디지털포렌식 (Digital Forensics)
디지털포렌식이란?
포렌식은 법의학 용어로 범죄에 대한 증거를 확정하기 위한 과학적 수사를 일컫는 말이다. 최근에 디지털 기기의 사용이 늘어나면서 이에 대한 범죄 증거 확보가 중요해져 디지털 포렌식이란 용어로 확대되었다.
디지털포렌식의 정의는 다음과 같다.
- 디지털기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법
디지털포렌식의 유형
디지털포렌식은 디지털 데이터를 수집하는 것이다. 디지털데이터의 정의는 컴퓨터, 휴대폰 등의 디지털 기기에 존재하는 모든 데이터를 의미한다. 때문에 디지털포렌식은 개인용 컴퓨터, 서버용 컴퓨터, 휴대폰, 데이터베이스, 디지털 카메라, PDA, CCTV, 네비게이션, 라우터, 스위치 등등의 디지털 데이터가 남을 수 있는 모든 디지털 기기에 적용될 수 있다. 그래서 유형 또한 많이 존재한다. 비휘발성 저장매체(HDD, SSD, USB, CD 등)을 대상으로 증거를 수집하고 분석하는 디스크 포렌식, 휘발성 데이터를 대상으로 증거를 수집하고 분석하는 라이브 포렌식, 네트워크로 전송되는 데이터를 대상으로 증거를 수집하고 분석하는 네트워크 포렌식 등의 유형이 존재한다. 디지털포렌식의 적용 범위가 광범위하기 때문에 디지털포렌식 전문가들은 많은 지식을 가지고 있어야 한다. 다만 우리는 사람이기 때문에 이들을 모두 알 수는 없다. 하지만 디지털포렌식 전문가로서 많은 지식을 보유하면 디지털 데이터를 수집하고 분석하는데 유리할 것이다.
디지털포렌식 기술
저장매체에 대한 디지털포렌식 기술
- 증거 복구 : 하드디스크 복구, 메모리 복구 등
- 증거 수집 및 보관 : 하드디스크 복제 기술, 저장매체 복제 장비
- 증거 분석 : 저장 매체 사용흔적 분석, 메모리 정보 분석
시스템에 대한 디지털포렌식 기술
- 증거 복구 : 삭제된 파일 복구, 파일 시스템 복구, 시스템 로그온 우회 기법
- 증거 수집 및 보관 : 휘발성 데이터 수집, 시스템 초기 대응, 라이브 포렌식
- 증거 분석 : 윈도우 레지스트리 분석, 시스템 로그 분석, 백업 데이터 분석
응용프로그램 및 네트워크에 대한 디지털포렌식 기술
- 증거 복구 : 파일 포맷 기반 복구, 암호 통신 내용 해독
- 증거 수집 및 보관 : 네트워크 정보 수집, 역추적
- 증거 분석 : 네트워크 로그 분석, 해시 데이터베이스, 악성코드 분석
이외에도 타임라인 분석, 리버스엔지니어링 등의 디지털포렌식과 관련된 다양한 기술들이 존재한다.
디지털포렌식 조사의 기본 원칙
- 정당성의 원칙 : 증거는 적법 절차를 통해 수집되어야 함.
- 재현의 원칙 : 같은 조건에서 항상 같은 결과가 나와야 함.
- 신속성의 원칙 : 전 과정은 지체 없이 신속하게 진행되어야 함.
- 절차 연속성의 원칙 : 증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함
- 무결성의 원칙 : 수집된 증거가 위조 및 변조 되지 않았음을 증명할 수 있어야 함.
디지털 데이터가 법적 증거로써 효력을 발휘하려면 위의 원칙이 모두 이루어져야 한다. 디지털 데이터를 수집하기 위해 사용하는 툴 또한 합법적이어야 한다. 만약 불법적인 툴을 사용했다면 그 툴을 사용하여 수집한 데이터는 법적 효력을 발휘할 수 없다.
디지털포렌식 수행 과정
- 수사 준비 : 포렌식 툴 테스트, 장비 확보, 협조체계 확립
- 증거물 획득 : 현장 분석, 메모리 덤프, 스냅 샷, 디스크 이미징, 증거물 인증
- 보관 및 이송 : 이미지 복사, 증거물 포장 및 운반
- 분석 및 조사 : 자료복구 및 검색, 타임라인 분석, 시그니처 분석, 은닉자료 검색, 해쉬/로그 분석
- 보고서 작성 : 증거분석 결과, 증거 담당자 목록, 전문가 소견
[참조]
[FP] 디지털포렌식 개요 (Introduction to dForensics) (Last updated: 2014-08-13)
댓글 없음:
댓글 쓰기