[디지털 포렌식] 개요

 

 

 

파일 시스템

 

• WINDOWS -> FAT32 (WINDOWS10 -> NTFS)
• LINUX -> ext2 또는 ext3 또는 ext4

 

각각의 파일 시스템들이 복구를 할 때 중요한 역할을 합니다.

 

 

 

 

디지털 포렌식 정의

 

• 전자증거물을 사법기관에 제출하기 위해 휴대폰, PDA, PC, 서버 등에서 데이터를 수집 분석하는 디지털 수사과정
• 디지털 기기에 있는 전자적인 정보를 수집하여 이를 복고, 수사하는 포렌식 내의 한 분야
• 정보통신 사회의 역기능에 대한 대안
• 경찰, 검찰, 군 수사기관에서 주로 사용
• 현재 민간기업으로도 확장되는 중
• 범죄에 대한 법적 증거자료 확보를 위해 디지털 저장메체와  네트워크 같은 전자적으로 기록된 모든 자료를 수집, 분석 및 보존하여 법적증거물로써 제출할 수 있도록 하는 절차와 행위

 

 

 

디지털 포렌식의 필요성

 

• 컴퓨터 관련 범죄 증가 및 증거 자료의 디지털화
• 컴퓨터 범죄 뿐만 아니라 일반 범죄 수사에서의 활용 빈도 증가
• 민간 분야에서도 기술의 수요가 폭발적으로 증가
• 모바일 인터넷 증가와 상용화
• 전자적 증거개시제도 : 서로 주고 받은 메세지 등을 보관하는 것이 중요.
                               삭제된 파일 복구 및 검토, 메타데이터 분석, 상세 데이터 분석
• 사본의 제거 : - 기업 서버나 공용 컴퓨터 등에 수도없는 복사본 존재
                    - EMAIL 첨부 파일이나 공용폴더 등에 같거나 비슷한 파일 다수 존재
                    - 시간적 손실과 분석 비용의 증가 야기
                    - Hash-set, fuzzy hash를 통해 제거
• 불필요한 파일의제거 (Culling)
• 색인화 (Indexing) : 방대한 양 문서를 검토하기 위해, 소송비용 절감 효과, 분석에 투자되는 시간 감소

 

 

 

NIST 미국표준 연구소

 

• 포렌식 랩
• 보안표준 -> 가이드 : SP800 시리즈

 

 

 

---

 

 

 

디지털 증거의 특성

 

=> 일반적인 증거와 달리 많은 특수성이 인정되어 일반 증거와는 다르게 다루어짐

 

1.  무체 정보성
2.  변조 용이성
3.  대량성
4.  네트워크 관련성
5.  전문성

 

 

기본 5대 원칙

 

1. 정당성의 원칙 : 획득한 증거자료가 적법한 절차를 준수해야 함, 위법한 방법으로 수집한 증거는 법적 효력 상실
2. 무결성의 원칙 : 수집증거가 위,변조되지 않았음을 증명할 수 있어야 함
3. 연계 보관성의 원칙 : 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자와 책임자를 명확히 해야함
4. 신속성의 원칙 : 시스템의 휘발성 정보 수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 신속히 진행
5. 재현의 원칙 : 피해 직전과 같은 조건에서 현장 검증을 실시하였다면, 피해 당시와 동일한 결과가 나와야 함

 

 

 

---

 

 

 

디지털 포렌식은 크게 두가지로 나뉩니다.

 

사고 대응 포렌식과 정보 추출 포렌식으로 구분해서 사용합니다.

 

 

 

1. 사고 대응 포렌식

 

• 해킹 등 침해 시스템의 로그, 백도어, 루트킷 등을 조사하여 침입자의 신원, 피해내용, 침입경로 등을 파악
• 네트워크 기술과 서버의 로그 분석 기술, 유닉스, 리눅스, 윈도우 서버 등 운영체제에 한 기술 등이 필요

 

2. 정보 추출 포렌식

 

• 병행 입증에 필요한 증거를 얻기 위해 디지털 저장매체에 기록되어 있는 데이터를 복구하거나 검색하여 찾아냄
• 회계 시스템에서 필요한 계정을 찾아 범행을 입증할 수 있는 수치 데이터 분석 또는 E-mail 등의 데이터를 복구 및 검색하여 증거를 찾아내는 것이 목적

 

 

 

 

<대상별 분류>

 

 

1. 디스크 포렌식

 

• 대용량 비휘발성 저장매체로부터 자료를 획득, 분석, 원하는 자료를 빠르고 정확하게 검색
• 삭제된 파일을 복구하고 여러가지 종류의 파일을 파일명, 확장자 등을 기준으로 분류
• 키워드 검색을 통해 수사의 단서 추출

 

 

2. 시스템 포렌식

 

• 컴퓨터 운영체제, 응용 프로그램 및 프로세스를 분석하여 증거를 확보하는 것
• 윈도우 시스템 : FAT16, FAT32, NTFS(윈도우2000 이후부터 사용된 것은 보안성 good)
• 리눅스/ 유닉스 시스템 : 업그레이드가 쉬운 EXT2 파일 시스템과 약점인 disk 복구 기능을 보완하여 만든 EXT3 파일 시스템

 

 

3. 네트워크 포렌식

 

• 네트워크를 통하여 전송되는 데이터, 암호 등을 특정 도구를 이용하여 가로채거나 서버에 로그 형태로 저장된 것을 접근하여 분석
• 네트워크 형태 등을 조사하여 단서를 찾아냄

 

 

4. 인터넷 포렌식

 

• 인터넷으로 서비스되는 WWW, FTP, USENET 등 인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집
• 게시판에 불법 정보를 업로드 하거나 명예훼손과 관련된 글을 올린 용의자 추적
• 전자메일 발신자 추적, 인터넷 서핑내역 추적 등을 위해 웹 서버나 메일 서버, WAS 등의 서버를 분석

 

 

5. 모바일 포렌식

 

• 휴대폰, PDA, 전자수첩, 디지털 카메라, MP3, 캠코더, 휴대용 메모리카드, USB 저장장치 등 휴대용 기기에서 필요한 정보를 입수하여 분석

 

 

6. 데이터베이스 포렌식

 

• DB로부터 데이터를 추출 분석하여 증거를 획득
• 방대한 양의 데이터로부터 증거 수집 및 분석을 위한 기술, ERP 기반에서 개발된 회계 시스템 등의 대형 시스템을 위한 H/W 및 S/W 기술, 다양한 DB 관리 시스템에 대한 제어 기술 등이 필요

 

 

7. 암호 포렌식

 

• 문서나 시스템에서 암호를 찾아냄
• 암호가 될 수 있는 숫자나 문자를 고속으로 대입하여 비교하는 크랙 프로그램을 개발하여 무차별 대입 공격 기법이나 사전대입 공격 기법을 빠른 속도로 실행

 

 

 

8. 회계 포렌식

 

 

• 기업의 부정과 관련된 수사를 할 때 저장된 회계 데이터를 추출하고 회계사 등 회계 전문가가 분석할 수 있도록 데이터를 정제
• 회계 시스템에 대한 프로그램을 개발 또는 운영해 본 경험이 있는 전문가 필요