digital forensic

Digital Forensics
DevRookie / 요술같은솜씨
디지털 포렌식

많은 디지털 기기의 보급

이제는 사용하지 않으면 불편함을 느낄정도로 일상이 되었다.

디지털기기가 보급된 만큼 해커의 침입도 증가

정보화 사회가 고도화됨에 따라 사이버 범죄도 증가하고 있으며,
생성되는 자료의 95% 이상이 전자 형태로 존재, 매년 2배씩 증가.
이에 대처하기 위해 과학수사 분야에서 새로운 형태의
조사 기술이 필요하게 됨

그래서 등장하게 된 것이 디지털포렌식!

- 범죄현장에서
과학적인 분석으로
증거자료를 추출하는 과정
Forensics?
forensic science

국내에서의 forensics 은 발음 그대로 부르지 않고
‘법의학’ 혹은 ‘과학수사’ 라는 용어로 불려왔다.

과학수사대가 생각난다.

디지털 포렌식
범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서
수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록,
재현 연출 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것

디지털 포렌식
컴퓨터 범죄 수사에 입각한 정의
컴퓨터 관련 조사 / 수사를 지원하며, 디지털 자료가 법적 효력을 갖도록
하는 과학적 논리적 절차와 방법을 연구하는 학문
전자적 자료 : 컴퓨터에만 국한되지 않음
법적 효력 : 법규범에 합치되는 논리성을 가져야 함
과학적/논리적 : 보편성과 객관성이 필요한 지식 체계
절차와 방법 : 목표 달성을 위한 과정이 결과만큼 중요

디지털 포렌식
디지털 포렌식은 전자적 증거물 등을
사법기관에 제출하기 위해 데이터를
수집/분석/보고서를 작성하는
일련의 작업을 말한다.

디지털 포렌식 역사
도입기 – (1970년대 후반 ~ 1980년대 초반)
미국을 중심으로 컴퓨터 관련 범죄가 법으로 만들어짐
저작권, 개인정보보호, 사이버 스토킹, 아동 포르노 등을
대처하기 위해 관련 법안 통과
성장기 – (1980년대 ~ 1990년대)
법 집행 기관을 중심으로 디지털 포렌식 관련 기관 설립
서로 간의 커뮤니티를 위해 관련 기구를 조직하거나 심포지엄 개최

표준기 – (2000년대 ~ 2010년대)
국가별로 디지털 포렌식 표준 수립
국가기관을 중심으로 디지털 포렌식 정책, 기술 연구
암흑기 – (2010년대 ~ 현재)
클라우드 기술을 이용하여 증거 수집의 어려움
빅데이터로 분석의 어려움
분석 대상 디지털 기기가 매우 다양함
안티포렌식 기법의 증가
고급 은닉 기법의 증가
관련 법제도로 인해 적용 범위가 제한됨
디지털 포렌식 역사

국내 디지털 수사기관의 변천
1980
군 또는 정보부에서 전자정보 수집
1990 2000 2010
1997- 경찰청 컴퓨터 범죄 수사대
1999-경찰청 사이버 범죄 수사대
2000-경찰청 사이버테러대응센터
2004-경찰청 디지털증거분석센터
2008-대검찰청
디지털 포렌식 센터
2011-대검찰청
사이버수사단

기술 법
디지털 포렌식

이걸 왜 알아야 하지?
내가 과학수사관도 보안전문가도 아닌데

그들에게 개발을 하라고 하면
비슷하게 생각할 것 이다.

그러나 늘어나는 디지털기기의 보급률

네트워크 의존도가 높은
현 상황에서는
개발자도 알아야 한다.

아예 상관없는 것이 아닌 것 이다.

디지털 포렌식 특성
비가시성
디지털 매체의 특성상 육안으로 식별이 어려우므로, 내용 확인을 위해
서는 적절한 판독 장치가 필요하다.

변조/복제성
정보의 형태가 0과 1로 이루어져 있어 쉽게 변조/복제가 가능하다.

대규모성
대규모의 방대한 자료로 구성되어 있어 고급 검색/필터가 필요하다.

휘발성
내부, 외부의 영향으로 쉽게 사라질 수 있다.

초국경성
데이터의 범위가 국경을 초월하므로, 국내법을 적용하는 데 어려움이
따를 때 국제공조를 필요로 한다.

디지털 포렌식 자료는 특성 중 변조/복제성이 있어
이를 인정받기 어렵다.

그래서 디지털 포렌식에도 절차와 조사원칙이 있다.

디지털 포렌식 절차 (6단계)

사전 준비
디지털 포렌식 도구
- 디지털 포렌식 절차를 신뢰적, 효율적, 체계적으로 실시할 수 있는 독립 또는
통합도구 준비
- 평소에 포렌식 도구가 올바르게 동작하여, 무결성을 보장하는지 검증해야 함

증거 수집
증거목록 작성, 증거 수집, 관련자 면담, 문서화, 이미징 및 복제

증거 포장 및 이송
이송과정에서 증거물 훼손을 방지, 증거물을 별도로 보관하며,
증거의 무결성 증명을 위해 경로, 담당자, 장소, 시간기록의 목록 유지,
인계과정에서 상호 증거를 확인하는 절차가 필요,
안전한 이송을 위해 포렌식 차량을 이용

조사 분석
데이터 추출 및 분류, 데이터 조사 및 증거 검색

정밀 검토
분석결과는 법정에 증거로 사용될 수 있으므로 보고서 제출 전 정밀 검토가 필요
사본을 대상으로 동일한 과정을 반복하여 결과가 일치하는지 확인
무결성을 입증하기 위한 해쉬값 비교 검증

보고서 작성
증거물 획득, 보관, 이송, 분석 등의 과정을 6하 원칙에 따라 명백하고 객관성 있게 기술
예상치 못한 사고 발생시 관련 내용 및 담당자 목록을 명확히 기재하고 범죄 혐의의 입증
에 무리가 없는지 논리적으로 설득할 수 있어야 함
보고서의 대상이 되는 법관, 배심원 변호사 등은 비전문가이므로 누구나 알기 쉬운
형태로 작성
법정에서 전문가 증언을 할 경우 사전에 비전문가를 대상으로 논리의 타당성이 있는지
연습이 필요

재현신속성
정당성
무결성
연계
보관성
기본 조사원칙

정당성의 원칙
압수된 증거가 법률에서 정하는 적법 절차와 방식으로 입수되어야 하며, 입수 경위
에서 불법이 자행되었다면 그로 인해 수집된 2차적 증거는 모두 무효가 된다는 원칙
으로 형사소송법의 기본 원칙에 충실한 원칙이다.
-> 위법 수집 증거 배제 법칙 : 위법 절차를 통해 수집된 증거는 증거능력이 없다.
-> 독수 독과(과실) 이론 : 위법하게 수집된 증거에서 얻어진 2차적 증거도 증거능
력이 없다.

무결성의 원칙
수집된 증거가 수집, 이송, 분석, 제출 과정에서 위조/변조되지 않았음을 증명할 수
있어야 한다.

연계 보관성의 원칙
수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 증거가 명확히
관리되었는가?

신속성의 원칙
디지털 포렌식의 전 과정이 신속하게 진행되었는가?
컴퓨터 시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든
과정은 지체 없이 진행되어야 한다.

재현의 원칙
같은 조건과 상황하에서 항상 같은 결과가 나오는가?

사례
2006년 4월 황우석 박사의 줄기세포 논문 조작 사건
-> 노트북 데이터 복구를 통해 줄기세포 논문 조작에 대한 결정적 증거 획득

사례
2010년 7월 총리실 민간인 불법 사찰 하드디스크 삭제
-> 디가우저 장비를 이용해서 하드디스크 데이터를 영구 삭제한 안티 포렌식 사례

사례
자기장을 쏴서 하드 디스크 자체를 무용화시키는 장비 (이미지 추가) 프
로그램이 아닌 기계 장치로 데이터를 완전히 삭제하는 장치인 것

친구가 압축파일을 보내왔다.
시나리오 사례

그러나 파일이 열리지 않는다.
시나리오 사례

다시 받아도 문제가 있다. 어딘가에서 파일이 손상된 것 같다.
시나리오 사례

파일 확장자에는 지문처럼 헤더에 정보를 가지고 있다.

확장자를 바꾸면 아이콘도 바뀐다.

하지만 아이콘이 바뀐다고 내용까지 같이 바뀌는 것
은 아니다.

확장자는 바꿨지만 헤더는 그대로다.

헤더 정보를 변경만 해도
간단히 파일 조작이 가능한 것이다.

압축 파일을 열려고 하니 압축 해제가 안된다.
받은 압축 파일의 헤더를 한번 보자.

포렌식은 단순 기술을 지칭하는 것이 아니라 수사에 사용되는
일련의 과정을 나타내기 때문에

법의 영향을 받고 법 안에서 이루어져야 하므로 무결성과
같은 원칙을 따라야하며

오용시 범법이 될 수도 있음을 명심하자.

digital forensic

Recommended

Recommended

More Related Content

Similar to digital forensic

Similar to digital forensic (20)

digital forensic

Editor's Notes