Skip to content

디지털 포렌식

다양한 디지털 장치에서 범인과 연관된 자료를 발견하고 분석하여 법적인 문제를 해결하는 방법

포렌식을 통해 증거획득하고 이 증거가 법적인 효력을 가지려면 그 증거를 발견, 기록, 획득, 보관하는 절차가 필요

기본 원리

  • 정당성의 원칙
  • 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 함
  • 재현의 원칙
  • 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함
  • 신속성의 원칙
  • 휘발성 정보를 취득하기 위해 신속하게 처리해야 함
  • 연계 보관성의 원칙
  • 증거는 획득된 뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 함
  • 이러한 과정에 대한 추적이 가능
  • 무결성의 원칙
  • 수집된 정보는 연계 보관성 원칙을 만족시켜야 하고, 위조/변조가 되면 안됨

수행 절차

수사 준비

사이버 포렌식 전문가를 소집하고 각종 장비, S/W, H/W를 준비하고 점검하는 단계

증거 수집

각종 저장매체로부터 디지털 증거를 획득하는 단계

  • 증거의 무결성이 중요
  • 디스크 이미징 = 저장매체에 저장된 데이터를 추출하는 과정
  • 저장된 데이터와 동일한 사본을 만듦

보관 및 이송

획득된 증거는 연계 보관성을 만족시키며 보관 및 이송해야 함

  • Evidence sage = 증거의 연계 보안성을 위한 안전한 장소
  • 이송되거나 담당자/책임자가 바뀔 때는 문서에 그 증적을 남김

조사 및 분석

증거를 관리할 때는 최량 증거 원칙(The Best Evidence Rule)을 따름

최량 증거 원칙: 복사본이나 2차 증거물이 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙

디스크 브라우징

수집한 저장매체 또는 디스크 이미지에 존재하는 파일을 GUI 환경에서 쉽고 편리하게 다룰 수 있도록 가독성 있는 형태로 변환하여 출력하는 기술

데이터 뷰

저장 매체나 디스크 이미지에 저장된 방대한 파일을 열어서 확인할 수 없기 때문에 브라우징 과정에서 파일을 인식하여 텍스트, 그림 형식으로 볼 수 있도록 하는 자동 뷰 기능을 제공하는 기술

파일 복구

복구 S/W를 이용하여 파일 원본을 복구시키는 기술, 파일이 손상되어도 디스크 내에는 관련 정보가 보존되어 있기에 파일 복구가 가능하다.

보고서 작성

포렌식의 모든 단계의 내용을 문서화하는 단계로 일련의 과정을 정확히 작성하여 증거자료로서 타당성을 제공해야 한다.

따라서 증거자료 획득, 보관 및 이송, 분석 등 모든 과정을 명확하고 객관성 있게 설명하고 불법행위를 입증할 수 있도록 논리적으로 작성해야 한다.

기술

기술 설명
디스크 포렌식 물리적 저장장치인 보조 기억장치에서 증거를 수집하고 분석
시스템 포렌식 OS, 응용프로그램 및 프로세스를 분석하여 증거 확보
N/W 포렌식 네트워크 전송되는 데이터, 암호를 가로채어 단서를 찾아내는 기술
인터넷 포렌식 인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집하는 기술
모바일 포렌식 휴대용 전자기기에서 필요한 정보를 입수하여 분석
DB 포렌식 DB의 데이터를 추출 분석하여 증거를 수집하는 기술
암호 포렌식 문서 또는 시스템에서 암호를 찾아 암호화 문서를 복호화

포렌식 도구

  • EnCase: 전 세계에서 가장 대표적인 포렌식 도구
  • 디지털 증거 수집, 검증, 검색, 보고, 완전삭제 등 다양한 기술 제공
  • FTK: 다용도 포렌식도구로 EnCase처럼 다양한 기능 제공

증거

디지털 증거물 분석

  • TimeLine 분석
  • 파일 생성, 변경, 접근, 삭제 시간
  • 시그니처 분석
  • 의도적으로 파일 확장자를 변경한 파일을 간단히 파악
  • Hash 분석
  • 시스템 내 파일이 변경되었는지 확인
  • 파일의 해시값을 구한 후 기존 파일 해시값과 비교하여 기존 파일과 같은 파일이 존재하는지 확인
  • 로그 분석
  • 웹 브라우저 로그, 메일로그, FTP 로그 등
  • 프로세스 분석
  • 현재 수행되고 있는 프로세스 메모리 내용 조시, 의심되는 실행파일 조사

휘발성 데이터

  • 시스템의 메모리(RAM, 캐시 메모리, 비디오 카드 메모리 등)에 임시로 저장된 데이터
  • 휘발성이 큰 증거가 사라질 가능성이 크기 때문에, 휘발성이 큰 증거를 먼저 수집해야 한다.
  • live response: 실행 중인 시스템을 대상으로 행해지는 일련의 포렌식 조사 과정
  • 전통적인 방법과 달리 컴퓨터 시스템의 플러그를 제거하지 않음
  • 휘발성 데이터의 유실을 막기 위함

디지털 증거 보존

디지털 증거는 근본적으로 손상되기 쉽기에 완전한 비트스트림 이미지를 즉시 만들어야 한다.

비트스트림 이미지: 원본 저장 장치에 기록되었던 모든 데이터의 사본, CRC계산으로 원본과 비교

구분 디스크 복사 디스크 이미징
저장방식 Source read & Destination write Bit Stream Clone(Sector by Sector)
저장대상 파일과 디렉터리 단위 일부 디스크의 모든 물리적 섹터
정보 손실 Source read 과정에서 읽지 못한 정보는 손실이 발생 디스크 이미지는 디스크의 모든 정보를 포함
파일 복구 삭제된 파일은 복사과정에서 제외 디스크 섹터에 삭제파일 정보가 남아있는 경우 복구 가능

Last update : 4 juin 2023
Created : 5 juin 2020