포렌식의 기본 소양

수사의 초기 단계부터 법적인 문제를 고려하여 계획이 수립되고 법정에서의 증거 능력을 최대한 살리는 방향으로 증거들을 수집, 분석한다.

<인터넷 침해 사고 조사>

해커 또는 악성 프로그램이 어떻게 내부로 침입했고, 침입 후에는 어떤 활동을 했는가를 주요 조사 대상으로 한다. 

메모리 덤프나, 프로세스 덤프, 네트워크 연결 정보, 열려있는 포트 정보 같은 휘발성 정보와 각종 보안 로그들이 사고 조사에서 가장 큰 역할

'라이브 리스폰스(Live Response)', 임의적인 수정안됨 해시 값을 만들어 복사복과 보관하고 로그 파일의 메타데이터도 별도로 기록하는 것이 중요

<사용자의 부정이나 범죄 행위에 대해 조사할 때>

네트워크 트래픽이나 프로세스, 포트 정보처럼 휘발성이고 동적인 정보보다는

파일 시스템이나 애플리케이션 아트팩트처럼 비 휘발성이고, 정적인 정보들이 주요 분석 대상이 되며,

데이터 복구와 파일 카빙, 시그니처 분석 암호 해독 같은 기술이 주로 사용된다. 

<사용자의 활동 기록을 분석할 때>

외부기기의 연결 유무, 접근한 파일 목록, 파일 복사/이동, 사용한 애플리케이션 목록, 그리고 타임라인이 주요 분석 대상이다. 

디스크 와이핑을 통한 안티포렌식이 조사하는데 있어 가장 큰 골칫거리가 된다.

<컴퓨터가 범죄의 도구로 사용 되었을 때>

이메일 포렌식, 웹사이트 접속 기록, 컴퓨터 부팅 시간, 사용자가 사용한 애플리케이션, 사용자 ID, 삭제한 파일, 

시그니처 분석과 타임라인 분석.

<데이터 복구와 카빙>

물이 들어갔다던가, 로직 보드가 망가졌다거나, 기계적인 결함이 발생할 경우(물리적 복구, 노하우와 기술 필요)

파일시스템의 구조나 서로 다른 파일들이 가지고 있는 독특한 내부 구조를 바탕으로 삭제되었거나 일반적인 소프트웨어 인터페이스로 읽을 수 없는 데이터를 복구하는 것(소프트웨어적 복구, 사용하는 도구의 능력에 크게 의존)

*카빙이란: 파일 시스템의 메타데이터를 기반으로 복구하는 것이 아닌 파일 시스템의 도움 없이 파일들이 가지고 있는 고유한 정보(시그니처 정보, 파일의 논리적 구조, 저장되는 데이터의 형식)에 의존하여 삭제된 파일의 전부 혹은 그 일부를 복구하는 것을 의미한다. 

포렌식 전문가가 갖추어야 하는 기본적인 소양

> 디지털 증거 분석을 위한 전문 지식과 기술

> 증거 획득과 보존, 그리고 제출에 관한 법률적인 지식

> 보고서 작성 능력

OS와 파일 시스템에 대한 이해, 해킹 기법과 그에 대한 대응 기법의 이해, 암호에 대한 일반적인 지식, 네트워크 프로토콜에 대한 이해, 보안 로그를 분석할 수 있는 능력, 애플리케이션 아티팩트와 파일 구조에 대한 이해, 실행 파일 분석, 리버스 엔지니어링