디지털포렌식 개론

1. 디지털포렌식(Digital Forensics)이란

디지털포렌식이란 여러 디지털 매체 속에 존재하는 정보, 자료, 흔적 등등을 수집, 분석을 통해 법정에서 사용할 수 있는 증거물의 형태로 가공하는 것을 의미합니다. 포렌식(Forensic)이라는 단어는 고대 로마 시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래했으며, 법과학, 법의학이라는 용어에서 파생된 단어라고 합니다. 여기에 디지털 장비에서 법적인 증거를 확보, 유추한다는 의미에서 디지털(Digital)이라는 단어가 포렌식(Forensics)이라는 단어 앞에 붙은 것입니다.


2. 디지털포렌식의 역사 

1990년대 이후 개인용 컴퓨터가 보급되기 시작하면서 범죄 및 범죄의 증명과 관련된 사안에 컴퓨터가 많이 사용되기 시작했습니다.

  • 1991년 오레곤주 포틀랜드에서 열린 국제 컴퓨터 전문가 협회(IACIS)에서 컴퓨터 포렌식(Computer Forensics)이라는 단어가 처음 사용되었다고 합니다.
  • 1984년 FBI에서는 컴퓨터 증거물의 활용에 관한 기본적인 연구를 실시하였고, 1991년에는 컴퓨터 수사와 관련된 표준화 논의, 1993년에는 미국의 법집행 기관들을 모아 컴퓨터 증거에 관한 논의 뒤 컴퓨터 증거에 관한 조직(IOCE)를 결성하기에 이릅니다.
  • 1998년 이후 컴퓨터의 사용과 범위, 유형이 확대되면서 흔히 생각하는 컴퓨터 이외에도 다종다양한 디지털 형태의 증거에 관심을 가지기 시작함 -> 컴퓨터 포렌식 대신 디지털 포렌식이라는 단어가 정립됨.
  • 1998년 미국 정보의 수사기관들이 연합해 디지털 증거 실무그룹(SWGDE)를 결성했고, 2001년에는' 전자적 범죄 현장 수사'라는 현장실무 매뉴얼을 발간했던 바 있습니다.
  • 2004년에는 기술발달에 맞춰 매뉴얼을 재개정한 뒤 '디지털 증거 분석 지침'으로 정리해서 발간했고, 이후 국내나 유럽, 일본 등에 도입되어 수사에 활발하게 사용되고 있습니다.

3. 디지털증거의 증거능력과 연계무결성
디지털 증거가 법정에서 증거능력을 인정받기 위해서는 아래 4가지 사항이 준수될 필요가 있습니다.
  • 진정성 - 수집 및 저장과정에서 오류가 발생하지 않는 것
  • 무결성 - 수집 이후 각 분석 및 처리 과정에서 위 변조가 발생하지 않았을 것
  • 신뢰성 - 디지털 증거가 포렌식 과정 중 변조되지 않고, 분석 과정에서 신뢰할 수 있는 방법(검증된 방법)을 사용하여야 한다는 것.
  • 원본성 - 진행 과정 중의 여러 작업을 거쳐 법정에 제출된 증거가 원 매체에 있는 데이터와 동일할 것

이 요구됩니다.
위의 4가지 디지털포렌식 기본사항을 준수하며, 수집부터 법정 증거제출에 이르기까지 전 과정이 합법적이고 무결성, 정확성을 유지하는 한편 각 단계에서 책임소재가 명확하게 남는 방식을 통해 디지털포렌식 전 과정을 진행하는 것을 연계 무결성의 법칙(Chain of custody)라고 합니다.

디지털포렌식 증거 중 특정인에 의해 작성된 작성증거인 경우 형사소송법상의 전문법칙이 적용되어 증거능력이 일부 제한되나, 운영체제나 시스템 로그 등 기계적, 기술적인 방법에 의해 작성된 로그자료는 그렇지 않습니다.


4. 디지털포렌식 절차 

  • 증거획득(수집) - 현장에서 증거를 확보, 수집하는 것. 주로 피의자나 참고인에 대한 임의제출요청 혹은 압수수색 영장을 통해 증거를 획득한다. 증거 확득 과정 이후에는 무결성 증명을 위해 증거에 대한 해쉬값 계산 등을 진행해야 하며 피압수자 혹은 피제출자에게 확보한 증거에 대해 확인서명을 받아야 한다.
    증거획득 우선순위는 휘발성이 높은 정보와 주요 정보 -> 기타 휘발성이 낮은 정보 순서이며, 소형 메모리카드나 소형 전자기기에 대한 철저한 수색도 필요하다.
  • 이송 - 이송 장소 및 담당자 변경시 책임소재를 명확히 하여 무결성 확보
  • 분석 - 통상 디스크, 메모리 등을 비트스트림 이미지 기술 등을 통해 슬랙영역, 자유영역과 같은 부분까지 통채로 복제하며, 원본과 복제본의 정보가 동일하다는 것을 해쉬값 검증 등을 통해 증명한 뒤 분석한다. 일반적으로는 복제본을 분석에 사용하나 드문 경우 원본을 분석에 사용하기도 하는데, 이 경우 쓰기방지장치 등을 통해 내용에 변조가 없도록 하는 조치가 필요.
  • 보관 - 분실, 교체방지등 무결성 보장을 위한 안전한 장소에 보관
  • 보고서 작성 - 분석을 통해 얻어진 정보를 민형사법적 요구사항에 맞춰 증거자료로서 정리보고하는 과정으로, 전문 기술자가 아닌 법관이나 이해관계인 등이 이해할 수 있는 형태로 작성한다.
  • 법원제출 - 국내법원도 미 증거법을 준용한 '최량증거원칙'을 기본으로 하고 있으며, 원본제출을 원칙으로 한다.


5. 디지털포렌식 종류 및 사용 프로그램

  • 컴퓨터 포렌식 - USB 드라이브, SD 드라이브 등등 복원
  • 모바일 장치 포렌식 - 내장된 GPS / 위치 추적 또는 셀 사이트 로그 범위 추적, 내장된 통신 시스템(예:GSM)
  • 네트워크 포렌식 - 정보 수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링하고 분석 패킷 레벨 분석법
  • 데이터 분석 포렌식 - 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화된 데이터 조사
  • 데이터베이스 포렌식 - 데이터베이스와 관련된 포렌식 / 인로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구

사용 프로그램
  • Encase - Guidance Software에서 개발된 다용도 포렌식 도구로서 디지털 증거 수집, 검증 ,검색, 보고, 완전 삭제 등의 기능을 포괄적으로 지원하는 툴입니다. 수사기관과의 공조가 되어있어 법정의 요구사항을 잘 만족시키는 대표격 프로그램
  • FTK(forensic Toolkit) - Access Data Group에 의해 개발된 다용도 포센식 도구로 EnCase와 유사
  • HxD - Hex Editor로 파일을 RAW data value로 볼 수 있게 해주는 프로그램입니다. 헤더 분석등이 가능
  • Disk Imager - 디스크를 비트스트림 이미지로 복제하는 프로그램/하드웨어의 총칭으로 디지털포렌식 분석에는 원본보다는 무결성이 증명된 복제본을 통해 증명하는 경우가 많아 데이터 복제에 사용됩니다.

참고자료

댓글 없음:

댓글 쓰기

글에 대한 의문점이나 요청점, 남기고 싶은 댓글이 있으시면 남겨 주세요. 단 악성 및 스팸성 댓글일 경우 삭제 및 차단될 수 있습니다.

모든 댓글은 검토 후 게시됩니다.

Translate