Ch4nh33

이전에 한번 설명했던 디지털 증거에 대해서 

심화적으로 다뤄볼려고 합니다. 

그럼 알아볼까요?

디지털 증거란?

이름에서 알 수 있듯이 전자적 형태의 증거물을 의미 합니다. 

전자적 형태로 유통되거나 저장되어있는 데이터로 사건의 발생 사실을 입증하거나 

반박하는 정보 및 범행의도나 알리바이와 같은 범죄의 핵심적인 요소를 알 수 있습니다.

아래와 같은 것들이 있습니다.

컴퓨터 시스템 

하드디스크 , USB 와 같은 휴대용 저장장치(외장하드,SSD 등등)

통신 시스템

네트워크 정보 나 인터넷, 방화벽, IDS등의 로그 데이터

임베디드 시스템

휴대폰, PDA, 네비게이션, mp3 등등 

디지털 증거의 종류

위에서 간단하게 한번 디지털증거가 크게 어떤것들이 있는지 알아봤는데

그럼 세부적으로는 어떤것들이 있을까요?

1. 문서파일 

한글 , 훈민정음, PPT, MS워드 등등 - 멀티키디어 데이터 (동영상/사진/Mp3)

2. 전자메일 

이메일 송 수신 정보 및 데이터 정보

3. 네트워크 데이터(패킷 등등)

4. 소프트웨어

바이러스 제작 도구 및 안티 포렌식 도구 

5. 로그데이터 

인터넷 / 방화벽 / IDS 등의 로그데이터

6. CCTV 영상 데이터 

7. 임베디드 시스템 저장 정보 

8. 교통카드 및 신용카드, 휴대폰 사용 기록 등

디지털 증거에는 2가지로 분류를 할 수 있겠습니다

쉽게 말해서 자동으로 생성되는 증거와 그렇지 않은 증거입니다. 

인터넷 사용기록이나 최근 사용한 파일같은 경우에는 우리가 일일히 저장하거나 생성하지 않아도 

알아서 기록이 되는 반면에 문서파일이나 이메일 같은 경우 우리가 만들어서 저장을 하거나 만들어서 보내지 않으면

자동으로 생성되거나 만들어지지 않습니다.

자동으로 생성되는 디지털 증거 

인터넷 사용기록 

방화벽 로그 

운영체제 이벤트 로그 

최근 사용한 파일 

인위적으로 생성되는 디지털 증거

문서파일

동영상

사진 / MP3

전자메일

소프트웨어 

암호 데이터

휘발성? 비휘발성?

또 하나의 기준을 이야기 하자면 포렌식에서 절대 빠질 수 없는 휘발성 데이터와 비휘발성 데이터 입니다.

말그대로 휘발성 데이터는 지금 이 순간이 아니면 사라지는 데이터 입니다. 

비휘발성은 반대로 지금 이 순간이 아니어도 항상 저장되어있는 데이터 입니다.

휘발성 데이터 

프로세스 

예약 작업 

인터넷 연결정보 

네트워크 공유 정보 

메모리 정보 

비휘발성 데이터

파일 및 파일시스템 

운영체제

로그 데이터

설치된 소프트웨어

디지털 증거의 특징 

매체 독립성 

디지털 증거는 유체물이 아니기 때문에 눈에 보이지 않습니다. (형체를 가지지 않죠)

컴퓨터가 없으면 볼 수 없습니다.

정보는 값이 같다면 어느 매체에 저장되어있든 항상 동일한 가치를 지니게 됩니다.

동일한 사진이 하드에 있든 SSD에 있든 같은 사진입니다. 

비가시성 / 비 가독성 

디지털 저장매체에 저장된 디지털 증거 그 자체는 사람의 자각으로 바로 인식이 불가능합니다. 

일정한 변환절차를 거쳐서 모니터 화면으로 출력되거나 프린터로 출력하여 확인을 하게되는데

예를 들어서 우리가 벡터값으로 이미지를 구별하지는 못하지만

이것을 프린트를 하게되면 이미지를 구별 할 수 있습니다

따라서 디지털 증거와 출력된 자료가 동일한지 확인이 필요합니다.

취약성 

디지털 증거는 삭제나 변경등이 용이합니다. 

하나의 명령만으로 하드디스크 전체를 포멧하거나 파일삭제가 가능합니다.

또한 파일을 열어보는 것만으로도 파일속성이 변경될 수 있습니다.

그래서 항상 수사기관에 의한 증거조작 가능성을 배제 할 수 없습니다,

그렇기 때문에 항상 무결성의 원칙이 지켜져야 한다는 이야기가 됩니다.

대량성 

저장 기술의 발전으로 방대한 분량의 정보를 하나의 저장매체에 모두 저장 할 수 있게 되었습니다.

회사의 업무처리에 있어서 컴퓨터의 사용은 필수적이고 회사의 모든 자료가 컴퓨터에 저장됩니다.

그 결과 수사기관에 의하여 컴퓨터가 압수되는 경우 업무 수행에 지장을 줄 수도 있습니다. 

전문성 

디지철 방식으로 자료를 저장하고 이를 출력하는데 컴퓨터 기술과 프로그램이 사용되겠죠?

전문적인 기술이 사용되기 때문에 디지털 증거의 압수 및 분성에 있어서 디지털 포렌식 전문가는 

필수적으로 필요하겠죠? (디지털 증거에 대한 신뢰성의 문제)

디지털 증거는 공간의 벽을 넘어서 전송이 되고 있으며, 그 결과 관련법률을 어느정도까지 

인정을 해워야 하느냐가 문제가 됩니다. 국경을 넘는 경우에는 국가의 주권 문제도 생기기 마련입니다.

따라서 상황에 맞게 잘 판단하는것이 좋겠습니다.

이렇게 이번에는 디지털 증거에 대해서 알아보았습니다.

이번에는 디지털 포렌식의 수사절차 및 과정을 알아보도록 합시다. 

한번에 확인을 하자면 이렇게 5단계로 분류가 됩니다. 

어떤분들은 6단계라고도 하는데 여기서는 5단계로 설명하겠습니다. 

수사준비

우선적으로 포렌식에 사용될 툴들이 작동하는지 테스트를 해야될것입니다.

포렌식에 어떠한 장비가 필요한지 그리고 필요한 장비들을 확보를 해야하겠죠?

그리고 어려운 상황에 대처를 할 수 있도록 협조체계를 확립합니다.

증거물 획득

현장을 가서 현장에서 바로 발견된 증거를 분석합니다.

그리고 스냅샷(사진)을 찍고 이미징을 하게됩니다. 

증거물과 마지막에 법정에 제출한 증거가 일치해야하기 때문입니다.

(당연히 증거물이 신뢰성이 있도록 증거물이라는 것을 인증해야 되겠죠??)

보관 및 이송

증거물들을 안전하게 파손되지 않도록 보관하고 이송을 해야합니다

미세한 물리적 접근도 파손되는 경우가 있기 때문에 최대한 안전하게 이동을 하거나

보관을 해야합니다.

분석 및 조사 

증거물을 획득한 단계에서 당연히 여러가지 증거 후보들이 나올 것입니다.

증거로 사용될 수 있는것들을 분석을 합니다. 

숨어있는 은닉데이터나 로그나 해시를 분석하거나 등등 

범죄에 사용되었던 증거물들로 부터 증거로 사용될 수 있는 것들을 분석합니다.

보고서 작성 

일반 사람들 같은 경우 전공자가 아니기 때문에 누구나 잘 알아볼 수 있도록 

보고서를 작성해야 합니다. 그렇게 해야 법정에서 판사가 보고서를 통하여 판결을 내릴 수 있을 것입니다.

증거 분석결과와 증거담당자 및 전문가의 소견이 필요할 것입니다.

이렇게 이번에는 포렌식의 절차에대해 알아보았습니다

디지털 포렌식에서는 기본 원칙들이 존재하는데,

당연히 수사를 할려면 수사 원칙이 있어아 되겠죠?

어찌보면 당연한것이지만, 이것들이 지켜지지 않아서  증거로 채택이 되지 않습니다. 

정당성의 원칙 

입수증거가 적법절차를 거쳐서 얻어져야 합니다. 

1. 위법 수집 증거 배제 법칙 : 위법절차를 통해 수집된 증거는 증거능력이 없다. 

2. 독수의 과실이론 : 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없다.

재현의 원칙 

당연히 같은 조건에서 항상 같은 결과가 나와야 합니다. 

만약 다른 결과가 나온다면 신뢰성이 떨어지겠죠??

신속성의 원칙 

전 과정은 최대한 빨리 신속하게 진행이 되어야 합니다. 

진행이 느려서 증거가 인멸된다면 안되겠죠??

절차 연속성의 법칙 (연계 보관성의 원칙) 

증거물 획득 - 이송 - 분석 - 보관 - 법정제출의

각 단계에서 담당자 및 책임자를 명확히 해야합니다.

만약 수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자가

해당 내용을 확인하고 해당 내용을 인수인계 이후 과정에서 복구 및 보고서 작성등

적절한 조치를 취할 수 있어야 합니다. (증거가 손상이되면 안되니까요)

무결성의 원칙 

수집 증거가 위 변조 되지 않았음을 증명해야 합니다.

당연히 증거가 변조되면 증거로 채택이 되지 않을것입니다.

대표적으로 해시값을 비교하여 무결성을 증명합니다.

이렇게 디지털 포렌식의 5가지 원칙을 알아보았습니다.

제목 그대로 포렌식 이야기 할거구요

뉴비분들이나 처음 공부하는 분들에게 도음이 되었으면 좋겠습니다.

사실 제가 안까먹을려고 하는거지만요 :)

디지털 포렌식이란? 

법과학 또는 법의학의 한 종류로 볼 수 있습니다. 

법의학은 범죄사실을 규명하기 위해 각종 증거를 과학적으로 분석하는 분야인데,

쉽게 말해서 컴퓨터 과학 수사라고 보시면 될 것 같습니다. 

그래서 정리하자면~~

컴퓨터 관련 조사 및 수사를 지원하면서, 디지털 자료가 법적효력을 갖도록 하는 과학적 / 논리적 

절차와 방법을 연구한다고 합니다.  (꼭 컴퓨터만이 아니라 전자기기나 전자장비 다 해당되겠죠?)

이러한 사진을 본 경험이 있을겁니다 (본 적 없는데요 -> 괜찮습니다 ㅠㅠ)

범죄가 일어나면 경찰이 초동 수사를 하여 현장에 있는것을 가지고 분석을 하죠 

현장에 증거가 있었다는것을 증빙하기 위해서 사진을 찍거나

밀폐된 용기안에 증거물을 넣는것들을 합니다.

그와 마찬가지로 컴퓨터에서도 똑같이 진행을 한다고 보면됩니다. 

물론 당연히 컴퓨터와 실제 환경은 차이가 나겠죠??

대표적으로 혈흔이나 DNA, 지문 및 위조지폐 이러한 증거들은 아날로그 증거라고 한다면 

디지털 포렌식은 디지털 증거가 있을겁니다

(하드나 microSD, 네비게이션, 휴대폰,등등) -> 일상적으로 사용되는 전자기기 대부분 

디지털 포렌식의 등장 배경

당연히 컴퓨터 및 정보화 사회에 기술이 발전하면서 자연스럽게 사이버 범죄가 증가하고 

이에 대처를 하기위해서 기존에 없었던 새로운 형태의 기술이 필요하게 된것입니다. 

그래서 디지털 포렌식에도 여러가지 종류가 있습니다. 

1. 디스크 포렌식 

2. 시스템 포렌식 

3. 네트워크 포렌식 

4. 모바일 포렌식 

5. 인터넷 포렌식 

6. 데이터베이스 포렌식 

한번 나눠보자면 크게 이런것들이 있겠네요 

이렇게 포렌식의 기본적인 정의를 알아보았습니다.