1장 디지털 포렌식 개론

목차 1장 디지털 포렌식 개론 디지털 포렌식 등장 배경 디지털 포렌식 흐름 디지털 포렌식 연구분야 디지털 포렌식의 기본 원칙 디지털 포렌식 수행 과정 디지털 포렌식 기술

디지털 포렌식 디지털 포렌식의 등장 배경 정보화 사회가 고도화됨에 따라 사이버 범죄가 증가하고 있으며, 이에 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 조사 기술이 필요하게 됨 생성되는 자료의 95% 이상이 전자(디지털) 형태로 존재, 매년 2배씩 증가 5년간 10배로 증가 예상 1,800 EB (=1.8ZB) 1EB = 1,000,000TB 12 ExaByte 9 ExaByte 281 EB 과거 300,000年 4年 180 EB 1999년 2006 2007 2011 출처 버클리 大 출처 IDC

디지털 포렌식 법과학(forensic science) 포렌식(Forensic) 의미 범죄 사실을 규명하기 위해 각종 증거를 과학적으로 분석하는 분야 지문, 모발, DNA감식, 변사체 검시, 컴퓨터 저장정보 포렌식(Forensic) 의미 법정의 공개토론이나 변론에 사용되는 범죄와 관련된 증거물을 과학적으로 조사하여 정보를 찾아내기 위한 컴퓨터 보안 -> 컴퓨터 포렌식 -> 디지털포렌식 Digital Forensics 美 DFRWS(Digital Forensic Research Workshop) 범죄 현장에서 확보한 컴퓨터 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물을 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출하는 것을 과학적인 방법으로 수행하는 일련의 과정

디지털 포렌식 범죄 수사에 입각한 정의 범죄 관련 조사∙수사를 지원하며, 디지털 자료가 법적 효력을 갖도록 하는 과학적∙논리적 절차와 방법을 연구하는 학문 전자적 자료: 컴퓨터에만 국한되지 않음 법적 효력: 법규범에 합치되는 논리성을 가져야 함 과학적/논리적: 보편성과 객관성이 필요한 지식 체계 절차와 방법: 목표 달성을 위한 과정이 결과만큼 중요

디지털 포렌식 흐름 컴퓨터와 통신망의 보급 1990년대 2000년대 컴퓨터와 관련된 범죄들과 디지털 정보에 근거한 각종 민형사상 소송 사례들이 증가함 1990년대 컴퓨터 관련 범죄자를 기소하고 처벌함으로써, 유사 범죄를 막고자 하는 취지가 강했음 2000년대 컴퓨터를 도구로 사용하는 범죄뿐만 아니라 해킹과 같은 정보보호 침해 사고가 폭발적으로 증가하였음 경제적 이익이나 정치적 시위를 위해 민간 부분뿐만 아니라 국가 기관에 대해서도 조직적이고 체계적인 형태의 공격들이 급증하였음 범죄 발생시 적절한 절차에 의해 디지털 증거를 수집하여 법적 효력이 있는 증거로 가공함으로써 민형사상 책임을 지울 수 있도록 법정에 증거를 제출하는 일련의 과정을 포괄하는 디지털포렌식이 필요

디지털 포렌식 흐름 1980 1990 2000 2005 군 또는 정보부의 전자정보 수집 IACIS – 1991, Digital forensic 경찰청 컴퓨터범죄수사대 - 1997 경찰청 사이버범죄수사대 - 1999 경찰청 사이버테러대응센터 - 2000 경찰청 디지털증거분석센터 - 2004 대검찰청 디지털포렌식센터 - 2008 ↓ 1980 1990 2000 2005 * 군 수사기관, 관세청, 국세청, 공정거래위원회, 저작권위원회, 식약청 등 조사업무를 담당하는 모든 업무에 디지털포렌식 기술을 도입하고 있음

디지털 포렌식의 기본 원칙 정당성의 원칙 무결성의 재현의 신속성의 연계 보관성의 디지털 포렌식

디지털 포렌식의 기본 원칙 정당성의 원칙 재현의 원칙 신속성의 원칙 입수 증거가 적법절차를 거쳐 얻어져야 함 위법수집증거배제법칙 위법절차를 통해 수집된 증거의 증거능력 부정 독수의 과실이론 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없음 재현의 원칙 같은 조건에서 항상 같은 결과가 나와야 함 신속성의 원칙 전 과정은 지체 없이 신속하게 진행되어야 함

디지털 포렌식의 기본 원칙 연계보관성(Chain of Custody)의 원칙 무결성의 원칙 증거물 획득 – 이송 – 분석 – 보관 – 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함 수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 함 무결성의 원칙 수집 증거가 위∙변조 되지 않았음을 증명 수집 당시의 데이터 hash 값과 법정 제출 시점 데이터의 hash 값이 같다면 hash 함수의 특성에 따라 무결성을 입증

디지털 포렌식 수행 과정

디지털 포렌식 기술 프라이버시 보호, 포렌식 수사 절차 정립, 범죄 유형 프로파일링 연구 디지털 매체 시스템 데이터 처리 증거 복구 증거 수집 및 보관 증거 분석 디지털 매체 하드디스크 복구 메모리 복구 하드디스크 복제 기술 네트워크 장비 정보수집 하드디스크 복제 장비 전자 매체 사용이력 분석 메모리 정보 분석 시스템 삭제파일 복구 파일 시스템 복구 시스템 로그온 우회기법 휘발성 데이터 수집 시스템 초기 접근 Forensic Live CD 윈도우 레지스트리 분석 시스템 로그 분석 데이터 처리 언어통계 기반 파일복구 암호 해독 / 패스워드 / DB 분석 스태가노그래피 파일 파편 분석 디지털 저장 데이터 추출 디지털 증거 보존 디지털 증거 공증/인증 데이터 포멧별 Viewer 영상 정보 분석 DB 정보 분석 데이터 마이닝 응용 프로그램 및 네트워크 파일포맷 기반 파일복구 프로그램 로그온 우회기법 암호 통신 내용 해독 네트워크 정보 수집 네트워크 역추적 DB 정보 수집 Honey Pot/Net 네트워크 로그 분석 해쉬 DB(시스템, S/W, 악성파일) 웜/바이러스/해킹툴 분석 Network Visualization 기법 네트워크 프로토콜 분석기 기타 기술 프라이버시 보호, 포렌식 수사 절차 정립, 범죄 유형 프로파일링 연구 외산/국산 포렌식 S/W 비교 분석, 하드웨어/소프트웨어 역공학 기술, 회계부정탐지 기술

디지털 포렌식 기술 디지털 포렌식 조사를 위해서는 디지털 기기가 동작하는 원리와 운영체제, 각종 응용 프로그램의 동작 방식까지도 이해해야 함. 디지털 데이터는 전원이 차단되면 사라지는 휘발성 데이터와 전원이 차단되어도 유지되는 비휘발성 데이터로 분류됨 휘발성 데이터 수집 프로그램은 수집되는 휘발성 데이터의 변경이 최소화되도록 개발해야 함 비휘발성 데이터 수집은 쓰기방지장치를 부착하여 진행하며, 존재하는 모든 데이터를 수집해야 함

디지털 포렌식 기술 수집된 데이터를 분석하는 기술로 파일 카빙(file carving), 검색, 타임라인(timeline) 분석, 파일 포맷 분석, 암호 해독 등이 있음. 파일 카빙: 삭제 데이터 복구는 미사용공간에 있는 데이터 조각으로부터 파일내부의 고유한 포맷을 찾아 원파일을 복구하는 과정 타임라인 분석: 사건을 재구성하기 위해서는 시간의 흐름에 따라 발생된 이벤트를 나열하는 분석 데이터를 암호화하거나, 의미없어 보이는 파일에 중요한 데이터를 삽입하는 스테가노그라피(steganography) 도구를 이용하여 데이터를 은닉하기도 함.

디지털포렌식 자격증 디지털포렌식 전문가 2급 디지털포렌식 전문가 1급 법무부에서 관리하는 국가공인자격 주관기관 : (사)한국포렌식학회, 한국인터넷진흥원 시험 내용 : 디지털 포렌식의 기본적인 내용을 전체적으로 평가하며 컴퓨터 구조, 네트워크, 데이터베이스, 기초실무와 디지털 포렌식 관련 법률 지식과 기초적인 실습형 평가 시행 필기는 객관식(사지선다형/OMR카드 마킹/120분/5과목)으로 진행되며, 실기는 실습형으로 진행 디지털포렌식 전문가 1급 2급 자격증 취득 후 2년이상 유관 경력자만 응시가능, 2016년부터 시행

디지털포렌식 자격증 <시험과목 및 검정방법>