디지털 포렌식의 정의 및 기본 절차
포렌식의 유래
라틴어인 '포렌시스(Forensis)'에서 파생되었다.
Forensic Science(법과학)
- 범죄와 관련된 사실을 규명하는 방법과 절차
- 분야 : 법의학, DNA, 지문, 문서, 영상 등
디지털 포렌식의 정의
- 국제 학술 회의(DFRWS)에서는
범죄 현장에서 확보한 컴퓨터 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거의 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출을 과학적인 방법으로 수행하는 일련의 과정이라고 정의했다. - 절차 : 범죄 관련 조사, 수사를 지원하며 디지털 자료가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 사용해야 함
Locard의 법칙
모든 접촉은 흔적을 남긴다 라는 법칙.
범죄를 저지른 사람은 무의식적으로 범죄 현장에 단서를 남기고 현장에 있던 어떤 것을 가지고 있다고 보는 것이다.
여기에서 포렌식을 하는 입장에서 중요하게 생각해야 할 것은 오염되지 않았던 증거물에 포렌식 과정에서 오염을 시키게 되면 증거로서의 역할을 하지 못하게 되기 때문에 휴먼 에러를 조심해야 한다.
디지털 포렌식의 대상
디지털 기기
- 데스크탑 PC
- 노트북
- HDD/SSD
- USB
- 스마트폰
- CCTV
- 스마트워치
- 클라우드 서비스 등
디지털 기기 내 데이터
- 로그 파일
- 삭제된 파일
- 인터넷 사용 이력
- 이메일
- 문자 메시지 등
디지털 포렌식의 역사 및 발전 과정
초기
- 1930~
- 각국의 신호정보 수집 분석으로부터 시작
- 감청 : 국가 간 정보 수집 활동
- PC의 보급
- 데이터 복구에 초점
중기
- 1980~
- 다양한 디지털 기기에서의 증거를 찾고 분석하는 과학적 방법론으로 발전
현재
- 범죄 수사, 기업 내부 조사 등 다양한 영역에서 활용
절차의 중요성
- 결과보다는 과정
- 증거 능력을 보장할 수 있어야 함
디지털 포렌식의 기본 원칙이 따라줘야만 증거로서의 역할을 할 수 있음
디지털 포렌식의 기본 원칙
원본성/동일성(Originality)
증거를 분석할 때는 사본을 이용하여 분석하게 되는데, 사본이 원본과 동일한지 확인하는 절차가 필요하게 된다.
이때 입증을 위해서는 수집 과정에서 의도적인 훼손 유무, 원본의 출처, 사용된 수집 도구 등을 기록해야 한다.
이러한 과정에서는 해시값, 채증 정보 등을 활용하게 된다.
- 비휘발성 데이터: 원본 그대로 복제
- 휘발성 데이터 : 최대한 원형을 보존하면서 수집
무결성(Integrity)
디지털 데이터가 수집 이후에 변경이나 훼손이 없었음을 입증해야 한다.
실무에서는 원본과 사본의 해시값 일치 여부로 무결성을 입증하게 된다.
ex. 파일의 복사본과 원본을 비교했을 때, 내용이 변경되지 않았다면 해시값은 일치한다.
하지만 파일의 내용이 조금이라도 달라지게 되면 해시값은 달라진다.
신뢰성(Reliability)
- 도구의 신뢰성
- 분석 과정에서 사용한 도구의 상세 내역(프로그램명, 버전 등)에 대해 보고서에 기입해야 한다.
진정성 (Authenticity)
앞에서의 모든 원칙들은 진정성을 위한 것이라고 볼 수 있는데, 최종적으로 인증을 하기 위한 검증 과정이라고 볼 수 있을 것 같다.
- 관리 연속성 (Chain of Custody)
- 디지털 증거의 수집, 이송, 분석 과정에서 디지털 증거가 최초 수집된 상태 그대로 변경 없이 관리되었음을 입증하는 것
참고
https://youtu.be/eBZ0LKZHAn4?list=PLx4zTdLSy3x7wBShSxO-gykGUPrH1LF4L
Whatever I want | Interested in DFIR, Security, Infra, Cloud