ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Forensic. 디지털 포렌식 개론정리
      Forensic/이론 2020. 1. 11. 06:38

      1. 디지털 포렌식 정의 

      : 디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한

        절차와 방법

       

      1-1. 디지털 포렌식 방법론

      : 로카르드의 교환 법칙(두 개체가 접촉하면 반드시 무언가 교환된다.)의 개념을 근간으로 하고 있고, 목적은 법정에서 디지털 매체 등이 증거로서 인정받을 수 있도록 디지털 매체와 관련된 데이터 등을 보존하고, 복구, 분석하는 것

       

      1-2. 디지털 증거

      : 디지털의 형태이고 증거 가치와 신뢰성을 가지는 데이터

       

      1-3. 디지털 데이터 증거 능력 성질

      * 무결성 : 증거 수집 이후에 해당 증거에 대한 어떤 변화도 있어서는 안 됨 

      * 진정성 : 내용의 진정성 성립 여부로 현재로서는 증거 수집 과정을 녹화한 동영상, 사진 등이 있음

      * 동일성 : 법정에서 제출되는 증거가 사본일 경우 원본과 동일하다는 것을 증명하여야 함 (ex. hash 값 비교)

      * 신뢰성 : 증거를 수집하기 위해 사용되었던 도구나 방법 등이 믿을만한 방법이어야 하고 제삼자에 의해 동일한 환경에서 재현 시 같은 결과가 나와야 함

      * 정당성 : 증거는 현재 법적으로 허용하는 범위 내인 적법 절차에 의해 수집되어야 한다. 적법 절차를 거치지 않은 증거물과 위법 절차를 통해 얻어진 증거에서 얻어진 증거 또한 법정에서 증거물로 채택될 수 없음

       

      1-4. 디지터 포렌식 적용 분야

      : 사이버 범죄 및 지능 범죄 , 일반 및 강력범죄 , 민사 소송 분쟁

       

      1-5. 컴퓨터 포렌식 적용 분야

      : 인터넷 침해사고 조사 (해커 혹은 악성 프로그램의 활동 조사), 사용자의 부정이나 범죄 행위에 대한 조사 (내부 감사가 대표적)

       

      1-6. 디지털 포렌식 증거처리 절차

      * 생성 증거 : 사람이 아닌 시스템이나 응용 프로그램이 자동적으로 생성한 데이터

      * 보관 증거 : 사람이 생성한 데이터로 사람의 사상이나 감정이 표현되어 있는 데이터

       

      1) 사전 준비 단계

      - 증거 수집 단계에서 사용해야 할 도구나 장비 등을 숙지하고 증거 수집 단계를 뒷받침하기 위한 물리적 준비를 하는 단계

      - 평상시의 준비 과정을 일컫는다. 

       

      2) 증거 수집 단계

      - 증거를 획득한 사람, 증거 획득 감독, 증거 획득 인증의 역할을 하는 사람들이 각각 있어야 하며 참관한 상태에서 증거를 수집해야 함

      - 장비 등으로 디지털 증거를 수집하고 물리적인 증거들은 압수하는 데 압수할 목록을 미리 정하고 증거 압수를 수행한다. 

      - 이때 적법절차를 거쳐야 하며 위법 절차를 거치게 되면 증거로서 효력을 가지지 못하게 된다. 

       

      3) 증거 이송 단계

      - 해당 증거의 무결성 등을 보존하기 위해 CoC(Chain of Custody)를 수행해야 한다. 

      - 이때 증거 포장부터 신중해야 하며 증거 이송 단계에서도 신중을 가해야 한다. 

      - 증거물 이송팀은 증거물 수집팀이 증거 수집 단계에서 작성한 증거물 목록과 인수받은 증거물들을 대조하여 누락된 증거물이 있는지 확인하고 있다면 증거물 분실 목록에 누락된 증거물을 기록하여야 한다. 

      - 증거물 이송팀은 증거물들의 밀봉상태가 완벽한지 체크해야 한다. ( 훼손되어 있는 증거물이 있다면 증거 목록에서 제외하여야 한다.)

      - 증거물들을 이송한 후에는 다시 한번 이송 전 과정을 재수행해야한다.

       

      4) 증거 분석 단계

      - 활성 정보나 디스크(이미지), 메모리 이미지 등을 분석하는 단계로 각 데이터들을 분석하여 정보를 추출한다.

      - 증거물 분석 시 원본 증거물을 손상시키지 않기 위해 증거물 복제를 시도하는 과정이 포함

      - 증거물 복제는 원본과 동일한 분석이 가능하도록 복제되어야 하면 원본에 손상이 가지 않아야 한다. 

       

      5) 정밀 검토 단계

      : 디지털 포렌식을 수행한 자가 정확하게 분석을 수행하여 정보를 추출하였는지 검토하는 단계 (정확성을 위해 수행됨)

       

      6) 결과 문서화 단계

      : 간략한 부연 설명, 정보가 의미하는 결과 등을 기술하는 단계

       

      # 기제 항목

      1, 사건 번호 및 보고서 번호

      2, 증거 수집과 보고서 작성 일시

      3, 수사관/ 분석관/ 보고서 작성자의 신분과 서명

      4, 조사 및 분석에 사용된 장비와 환경

      5, 증거처리 절차의 각각 개략적 설명

      6, 첨부 자료

      7, 증거물에서 나온 증거 데이터의 분석 설명 및 결과

      8, 결론


      1-7. 업무 유의사항

      -  증거물을 수집하거나 압수하는 경우 무조건적으로 수집하지는 못함

      -  수집하려고 하는 데이터가 개인 정보 등에 해당된다면 필수적으로 당사자의 동의가 필요함

      -  증거 수집 후에 해당 증거의 관리 또한 철저히 해야 하며 증거 분석 단계에서 알게 된 어떠한 내용도 발설해선 안됨

      댓글

    Designed by Tistory.

    티스토리툴바