디지털 포렌식의 정의
디지털 증거를 수집·분석 또는 보관하거나 현출하는데 필요한 기술 또는 절차 (대검찰청 예규 제3조)
디지털 포렌식은 "기술" 만을 의미하지 않는다.. 디지털 증거를 수집 및 분석하기 위해 필요한 법률, 법률의 해석 및 적용, 그를 위해 필요한 절차적인 부분이 모두 디지털 포렌식에 포함된다.
디지털 증거의 개념
미국 NIJ(National Institute of Justice)
- 전자 기기에 의해 저장 및 송수신되는 것으로써 수사의 가치가 있는 정보 및 데이터
우리나라
- 디지털 증거의 개념은 우리나라에서 아직 완전히 정립되지 않은 듯하다. 기관에 따라, 중요시하는 관점에 따라 디지털 증거를 서로 다르게 정의하고 있다.
디지털 증거의 특성
디지털 증거 특성의 각 내용으로부터 법적 이슈가 발생한다. 가볍게 참고해두면 좋을 듯하다.
디지털 포렌식 개념의 확장
디지털 포렌식이 범죄 수사 목적 이외에 모든 분야에서 사용되기 시작하면서, 디지털 포렌식을 사용하는 주체가 국가에서 모든 사람으로 확장되고, 범위도 디스크 분석에서 다양한 영역으로 확장되었으며, 적용 법률도 다양해졌다.
- 주체 : 국가(범죄수사) → 모든 사람
- 목적 : 범죄수사 → 사실 관계 규명(민사 사건, 특허, 행정 소송, 회계 감사 등)
- 범위 : 분석 → 추적(GPS, ID, IMEI)까지 포함, 저장장치 → OSINT, IOT, Darkweb 등, 사이버 수사의 한 분야 → 독자적 영역
- 법률 : 형사소송법 → 민사소송법, 통신비밀보호법, 금융실명법, 개인정보보호법, 위치정보보호법 등
디지털 포렌식 주요 원칙
정당성의 원칙 - 증거가 적법 절차에 의해 수집되었는가?
무결성의 원칙 - 증거가 수집·이송·분석·제출 과정에서 위/변조되지 않았는가?
연계보관성의 원칙 - 수집·이송·분석·제출의 각 단계에서 증거가 명확히 관리되었는가?
신속성의 원칙 - 디지털 포렌식의 전 과정이 신속하게 진행되었는가?
재현의 원칙 - 같은 조건과 상황 하에서 항상 같은 결과가 나오는가?
분석 대상에 따른 분류
디지털 포렌식을 분석 대상에 따라 분류한 것이다.
- 디스크 포렌식
- 모바일 포렌식
- 메모리 포렌식
- 네트워크 포렌식
- 소스코드 포렌식
- 데이터베이스 포렌식
- 멀티미디어 포렌식
- 클라우드 포렌식
- 임베디드 포렌식
- 공개출처정보 포렌식
디지털 포렌식의 절차
- 사전 준비
- 도구 준비 및 검증
- 분석, 교육
- 연구 개발
- 증거 수집
- 수집 대상 파악
- 압수 대상 선정
- 증거 목록 작성
- 저장매체 이미징·복제
- 포장 및 이송
- 증거물 포장
- 증거물 이송
- 증거물 보관
- 조사·분석
- 이미징·복제
- 추출·분류
- 검색·분석
- 정밀 검토
- 결과 검토
- 결과 검증
- 보고서 작성
- 용어 설명
- 결과 정리
출처
경찰대학에서 배웠던 김기범 교수님 강의 자료
비전공자 출신 화이트햇 해커