디지털 포렌식이란?
디지털
연속적이지 않고 최소 단위를 갖는 이산적인 수치를 이용한 것.
아날로그와 반대되는 개념이다.
법과학
범죄 사실을 규명하기 위해 각종 증거를 과학적으로 분석하는 분야.
디지털 포렌식
디지털 저장매체를 분석하여 범죄의 증거를 찾는 일련의 법과학의 한 종류.
대검찰청예규 제1285호에 따르면 "디지털 포렌식"이란 디지털 증거를 수집, 보존, 분석, 현출하는데 적용되는 과학 기술 및 절차를 말한다.
법률로서 요건을 정한 부분이나 표준절차에 위배되지 않고 회득하고 분석하여 보고서로 제출하는 과정까지 포함한다.
디지털 증거
증거
사실관계 확인을 위해 사용되는 객관적인 자료.
증거는 매우 신중해야 하며, 합법적 절차를 통해 수집 및 관리.
디지털 증거
정보의 표기 및 저장이나 전달의 형태가 0과 1의 조합인 이진수 방식으로 이루어진 증거로서의 가치를 지닌 정보.
일반 증거와 동일하게 취급되어야 한다.
디지털 증거의 특징
매체적 독립성
각종 디지털 매체 저장 또는 네트워크를 통해 전송 중인 정보.
매체와 독립된 정보 내용이 증거로 되는 특성.
어떠한 정보라도 내용이 같다면 어느 매체에서도 동일한 특성.
EX) 컴퓨터 하드디스크에 저장된 한글 파일, USB에 저장된 한글 파
비가시성, 비가독성
전자적 증거 그 자체는 사람의 지각으로 바로 인식할 수 없음.
일정한 변환절차가 필요.
종이 문서는 제시하여 인식이 가능.
컴퓨터의 하드디스크를 제시하는 것만으로 인식할 수 없음.
취약성
디지털 증거는 삭제 및 변경 등이 용이
하나의 명령만으로 포멧이나 파일 삭제 가능, 파일을 열어보는 것만으로 파일 속성이 변경, 작동중인 컴퓨터를 끄는 경우.
수사기관에 의한 증거 조작의 가능성도 배제할 수 없으므로 무결성 문제가 발생.
대용량성
방대한 분량의 정보를 하나의 저장매체의 모두 저장.
EX) 컴퓨터 하드디스크, 휴대폰.
전문성
디지털 방식으로 자료 저장, 자료 추출.
조사관의 능력, 포렌식 도구의 신뢰성.
네트워크 관련성
디지털 환경 - 인터넷.
국경을 넘는 경우 법 적용의 차이.
디지털 데이터
위조 및 변조와 훼손이 용이함.
수집 이후 변경되지 않았음을 입증해야 함.
컴퓨터에 저장된 문건은 전문 법칙이 정용됨.
전문 법칙
전문
사실의 진위여부는 알지 못한 상태에서 전해들은 말을 의미.
전문 증거
원진술자가 공판기일 또는 심문기일에 행한 진술이외의 진술로서 그 주장사실이 진심임을 입증하기 위하여 제출된 것.
전문 법칙
전문증거는 증거로 되지 않는다.
디지털 증거의 종류
증거 능력
디지털 증거 = 증거 능력
진정성
법정에 제출되는 모든 증거는 범죄 현장에 존재한 것.
디지털 증거의 수집 과정에서 오류가 없었으며 의도된 결과가 정확하고 그로 인해 생성된 자료임이 인정되어야 함.
디지털 증거는 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 함.
진정성을 위한 절차 => 연계 보관성
무결성
증거 보존을 위해 수집 이후 보관, 분석 과정에서 부당한 수정, 변경, 손상으로 원본이 변경되지 않도록 유지 및 내용 검증.
디지털 데이터의 해쉬값을 변경이 불가능한 형태로 별도 보관함.
원본성
디지털 증거 자체로는 가시성, 가독성이 없으므로 가시성 있는 인쇄물로 출력하여 법원에 제출할 수 밖에 없음.
자체적으로 디지털 증거를 변환하여 제출하는 과정에서 제출되는 증거 데이터가 원 매체에 있는 데이터와 동일함을 의미.
신뢰성
증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위변조되거나 의도되지 않는 오류를 포함하지 않았음을 의미
디지털 증거 자체의 특성이 아닌 디지털 증거를 취급하는 인력, 도구, 분석, 절차 등과 같은 요소들의 신뢰성 증
디지털 포렌식 수행 과정
사전 준비 과정
디지털 포렌식 조사를 위한 기본 훈련 과정.
조사 업무에 필요한 행정 처리 및 서류 준비, 디지털 포렌식 조사 장비 및 도구 준비, 전산 시스템 정보 파악.
증거 수집 과정
피해 사고 발생 장소 또는 용의자 컴퓨터를 압수하는 현장.
증거 목록 작성, 형사 사건의 경우 물리적인 증거도 수집, 연계 보관성 유지, 증거수집 대상/범위/방법, 기본 정보 수집, 증거물 포장 및 상세정보 기록, 사용자 질의서 작성, 휘발성 정보 수집, 디스크 이미징, 증거의 무결성, 휘발성 증거 우선 수집, 전원 차단 여부 결정, 네트워크 단자 제거 -> 데이터 삭제 방지, 증거 수집 대상에 따른 대응, 증거의 위치, 수집순서 결정.
증거의 포장 및 이송 과정
증거물 포장, 증거물 보관, 증거물 운반.
조사 분석 과정
데이터를 추출 및 분류하고 사건의 단서를 찾는 단계.
복사: copy는 file이 기본단위, source로부터 파일에 대한 정보를 확인한 후 파일의 내용만을 복사.
복제: Imaging은 저장 매체의 컨텐츠와 무관하게 각 센터를 읽어 그 내용을 target의 동일 위치에 그대로 복제함.
Hard Disk to Hard Disk imaging: 별도 장비 -> 원본 하드 디스크를 다른 하드 디스크로 복제, 오프라인 상태에서 수행.
Hard Disk to File Imaging: 하드디스크를 별도의 파일로 이미징, 온라인, 오프라인 상태에서 수행.
정밀 검토
분석 과정에서 도출된 결과가 올바른지 실수가 없었는지 확인하고 반론이 제기될 여지가 있는지 검토하는 단계.
다른 수사관이 참여.
보고서 작성
발견된 결과를 정리하는 단계.
일반인들도 알아볼 수 있도록 최대한 평이한 용어로 설명.
객관적으로 서술하고, 사실 관계와 의견을 구별하여 명시.
디지털 포렌식의 5대 원칙
정당성의 원칙
획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실함.
신속성의 원칙
시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체없이 신속하게 진행되어야 함.
무결성의 원칙
증거가 위조 또는 변조가 되지 않았음을 증명할 수 있어야 함.
재현의 원칙
다른 분석관이 다른 프로그램을 사용해도 동일한 시스템인 경우 동일한 결과가 나와야 함.
연계 보관성의 원칙
증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확하게 해야함.
'School > 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 연습문제 기말 (0) | 2024.06.08 |
|---|---|
| 디지털 포렌식 연습 중간고사 과제 모음 (0) | 2024.04.19 |
| 디지털 포렌식 3주차 (0) | 2024.04.18 |
| 디지털 포렌식 5주차 (0) | 2024.04.18 |
| 디지털 포렌식 2주차 (0) | 2024.04.18 |
