냠냠쩝쩝

디지털 포렌식의 유형

분석목적에 따른 분류

(1) 사고 대응 포렌식 : 해킹등의 침해 사고 시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자의 신원, 피해내용, 침해 경로등을 파악하기 위함

(2) 정보 추출 포렌식 : 범행 입증에 필요한 증거를 얻기 위하여 디지털 저장매체에 기록되어 있는 데이터를 복구하거나 검색하여 찾아내기 위함

분석대상에 다른 분류

(*) 디스크 포렌식 : 물리적인 저장장치인 하드디스크 등 각종 보조 기억장치에서 증거를 수집하고 분석하는 분야

(*) 시스템 포렌식 : 컴퓨터의 운영체제, 응용 프로그램 및 프로세스를 분석하여 증거를 확보하는 분야. 

    > 각 운영체제별 파일 시스템의 이해가 중요.

(*) 네트워크 포렌식 : 네트워크를 통하여 전송되는 데이터나 암호 등을 분석하거나 네트워크 형태를 조사하여 단서를 찾아내는 분야. 

    > IP헤더(SRC,DST), 라우터 분석도 필요(라우팅 테이블, ARP 캐쉬 테이블, 로그인 사용자, TCP관련정보, NAT관련정보)

(*) 인터넷 포렌식 : 인터넷으로 서비스되는 WWW, FTP 등의 인터넷 응용 프로토콜을 사용하는 증거를 수집하는 분야.

    > 웹 히스토리 분석, 전자우편 헤더분석, IP추적 등의 기술들을 이용

(*) 모바일 포렌식 : 휴대용 기기에서 필요한 정보를 수집하여 분석하는 분야

    > 휴대용 기기 특성상 휴대가 간편하여 은닉이 편리하다는 장점이있어 증거확보시 은닉 여부를 세심히 확인해야 한다.

(*) 데이터베이스 포렌식 : 데이터베이스로부터 데이터를 추출, 분석하여 증거를 획득하는 포렌식 분야.

    > 기업의 대형 전산 시스템으로부터 증거 데이터를 확보하기 위하여 적절한 기법 연구. 데이터베이스 압수,수색,복구 및 SQL 인젝션이용 분석

(*) 암호 포렌식 : 문서나 시스템에서 암호를 찾아내는 분야

    > 증거 수집에서 비인가자의 접근을 막기 위해 문서나 각종 시스템에 암호를 설정해 놓는 경우에 필요하다.

디지털 포렌식 수행과정

증거의 획득

> 조사할 디지털 저장매체와 기록정보를 식별하고, 이를 증거로서 수집하는 절차

> 범죄에 사용된 대상 컴퓨터를 압수하여 원본 데이터에서 사본 데이터를 생성하거나 휘발성 메모리의 내용을 저장, 백업 데이터 찾기 등의 행위 포함

> 파일의 마지막 접근 시간이 변경되거나 하는 실수를 범하면 사건 당시에 문서가 작성되어있다는 것을 증명하기 어려워 짐

> 증거물의 획득 과정에서는 원본 데이터의 무결성을 유지하기 위해 데이터 이미징의 절차나 범죄에서 사용된 컴퓨터의 시간 확인 및 모니터 화면 사진, 실행중인 프로세스 확인 등의 과정이 필요하다.

> 현장에 대한 정확한 사전 진단을 토대로 현장에서 수집할 데이터의 유형과 이에 적절한 포렌식 수행도구나 행동요령에 대해 사전 숙지 필요

증거분석

> 분석을 수행하기 앞서 획득 과정에서 복사한 이미징을 이용해 파일을 확인, 확인 과정에서 범죄 증거를 발견하면 파일의 확인 과정이 어떻게 되엇는지 문서화 필요, 분석용 데이터를 작성하여 분석하는 등으로 원본 데이터의 무결성을 확보하는 것이 무엇보다 중요하다.

> 범죄자의 삭제 파일 복구, 은닉 및 암호화되어 있는 데이터 찾기, 파일 시스템 분석, 파일 콘텐츠 조사, 로그 분석, 통계 분석 등이 포함되어 있다.

> 현장에서 압수 수색과 저장매체를 압수 후 포렌식 사무실에서 관련성 여부를 따져 증거화하는 과정을 압수 수색의 연장선으로 볼 것인지, 아니면 분석의 일환으로 볼 것인지 문제 발생, 압수수색의 연장으로 본다면 포렌식 사무실에서 관련 부분을 식별해 내는 과정에서도 관계인의 입회가 보장 되어야 함.

증거보관

> 증거물로 채택되면, 증거물의 무결성을 제공하며 보관 관리하여야 한다. 물리적으로 훼손이 되거나 바이러스에 의한 파괴, 혹은 무결성을 제공하지 못하여 조작의 의심등을 받을 수 있는 경우가 발생할 수 있다. 

> 충격이나 물리적인 공격에 안전한 케이스 혹은 보관 장소를 가지고 있어야 한다.

증거제출

> 증거물의 획득-분석 및 보관 까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화 해야한다.

> 증거물의 획득 과정을 알 수 있도록 하여 증거물로 채택되었을 때 타당성을 제공해야 한다. 

> 증거 획득, 분석과정을 전문가가 검증할 수 있는 방안으로 증거가 조작되지 않은 것을 증명할 수 있어야 한다.

> 제 3자의 전문가가 검증했을 때도 문제가 발생하지 않기 위해 문서화 작업은 꼭 필요하다고 할 수 있다.

제3자의 검증

> 전자적 증거에 대해서는 제출자가 진정성에 대해 입증해야 한다.

> 진정성은 범정의 증거물이 원본과 동일하고 위.변조 되지 않은 무결하다는 점을 포함하여야 한다.

  (전문조사관이 법정 증언을 하거나 외부 포렌식 전문가 등 3자가 동일성을 증언할 수 있을 것이다.)

디지털 포렌식의 배경

포렌식 이란 개념은 법의학 분야에서 주로 사용되었고, 지문, 모발, DNA감식, 변사체 검시 등에 주로 이용되었다.

이후 물리적 형태의 증거(유형의 증거)뿐만 아니라 전자적 증거를 다루는 "디지털 포렌식" 분야로 점차 확대되었다.

디지털 포렌식은 

정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 신규 법률 서비스 분야이다.

검찰, 경찰 등의 국가 수사기관에서 범죄 수사에 활용되며, 일반 기업체 및 금융회사 등의 민간분야에서도 디지털 포렌식 기술의 필요성이 증가 되고 있다.

1980년대에 군 또는 정보부에서 전자정보를 수집, 수사과정에서 전자적 증거의 중요성이 두각되면서 국제 컴퓨터 수사 전문가 협회가 출범 및 forensics 라는 용어를 사용.

그 이후에 경찰청 컴퓨터범죄 수사대, 경찰청 사이버테러 대응센터, 대검찰청 산하의 디지털포렌식센터 등 전자적 증거를 수집,분석하기 위한 기관들이 생김

현재 디지털 포렌식은 정보매체에 존재하는 전자적 증거를 자료로 삼아 과거 어떤 행위의 사실 관례를 역으로 규명하고 증명하는 새로운 절차로써 자리매김, 또한 검찰, 경찰 등의 국가 수사기관에서 범죄 수사에 활용되며, 흔적을 찾는 디지털 포렌식 기술의 필요성이 날로 증가되고 있다.

특히 사이버범죄에 대한 법적 증거자료 수집, 내부 정보의 유출방지, 회계 감사 등의 내부 보안 강화에 대한 활용이 주목받으면서 기업의 새로운 보안 솔루션까지 포렌식의 영역이 확대되고 있는 상황.

디지털 포렌식의 유용성

> 포렌식이라는 것이 범죄의 증거를 법정에 제출하는 것에 초점을 두고 진화되어왔다. 하지만 여라가지 업무를 수행하는데 포렌식이 유용한 점을 보인다.

[로그기록 감시]

다수 시스템의 로그를 추출하고 분석하여 상호 연관성을 판단하고, 사고처리, 정책위반사실 적발, 감사 등에 활용.

(메시지 서버의 로그를 분석, 데이터베이스화하여, 피싱 메시지의 패턴을 파악하여 차단 시스템을 구축할 수 있다.)

[데이터 복구]

툴과 기술을 사용하여 의도적으로나 변조된 데이터를 복원

[데이터 추출 및 파기]

툴을 사용하여 데이터를 재배치 또는 폐기하는 시스템으로부터 데이터를 추출하여 보관 및 추후에 활용 가능

민감데이터가 확실히 파기되었는지에 대한 여부를 검사하는데에도 활용 가능 ( 포렌식을 통한 복구로 복구되지 않으면 완전삭제 확인 가능)

[법적 책임 이행태세 확립]

다양한 법령과 규정에 의하여 각 기관들에게는 추후 감사에 활용할 수 있도록 민감한 데이터를 보호하고 특정한 기록을 보존할 책임이 부여된다.

또한 민감정보가 자칫 유출된 경우 다른 국가기관이나 피해당사자에게 이를 통지한 의무가 있다.

포렌식 절차가 수립되어 있는 경우 이러한 정보유출 사고에 원활하게 대응할 수 있으며, 법적 책임과 의무를 수행하는 데에 큰 도움이 된다.

[업무운용상 문제해결]

네트워크 설정이 잘못 잡혀 있는 시스템의 위치를 파악한다던지, 응용 프로그램의 기능오류를 해결한다던지 현재 설치된 운영체제를 검토하고 설정을 확인 하는데에도 사용이 가능하다.

디지털 포렌식의 일반원칙

적법성 : 입수 증거를 적법한 절차를 거쳐 얻었는가?

검증가능성 : 같은 조건에서 항상 같은 결과가 나오는가?

신속성 : 전 과정은 지체 없이 신속하게 진행되어야 한다.

연계보관성 : (무결성) 증거물 획득에서 법정제출까지 무결하며, 담당책임자가 명확해야한다.

동일성 : 수집 증거가 위/변조 되지 않았음을 증명

> 형사소송법 상 증거로 사용하기 위해서는 엄격한 절차에 의해서 수집되어야하며

  형사소송법 제 308조의 2에서 "위법수집증거배제법칙" {위법하게 수집된 증거는 증거로 사용할 수 없다} 

  또한, 위법하게 수집한 증거로부터 파생된 증거 또한 증거능력이 없다는 원칙을 '독수독과의 원칙'이라 한다.

> 전자적 증거는 같은 조건에서 증거를 수집하였을 때 항상 같은 결과가 나와야 해당 증거가 신뢰성을 가질 수 있다. (검증가능성)

> 전과정은 외부 요인의 개입을 최소화 해야한다. (신속성)

> 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다. (연계보관성)

  이송에서 문제가 발생시 이송 담당자가 이를 확인하고, 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성등 적절한 조치를 취할 수 있어야 한다.

> 수집된 증거가 위.변조 되지 않음을 증명 할 수 있어야 한다. (동일성)

<리더의 역할과 책임>

리더는 구성원으로 하여금 
원하는 결과물을 달성하기 위한 
방법을 고민하게 하는 사람입니다.

구성원에게 목표를 부여하면 
목표달성지침을 제시하고
목표조감도를 그리게 하고 
조감도의 세부구성요소별로 
공략방법을 생각하게 해야 합니다.

구성원에게 과제를 부여하면
원하는 결과물을 합의하고
목표달성지침을 제시하고
조감도를 그리게 하고
목표달성전략과 방법을 
고민하게 해야 합니다.

구성원이 전략과 방법을 고민한 후
리더가 코칭을 합니다.
코칭은 목표를 달성하기 위해 수립한
해야 할 일을 보고받고 지시하고 
의사결정하는 것이 아니라
구성원이 달성하고자 하는 목표와 
실행하고자 하는 전략과 방법의
인과관계를 검증해 주는 작업입니다.

리더는 
구성원들이 해야 할 일과 
목표가 무엇인지 
의사결정해 주는 사람은 맞지만
목표를 달성하기 위해 
무엇을 어떻게 해야 하는 지 
구체적인 방법과 절차와 일정을
일일이 의사결정해 주는 
작업반장은 아닙니다.

"리더는 
실무자를 대신해 고민하는 사람이 아니라
실무자 스스로 고민하게 하는 사람입니다."

"리더가 바쁜 이유는
  여러가지가 있겠지만
  그 중에서도 가장 큰 것은 
  바로 실무자가 해야 할 일을 
  대신해 주느라 그렇습니다."

"리더는 
  전체를 보고 미래를 봐야 합니다.
  리더가 
  실무자 일을 대신하느라 바쁘면 
  전체와 미래를 보지 못합니다."

"리더는 목표를 고민하느라 바빠야지,
  실무자가 해야 할 방법을 고민하느라
  바쁘면 리더자격이 없다고 봅니다.
  그런 사람은 관리자가 틀림없습니다."

"약은 약사에게, 진료는 의사에게.
  실무는 실무자에게 권한위임하고
  목표와 지침은 리더가 고민하고."
    
   -LD Ryu-(류랑도 박사)