포렌식이란? 디지털 포렌식? (Forensic)

http://hpitos.tistory.com/74
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑

포렌식 공부를 하면서 틀린것들과 새로 배운것들이 있어 아래 내용들을 수정하고 다시 정리해 보았습니다. 

위 주소로 확인하시면 포렌식이 뭔지에 대해 간략하게 알 수 있을 것이라고 생각합니다.

---

%개인적으로 생각하고 느낀것을 적었습니다. 조금 다른 견해가 있을 수 있습니다.%

포렌식이라고 하면 일반적으로 흔적을 찾는것이라고 이야기한다.

이러한 흔적은 어떠한 행위를 해야만 흔적이 남게된다. 

따라서 흔적을 지우려한 행위를 한것도 흔적이 될 수 있다. 

그중에 포렌식이란 크게 둘로 나뉘게 되는데

1. 물리적 포렌식

2. 디지털 포렌식

물리적 포렌식은 말 그대로 물리적으로 발생한 상황에 대해서 포렌식을 하는 경우이다. 

예를 들어 하드웨어가 물에 빠져 손상되었거나 했을때 생각해 볼만한 것이 물리적 포렌식이고,

디지털 포렌식은 쉽게말해 컴퓨터와 관련된 작업을 통해 발생한 것에 대해 포렌식을 하는 경우이다.

예를 들어 내가 인터넷 서핑을 한 것에 대한 흔적을 찾는다거나, 악성코드에 감염된 하드웨어에서 흔적을 찾는다거나.

포렌식을 크게 둘로 '물리적 포렌식'과 '디지털 포렌식' 두개로 나누어 보았는데

한편으로 포렌식을 하는 분야는 이렇게 나누어 볼 수 있을 것 같다.

1. 하드웨어 

2. 소프트웨어

이렇게 나누어 볼 수 도 있을 것 같다. 

하지만.

여기서 한번 더 생각해 볼 것이 있는데 소프트웨어이지만 하드웨어랑 크게 연관이 되어있다고 할 수 있는

3. 운영체제 

가 있다.

---

일반적으로 흔적을 찾는다는 포렌식이 아닌 부분에서 접근을 해보면

-> 증거를 없애려고 하는 부분 (삭제)(조작)

-> 메타데이터를 통한 복제를 확인 (조작인멸)(증거찾기)

-> 방대한 정보를 통해서 포렌서에게 혼란을 주어 더많은 시간이나 비용을 들게 만드는 (혼란 조작)(안티포렌식)

즉, 증거를 인멸한다. 조작된 증거를 찾는다. 포렌식을 힘들게 만든다. 라고 볼 수 도 있겠다.

증거를 인멸한다는 내용은 아까도 말했듯이 증거를 인멸하려는 것도 행위를 한것으로 볼 수 있으므로 행위의 흔적이 남아있음을 알 수 있다.

(예를들어 동영상속의 증거를 지우기위해 동영상 편집기를 사용해 동영상을 편집했는데 동영상의 편집 도구들의 편집 특징이 발견되었다.)

---

 

이러한 포렌식의 활용은 주로

<수사>하는 것에서 많이 이루어 지는데

민간측면으로 접근해보면 <침해사고대응> <법무팀> <사립탐정> 등으로 볼 수 있겠고

공공적인측면으로 접근해보면 <군> <경찰> <검찰> 로 볼 수 있겠다.

하나더 나누어 보자면 <연구소> 에서 포렌식 관련 기술을 연구하는 것도 생각해 볼 수 있다.