디지털 포렌식(Digital Forensic)

디지털 포렌식(Digital Forensic)

• 디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차

디지털 포렌식 원칙

정당성

• 증거가 적법절차에 의해 수집되었는지
• 위법수집 증거 배제법칙 : 위법적인 절차를 통해 수집된 증거는 증거 능력이 없다.(해킹 등)
• 독수 독과(과실) 이론 : 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않는다.(해킹으로 얻어낸 패스워드로 복호화한 증거 등)

재현 가능

• 같은 조건과 상항 하에 항상 같은 결과가 나오는지
• 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다.

신속성

• 디지털 포렌식의 모든 과정이 신속하게 진행되었는지
• 휘발성 데이터의 특성상 수사 진행의 신속성에 따라 증거수집 가능 여부가 갈린다.

절차 연속성

• 증거물 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확해야 한다.
• 수집된 저장매체가 이동 단계에서 물리적 손상이 발생하였다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수인계하여 이후 단계에서 적절한 조치가 취해지도록 해야 한다.

무결성

• 수집된 증거가 위변조 되지 않았는지
• 수집 당시 저장매체의 해시 값과 법정 제출 시 저장매체의 해시 값이 동일해야 한다.

디지털 증거 (휘발성 증거, 비휘발성 증거)

• 컴퓨터 또는 기타 디지털 저장매체에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사업무에 필요한 증거자료

휘발성 증거

• 컴퓨터 실행 시 일시적으로 메모리 또는 임시파일에 저장되는 증거로 네트워크 접속상태, 프로세스 구동 상태, 사용 중인 파일 내역 등 컴퓨터 종료와 함께 삭제되는 디지털 증거
• 휘발성 데이터는 전원이 차단되면 데이터가 손실되므로 데이터 수집 시 우선순위를 높게 고려해야 한다.
• 휘발성 데이터 수집 우선순위 : Register 및 Cache - Routing Table, ARP Cache, Process Table, Kernel Statistic - Memory - Temporary Fiel System - Disk - Remote Logging, Monitoring Data - Physical Configuration, Network Topology - Archival media

비휘발성 증거

• 컴퓨터 종료 시에도 컴퓨터 또는 기타 디지털 저장매체에 삭제되지 않고 남아있는 디지털 증거
• 전원이 차단되어도 데이터 손실이 발생하지 않으므로 데이터 변조를 방지하기 위해 저장장치를 압수하고 디스크 복제를 수행한다.

로드카드(교환) 법칙

• 접촉하는 두 개체는 서로 흔적을 주고받는다는 원칙
• 사용자든 조사자든 동작중인 시스템을 다루게 되면 해당 시스템은 변화가 발생하게 된다.
• 증거 수집 프로그램을 사용하면 실행될 프로그램으로 인하여 데이터 변경이 일어날 수 있기 때문에 증거 수집 시에는 로드카드 법칙을 고려해야 한다.
• 증거 수집 프로그램에 영향을 받을 수 있는 데이터 : 프로세스 활동, 데이터 저장 및 삭제, 네트워크 데이터 흐름, 접속 사이트 Cache, 최근 접속 목록, 클라이언트 IP 및 Port, 방문 URL, 시간 등

디지털 포렌식 절차

• 사전 준비 
• 증거 수집 : 디지털 정보 수집, 주변장치, 관련자료, 상세기록 등의 증거 확보
• 포장 및 이송 : 외부 요인에 의해 변조되지 않도록 주의하여 이송
• 조사 분석 : 쓰기방지 장치를 연결하고 복사본을 만들어 이 복사본으로 분석을 수행한다.
• 증거 분석 보고서 : 쉽고 평이하게 과정을 상세히 기록, 발견 증거물의 경로 기재 및 사진 첨부