디지털 포렌식

디지털 포렌식 : 디지털 과학 수사

모든 디지털 기기에서 나온 정보 수집 보존 분석 후 보고서 작성까지 하여 법정에 증거로 제출하는 일련의 과정

(파일, 데이터 복구뿐만이 해당되는 것이 아님)

 

디지털 기기에서도 모든 기록이 남는다.

ex) 와이파이 기록, usb 연결 기록

 

디지털포렌식 수사 순서

 

1. 사전준비

영장준비, 수집할 정보 우선순위 정하기 등

(임의 수사면 영장 필요 없음)

 

2. 증거수집

현장통제/보존 

휘발성 데이터 우선 확보

(현재 실행 중인 프로세스 리스트 등)

물리/가상 메모리 확보

이미지 획득

시스템 기본정보/네트워크 정보/ 실행중인 프로세스 정보 수집

비휘발성 정보 수집

디지털 기기 자체 수집

사본 이미지 생성 후 수집

증거물 수집 후 밀봉하여 이동

 

3. 분석

원본 훼손 방지위해 획득한 기기들을 디스크 이미징 시킴 (장비 사용)

encase, ftk등 소프트웨어 사용해 분석

조사에 필요한 데이터 선별 - 사건에 따라 다름

데이터 복구 수행(선택적)

파일 온전히 복구가 아니라 증거로 쓰일 부분만 복구하면 됨 (증거로 쓰여아 하는 것이 중요)

->파일 삭제해도 시스템 어딘가 파일 정보 담고 있는 영역(MFT)이 존재해서 복구 가능

 

4. 보고서 작성

객관적이고 명확하게 작성

누구나 읽을 수 있도록 쉽게 작성

논리의 타당성 중요

법정에 제출

 

포렌식에서 중요한 것

포렌식 5대 원칙 (법적 효력)

1. 정당성의 원칙

적법한 원칙으로 증거 수집

 

2. 무결성의 원칙

데이터가 위변조 되지 않았음을 증명할 수 있어야 함

 

3, 신속성의 원칙

신속하게 증거 수집

 

4. 재현의 원칙

같은 환경/조건/과정에서 재현할 경우 같은 결과가 나와야 함

 

5. 연계 보관성

증거의 획득, 이송, 분석, 보관, 제출 등 일련의 과정에서 증거물이 어떤 변경도 발생하지 않았다는 것을 보장하고 과정에 대해 추적이 가능해야 함