Digital Forensic - Opening

포렌식이란?

 법적인 효력을 가지는, 범죄수사 및 민형사 소송 등 법정에서 사용되는 증거(혈흔, DNA, 지문 등)를 수집, 보존, 분석을 위한 응용과학 분야를 통칭하는 용어이다.

여기서 디지털 포렌식은 디지털적인 증거 등을 사법기관에 제출하기 위해 데이터 수집, 분석, 보고서 작성 등 일련의 작업(처리)을 칭한다. 사이버 범죄에서 범죄자가 남긴 다양한 디지털 증거를 유용하게 처리하는게 추적 및 조사의 핵심요소이다.

 

로카르의 법칙

 접촉하는 두 개체는 서로의 흔적을 주고받는다. 즉, 어떤 작업을 했으면 그에 대한 흔적은 반드시 현장에 남는다.

 

해킹과 차이점

 해킹은 불법적으로 권한 등을 얻어 정보를 탈취해 악용하는 것이고 디지털 포렌식은 영장이나 소유주의 동의 하에 증거 데이터를 수집 및 분석하는 작업이다. 암호를 해제하는 작업 등의 기술적 근간은 크래킹과 같지만 합법적으로 시행된다는 차이점이 있다. 즉, 영장이나 동의 없이 포렌식을 하는 것은 불법이다.

 

디지털 포렌식의 과정

1. 사전 준비

 신뢰할 만한 결과를 도출해낼 수 있는 물리적/소프트웨어 도구를 준비하고 이 도구가 무결성을 보장하는지 검증해야 한다.

증거물 수집을 위한 충분한 용량과 확장성을 가진 저장매체를 준비하고 필요에 따라 포맷 후 사용한다.

 

2. 증거 수집

 사건과 관련된 디바이스에서 데이터를 수집한다. 이때, 데이터가 오염되지 않아야 한다. 활성 데이터는 디바이스가 켜져있어야만 수집 가능(휘발성)하고 나머지 데이터는 디바이스를 끄고 수집한다. 디바이스가 켜져 있을 경우 현재진행형으로 데이터가 오염되므로 최대한 빨리 활성 데이터를 수집하고 종료한다.

그 후 무결성을 입증하기 위해 획득한 데이터에 대해 해시값을 만든다.

 

3. 증거 포장 및 이송

 수집된 데이터를 포장하여 분석하는 장소로 이송하는 과정이다. 마찬가지로 외부 요인에 의해 데이터가 오염되지 않게 봉인 씰과 함께 충격/정전기 방지용 팩 등을 사용해 포장 및 이송한다.

 

+)절차연속성의 법칙(Chain Of Custody)

 증거의 무결성 증명을 위해 현장에서 법정에 제출될 때까지 거쳐간 경로, 담당자, 장소, 시간 등을 기록해야하고 담당자 목록을 유지해야 한다.

 

4. 조사 분석

 수집한 데이터를 분석하는 과정으로 다양한 분석 기술이 사용된다. 흔히 디지털 포렌식은 이 분야의 연구를 지칭하기도 한다. 이 단계는 원본을 손상시키지 않도록 원본 데이터를 복제하는 과정도 포함되어 있으며 이 복제 또한 원본에 손상이 가지 않는 한에서만 가능하다.

• 저장매체 수리/복원
• 데이터 복구
• 해시 검색: 감사팀에서 자주 한다. 데이터가 변조되었을 경우 증거로 채택하기 어려우므로 이미징(복사)시 무결성을 검증하기 위해 이미징 장비에 해시값이 바로 표시되고 이 과정을 처음부터 끝까지 촬영한다.
• 암호화/복호화: 암호화된 데이터를 분석하기 위해 복호화하고 변조가 되기 쉽거나 민감한 데이터들은 암호화하여 보관한다.
• 데이터 브라우징: 수집한 데이터를 관찰하기 쉬운 형태(헥사 파일)로 변환한다.

• 타임라인 분석: 파일의 시간 정보, 메타데이터(다른 데이터를 설명하는 데이터)에 저장된 시간 정보 등 다양한 곳에 저장되어 있는 시간 정보를 이용해 타임라인을 구성해서 범죄자 및 사용자의 행위를 추적한다.
• 아티팩트 분석: 운영체제나 응용 프로그램을 사용하면서 생성된 흔적을 분석한다. 이 흔적은 시스템이나 응용 프로그램이 자동으로 생성한 데이터인 생성 증거와 사용자가 자신의 의견 및 감정을 표현하기 위해 인위적으로 작성한 데이터인 보관 증거로 나뉜다.
• 그 외 다양한 데이터 분석
• 파일 검색: 수많은 데이터 중 증거 등으로 활용 가능한 데이터를 정제한다.

 

+) 인간이면 선입견이 있다. 즉, 파일의 크기, 파일명이 의심스럽더라도(산업부 북한 원전에서 pohjois-뽀요이스, 북쪽) 확실한 증거가 나오기 전까지 단정지어서는 안 된다.

 

5. 정밀 검토

 분석 결과는 법적 증거로 채택될 수 있으므로 제출 전에 정확한 분석을 통해 추출한 정보인지 정밀 검토가 필요하다.

잘 못 추출된 증거가 있는지, 발견되지 않은 증거가 있는지 정확성을 위해 분석하는 단계이다.

 

6. 보고서 작성

 얻은 데이터에 대한 육하원칙에 따른 설명과 간략한 주석 등으로 객관성 있게 서술해야 한다. 또한 보고서를 읽을 대상 중에는 법관, 배심원, 변호사 등 비 전문가가 많으므로 알기 쉽게 서술해야 한다.

 

포렌식 업무 중 유의사항

 증거물을 수집하거나 압수할 때에는 무조건 수집할 수 없고, 수집하려고 하는 데이터가 개인 정보 등에 해당된다면 당사자의 동의가 필요하다. 또 수집 후 해당 증거의 관리도 철저해야 하며 분석 단계에서 알게 된 어떠한 내용도 다른 사람에게 알려서는 안 된다.