[디지털 포렌식] 2. 디지털 포렌식의 유형과 수행과정

디지털 포렌식의 유형

---

분석목적에 따른 분류

(1) 사고 대응 포렌식 : 해킹등의 침해 사고 시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자의 신원, 피해내용, 침해 경로등을 파악하기 위함

(2) 정보 추출 포렌식 : 범행 입증에 필요한 증거를 얻기 위하여 디지털 저장매체에 기록되어 있는 데이터를 복구하거나 검색하여 찾아내기 위함

---

분석대상에 다른 분류

(*) 디스크 포렌식 : 물리적인 저장장치인 하드디스크 등 각종 보조 기억장치에서 증거를 수집하고 분석하는 분야

(*) 시스템 포렌식 : 컴퓨터의 운영체제, 응용 프로그램 및 프로세스를 분석하여 증거를 확보하는 분야. 

    > 각 운영체제별 파일 시스템의 이해가 중요.

(*) 네트워크 포렌식 : 네트워크를 통하여 전송되는 데이터나 암호 등을 분석하거나 네트워크 형태를 조사하여 단서를 찾아내는 분야. 

    > IP헤더(SRC,DST), 라우터 분석도 필요(라우팅 테이블, ARP 캐쉬 테이블, 로그인 사용자, TCP관련정보, NAT관련정보)

(*) 인터넷 포렌식 : 인터넷으로 서비스되는 WWW, FTP 등의 인터넷 응용 프로토콜을 사용하는 증거를 수집하는 분야.

    > 웹 히스토리 분석, 전자우편 헤더분석, IP추적 등의 기술들을 이용

(*) 모바일 포렌식 : 휴대용 기기에서 필요한 정보를 수집하여 분석하는 분야

    > 휴대용 기기 특성상 휴대가 간편하여 은닉이 편리하다는 장점이있어 증거확보시 은닉 여부를 세심히 확인해야 한다.

(*) 데이터베이스 포렌식 : 데이터베이스로부터 데이터를 추출, 분석하여 증거를 획득하는 포렌식 분야.

    > 기업의 대형 전산 시스템으로부터 증거 데이터를 확보하기 위하여 적절한 기법 연구. 데이터베이스 압수,수색,복구 및 SQL 인젝션이용 분석

(*) 암호 포렌식 : 문서나 시스템에서 암호를 찾아내는 분야

    > 증거 수집에서 비인가자의 접근을 막기 위해 문서나 각종 시스템에 암호를 설정해 놓는 경우에 필요하다.

---

---

디지털 포렌식 수행과정

증거의 획득

> 조사할 디지털 저장매체와 기록정보를 식별하고, 이를 증거로서 수집하는 절차

> 범죄에 사용된 대상 컴퓨터를 압수하여 원본 데이터에서 사본 데이터를 생성하거나 휘발성 메모리의 내용을 저장, 백업 데이터 찾기 등의 행위 포함

> 파일의 마지막 접근 시간이 변경되거나 하는 실수를 범하면 사건 당시에 문서가 작성되어있다는 것을 증명하기 어려워 짐

> 증거물의 획득 과정에서는 원본 데이터의 무결성을 유지하기 위해 데이터 이미징의 절차나 범죄에서 사용된 컴퓨터의 시간 확인 및 모니터 화면 사진, 실행중인 프로세스 확인 등의 과정이 필요하다.

> 현장에 대한 정확한 사전 진단을 토대로 현장에서 수집할 데이터의 유형과 이에 적절한 포렌식 수행도구나 행동요령에 대해 사전 숙지 필요

증거분석

> 분석을 수행하기 앞서 획득 과정에서 복사한 이미징을 이용해 파일을 확인, 확인 과정에서 범죄 증거를 발견하면 파일의 확인 과정이 어떻게 되엇는지 문서화 필요, 분석용 데이터를 작성하여 분석하는 등으로 원본 데이터의 무결성을 확보하는 것이 무엇보다 중요하다.

> 범죄자의 삭제 파일 복구, 은닉 및 암호화되어 있는 데이터 찾기, 파일 시스템 분석, 파일 콘텐츠 조사, 로그 분석, 통계 분석 등이 포함되어 있다.

> 현장에서 압수 수색과 저장매체를 압수 후 포렌식 사무실에서 관련성 여부를 따져 증거화하는 과정을 압수 수색의 연장선으로 볼 것인지, 아니면 분석의 일환으로 볼 것인지 문제 발생, 압수수색의 연장으로 본다면 포렌식 사무실에서 관련 부분을 식별해 내는 과정에서도 관계인의 입회가 보장 되어야 함.

증거보관

> 증거물로 채택되면, 증거물의 무결성을 제공하며 보관 관리하여야 한다. 물리적으로 훼손이 되거나 바이러스에 의한 파괴, 혹은 무결성을 제공하지 못하여 조작의 의심등을 받을 수 있는 경우가 발생할 수 있다. 

> 충격이나 물리적인 공격에 안전한 케이스 혹은 보관 장소를 가지고 있어야 한다.

증거제출

> 증거물의 획득-분석 및 보관 까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화 해야한다.

> 증거물의 획득 과정을 알 수 있도록 하여 증거물로 채택되었을 때 타당성을 제공해야 한다. 

> 증거 획득, 분석과정을 전문가가 검증할 수 있는 방안으로 증거가 조작되지 않은 것을 증명할 수 있어야 한다.

> 제 3자의 전문가가 검증했을 때도 문제가 발생하지 않기 위해 문서화 작업은 꼭 필요하다고 할 수 있다.

포렌식을 연구하거나 교육을 받는 사람은 기본적인 컴퓨터의 이해와 폭넓은 사고, 그리고 증거로써의 역할을 할 수 있는 방안등을 연구해야 한다.

제3자의 검증

> 전자적 증거에 대해서는 제출자가 진정성에 대해 입증해야 한다.

> 진정성은 범정의 증거물이 원본과 동일하고 위.변조 되지 않은 무결하다는 점을 포함하여야 한다.

  (전문조사관이 법정 증언을 하거나 외부 포렌식 전문가 등 3자가 동일성을 증언할 수 있을 것이다.)