[디지털 포렌식] 1주차 - 개요

1. 디지털 포렌식

• 디지털 증거 수집 및 분석 과정은 기술적으로 복잡하고 난해하여 분석가의 전문성에 의해 증거의 무결성과 신뢰성이 결정됨

2. 디지털 포렌식의 황금기(1997 ~ 2007)

• 디지털 포렌식 전용도구들이 등장함
  • 상용도구: EnCase, FTK , 오픈소스도구
• 안티포렌식 도구의 등장 : 완전삭제, 암호화, 스테가노그라피 등
• 일반 사용자들이 이용하기 어려워 널리 사용되지 않음

3. 디지털 포렌식의 기술 유형

1) 사고대응포렌식(Incident response forensics)

• 해킹 등 침해시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자의 신원, 피해내용, 침입경로 등을 파악하기 위한 분야
• 네트워크 기술과 서버의 로그 분석 기술, 유닉스, 리눅스, 윈도우 서버 등 운영체제 기술 등이 필요하며 주로운영체제 및 서버에서 이뤄짐

2) 정보추출포렌식(Information extraction forensics)

• 범행 입증에 필요한 증거를 얻기 위해 디지털 저장 매체에 기록되어 있는 데이터를 복구하거나 검색하여 찾아내고, 회계 시스템 에서 필요한 계정을 찾아 범행을 입증 할 수 있는 데이터를 분석함
• E메일 등의 데이터를 복구 및 검색하여 증거를 찾아내는 목적

4. 분석 대상에 따른 분류

1) 디스크 포렌식

• 디스크를 검색하여 삭제된 파일을 복구하고, 여러가지 종류의 파일명, 확장자, 작성자, 작성일 등을 분류하고 키워드 검색을 통하여 수사의 단서를 추출

2) 시스템 포렌식

• 슈퍼블록 : 파일 시스템의 크기와 전반적인 정보를 가짐
• 인덱스 노트(Index Node, Inode) : 해당파일의 모든정보(파일이름제외)를 가짐
• 데이터 블록(Data Block) : 데이터를 저장하기 위해 사용
• 디렉터리 블록(Directory Block) : 파일 이름과 인덱스 노드를 저장하기 위해 사용
• 간접블록(Indirect Block) : 많은양의 데이터 블록이 필요 할 시 사용
• 시스템 포렌식 자료 수집 절차
  2-1) 공격받은 시스템의 화면을 사진으로 촬영하며 디지털 카메라를 사용한다.
  2-2) 공격받은 시스템 안으로 외부 미디어 마운트
  - 침입자가 마운트 명령어를 변조 했을 수 있기 때문에 신뢰 할 수 없는 마운트 명령어를 사용
  - lsof mount, strace /bin/mount /mnt/cdrom
  2-3) 포렌식 도구 관련 명령어로 점검 진행
  2-4) 미디어 마운트 하기
  - 신뢰 할 수 있는 명령어에 의해 만들어진 모든 결과를 원격지 호스트로 전송
  - (remote)#nc –l –p 8888 > data_victim)

3) 네트워크 포렌식

• 네트워크를 통하여 전송되는 데이터나 암호 등을 특정도구를 이용하여 가로채거나 서버에 로그 형태로 저장된 것을 접근하여 분석하는 방식
• 네트워크 포렌식 자료 수집 절차
  3-1) 네트워크 스니퍼를 동작 시킴
  3-2) 오가는 통신에 대한 흐름을 파악함
  3-3) 실시간으로 흐름을 분석, 악의적인 행동 감지
  3-4) Tcpdump 프로그램을 사용하여 패킷을 raw 포맷으로 기록

4) 인터넷 포렌식 : 인터넷으로 서비스 되는 월드 와이드 웹(WWW), FTP, USENET 등 인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집하는 포렌식 분야

① Internet Cache

• 사용자 컴퓨터에서 획득 가능한 웹 브라우저의 사용 증거가 됨
• 대부분의 웹 브라우저에서 효율적인 웹 검색을 하기 위해 캐싱을 통한 서비스를 제공하는 형태임
• 증거를 사용자가 삭제를 할 수 있으나 캐싱된 자료는 복구가 가능함

② Internet Cookies

• 쿠키는 사용자가 방문한 웹 사이트에 의해 자동으로 로컬 디스크에 저장이 됨
• 쿠키의 정보는 사용자의 구매습관, 암호 및 개인정보에 대한 사용내역을 통해 사용자를 인식 할 수 있음

③ Internet History

• 대부분의 웹 브라우저는 사용자에 대한 웹페이지 방문 기록을 추적 관리함
• 휴대전화의 최근 통화내역 처럼 사용자가 웹 페이지를 방문한 최근내역을 조회 할 수있음
• 사용자가 접근한 최신 주소 및 정보는 포렌식 도구를 활용해 정보를 획득 할 수 있음

④ Bookmarks and Favorite Place

• 증거의 확보는 사용자가 신속한 방문을 위해 설정한 북마크 및 즐겨찾기 주소임
• 범죄자가 악의적인 행위(아동포르노 다운로드 사이트, 해킹 관련 사이트 등)의 정보를 획득하는 사이트를 북마크 및 즐겨찾기를 통해 증거를 획득 할 수 있음

5) 모바일 포렌식

• 모바일 포렌식은 스마트폰, 휴대폰, PDA, 전자수첩, 디지털카메라, MP3, 캠코더, 휴대용메모리카드, USB 저장장치 등 휴대용 기기에서 필요한 정보를 입수하여 분석하는 포렌식의 분야

5. 디지털 포렌식 기본원칙

1) 적법절차의 준수

• 위법수집 증거 배제의 원칙

2) 원본증거의 안전한 보존 및 무결성 유지

• 디지털 증거의 분석은 사본을 통하여 진행
• 디지털 증거의 압수 및 이동 중에도 보호장치 사용
• 원본에 대한 데이터 수집의 경우에도 쓰기 방지 장치 사용
• 무결성 확보하기 위한 국제적으로 입증된 알고리즘 사용(해시함수)

3) 디지털 증거 분석 장비와 소프트웨어 신뢰성 확보

• 분석도구의 신뢰성 확부를 위하여 신뢰성의 입증 되어야 함
• 정품 소프트웨어 사용 및 수시 점검을 통한 오류 최소화

4) 증거 수집 및 분석 과정의 문서화

• 디지털 증거는 원본을 획득하되 사본을 통하여 획득하여야 함
• 압수수색 과정에서부터의 투명성 확보
• 진행 과정 사진촬영 및 서명 날인

6. 디지털 포렌식의 3요소

• 전문가
• 신뢰성 있는 프로그램 또는 도구
• 절차 또는 규정

7. 디지털 포렌식의 수행 법적 근거

• 형사소송법 제 106조
  • 압수의 대상 : 증거물, 몰수물
  • 수색의 대상 : 신체, 물건, 주거 기타의 장소
• 디지털 증거 압수수색의 근거
  • 위법수집 증거 배제 법칙
  • 전문법칙의 예외
  • 증명력
• 컴퓨터 등 관련 범죄
  • 해킹
  • 개인정보침해
  • 인터넷 사기
  • 명예훼손
  • 성폭력
  • 저작권 침해
  • 스팸메일
  • 사이버 윤락
  • 유해사이트