[포렌식] 디지털 포렌식

* 강의 : 인프런

≫ 디지털 포렌식 개요

포렌식

법의학 등을 이용한 범죄에 관한 과학 수사

 

디지털 포렌식

컴퓨터를 통해 발생한 범죄에 대한 과학 수사로, 1980년대 중반부터 디지털 증거 관련 기술 다루기 시작했다. 1991년 IACIS에서 디지털 포렌식이라는 용어를 처음으로 사용했다.

- 정의 : 컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로부터 자료를 수집, 분석 및 보존하여 법정 증거물로써 제출할 수 있도록 하는 일련의 절차와 행위

- 목적 : 빠른 시간에 정확히 범죄자를 찾아내고 증거를 확보해 법적 대응이 가능하도록 해야 함.

- 필요성

• 컴퓨터 관련 범죄 증가 및 증거자료의 디지털화
• 디지털 포렌식 기술의 활용도 증가

> 디지털 포렌식 5대 원칙

1. 정당성의 원칙
2. 신속성의 원칙
3. 재현의 원칙
4. 무결성의 원칙
5. 연계보관성의 원칙

 

≫ 디지털 포렌식 유형

디지털포렌식의 분석 목적

1) 사고대응 포렌식(침해사고)

: 해킹 등 침해 시스템의 로그, 파일 등을 조사하여 침입자의 신원, 피해내용, 침입경로 등을 파악한다.

2) 증거(정보) 추출 포렌식

: 범행 입증에 필요한 증거를 얻기 위하여 디지털 저장매체에 기록되어 있는 데이터를 복구 하거나 검색하여 찾아낸다.

 

디지털포렌식 분석 대상은 다음과 같다.

- 디스크 포렌식 : 증거의 손상, 훼손 방지 위해 2개의 사본 필요

- 네트워크 포렌식 : 네트워크를 통해 전송되는 데이터 가로채기, 로그 분석, 네트워크 형태 조사

- 인터넷 포렌식 : 인터넷 응용 프로토콜 사용, 서버 분석

- 모바일 포렌식 : 휴대용 기기에서 필요한 정보 분석

- 데이터베이스 포렌식 : 방대한 양의 데이터 분석 기술, 대형 시스템을 위한 HW,SW 기술, 제어 기술 필요

- 암호학 포렌식 : 암호 찾아내기

- 회계포렌식 : 회계 전문가가 분석할 수 있게 데이터 정제

- 메모리 포렌식 : 증거추출 포렌식 분야에서 법정 증거로 채택 안됨

 

디지털 포렌식 절차

조사 준비 -> 현장 대응 -> 증거 확보 및 수집 -> 이송 및 보관 -> 분석 및 조사 ->보고서 작성 순으로 이루어진다.

 

1. 수사 준비

- 관리적/기술적으로 준비를 하는 과정

- 전문 인력과 포렌식 도구의 활용방안 수립

- 보관의 연속성 방안 수립

- 데이터의 무결성 유지방안 수립

- 압수수색영장, 진술서 양식, 자문가 연락처, 관리자 승인, 현장 채증 준비, 증거분석 툴 등 준비

 

2. 증거물 획득

- 각종 저장매체와 시스템에 남아 있는 디지털 증거를 획득하는 단계

- 휘발성 정보 수집

- 디스크 이미징 : 증거대상 디스크와 정확히 같은 사본을 만드는 과정

- 증거의 무결성 : 해쉬 및 검증 알고리즘

 

3. 디지털 증거 수집단계

- 휘발성 증거우선 수집

- 전원차단 여부 결정

*아래 표 숙지

전원차단 여부

 

- 증거 수집 대상에 따른 대응

  -> 개인용 컴퓨터 : 본체 그대로 OR 하드디스크 분리 복제 

  -> 대형 컴퓨터 : 전문가 도움을 받아 상황에 따른 적절한 증거 수집 수행

 

디지털 증거물 획득 절차

  -> 주의 사항 : 증거 손상, 전원 여부, 휘발성 자료, 시스템 시간과 표준 시간 비교, 프로그램 실행 금지, 데이터 변조 주의

 

4. 이송 및 보관

- 전자기파(EMP)에 노출 시 저장된 내용 훼손

- 반드시 사본 확보로 이중으로 확보할 것. (쓰기 방치 조치, 봉인, 증거물 담당자 목록 유지)

- 증거물 이송 : Bubble Wrap, 정전기 방지용 팩, 하드케이스를 이용하여 이송

- 연계보관 : 현장에서 증거가 법정에 제출될 시점까지 거쳐간 경로, 담당자, 장소 시간을 기록 (무결성!)

 

5. 분석 및 조사

- 증거물의 내부를 확인하고 범죄에 관련된 파일 또는 정보를 획득하는 과정

- 데이터 복구, 은닉 정보 검색, 암호 파일 해독

 

6. 보고서 작성

- 디지털 증거수집, 운송 및 보관, 조사/분석 단계의 모든 내용을 문서화 하여 법정에 제출하는 단계

- 주의 사항 : 알기 쉽게, 6하 원칙, 객관성, 논리적 

 

디지털 포렌식 도구

하드웨어

- 디스크 복제 장치 : ICS imagemasster Series, Logicube Dossier & Falcon, Tableau TD3, DataExpert Magicube, RedEye Forensic Duplicator Kit II, III

- 이동형 포렌식 워크스테이션 : Forensic Air-Lite MK III, ICS RoadMasster 3, Forensic Air-Lte M-15-SR

- 휴대용 포렌식 도구 : Encase Portable

- HDD 쓰기 방지 장치 : ICS super DriverLock, Tableau Tableau Forensic Bridge, Wiebetech Wiebetech Dock

- USB 쓰기 방지 장치 : Wiebetech USB WriteBlocker

- 메모리 카드 쓰기 방지 장치 : Ics Write Protect Card Reader

 

소프트웨어

- 디스크 포렌식 솔루션 : Guidance Encase, AccessData Forensic Toolkit, 파이널데이터 Final Forensics, Nuix, Autopsy, WinHex Forensic

- 휴대폰 포렌식 솔루션 : Paraben Device Seizure

- 라이브 포렌식 도구 : SIFT 3, Helix 3

- 활성 시스템 조사 도구 : LDFS

- 윈도우 레지스트리 분석 솔루션 : Rega

- 휴대폰 데이터 분석 솔루션 : 한컴 MD-NEXT, XRY, UFED

 

--- 그 외

포렌식 도구

1. 7Z : 압축 제거 프로그램

2. ac-820a : 안티 포렌식 도구

3. FTK Imager : 이미지 덤프 sw

4. CCleaner : 클리너. 안티 포렌식 도구

5. forevid : 프레임 단위로 영상 분석 도구

6. HxD : 디스크 분석, 파일 병합, 파일 Hex 값

7. NetworkMiner : 종단간 연결 세션 분석 도구

8. PCHunter : 윈도우 운영체제 관련 정보 추출 도구

9. Wireshark : 패킷 포렌식 도구

10. Winhex : hex 에디터