[사이버 보안] 디지털 포렌식

이 글은 2024-1 ㅇ화여대  (인실 도 교수님의)  사이버보안개론 수업자료를 참고하였음을 밝힙니다.

 

 

 

💽디지털 포렌식

: 디지털 기기에 저장된 전자적 증거물을 사법기관에 제출하기 위해 데이터를 분석하여 보고서를 작성하는 일련의 작업

 

*로카르드 교환법칙에 의하면 '접촉하는 두 물체 사이에는 반드시 흔적이 남는다' 고 함 

이걸 디지털 포렌식에 적용하면 레지스트리, IP, 주소, 로그 파일 등이 있음.

 

이때, 포렌식 과정을 통해 획득한 증거가 법적 효력을 지니려면 과학적이고 논리적인 절차와 방법을 거쳐야 함.

cf ."증거 개시 제도" - 공판 준비 절차 단계에서 ... 미리 제시하지 않은 증거는 법정에서 원칙적으로 사용 불가

 

- 포렌식으로 수집된 증거는 간접 + 전문 증거(진술서나 진술 기재서를 통해 보고)임.

 

<디지털 포렌식의 5대 원칙>

• 정당성의 원칙
  • 적법한 절차를 거쳐 정당하게 획득되어야 함. 
  • *독수독과이론 : 위법 수집된 증거로 발견된 2차 증거는 인정 X
  • 정보제공동의서 서명 필수
• 무결성의 원칙
  • 수집 증거의 결함X 위변조되지 않았음을 증명
  • 수집 당시의 해시값과 법정 제출 시 자료의 해시값이 같아야 함.
• 연계보관성의 원칙
  • 증거 획득 .. ->-> 법정 제출의 과정마다 담당자 명확 + 추적이 가능해야 함.
  • ** 연계보관성의 원칙이 무결성의 원칙을 뒷받침함. (어느 단계에서 무결성이 깨졌는지 파악)
• 재현의 원칙
  • 동일 조건. 동일 상황이라면 디지털 포렌식의 결과는 항상 동일해야 함.
  • 다른 분석관이 다른 도구로 분석하여 '교차분석' 수행
• 신속성의 원칙
  • 컴퓨터 내부 정보는 휘발성을 가진 것이 많음 -> 신속성 중요 .

<유형>

- 수사 관점에서는 범행 입증에 필요한 증거를 찾는 것이 목적. 사고 대응 관점에서는 사고 내용을 분석하여 대응 방안을 제시하는 것이 목적이 될 수 있음.

디스크	비휘발성 저장매체인 HDD, CD 등
라이브	메모리와 같이 휘발성 데이터 대상
네트워크	IP 헤더, 라우터 등 넽웤로 전송되는 데이터 분석
인터넷	프로토콜이 사용된 증거
데이터베이스	DB로부터 데이터 추출. 분석
모바일	스마트폰 포렌식 ! 통화내역... GPS 등

 

 

 

<과정>

*증거수집 시 무결성 보장 필수.

*보관 및 이송 시 연계보관성의 원칙을 만족해야 함.

*분석 및 조사 과정에서, 최량 증거 원칙을 따라야 함.

최량 증거 원칙 : 원본 제출 . 원본이 없으면 가장 유사한 최초 복제물 제출

 

 

<종류>

엔케이스, FTK, X-ways Forensics, Volatility 등이 있음.

 

cf.