디지털 포렌식
디지털 포렌식이란?
: 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야
(+ 법과학=포렌식=과학수사, 디지털=컴퓨터 범죄(스마트폰, 인공지능 스피커, 보안장비 등 포함))
디지털 포렌식의 필요성
• 해킹 등 컴퓨터(DDos, 랜섬웨어) 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐
• 범죄 수사 이외의 분야에서도 활용도가 증가하였음.
-형사사건이 아닌 민사사건에서의 포렌식
-일반 기업에서의 수요가 급증(ex. 내부 정보 유출, 회계 감사 등등)
디지털 포렌식의 유형
- 침해 사고 대응
• 실시간
• 사태 파악 및 수습
• 엄격한 입증 필요 X
- 증거 추출
• 사후 조사(정적 대응)
• 범죄 증거 수집
• 엄격한 입증 필요 O
디지털 포렌식의 대상
-
디스크 포렌식>컴퓨터 디스크(윈도우, 리눅스, MacOS/ 개인, 서버, 클라우드)
-
메모리 포렌식> 컴퓨터 메모리(RAM)
-
네트워크 포렌식>네트워크 패킷, 네트워크 장비 로그(방화벽, IPS 등), 네트워크 관련 설정들
-
모바일 포렌식>모바일 디바이스(저장소, 메모리)/ IoT 디바이스
-
기타>데이터베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식 등
디지털 포렌식 기초
• 디스크 이미징: 디스크를 파일의 형태로 가져오는 것
• 디스크 마운트: 이미징된 파일을 내 컴퓨터에 등록하는 일
• 메모리 덤프: 메모리를 특정 시점의 상태를 캡쳐한 것처럼 하나의 파일로 저장하는 일(주로 컴퓨터가 켜져 있는 상태 그대로를 파일 추출할 때 이용)
기초 도구
• HxD: 파일의 hx값을 볼 수 있는 프로그램.
• Everything: 컴퓨터 전체를 빠르게 찾을 수 있도록 해주는 프로그램.(파일의 위치 등)
• 7-Zip: 압축 해제 프로그램
• Notepad++: 여러 파일을 한 번에 볼 수 있게 해주고 전체 파일에서 검색을 가능하게 해주는 프로그램.
• Sysinternal Suite: 도구들의 모임.
• Autopsy: 디스크 이미지 관리+ 추가 기능(타임라인 등)
• FTK Imager: 디스크 이미지 관리 도구
