사이버범죄 수사과정 울산지방경찰청 사이버수사대 www.uspolice.go.kr

목 차 1. 사이버 수사의 기초 2. 사이버수사 현장 조치 3. 디지털증거분석 [ 정의ㆍ유형ㆍ특징ㆍ변화 등 ] [ 현장 수사의 개요 및 준비 ] 3. 디지털증거분석 [ 절차 ㆍ대상ㆍ압수 등 ] www.uspolice.go.kr 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 컴퓨터 or 네트워크 범죄의 필수요소 1-1 사이버 범죄 정의 ■ 공간이 갖는 다양성 (단순 정의 불가 ) ■ 일반 정의 : 사이버공간에서 발생되는 범죄행위 컴퓨터 or 네트워크 범죄의 필수요소 자체가 공격대상 인프라로 활용 범죄 장소로 활용 www.uspolice.go.kr 3 울산지방경찰청 사이버수사대

70% 30% 1. 사이버 수사의 기초 1-2 사이버 범죄 유형 일반 사이버범죄 사이버테러형 범죄 사이버범죄 유형 ● 해킹 ● 바이러스유포 ● 기타 테러형 범죄 ● 사기 (통신, 게임) ● 불법복제 ● 유해사이트 (음란, 도박) ● 명예훼손 ● 성폭력, 사이버스토킹 ● 협박·공갈 www.uspolice.go.kr 4 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-3 사이버 범죄 변화 혼합 형태의 범죄 Internet을 조 직 화 이용한 범죄 전 문 화 국 제 화 internet 대상 범죄 인터넷 카페 등 온라인 게임·채팅 PC방 누구나 개인 해커 (소수 전문가) www.uspolice.go.kr 5 울산지방경찰청 사이버수사대

+ + 1. 사이버 수사의 기초 1-4 사이버 범죄 일반적 특징 익명성 즉시성 개방성 신분을 밝히거나 방대한 양의 얼굴을 대면하지 않은 상태에서 발생한다 방대한 양의 범죄를 짧은 시간에 행함 국경의 개념이 없는 개방성 www.uspolice.go.kr 6 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-5 사이버 범죄 수사상 특징 ■ 범죄자적 특징 주로 젊은 층, 남성, 뚜렷한 범행동기가 없다 ■ 피해자적 특징 짧은 기간에 대량의 피해발생 2차적 피해발생 (해킹, 개인정보 유출) www.uspolice.go.kr 7 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-6 2007년 울산청 사이버범죄단속현황 사이버민원사건 및 인지사건 집중 단속 결과 1-6 2007년 울산청 사이버범죄단속현황 사이버민원사건 및 인지사건 집중 단속 결과 기 간 : '07년 1월 ~ 12월 (1년) <표-단속실적> 구분 발생 검거 검거율 검거인원 구속 불구속 내사종지 2007년 1,194 1,091 91.4% 1,311 22 703 586 2006년 1,933 1,669 86.3% 1,797 29 522 1.246 대비(%) -38.2% -34.6% +5.1% -27% -24.1% 34.6% -52.9% www.uspolice.go.kr 8 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-7 2007년 울산청 사이버범죄 발생분석 (유형별) 테러형범죄 : 사용자 도용(게임.일반 사이트) 1-7 2007년 울산청 사이버범죄 발생분석 (유형별) 테러형범죄 : 사용자 도용(게임.일반 사이트) 기타 : 선거, 성폭력, 협박 등 www.uspolice.go.kr 9 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-8 2008년 울산청 사이버 폭력 단속실적 (연령별) www.uspolice.go.kr 1-8 2008년 울산청 사이버 폭력 단속실적 (연령별) www.uspolice.go.kr 10 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-8 2008년 울산청 사이버 폭력 단속실적 (직업별) www.uspolice.go.kr 1-8 2008년 울산청 사이버 폭력 단속실적 (직업별) www.uspolice.go.kr 11 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-9 최근 사이버범죄 동향 – 해킹 및 정보보호 www.uspolice.go.kr 12 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-9 최근 사이버범죄 동향 – 08년 5월 해킹신고 현황 www.uspolice.go.kr 13 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 1-9 최근 사이버범죄 동향 – BotNet (IRCBotNet) IRCBot 제작자 IRCBot 1.명령전달(감염) IRC-서버 (C&C서버) 2.명령실행 (감염) 3. IRC서버접속 4. 명령전달 (감염 및 정보유출) 6. IRC서버접속 7. 명령전달(DOS공격) 5. 정보유출 피해서버 IRCBot 5. 감염 8. Ddos공격 새로운 감염대상

1. 사이버 수사의 기초 1-9 최근 사이버범죄 동향 – 해킹 피해사례

1. 사이버 수사의 기초 1-9 최근 사이버범죄 동향 – 개인정보침해 & 불법스팸 해커 ② ① ③ ④ ⑤ 불상지 amOO 1차 경유지(국외) 2차 경유지(국내) ② ① 해킹 불상지 amOO 해킹 ③ 불상지 스팸발송 해킹 중국 홍콩 해킹 루OO 다음회원 해커 해킹 해킹 브라질 YOOO ④ ⑤ 개인정보 수집 및 대출신청 대출 신청 www.uspolice.go.kr 16 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 ■ 최근 사이버범죄 동향 (개인정보 침해) www.uspolice.go.kr 17 울산지방경찰청 사이버수사대

1. 사이버 수사의 기초 ■ 최근 사이버범죄 동향 (인터넷 도박) www.uspolice.go.kr 울산지방경찰청 사이버수사대 18 울산지방경찰청 사이버수사대

2. 사이버수사 현장 초동 조치 2-1 현장 수사 ■ 현장 수사의 개요 (현장의 개념) 1) 피해발생 현장이 물리적으로 존재 하지 않지만, 컴퓨터의 위치로 규정 2) 피해 발생 현장과 범행현장이 장소적으로 불일치 (원격지 범행) 3) 현장 수사란 사건관련 컴퓨터에 대한수사, 반드시 현장임장 X(통신자료) 4) 관련 분야의 전문 지식을 갖춘 수사관이 직접 현장수사 필요(해킹 등) www.uspolice.go.kr 19 울산지방경찰청 사이버수사대

2. 사이버수사 현장 초동 조치 ■ 현장 수사를 위한 준비 1) 현장 출동용 장비 2) 현장수사 훈련 ① 유·무선 겸용의 휴대용 컴퓨터 ② 디스크 보호 장치 (Disk Write Blocker) ③ 외장형 저장장치 ④ 휴대용 하드디스크 복제기 및 복제용 하드디스크 ⑤ 증거수집용 소프트웨어 ⑥ 다양한 규격의 연결 케이블 및 어댑터 ⑦ 하드디스크 운반용 케이스 2) 현장수사 훈련 www.uspolice.go.kr 20 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-1 디지털 증거수집 - 표준절차 ■ 증거수집 표준절차 목적 ■ 증거수집 표준절차 범위 - 사건 초동 대응 시점에 증거물 수집을 위한 일반절차 - 증거물 수집 과정에서의 준수해야 할 절차에 대한 이해 ■ 증거수집 표준절차 범위 - 현장의 컴퓨터본체 또는 하드디스크 - 현장의 USB 메모리 등 기타 디지털 저장매체 - 켜져 있는 커퓨터 메모리의 휘발성 증거 www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 ■ 증거수집 기본원칙 ■ 증거수집 준비사항 - 적법절차의 준수 - 원본의 안전한 보존 - 증거의 무결성 확보 ■ 증거수집 준비사항 - 증거수집계획의 수립 - 증거수집팀 구성 - 수집장비 구성 www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-2 디지털 증거수집 - 대상 ■ 일반적 디지털 증거 수집대상 (현장) ■ 비 휘발성 증거의 대상 - 비 휘발성, 휘발성 증거 ■ 비 휘발성 증거의 대상 - 컴퓨터 본체 또는 하드디스크 증거 - 기타 디지털 저장매체 증거 : 와장 USB, 메모리카드, HDD 등 ■ 휘발성 증거의 대상 - 컴퓨터를 종료하면 사라지는 정보 : 네트워크 접속, 프로세스 상태 등 www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-2 디지털 증거수집 – 대상 (비 휘발성) ■ 인터넷 히스토리 www.uspolice.go.kr 24 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-2 디지털 증거수집 – 대상 (비 휘발성) ■ 임시 인터넷 파일 www.uspolice.go.kr 25 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-2 디지털 증거수집 – 대상 (비 휘발성) ■ 증거대상 컴퓨터 설정 시간 촬영 ■ 증거대상 컴퓨터 설정 시간 촬영 www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-2 디지털 증거수집 – 대상(휘발성) ■ 네트워크 정보 등 수집 www.uspolice.go.kr ■ 네트워크 정보 등 수집 www.uspolice.go.kr 27 울산지방경찰청 사이버수사대

3. 디지털 증거분석 3-3 디지털 증거수집 절차 - 압수절차 1) 사진촬영 및 현장 스케치를 수행한다. 2) 네트워크 정보 등 휘발성 증거를 수집한다. (시간 촬영필요) 3) 수집 대상물의 전원을 확인한다. 운 영 체 계 전원분리방법 DOS, Win98, NT 전원플러그 분리 NT Server 정상종료 Win-XP, 2000Pro Win-2000 Server Linux, Unix Macintosh www.uspolice.go.kr 28 울산지방경찰청 사이버수사대

3. 디지털 증거분석 4) 본체 수집을 원칙 (부득이한 경우 HDD수집) 5) 각종 외장형 저장매체 외 S/W, 주변장치, 케이블 등 수집 6) 증거물 포장시 상세정보 기재 증거물에 부착 및 봉인 7) 압수증명서 작성 입회인교부, 압수확인서 및 압수증거물 날인 8) 사용자 질의서를 작성 (용도, OS, PW, S/W 등) www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 ■ 압수확인 절차 - 압수증명서 작성 시 수집된 증거물에 대한 상세 사항을 기재 번 호 품 명 일련번호 수 량 1 삼성 센스 S200노트북 SM-SDFGC-1230-SF 2 3COM 무선랜 카드 3CR-100234300 3 휴대전화 LG SP900 LGMP-234-00 4 세로텍 휴대용 HDD SL-250G R리 [ 압수증명서의 증거 목록 기재례 ] - 압수 증명서를 입회인에게 교부한다. - 압수확인서 및 압수증거물 목록을 작성 후 입회인으로 부터 서명날인 받음 www.uspolice.go.kr 울산지방경찰청 사이버수사대

3. 디지털 증거분석 ■ 사용자 상세 질의문답 예제 - 컴퓨터 사용내역이 무엇입니까? - 컴퓨터 에 설치된 운영체계는 무엇입니까? - 주로 사용하는 응용프로그램은 무엇입니까? - 운영체계 로그인 명은 무엇이며, 패스워드는 무엇입니까? - 패스워드가 있어야 사용하는 프로그램은 무엇입니까? www.uspolice.go.kr 울산지방경찰청 사이버수사대

4. 사이버범죄 예방 www.uspolice.go.kr 32 울산지방경찰청 사이버수사대

Thank You ! www.uspolice.go.kr