close
프로필 배경
프로필 로고

Stunning Success

IT신기술소개 · 2022. 8. 19. fullscreen 넓게보기

사이버 범죄 증거 확보를 위한 디지털 포렌식이란 무엇인가

사이버 범죄 증거 확보를 위한 디지털 포렌식이란 무엇인가

 디지털 포렌식(Digital Forensic)이란 컴퓨터를 매개로 이루어지는 범죄행위에 대한 법적 증거자료를 확보하기 위하여 컴퓨터 저장매체 등의 컴퓨터 시스템과 네트워크로부터 자료를 수집, 분석 및 보전하여 디지털 자료가 법적 증거물로써 제출할 수 있는 일련의 절차 및 방법을 말합니다. 해킹 등을 통한 컴퓨터 범죄 및 피해가 급격하게 증가하고 있어 컴퓨터 범죄에 대한 과학적인 법적 대응책 마련의 필요성이 증가하게 되면서 디지털 포렌식이 등장하게 되었습니다. 

 이 문서에서는 디지털 포렌식의 기본원칙과 디지털 포렌식의 기술, 절차에 대해 기술되어 있습니다. 

디지털 포렌식의 기본 원칙에는 어떠한 것이 있는가

디지털 포렌식 아래의 5가지 기본 원칙을 따라야 합니다. 

1. 정당성의 원칙: 증거가 적법절차에 의해 수집되어야 한다

2. 무결성의 원칙: 수집된 증거가 위조, 변조되지 않았다는 보장이 있어야 한다

3. 절차 연속성의 원칙: 증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자와 책임자가 명확하게 지정되어야 한다. 

4. 신속성의 원칙: 디지털 증거가 사라지기 전에 신속하게 증거를 적법한 절차를 거쳐 수집해야 한다. 

5. 재현의 원칙: 디지털 증거를 수집하는 과정을 재현할 수 있어야 한다.

디지털 포렌식은 어떠한 절차로 진행되는가

디지털포렌식 절차
디지털 포렌식 절차

사이버 경찰청에 정보 침해 사고가 제보되면 컴퓨터 범죄 수사팀이 범죄현장에 도착하게 됩니다. 범죄수사팀은 침입자 신상정보를 파악하기 위해 탐문수사와 증거 수집을 시작하게 되고 침입자에 대하여 조사한 자료와 사이버 법규를 토대로 증거자료를 식별합니다.

 증거자료 수집이 끝나면 증거 분석작업이 시작되는데 범죄에 사용된 자료를 은폐, 삭제할 가능성이 높은 저장매체의 데이터부터 복구를 시작합니다. 복구된 데이터에 암호화가 걸린 경우 복호화 기술, 역공 학기술을 이용해 분석 가능한 형태로 정렬합니다. 모든 자료 준비가 끝나면 범죄 발생시간을 중심으로 단서가 되는 데이터를 분석하고 증거를 산출하는 작업을 시작합니다. 필요 증거가 최종 산출되면 자료 정리 및 데이터 보안 조치를 통해 범죄 증거 자료로 사용되게 됩니다. 

 

 

 

 

 

디지털 포렌식의 유형 및 주요 기술에는 어떠한 것이 있는가

 컴퓨터 포렌식의 주요 기술은 크게 수집 기술과 분석 기술로 나눠질 수 있습니다. 수집 기술에는 원본 디스크에 손상이나 변경 없이 원본 디스크를 물리적으로 동일하게 복제하거나 미리 이미지 파일을 생성하는 디스크 이미징, 프로세스가 사용 중인 가상 메모리의 덤프를 획득하여 유용한 정보를 획득하는 메모리 덤프 방식이 사용될 수 있습니다. 또한 증거가 변경되지 않았음을 입증하기 위한 해시나 메시지 다이제스트를 사용하는 무결성 입증 방법이 사용됩니다. 

 분석기술에는 Timeline 분석, 삭제된 파일 복구, 비정상 파일 검색, 슬랙공간 분석, 덤프 메모리 분석 기술이 사용될 수 있습니다. Timeline 분석이란 파일의 생성시간, 최근 접근시간, 수정시간을 분석하고 파일 시스템에 대한 사용 로그를 분석하는 방법입니다. 삭제된 파일 복구는 클러스터들에 대한 정보 분석을 통해 삭제된 파일을 복구하고 복구가 불가능한 경우에도 파일 존재 여부를 증명할 수 있는 기술을 말합니다. 비정상 파일 검색 방법은 숨김 속성의 파일 및 확장자가 바뀐 파일을 검색하고 파일 생성 시 저장되는 헤더의 고유값을 이용해 확장자의 변경 여부 등을 찾아낼 수 있습니다. 슬랙 공간 분석이란 클러스터의 남은 공간인 슬랙 공간에 데이터를 은닉할 수 있는데 이 슬랙 공간 데이터에 대한 분석을 통해 증거를 확보하는 방식을 말합니다. 마지막으로 코드 영역, 데이터 영역, 스택 영역에 대한 분석을 하는 기술을 덤프 메모리 분석이라 합니다. 

 최근 스마트폰의 사용이 늘어나면서 스마트폰에 대한 포렌식도 늘어나는 추세입니다. 스마트폰 포렌식에 사용될 수 있는 데이터는 이름, 전화번호, 주소 등의 연락처 데이터와 문자메시지, 캘린터, 웹히스토리 등이 있습니다. 또한 스마트폰이나 USIM에 부여되는 고유한 번호인 IMEI(International Mobile Equipment Identity), IMSI(International Mobile Station Identity) 값도 스마트폰 포렌식에 사용할 수 있습니다. 

 

2022.08.22 - [IT신기술소개] - 디지털 포렌식의 대응으로 나온 안티 포렌식(Anti-Forensic)이란 무엇인가

 

디지털 포렌식의 대응으로 나온 안티 포렌식(Anti-Forensic)이란 무엇인가

디지털 포렌식의 대응으로 나온 안티 포렌식(Anti-Forensic)이란 무엇인가  안티포렌식이란 데이터의 영구 삭제, 데이터 암호화, 데이터 은닉 및 조작 등을 통하여 디지털 포렌식 수사를 통해 증거

blog.amariver.com

 

 

 

 

 

IT신기술소개 관련 글
더 보기

티스토리툴바