 획득 -> 증거 분석 -> 증거 제출

​

수사기관은 증거를 획득하고 증거 획득 과정에서는 무결성을 입증하기 위해 해시 값을 생성하는데 , 이때 생성된 해시 값은

수사기관에서 별도로 기록하여 관리하기도 하지만 법원에 이 해시 값이 전달된다. 법원에서는 전달 받은 해시 값을 자신들의 인증서로

전자서명 하여 전자증거 보관소에 저장한다. 그 후 추후에 수사기관에서 증거를 제출하면 법원은 전자증거 보관서에 저장되어 있는

해시 값과 수사기관이 제출한 증거의 현재 해시 값을 비교 해 증거가 변조 또는 훼손 되었는지 판단한다. 이때 해시 값이 일치하지 않는다면

증거는 훼손(변경) 되었다는것을 입증하게 되며 증거효력을 가지지 못한다.

​

디지털 증거

전자적 형태로 유통되거나 저장되어 있는 데이터로 사건의 발생 사실을 입증하거나 반박하는 정보 또는 범행 의도나 알리바이 외 같은 범죄의 핵심 요소를 알 수 있는 정보.

​

디지털 증거 의 형태

문서 파일 : 한글, 훈민정음, MS 워드 등

멀티미디어 데이터 : 동영상, 사진, MP3 전자메일(email)

네트워크 데이터

소프트웨어 : 바이러스 제작 도구, 안티 포렌식 도구

로그 데이터 : 인터넷, 방화벽, IDS 등의 로그 데이터

CCTV 영상 데이터

임베디드 시스템의 저장 정보

교통카드, 신용카드, 휴대폰 사용 기록 등

​

디지털 증거의 분류

1. 자동으로 생성되는 디지털 증거 

인터넷 사용 기록 

방화벽 로그 

운영체제 이벤트 로그 등 

최근 사용한 파일

​

2. 사용자 생성 디지털 증거 

문서 파일 

전자 메일 

동영상 

사진 

소프트웨어 

암호 데이터