디지털 포렌식 개요

(2020.04.01 백업)

 

디지털 포렌식 필요성

컴퓨터 관련 범죄 증가 및 증거자료의 디지털화

    - 일반 범죄에서도 증거 또는 단서가 전자매체 내에 보관되어 있는 경우가 가히 급수적으로 증가

    - 디지털 자료는 복사가 쉬울 뿐만 아니라 원본과 사본의 구분이 어렵고 조작 및 생성, 전송, 삭제가 매우 용이

    - 범죄 관련 증거 자료가 디지털화 되어감에 따라 증거 수집, 분석을 위한 전문적인 디지털 포렌식 기술 개발이 필요

 

디지털 포렌식 기술의 활용도 증가

    - 국가기관에서의 컴퓨터 범죄 뿐만 아니라 일반 범죄 수사에서의 활용 빈도가 증가

    - 일반 기업체 및 금융회사 등의 민간분야에서도 디지털 포렌식 기술의 수요 급증  

   

 

 

디지털 포렌식 5대 원칙

법적 증거로서의 효력을 인정받기 위함

정당성의 원칙 

     : 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실

무결성의 원칙

    : 수집한 증거가 위 · 변조되지 않았음을 증명 가능해야 함  

    ㄴ 과거에는 MD-5, SHA-1 같은 hash를 사용하였으나 같은 hash 값을 찾는 공격이 발견되어 SHA-256 추천

신속성의 원칙  

    : 시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체없이 신속하게 진행되어야 함

재현의 원칙  

    : 피해 직전과 같은 조건에서 현장 검증을 실시하였다면, 피해 당시와 동일한 결과가 나와야 함  

    여러 도구로 검증해야 함

연계 보관성의 원칙  

    : 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확하게 해야 함  

    ㄴ 모든 절차에서 문서와&서명 -> 오염이 없었다는 것을 분명히 하기   

    

 

---

 

 

유형

분석 목적

1. 사고대응 포렌식(침해사고)

* 해킹 등 침해 시스템의 록, 파일 등을 조사 -> 침입자의 신원, 피해내용, 침입경로 등을 파악

* 네트워크 기술과 서버의 로그 분석 기술, 유닉스, 리눅스, 윈도우 서버 등 운영체제에 대한 기술 필요

* 명백하게 외부에서 들어오는 기록, 로그만 있어도 됨

2. 증거(정보) 추출 포렌식

* 수사기관, 법정에서 증거로 사용

* 범행 입증에 필요한 증거를 얻기 위하여 디지털 저장매체에 기록되어 있는 데이터를 복구 or 검색하여 찾아냄 (훼손 X)  

 

 

분석 대상

1. 디스크 포렌식

* 대용량의 비휘발성 저장매체로부터 자료를 획득, 분석, 검색, 삭제된 파일 복구하는 기능 등이 주로 활용 (+ 디스크 복구)

 

    - 삭제된 파일을 복구하고, 여러 가지 종류의 파일을 파일명, 확장자, 작성자, 작성 일시 등을 기준으로 분류하고(타임라인), 키워드 검색을 통하여 수사의 단서를 추출하는 작업

 

* 증거의 손상이나 후손을 방지하기 위해 2개의 사본 필요 -> 하나는 증거로 보존, 나머지 하나는 분석 (대부분은 현장에서 원본을 가지고 나올 수 없음)

 

2. 네트워크 포렌식

* Network Packet Forensic

* 네트워크를 통하여 전송되는 데이터, 암호 등을 특정도구를 이용하여 가로채거나 서버에 로그 형태로 저장된 것을 접근하여 분석하거나 네트워크 형태 등을 조사하여 단서를 찾아내는 분야

 

3. 인터넷 포렌식

* 과거의 개념, 요즘은 시스템 포렌식(윈도우 포렌식)으로 들어감

* 인터넷으로 서비스되는 WWW, FTP 등 인터넷 응용 프로토콜을 사용하는 분야

* 게시판에 불법 정보를 업로드 하거나 명예훼손과 관련된 글을 올린 용의자 추적, 전자메일발신 추적, 인터넷 서핑내역 추적 등을 위하여 웹 서버나 메일 서버, AWS등의 서버를 분석

 

4. 모바일 포렌식

* 휴대폰, PDA, 전자수첩, 디지털카메라, MP3, 캠코더, 휴대용 메모리카드, USB 저장장치 등 휴대용 기기에서 필요한 정보를 입수하여 분석하는 분야

 

5. 데이터베이스 포렌식

* DB로부터 데이터를 추출/분석하여 증거를 획득하는 분야  

    +) 쿼리, DB구조, 서버 운영 지식, ... 

* 방대한 양의 데이터로부터 증거 수집 및 분석을 위한 기술, ERP 기반에서 개발된 회계시스템 등의 대형 시스템을 위한 하드웨어 및 소프트웨어 기술, 다양한 DB관리 시스템에 대한 제어 기술 등이 필요

 

6. 암호학 포렌식

* = 안티 포렌식

* 문서나 시스템에서 암호를 찾아내는 분야

* 암호가 될 수 있는 숫자나 문자를 고속으로 대입하여 비교하는 크랙 프로그램을 개발하여 무차별 대입 공격 기법이나 사전대입 공격 기법을 빠른 속도로 실행

* ex) 언론으로 공개되는 자료에 데이터를 은닉하여 원격 통신

 

7. 회계 포렌식

* DB포렌식과 연관, 회계 지식 필요

* 기업의 부정과 관련된 수사를 할 때 저장된 회계 데이터를 추출하고 회계사 등 회계 전문가가 분석할 수 있도록 데이터를 정제하는 분야

* 회계 시스템에 대한 프로그램을 개발한 경험이 있거나 회계 시스템을 운영해 본 경험이 있는 전문가가 필요

 

8. 메모리 포렌식

* 메모리에 로드되는 정보들을 분석할 때 활용

* 사고 대응 포렌식 분야에서 빠르게 시스템의 정보를 분석할 때 유용하게 활용할 수 있으며, 휘발성 정보(프로세스, 네트워크 등)를 한번에 분석할 수 있음

* 증거추출 포렌식 분야에서는 법적 증거로 채택되지 않음. 사고 대응 포렌식 분야에서만 활용

 

+) 기타 포렌식 분야

* 클라우드, SNS, IOT 등  

 

 

---

 

절차

공판 과정에서 신뢰성있는 증거로 인정 받으려면 증거 수집에 대한 절차의 체계화된 기준 필요

방법론

무결성을 위해 사진, 영상 등의 기록 남기기

조사준비 : 사건 발생 및 확인, 조사 권한 획득, 조사 팀 구성, 장비/도구 준비, 도구 개발 및 교육 훈련  

현장 대응 : 관계자 협조 요청, 조사 대상 매체 파악  

증거 확보 및 수집 : 시스템·저장매체 확보, 데이터 선별 수집, 증거물 포장과 봉인, 증거물 목록 작성  

이송 및 보관 : 증거물 운반, 증거물 목록 확인 및 등록, 원본 보관 (인수 인계 간에 서명 필수)  

분석 및 조사 : 저장 매체 수리, 사본 생성, 데이터 추출 및 분류, 상세 분석  

보고서 작성 : 분석 보고서 작성 및 제출, 증거 관련 자료 보관, 법정 증언  

 

수사 준비

포렌식에 사용되는 각종 소프트웨어 또는 하드웨어를 준비하고 점검하는 단계

* 전문 인력과 포렌식 도구의 활용 방안 수립  

    : 다양한 운영체제 및 파일 시스템, 네트워크, DB, 회계 시스템 등의 기술을 가진 전문가들이 조사관으로 참여하여 각종 전문적인 도구를 이용하여 신속 정확하게 증거 수집

* 보관의 연속성 방안 수립  

     : 증거를 가져간 시간, 돌려준 시간, 소지한 이유 등을 정확히 기록하여 증거가 훼손되지 않았음을 보여주기

* 데이터의 무결성 유지방안 수립  

     : 확보된 데이터의 증거능력을 확보하고 공판과정에서 공소사실을 입증하는 증거로써 가치를 부여하기 위해 무결성을 입증할 수 있는 여러 방법 결정  

     +) 최근에는 별도의 소프트웨어 사용or포렌식 도구or해시값 등을 사용하여 증거 보존

* 추가로 압수수색영장, 진술서 양식, 자문가 연락처, 관리자 승인, 현장 채증 준비, 증거 분석 툴 등 준비

 

증거 수집

* 휘발성 증거 우선 수집

    - 메모리나 프로세스, 화면의 정보 등 소멸 가능성이 많은 증거부터 우선 확보해야 함

    - 일반적으로 레지스트리와 캐시, 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 정보와 모듈, 메인 메모리, 임시 파일, 보조 메모리, 라우터 설정 정보와 같은 순으로 소멸

* 전원 차단 여부 결정

    - 일반적으로 서버의 경우는 전원 차단 전 프로세스 정보가 유실되지 않도록 Shutdown

    - 네트워크에 연결되어 있는 경우 사전에 네트워크 단자 제거 필요  

    +) 개인용 윈도우와 맥 운영체제의 경우 정상 종료 절차를 수행할 시 임시 데이터가 삭제되므로 전원 플러그 바로 분리

* 증거 수집 대상에 따른 대응 

    - 개인용 컴퓨터 : 본체 그대로를 증거로 채택 or 하드 디스크 분리 복제

    - 대형 시스템 : 다수의 사용자가 접속하는 경우 전산 시스템 자체 암수시 선의의 피해자 발생 가능 -> 필요한 데이터 현장 추출 후 별도의 저장장치에 복사 혹은 프린터 출력

* 증거 수집

    - 증거의 위치나 수집 순서가 결정되면 증거 수집 프로그램 및 도구를 사용하여 사건과 관련성이 있는 데이터 중심으로 수집 필요

    - 매체의 종류에 따라 정보를 정확히 기재하여 혼동되는 일이 없도록 해야 함

    - 증거 데이터의 타임 스탬프나 서명한 문서를 반드시 포함

    - 증거 수집 과정에서 사용한 도구의 이름, 버전, 분석 과정, 시간, 산출 결과 등 전 과전 기록 필요  

 

증거 분석

* 데이터 복구 및 증거 분석

    - 암호 복구, 데이터 복구, 키워드 검색 및 정보 추출, MAC Time 분석 등 다양한 포렌식 도구를 사용하여 과학적, 기술적으로 증거물 분석

    - 숨겨진 파일, 삭제된 파일, 확장자가 변경된 파일, 암호화된 파일, 일반적으로 데이터를 저장하지 않는 공간에 감춰진 파일 등 은닉 파일 조사, 복구된 파일은 별도 보관

* 결과에 대한 보고서 작성

    - 비전문가가 보아도 이해할 수 있을 정도로 간단 명료한 상태로 보고서가 작성되어야 함

 

 

 

(참고 자료 : 디지털 포렌식의 기술 동향과 전망, 정보화정책 제13권 제4호)