2021-09-07-디지털포렌식개론-1주차.md

1. 디지털 포렌식 증거 조사

---

디지털 포렌식 증거 조사

Digital Forensic Evidence Examination

http://all.net/books/2013-DFE-Examination.pdf

디지털 포렌식스

• 정의
  • 사건과 관련된 디지털 자료를 수집, 분석, 보고
  • 과학적이며, 객관적이어야 함
  • 법정에서 인정될 수 있는 절차를 준수해야 함
  • 디지털 포렌식 : 기술 vs. 과학

과학적 증거

• Peer review
• 법정에서 인정될 수 있는 정립된 방법에 의한 분석
• 과학적 방법론
  • 현재의 이론, 방법, 실험에 근거하여 연구
  • 현재 이론과 반복 실험 사이의 불일치 파악
  • 불일치 부분을 설명하는 신규 이론 정립 및 검증을 위한 실험
  • 결과 발표
  • 디지털 포렌식은 과학적인 방법이 정립되지 못함

고문서학

• Diplomatics(고문서학)
  • 기록 : 기관의 활동 중 또는 결과로 생성된 서류
  • 기록의 신뢰성(trustworthiness)을 평가
  • Trustworthiness
    • 고문서학 : authenticity(확실성) of the records → 주장된 시간에 작성되었고, 생산자에 의해 서명됨
    • reliability, authenticity, accuracy → 기록 인증
• Reliability(진실성): the record as a true statement of fact
  • Completeness(완전성) : 법적 효력을 갖기 위해 필요한 요소가 모두 있음
  • controls exercised in its creation
  • 생산 또는 수신한 기록은 다른 기록과 함께 유지되어야 함
• Authenticity(확실성): a record has not been tampered with or corrupted
  • preserves the same identity it had when first generated
  • can be presumed or proven to have maintained its integrity over time
  • Identity : 다른 기록과 구별할 수 있는 특징, 이름, 시간, 제목 -> 메타데이터로 확인
  • Integrity : 생산되었을 때 교신하고자 한 의도대로 메시지를 보내는 능력, chain of responsible and legitimate custody, 무결성 입증 수단
• Accuracy(정확성): truthfulness, exactness, precision, or completeness
  • the trustworthiness of the data (데이터의 신뢰성)
• Authentication: declaration of authenticity made by competent party
  • 진술 또는 부가 요소(seal, stamp, or symbol)로 확인, 원본대조필(?)
  • Authenticity is a quality of the record
  • Authentication only guarantees that a record is authentic at one specific moment in time

기록물의 상태

• Original record
  • 저자가 의도하는 결과에 도달한 완전한 형태의 최초의 기록
    • 여러 개가 존재할 수 있음
  • Primitiveness, completeness, and effectiveness
  • external records : 외부로 전송, 이메일, 웹
  • internal records : 내부 보존
• Draft : 완성을 위해 준비한 기록으로 일시적임
• Copy (원본, 정본, 등본, 초본, 부본, 사본)
  • authentic copy : declared to conform to the original by an official entrusted with such responsibility (진본)
  • imitative copy : reproduction of both the form and content of a record (폼과 컨텐츠의 재생산)
  • Simple copy : only transcribes the record content (레코드 컨텐츠만 복제)

고문서학 정의

• building blocks : juridical system, act, persons, procedures, documentary form, archival bond
• 기록의 맥락 : juridical/administrative, provenencial, procedural, documentary, technological context
• Act : exercise of will intended to produce effects
  • legal records : 등기소 또는 행정부에서 요구하는 서식으로 작성
    • Notitia : probative records(증명 기록), certificates(인증서), registrations(등록증), transcripts(성적 증명서?), and receipts(영수증)
    • Charta : dispositive records(처분 기록), contracts(계약서), grants(승인서), applications(신청서)
  • Nonlegal records :
    • Supporting records : notes, maps, plans, etc.
    • narrative(이야기) records : emails, memos, and other ommunications(의사소통)
    • instructive records : regulations(규정), manuals, scores, scripts,
    • enabling records : software, business application, 실험 결과
• Persons : the subjects of rights and duties.
  • 법인, 자연인
  • Originator : 기록을 생산하거나 송신하는자.
  • Author : the person with the competence to issue the record. (레코드를 발행할 수 있는 능력을 가진 자)
  • Writer : the person competent for the articulation and disclosure of the record. (기록의 표현과 공개에 대한 권한이 있는 자)
  • Addressee(수신자) : the person for whom the record is intended
  • 공문서, 사문서
  • Creator: 기록 관리자
  • Originator: responsible for the electronic account (전자 계정에 대한 책임이 있는 자)
• Procedure : a formal sequence of steps by which a transaction is carried out. (트랜잭션이 수행되는 단계의 공식 순서)
  • governing the act (행위의 관리) : 청원 → 중재 → 인정 → 명령
  • governing documentation (문서의 관리) : 초안 → 정서 → 등록 → 유효화(서명, 날인) → 수수료 → 교부
  • 6단계 : initiative(계획) → inquiry(정보 수집) → consultation(의견 청취) → deliberation(심의) → deliberation control(심의 통제) → execution(집행)
• Documentary form (문서 양식)
  • Used to analyze records to determine their nature, provenance, and trustworthiness (기록의 성격, 출처, 신뢰성을 결정하기 위한 분석에 사용됨)
  • Extrinsic elements(외적 요소): the appearance of the record and its effect (기록의 외적 형태와 그 효과)
  • Intrinsic elements(내적 요소): the unique parts of the record that associate it with a particular act or transaction and make it complete. (특정 행위나 트랜잭션과 연관되어 이들을 완성시키는 기록의 고유한 요소)
• Extrinsic elements of form (양식의 외적 요소들)
  • medium(매체): the material, manner of preparation, watermarks, shape, size, edging, rulings, etc.
  • Script(스크립트): fonts, layout, paragraphing, punctuation, abbreviations, and initialisms
  • language: style, formulas, and tenor of discourse
  • Special signs(특수 기호): logos, heraldic markings, mottos, stamps
  • seals(포장): material, size, shape, typography, legend
  • Annotations(주석): additions made after the record is complete (기록이 완성된 후에 덧붙여 생성되는 것들)
• Intrinsic elements of form (양식의 내적 요소들)
  • Protocol(프로토콜): containing the administrative context of the act (e.g., it's place, time, date, subject, persons participating, etc.)
  • Text: containing the action or message and its motivation, circumstances, or conditions (행위나 메시지, 의도/동기, 상황, 조건을 포함)
  • eschatocol(종결 프로토콜, 공문서 끝에 포함됨) : containing the means used to validate(검증) the record, such as the signature(서명) of the author, witnesses, and countersigners (저자, 증인 연대보증인의 서명 등으로 특정 기록을 검증하려는 의도를 포함함)
• Archival bond(기록의 결합 관계)
  • the relationship between records generated in the course of activity (활동 과정에서 생성된 기록 간의 관계)
  • originary: 기록이 생산될 때부터 존재
  • necessary
  • determined : 업무 기록의 기능에 의해 정의됨
  • 파일시스템은 초안을 저장 → 수정을 거쳐 완전해짐 → 메타 데이터

문제

• 주어진 MS-word 파일이 북한에서 작성되었을 가능성이 있을 것으
  로 추정되는 흔적을 모두 나열하라.
  1. 임베드된 이미지 파일의 메타 데이터 (GPS 등)
  2. MS-word 메타데이터 (작성자, 메일, ID 등)
  3. 한글 폰트가 한국에 사용하는 것인지 여부

Epistemology (인식론)

• 디지털 증거 : 비트열
  • 관찰과 복제가 용이
  • 계산 복잡도에 의해 제약을 받음
  • Trace evidence (추적 증거)
  • 비가시성(0101001 본다고 직관적으로 해석되지 않음) → 도구 필요
• 과학적인 접근
  • 시험할 수 있어야 함
  • 이론은 부정될 수 있음, 귀납적인 추리는 증명이 아님

Information Physics (정보 역학)

• Finite State Machine (FSM)

  • FSM

    $M: (I, O, S, I \times S → S', I \times S → O)$

    • $M$: FSM, $I$: Input, $O$: Output
    • $S$: the finite current state (a set of bits)
    • $S'$: the finite next state taken from the same symbol set as $S$

  • Trace : FSM의 실행으로 생성된 비트열

• 수렴성, many-to-one
• 이산성
• 위조 용이

The Standard Model

• Laws $L:\{l_1, ..., l_n\}, R:\{r_1, ..., r_m\}, L \times R→[F|T]$
• Violations(V) $L \times R→V$
• Claims $E: \{E_1, ..., E_o\}$
• Hypotheses $H: ∃h ∈H, h ∈E$
• Events $E: [∃e, e∈E^*]$ that demonstrate claims (주장을 입증함) $[∀E_x ∈E, E_x: (e_{x_1} ∈E^*, ..., e_{x_p} ∈E^*)]$
• Traces $T:(t_1, ...,t_q)$
• Internal consistency $C:T \times T→[-1...1]$
• Demonstration consistency $D:T \times E^*→[-1...1]$
• 포렌식 절차, 자원, 일정
• What is inconsistent(비일관성) is not true
• Things that seem inconsistent may not actually be inconsistent
• 한계 : 요소의 크기, 계산 능력, 자원, 일정, 절차, 법

과학적 방법

• 시험할 수 있는 가설 제안
• 주어진 T와 E를 가지고, 포렌식 절차에 의거해서 일치성 여부를 결정
• 실험 결과에 관한 적절한 진술

디지털 포렌식 도구

• 디지털 증거의 비가시성 → Tool 필요
• 검증
  • 알려진 시료를 이용한 검증
  • 여러 개의 독립적인 시행을 통한 동일성
• 사용 : 지식, 기술, 경험, 훈련, 교육 필요
• NIST CFTT

법정 증언

• 증거 능력
  • 진정성 → Chain of Custody (관리 연속성 or 보관 연계성)
  • 무결성
  • 신뢰성
  • 위법 수집 증거 배제
    • 위법한 절차로 수집한 증거는 배제한다.
  • 전문 증거(hearsay) 배제
    • 전문 증거(hearsay): 직접 법원에 보고하지 않고, 다른 형태(예: 다른 사람, 조서, 진술서, 녹음테이프 등)에 의해 제출되는 증거. 법정 외 진술에 관한 증거, 일명 카더라 통신.
    • 전문 증거는 증거로 인정받지 못한다.
• 증명력

Examination (조사)

• Analysis(분석) : 증거의 특정과 이해
  • 증거 : 이 데이터를 생성하는 경로는 무수히 많음
  • 해당 데이터를 생성하는 주요한 경로에 집중
• Interpretation(해석) : 분석 결과에 대한 의미 부여
  • 실제로 발생한 것, 결론에 도달하게 된 방법
  • 다른 조사자가 이해할 수 있어야 함
• Attribution(귀속, 원인과 결과의 연결) : 원인과 결과에 대한 결론 도출
  • 다른 증거와 모순되지 않아야 함
• Reconstruction(재구성)

과학을 향하여

• methodologies(방법론), processes, and procedures (절차)
  • validity(정당성), testability(테스트 가능성), reliability(진정성), calibration(교정), and basis(근거)
• 정보역학에 대한 인식 부족
• 범용적으로 인정되는 모델 부재
• 도구와 프로세스의 결함
• 절차가 표준화 되거나 정형화 되지 않음
• 지속적으로 변화 발전

디지털 포렌식 고려사항