디지털 포렌식

From IT위키
Revision as of 12:21, 5 January 2020 by Sknuu342 (talk | contribs)

분류:보안분류:정보보안기사

Digital Forensic
디지털 기기를 대상으로 발생하는 특정 행위의 사실 관계를 법정에서 증명하기 위한 방법 및 절차

디지털 증거

장치에 저장되거나 네트워크를 통해 전송 중인 자료로서 조사 및 수사에 필요한 증거자료
  • 디지털 증거분석
    • 장치 혹은 전송 중인 자료에 대한 원본 보존
    • 사건 관련 증거를 과학적인 절차를 통하여 추출, 검증, 판단하는 조사·수사 과정
  • 휘발성 증거
    • 일시적으로 메모리 혹은 임시파일에 저장되는 증거로 컴퓨터 종료 시 삭제되는 디지털 증거
    • 램 스랙 영역, 램 비할당 영역, 네트워크 설정 값, 네트워크 연결 정보, 힐행 중인 프로세스, 열려진 파일, 로그인 세션, 운영체제 시간
    • 휘발성이 높은 것부터 빨리 회수해야 한다.
      • ex) 레지스터→캐시→주기억장치(메모리)→임시파일→기타파일
  • 비휘발성 증거
    • 컴퓨터 종료 시에도 저장매체에 남아 있는 디지털 증거
    • 설정 값, 로그, 애플리케이션 파일, 데이터 파일, 스왑 파일, 덤프 파일, 하이버네이션 파일, 임시 파일

디지털 증거 수집 원칙

  • 정당성의 원칙
    • 증거 수집 및 절차의 적법성 여부
    • 위법수집 증거 배제법칙
      • 위법절차를 통해 수집된 증거는 증거 능력을 인정하지 않음
      • ex) 해킹을 통해 수집한 증거는 채택 하지 않는다.
    • 독수 독과 이론
      • 위법하게 수집된 증거에서 얻어낸 2차 증거도 증거 능력을 인정하지 않음
      • ex) 해킹으로 얻은 비밀번호로 특정 파일을 복호화 하여 얻은 증거도 인정하지 않는다.
  • 재현의 원칙
    • 같은 조건과 상황 하에 항상 같은 결과가 나와야 함
    • ex) 불법 해킹 용의자의 해킹 툴이 증거 능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 동일한 결과가 나와야 한다.
  • 신속성의 원칙
    • 디지털 포렌식의 전 과정이 신속하게 진행 되어야 함
    • 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라진다.
  • 연계 보관성의 원칙
    • 증거물 수집부터 제출까지의 각 단계에서 담당자 및 책임자가 명확해야 함
    증거획득 → 이송 → 분석 → 보관 → 법정제출
    • 저장매체가 이동 단계에서 물리적 손상을 입었다면 이동 담당자는 이를 확인하고 내용을 정확히 인수인계하여 이후 적절한 조치가 취해지도록 해야 함
  • 무결성의 원칙
    • 수집된 증거가 위조, 변조되지 않아야 함
    • 일반적으로 수집 당시 해시 값을 저장하여 증거 제출시 무결성 입증

절차

파일:포렌식 절차.png

  1. 사전 준비 단계: 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동
  2. 증거 수집 단계: 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 함
  3. 포장 및 이송 단계: 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않아야 함
  4. 조사 분석 단계: 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭
  5. 정밀 검토 단계: 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계
  6. 보고서 작성 단계: 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계

로카르드의 교환 법칙

Locard's exchange Principle
  • 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙
  • 누구든 간에 동작 중인 시스템을 다루게 되면 해당 시스템은 변화가 발생한다.

디지털 포렌식 도구

  • FTK
  • Encase