Chapter 11. 침해 대응과 포렌식 : 해킹 대응 및 추적

Presentation on theme: "Chapter 11. 침해 대응과 포렌식 : 해킹 대응 및 추적"— Presentation transcript:

1

2 Chapter 11. 침해 대응과 포렌식 : 해킹 대응 및 추적

3 침해 대응 포렌식에 대한 이해 증거 수집

4 침해 사고 발생 시 적절한 대응 절차를 알아본다. 포렌식의 절차를 알아본다. 포렌식을 통해 얻은 증거가 가지는 법적인 의미를 이해한다. 네트워크 및 시스템에서 얻을 수 있는 증거에 대해 이해한다.

5 01 침해 대응 CERT(Computer Emergency Resonse Team)
1988년 11월 22일 저녁, 미국 전역의 컴퓨터가 모리스 웜에 의해 멎어버린 사건이 이후 미 정부가 적극적으로 적절한 침해 사고의 대응책을 마련 미 국방부 고등연구 계획국(DARPA:The Defense Advanced Research Projects Agency)은 컴퓨터와 관련한 침해 사고에 적절히 대응하고자, 피치버그의 카네기 멜론 대학 내의 소프트웨어공학 연구소에 CERT 팀을 만듦. CERT 팀의 역할은 건물의 경비원의 역할과 유사 범죄자나 의심스러운 사람이 건물에 들어오면 검사하고 범죄자임이 확인되면 체포하는 것 [그림 11-1] 건물 경비원의 모니터링과 침해 대응

6 01 침해 대응 CERT(Computer Emergency Resonse Team) 사전 대응
침해 사고에 대한 사전 대응의 기본은 침해 대응 체계를 구축하는 것 CERT 팀의 구성 시스템 운영 전문가 : 침해 사고가 발생한 시스템을 효율적으로 복구하기 위해 서비스와 시스템과의 관계를 명확히 이해하고 조치 대외 언론 및 외부 기관 대응 전문가 : 침해 사고를 이해하고 언론 및 사이버 수사대, 경찰에 적절한 방법으로 대응 법률팀 : 침해 사고의 대응 과정에서 법적인 문제가 발생했을 때 이에 대한 판단을 내리고, 침해 사고와 관련 한 법적인 후속 절차를 진행 인사팀 : 조직 내의 각 인원의 권리와 책임에 대해 파악하고 침해 사고 대응 과정에서 적절한 조직원을 찾도 록 지원 [그림 11-2] CERT 팀의 침해 대응 절차

7 01 침해 대응 사전 대응 사건의 특성과 종류에 따른 위험 등급 1등급 상황
• 분산 서비스 거부 공격을 당하고 있어 정상적인 동작이 불가능한 경우 • 침입자에 의해 서버의 중요 파일이 삭제되고 있는 경우 • 트로이 목마 등의 악성 프로그램이 실행되어 정상적인 접근 제어를 실시해도 다른 경로를 통해 침입자의 지속적인 공격 시도가 있는 경우 • 침입자의 공격에 대한 대응 수단이 없는 기타의 경우 2등급 상황 • 비인가자에 의해 관리자 명령이 실행되고 있는 경우 • 시스템 자원을 불법적으로 사용하는 프로그램이 실행되고 있는 경우 • 일반 사용자의 홈 디렉터리에 시스템 파일이 존재하는 경우 • 일반적이지 않은 숨김파일 또는 디렉터리가 존재하는 경우 • 시스템 담당자가 알지 못하는 사용자가 추가되거나 사용자 권한이 임의로 변경된 경우 3등급 상황 • 외부 또는 내부로부터의 계속적인 취약점 수집(Scanning) 행위가 발견되는 경우 • 외부 또는 내부로부터의 계속적인 불법적 접근 시도가 발견되는 경우 • 외부 또는 내부로부터의 비정상 패킷의 전송량이 증가하는 경우 • 확산 속도가 빠른 바이러스가 외부에서 발생한 경우

8 01 침해 대응 사전 대응 등급 상황별 대응 절차 1등급 상황에 대한 대응 절차
• 침해 사고 발생 상황이라고 판단되면 시스템 담당자가 CERT 팀의 팀장에게 즉시 보고한다. • 단 긴급 상황에서는 피해를 최소화하기 위해 네트워크의 인터페이스 단절, 전원 공급 중단 등의 조치를 먼 저 수행할 수 있다. 2등급 및 3등급 상황에 대응 절차 • 시스템 담당자가 비인가 접근 시도 및 정보 수집 행위를 발견하면 CERT 팀과 함께 해당 단말기 또는 IP를 조사하여 소속 네트워크 및 조직을 파악한다. • 내부 시스템에서 침입 시도가 발생한 경우에는 시스템 위치를 확인하여 책임자와 접속 경위 등을 조사한다. 그리고 외부 네트워크로부터 침입 시도가 발생한 경우에는 해당 조직의 시스템 담당자 또는 보안 담당자에 게 해당 IP로부터 불법적인 접근 시도가 발생하였음을 통보하고 협조를 구한다. • 외부 네트워크로부터의 침입 시도에 대한 적절한 조치가 수행되지 않고, 그 위협이 심각한 경우에는 대외 기 관(검찰, 경찰, 한국정보보호 진흥원 등)에 조사를 의뢰한다. • 침입 시도에 대한 대응이 종료된 이후에는 CERT 팀의 팀장이 침입 시도 방법, 침입 시도 대응책 등이 포함된 ‘침입 시도 대응 보고서’를 작성하여 관련 담당자에게 이메일 또는 문서로 공지한다.

9 01 침해 대응 사전 대응 사고 탐지 침해 대응 체계가 잘 구축되었는지 확인하기 위한 점검 사항
조직의 모든 사람은 보안 정책에 대해 알고 있는가? 침해 사고 대응팀의 모든 멤버는 사고 발생 시에 누구에게 보고해야 하는지와 언론 관련 대응에 대해 충분히 인지하고 있는가? 침해 사고 대응팀의 모든 멤버는 침해 사고 발생 시 처리해야 할 기술적 절차에 대해 충분히 이해하고 있는가? 침해 사고 대응과 관련한 모든 멤버는 정해진 절차에 따라 주기적으로 훈련을 수행하고 있는가? 사고 탐지 침해 사고 식별 과정에서 확인해야 할 사항 침해 사고 발생 시점은 언제인가? 누가 침해 사고를 발견하고 보고했는가? 침해 사고는 어떻게 발견되었는가? 침해 사고의 발생 범위는 어디인가? 그리고 이로 인해 다른 곳에 손상이 발생한 사항은 없는가? 기업의 서비스 능력을 손상시키는가? 공격자의 규모와 공격 능력은 어느 정도인가?

10 01 침해 대응 사고 탐지 침해 사고 발생을 실시간으로 식별하는 과정은 주로 침입 탐지 시스템(IDS)이나 침입 방지 시스템(IPS), 네트워 크 트래픽 모니터링 장비(MRTG:Multirouter Traffic Grapher), 네트워크 관리 시스템(NMS:Network Management System)을 통해 이루어짐. [그림 11-3] MRTG와 NMS

11 01 침해 대응 대응 침해 사고로 인한 손상을 최소화하고 추가적인 손상을 막기 위한 것으로 크게 다음 세 단계에 따라 수행됨. 1. 단기 대응 기본적으로 손상을 최소화하기 위한 단계 침해 사고가 발생한 시스템이나 네트워크를 식별하고 통제될 수 있는 경우에는 해당 시스템이나 네트워크의 연결을 해제하거나 차단 2. 백업 및 증거 확보 침해 사고 발생 후 후속 처리를 위해 침해 사고 발생 시스템을 초기화하기 전에 백업 포렌식 절차에 따라 시스템의 이미지를 획득하는 과정 3. 시스템 복구 시스템에 백도어 등의 악성코드를 제거 시스템 계정 및 패스워드를 재설정하고 보안 패치 적용 다시 서비스가 가능하도록 네트워크에 연결 제거 및 복구 최초 침해 사고 발생을 식별한 시스템 및 네트워크 이외에 추가로 침해 사고가 발생한 곳이 있는지 모두 확인하 고 조치하는 단계 모든 조치가 완료된 상황에서 서비스를 완전하게 복구

12 01 침해 대응 후속 조치 및 보고 침해 사고 식별과 대응 과정은 정해진 기록 문서에 따라 작성
이렇게 작성된 문서와 포렌식 과정에서 획득한 자료를 기반으로 침해 사고에 대한 보고서를 작성 침해 사고의 원인을 확인하고 그 대응책을 마련해야 함.

13 02 포렌식에 대한 이해 포렌식의 개념 1991년 미국 오레곤주 포틀랜드의 IACIS(International Association of Computer Investigative Specialists, 국제 컴퓨터 수사전문가 협회)에서 개설한 교육 과정에서 ‘디지털 포렌식’이라는 용어를 처음 사용하면서 널리 사용 되기 시작 디지털 포렌식의 정의 컴퓨터 관련 조사·수사를 지원하며 디지털 데이터가 법적 효력을 갖도록 하는 과학적·논리적 절차와 방법을 연 구하는 학문 [그림 11-4] 포렌식을 수행 중인 수사관

14 02 포렌식에 대한 이해 증거에 대한 이해 증거의 종류
직접 증거 : 요증 사실(증거에 의하여 증명을 요하는 사실)을 직접적으로 증명하는 증거. 범행 목격자, 위조지폐 등이 이에 속함. 간접 증거 : 요증 사실을 간접적으로 추측하게 해주는 증거. 범죄 현장에 남아있는 지문이나 알리바이 등이 이에 속함. 인적 증거 : 증인의 증언, 감정인의 진술, 전문가의 의견 등 물적 증거 : 범행에 사용한 흉기, 사람의 신체 등 전문 증거(Hearsay Evidence) 포렌직에 의해 수집된 증거는 기본적으로는 간접 증거에 속함. 전문 증거는 인정의 기초가 되는 실험 사실을 실험자 자신이 법원에 직접 보고하지 않고, 진숤나 진술 기재서 를 통해 간접적으로 보고하는 경우를 말함. 영미법에서는 반대신문을 거치지 않은 진술 및 그 진술에 대신하는 서면을 전문 증거라고 하여, 그 진술의 진 실성을 당사자의 반대신문에 의하여 확증할 수 없다는 것을 이유로 원칙적으로 증거로 채택하지 못하게 함. 이를 전문법칙 또는 전문증거배척의 원칙이라고 함.

15 02 포렌식에 대한 이해 증거 개시 제도 미국에서는 형사소송법을 개정하여 2008년 1월부터 증거 개시 제도가 도입됨.
이 제도는 정식재판이 진행되기 전 공판준비절차 단계에서 민사소송은 원고와 피고 상호 간, 형사공판은 검사와 피고인(변호인) 서로가 각자 가지고 있는 증거를 동시에 개시하는 것 미리 오픈하지 않은 증거는 법정에서 원칙적으로 사용하지 못함. 미국은 이 제도로 인해 디지털 포렌직이 대량의 문서 또는 이메일에서 증거를 찾는 e-Discovery로 발전하고 있음.

16 02 포렌식에 대한 이해 포렌식의 기본 원칙 포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 가지려면 그 증거를 발견(Discovery)하고, 기록 (Recording)하고, 획득(Collection)하고, 보관(Preservation)하는 절차가 적절해야 함. 정당성의 원칙 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 함. 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없음. 재현의 원칙 법정에 증거를 제출하려면 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함. 수행할 때마다 다른 결과가 나온다면 증거로 제시할 수 없음, 신속성의 원칙 컴퓨터 내부의 정보는 휘발성을 가진 것이 많기 때문에 신속하게 이뤄져야 함. 연계 보관성의 원칙 증거는 획득되고 난 뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하고, 이러한 과정에 대한 추 적이 가능해야 함. 이를 연계 보관성(Chain of Custody)이라 함. 무결성의 원칙 수집된 정보는 연계 보관성을 만족시켜야 하고, 각 단계를 거치는 과정에서 위조 및 변조되어서는 안 되며, 이 러한 사항을 매번 확인해야 함. 하드 디스크 같은 경우는 해시값을 구해 각 단계마다 그 값을 확인하여 무결성을 입증할 수 있음.

17 02 포렌식에 대한 이해 포렌식 수행 절차 수사 준비 수사를 준비(preparation)할 때는 장비와 툴을 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근할 수 있어야 함. 증거물 획득(증거 수집) 증거물을 획득(acquisition)할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해주는 사람이 있어야 함. 그리고 세 사람의 참관 하에 다음과 같은 절차를 수행해 • 컴퓨터의 일반적인 하드 드라이브를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록 • 복제 작업을 한 원본 매체나 시스템의 디지털 사진을 찍음. • 모든 매체에 적절한 증거 라벨을 붙임. [표 11-2] 포렌식에서 사용하는 증거 라벨

18 02 포렌식에 대한 이해 포렌식 수행 절차 보관 및 이송
획득된 증거는 앞서 언급한 연계 보관성을 만족시키며 보관 및 이송(preservation)되어야 함. 증거가 연계 보관성을 만족시키려면 우선 안전한 장소에 보관되어야 함. 안전한 장소를 Evidence safe라고 함. 이송되거나 담당자/책임자가 바뀔 때는 문서에 그 증적을 남김. [표 11-1] 연계 보관성 로그표

19 02 포렌식에 대한 이해 포렌식 수행 절차 분석 및 조사 최량 증거 원칙(The Best Evidence Rule)
복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야 함 법원에 제출하는 원본 또는 최초의 복제물은 기본적으로 보관하고, 이를 다시 복사한 문서로 분석 및 조사 (examination & analysis)를 해야 함. 각 분석 단계에서는 무결성을 확인할 수 있는 정보가 계속 기록되어야 함. 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한함. 프로그램 내에서 사용된 스크립트는 그 내용과 실행 단계별 결과가 문서화되어야 함. 보고서 작성 분석을 마친 뒤에는 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 문서화한 무결성과 관련된 정보, 스크립트 수행 결과를 보고서로 작성(reporting)해 증거와 함께 제출

20 02 포렌식에 대한 이해 사이버 수사 기구 국가정보원 – 국가사이버안전센터
2003년 7월 24일에 국가 사이버 테러 대응 체계 구축 기본 계획에 대해 대통령 재가를 받아 2004년 1월 2일 업무를 개시 [그림 11-6] 국가사이버안전센터

21 02 포렌식에 대한 이해 사이버 수사 기구 국가정보원-국가사이버안전센터 구분 내용 국가 사이버안전 정책 총괄
[표 12-3] 국가사이버안전센터의 업무 구분 내용 국가 사이버안전 정책 총괄 • 국가 사이버안전 정책 기획·조정 • 국가 사이버안전 전략회의 및 대책회의 운영 • 민·관·군 사이버안전 정보 공유체계 구축 운영 사이버안전 예방 활동 • 국가 정보통신망의 안정성 확인 • 사이버전 모의훈련 실시 • 정보통신망 보안성 검토 및 안전 측정 국가 사이버위협정보 종합수집·분석·전파 • 24시간 365일 주요기관 대상 보안 관제 • 위협 수준별 경보 발령 • 보안 분석 정보 배포 • 사이버안전 관련 기술 개발 침해 사고 긴급 대응, 조사 및 복구 • 사이버 공격 침해 사고 접수 • 사고 조사 및 대책 강구 • 피해확산 방지 및 복구 지원 • 범정부 합동조사·복구지원팀 구성, 운영 국내외 사이버 위협 정보 공유 및 공조 대응 • 국내 사이버 안전 전문 기구와 협의체 운영 • 미, 영, 불, 독, 캐, 일 등 선진국과 협력체계 구축·운영

22 02 포렌식에 대한 이해 사이버 수사 기구 대검찰청 첨단범죄 수사과
1995년 4월 1일 서울지검 특별수사 2부 내에 정보범죄수사센터가 설치 2000년 2월 21일에 컴퓨터 수사과가 신설 2005년 4월 18일에는 컴퓨터 수사과와 특별수사 지원과가 통합되어 현재까지 첨단범죄수사과로 운영 수행 업무 기술 유출 범죄 수사지원센터 : 산업기술 유출범죄와 관련하여 수사계획을 수립하고, 지원 인터넷 관련 범죄 수사 : 컴퓨터 및 인터넷 관련 장치를 압수 수색하고 분석 회계 분석팀 : 기업 비리, 회계 부정 등의 조사를 위해 회계 데이터를 압수 수색하고, 분석하며 관련자를 조사 범죄 수익 환수 : 범죄 수익을 합법적인 수입으로 가장, 은닉하는 자금세탁 범죄를 수사하며, 마약, 조직 범죄 등으로 인한 수익을 추적하고 몰수. 자금 추격팀 : 부패사범, 기업비리사범 등 경제적 이익의 획득과 관련된 범죄를 수사할 때 관련 증거 확보를 위한 금 융계좌를 추적하고 관련자를 조사. FIU이첩 정보 분석 : 금융정보분석원(FIU)으로부터 제공받은 혐의 거래정보 및 고액 현금거래정보에 대한 수사를 수행 첨단 범죄 수사 전문 아카데미 : 각종 첨단 범죄에 효율적으로 대처하기 위한 검찰 내부에 수사 전문가를 양성

23 02 포렌식에 대한 이해 사이버 수사 기구 경찰청 사이버테러대응센터
경찰청 사이버테러대응센터는 1995년 10월 경찰청 내 해커수사대라는 이름으로 최초 창설되어 현재까지 운영 [그림 11-7] 경찰청 사이버테러대응센터

24 03 증거 수집 네트워크의 증거 수집 보안 솔루션 이용
네트워크와 관련된 증거를 수집할 때, 우선적으로 고려할 수 있는 것은 침입 탐지 시스템 침입 탐지 시스템에는 공격자가 공격 대상을 침투하기 위한 스캐닝, 접근 제어를 우회한 반복적인 접근 시도 등에 대한 기록이 남아 있을 수 있기 때문에 침입 탐지 시스템에서와 비슷한 로그를 확인할 수 있음. MRTG(Multi Router Traffic Grapher)는 네트워크 링크상의 트래픽 부하를 감시하는 툴. 일반적으로 라우터에서 가져온 모든 데이터의 로그를 보관하고 있기 때문에, 일간/지난 1주간/지난 4주간/지난 12 개월 간의 기록을 작성할 수 있음. 200개 이상의 네트워크 링크를 즉시 감시할 수 있기 때문에 DoS와 같은 공격에 대한 증빙으로 유용한 정보를 제공 네트워크 로그 서버 이용 네트워크 로그 서버를 별도로 운영하는 경우는 많지 않지만, 로그 서버를 별도로 운영하면 포렌식을 하는 데 많은 도움이 됨 스니퍼 운용 증거를 수집하기 위해 스니퍼를 일시적으로 네트워크 패킷 탐지용으로 운용할 수도 있음. 공격자가 네트워크에 백도어 등을 설치해놓았을 때 스니퍼는 해당 패킷을 잡아내서 백도어를 탐지하고, 공격자의 위치를 탐색할 수 있음. 웜이나 바이러스에 의해 피해를 입고 있을 경우 발원지와 감염된 PC를 구분하는 데 사용할 수도 있음.

25 03 증거 수집 시스템(PC)에서의 증거 수집 활성 데이터 수집
정보는 시스템에서도 쉽게 사라지는 경우가 많기 때문에 확인한 증거는 바로바로 화면 캡처 등을 통해 남겨 야 함. 증거의 신빙성을 높이기 위해 증거 수집 과정을 카메라로 녹화하기도 함. 윈도우 시스템 net session을 이용해 현재 해커의 세션이 시스템에 남아 있는지 확인 윈도우에서 제공하는 query 툴을 이용해 로그인되어 있는 세션이 있는지 확인 [그림 11-8] net session 명령을 실행한 결과 [그림 11-9] query 툴을 사용해 시스템의 사용자 정보를 확인한 결과

26 03 증거 수집 시스템(PC)에서의 증거 수집 윈도우 시스템 query 툴을 이용한 사용자 세션(session) 정보 확인

27 03 증거 수집 시스템(PC)에서의 증거 수집 윈도우 시스템
명령 창에서 실행된 명령은 doskey/history 명령을 이용해 확인할 수 있음. [그림 11-12] doskey/history 명령을 실행한 결과

28 03 증거 수집 시스템(PC)에서의 증거 수집 윈도우 시스템 메모리에 남은 정보를 보관하기 위한 메모리 덤프를 수행
[그림 11-13] 작업 관리자에서 프로세스 선택 후 메모리 덤프 [그림 11-14] 메모리 덤프한 결과 파일

29 03 증거 수집 시스템(PC)에서의 증거 수집 리눅스(유닉스) 시스템
리눅스에서 현재 세션이 형성되어 있는 사용자를 확인할 때는 w, who, last 명령을 사용 세 가지 명령은 유사한 결과를 보여줌. 최근의 접속 기록을 확인할 때는 주로 last 명령을 사용 [그림 11-15] w 명령 실행 결과 [그림 11-16] last 명령을 실행한 결과

30 03 증거 수집 시스템(PC)에서의 증거 수집 리눅스(유닉스) 시스템
리눅스에서 실행한 명령 목록을 확인할 때는 history 명령을 사용 [그림 11-17] history 명령을 실행한 결과

31 03 증거 수집 시스템(PC)에서의 증거 수집 시스템 로그 분석
시스템 로그는 공격자에 의해 삭제될 수 있지만, 침해 사고가 발생했을 때 가장 먼저 살펴봐야 할 기본 항목 시스템의 로그가 삭제되는 것을 막기 위해 네트워크에 로그 서버를 별도로 둘 수 있음. 저장 장치 분석 기본 증거 데이터이므로 임의의 변경을 막기 위해 다음과 같은 쓰기 금지를 보장하는 장치를 연결 별도로 준비한 저장매체에 쓰기 금지시킨 원본 하드 디스크를 이미지(Image) 장치를 이용해서 복사함. [그림 11-18] Write Block [그림 11-18] Write Block [그림 11-19] 이미지 장비(도시어, SOLO4)

32 03 증거 수집 시스템(PC)에서의 증거 수집 저장 장치 분석
이미지 획득 작업은 저장 매체의 모든 정보를 비트 단위로 모두 복사하는 것 획득된 이미지는 별도의 포렌식용 시스템에서 포렌식 이미지 전용 분석 툴을 사용해 분석 이를 통해 시스템에 정상적으로 저장된 파일뿐만 아니라 삭제된 파일도 일부 복구할 수 있음. Abcd.txt 파일을 삭제하면 운영체제가 FAT(File Allocation Table)에서 abcd.txt 파일 이름의 첫 번째 바이트 값 을 -(0xe5)로 바꿈. abcd.txt는_bcd.txt로 바뀌게 되고, 파일 시스템에서는 이 동작만으로 파일이 지워진 것으로 간주 [그림 11-20] 파일의 삭제 전 상태와 삭제 후 상태

33 03 증거 수집 시스템(PC)에서의 증거 수집 저장 장치 분석 FAT의 경우 복구는 아주 간단히 이루어질 수도 있음.
HTFS는 이보다 복잡한 구조이나 단순삭제 및 복구가 쉽게 가능하다는 점은 FAT와 같음. 대표적인 툴로는 Guidance Software Inc의 EnCase가 있음. [그림 11-21] EnCase를 실행한 화면

34 03 증거 수집 시스템(PC)에서의 증거 수집 저장 장치 분석
2002년도에 만들어진 검찰 디지털 증거 분석시스템(D.E.A.S) [그림 11-21] EnCase를 실행한 화면

35 03 증거 수집 데이터 및 응용 프로그램에서의 증거 수집 이메일 분석
여러 명이 조직적으로 사건을 모의했을 때 이들간에 전송된 메일을 분석하여 증거 확보 피의자의 PC를 수거해 이미지 획득 작업을 거쳐 메일과 관련된 파일을 획득함(피의자 는 PC에 전송된 메일 이 저장되는 형태의 메일을 사용해야 함). 저장된 이메일은 쉽게 검색하고 분석할 수 있도록 다시 데이터베이스화되어 분석자에게 제공됨. 인터넷 분석 인터넷 분석에는 시스템에 저장되어 있는 인터넷 브라우저의 쿠키나 C:\Users\[사용자계정]\AppData\ Local\Widnows\History\History.IE5(윈도우 XP는 C:\Documents and Settings\Administrator\Local Settings\History)에 위치한 index.dat 파일을 이용 방문 사이트의 정보를 획득하고 작업 내용을 파악할 수 있음. [그림 11-23] WFA(Windows File Analyzer)를 이용한 index.dat 파일 열람

36 03 증거 수집 데이터 및 응용 프로그램에서의 증거 수집 CAATs
CAATs(Computer Assisted Auditing Techniques)는 데이터베이스에 있는 대량의 숫자 정보의 무결성 및 정확 성을 확인하기 위해 수행되는 분석 방법 CAATs에서는 엑셀에서 수용할 수 없을 만큼 큰 대량의 데이터를 분석하기 위한 엑셀 대용 툴이 사용됨(엑셀 은 버전에 관계없이 모두 65,000라인 정도의 데이터만 저장할 수 있음). 피의자가 회계 시스템 등에서 숫자를 조작하는 등의 부정 행위가 의심될 때 수행 사용하는 툴 :ACL(Audit Command Language) [그림 11-24] ACL 실행 화면

37