정보보안

디지털 포렌식

처니형 2022. 4. 4. 22:36

- 포렌식(Forensics, 과학수사)

범죄 사실을 규명하기 위해 범죄 현장에 남겨진 각종 증거를 과학적으로 분석하는 분야

 

1) 디지털 포렌식 개요

1. 컴퓨터를 포함한 모든 디지털 매체의 분석과 복구를 위한 과학수사의 한 분야 

ex) 하드디스크, USB 메모리 등

2. 범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 보고 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것

 

- 등장 개요

1. 정보화 사회가 고도화됨에 따라 사이버 범죄가 증가하게 되었고, 이를 대처하기 위해 새로운 형태의 과학 수사가 필요

2. 새로이 생성되는 자료의 95% 이상이 디지털 형태로 존재

3. 엄청난 속도로 증가[IDC, 2018]

3-1. 2018년에 생성된 디지털 자료의 양은 33 ZB(제타 파이트)

(KB < MB< GB < TB< PB < EB < ZB) 10(21)승

3-2. 2025년에는 175 ZB 예상

 

- 수행 과정

사전 준비 > 증거 수집> 포장 및 이송 > 조사 분석 > 정밀 컴토 > 보고서 작성

1. 디지털 데이터 수집

2. 데이터 분석 및 증거 확보

3. 조사결과에 대한 보고서 작성

 

2) 디지털 증거

- 컴퓨터 또는 기타 디지털 저장매체에 저장되거나 네트워크를 통해 전송 중인 자료로 법정에서 신뢰할 수 있는, 증거 가치가 있는 정보

- 전체 데이터 중 증거로 판단되는 현상을 분별해야 함

1. 기록방식에 대한 지식, 저장 원리, 검색 원리, 프로그램의 동작 원리 등의 상세한 지식 필요

2. 발견된 증거가 무엇인지, 어떤 프로그램에 의해 생성되어 있는지, 의미하는 바가 무엇인지 파악 필요

 

2-1) 디지털 증거의 유형

- 내용물

1. 사건을 직접적으로 증명해주는 증거

2. 컴퓨터 저장(보관) 증거

    - 사상이나 감정을 표현하려고 사람이 직접 작성한 증거

- 특성정보(Characteristics)

1. 파일명, 해시값, 타임스탬프 등 디지털 증거를 식별하거나 분류하는데 도움이 되는 모든 부가적인 메타데이터 정보

2. 컴퓨터 생성 증거

    - 사람의 개입 없이 컴퓨터의 자동화된 프로세스에 의해 생성된 증거

 

3) 디지털 증거의 특성

1. 비가시성

- 디지털 증거 그 자체는 눈에 보이지 않는 0과 1의 조합인 디지털 형태이므로 육안으로 식별이 불가능

- 일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통하여 인쇄된 형태로 출력되었을 때 가시성가독성을가짐

- 디지털 증거와 출력된 자료와의 동일성 여부가 중요

2. 변조 가능성

- 오류에 따른 손상이나 의도적인 변조가 쉬움

    - 하나의 명령만으로 하드디스크 전체를 포맷하거나 파일 삭제가 가능함

    - 파일을 열어보는 것만으로 파일 속성 변경됨

- 변조 사실을 찾아내기 어려운 취약성이 존재

- 법정증거에서 증거조작여부, 증거획득절차의 적정성 등이 문제가 될 수 있음

3. 복제 용이성

- 원본과 동일한 내용으로 쉽게 복제 가능

- 원본과 복제본의 구별이 쉽지 않음

4. 대규모성

- 기업전산 회계자료, 데이터베이스 자료, 파일 서버 문서자료 등 방대한 자료

- 특별한 수집 및 분석도구나 전문인력을 사용하지 않고는 증거를 찾기 쉽지 않음

5. 휘발성

- 메모리나 네트워크 상에서 일시적으로 존재하고 작업이 끝나거나 전원이 꺼지면 사라지는 휘발성 데이터

- 디지털 증거 압수 과정에서 사라지지 않도록 각별한 주의 필요

6. 초국경성

- 디지털 장치들은 인터넷을 비롯한 각종 네트워크를 통하여 연결

- 디지털 증거는 장소에 구애받지 않고 원거리 또는 타국의 서버나 컴퓨터에 존재할 수 있음

- 국경을 넘는 경우 국가의 주권문제까지도 연관됨

 

4) 디지털 증거의 법적 허용성 요건

4-1) 디지털 증거에 관한 문제 제기

- 변경, 조작, 손상에 대한 의문

- 컴퓨터 생성 증거를 산출한 컴퓨터 프로그램의 신뢰성에 의문

- 컴퓨터 저장 증거에 대한 진술자, 작성자의 신원 확인에 의문

 

4-2) 디지털 증거가 법적 효력을 갖기 위한 속성

- 인증성(진정성), 무결성, 신뢰성, 원본성

1) 인증성(Authenticity)

- 증거의 저장 및 수집 과정에서 오류가 없으며, 의도된 결과가 정확히 획득되었고, 그로 인해 생성된 자료임이 인정됨

2) 무결성(Integrity)

- 증거는 수집, 분석, 법정 제출까지 변경이나 훼손 없이 안전하게 보호됨

3) 신뢰성(Reliability)

-  분석 등 처리과정에 사용된 장비 및 프로그램의 신뢰성과 조작자의 기술능력과 정확성이 입증됨

4) 원본성(Originality)

- 증거를 가시성이 있는 형태로 변환하여 제출할 때 이것이 원 데이터와 동일함

 

5) 디지털 포렌식 절차

저작자표시 (새창열림)