디지털 포렌식

디지털 포렌식

범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것

 

컴퓨터 범죄 수사에 입각한 정의

컴퓨터 관련 조사와 수사를 지원하며 디지털 자료가 법적 효력을 갖도록 하는 과학적, 논리적 절차와 방법을 연구하는 학문

 

 

디지털 포렌식 개념도

 

 

디지털 포렌식의 등장 배경

정보화 사회가 고도화됨에 따라 사이버 범죄가 증가하고 있으며 이에 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 조사 기술이 필요하게 되었다. 또한 생성되는 자료의 95% 이상이 전자형태로 존재하고 이는 매년 2배씩 증가하고 있기 때문이다.

 

 

디지털 포렌식 분류

디스크 포렌식

물리적인 저장장치인 각종 보조기억자잋에서 증거를 수집하고 분석하는 포렌식 분야

 

시스템 포렌식

컴퓨터의 운영체제, 응용프로그램 및 프로세스를 분석하여 증거를 확보하는 포렌식 분야로 시스템 데이터 및 로그 분석 실시

 

네트워크 포렌식

네트워크를 통하여 전송되는 데이터나 암호등을 특정 도구를 이용하여 가로채거나 서버에 로그형태로 저장된 것을 접근하여 분석하거나 에러로그, 네트워크 형태 등을 조사혀여 단서를 찾아내는 분야

 

인터넷 포렌식

인터넷으로 서비스되는 www, FTP, USENET등 인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집하는 포렌식 분야

 

모바일 포렌식

휴대용 기기에서 필요한 정보를 입수하여 분석하는 포렌식 분야로 휴대용 기기 데이터 은닉 용이성으로 세심한 분석이 필요하다.

 

클라우드 컴퓨팅 포렌식

크라우드 컴퓨팅 환경에서의 사고 발생시 사고를 추적하고 증명할 수 있는 포렌식 분야로 Iaas, PaaS, SaaS 클라우드 서비스 모델에 따른 포렌식 특성 발생

 

데이터베이스 포렌식

데이터베이스로부터 데이터를 추출, 분석하여 증거를 획득하는 포렌식 분야로 기업의 분식회계, 횡령, 탈세 수사시 필수이다.

 

디지털 포렌식 조사의 원칙

정당성의 원칙

입수 증거가 적법 절차를 거쳐 얻어져야 한다.

• 위법수집 증거 배제 원칙 : 위법 절차를 통해 수집된 증거의 증거능력 부정
• 독수의 과실이론 : 위법하게 수집된 증거에서 얻어진 2차 증거도 증거 능력이 없다.

 

재현의 원칙

같은 조건에서 항상 같은 결과가 나와야한다.

 

신속성의 원칙

모든 절차는 지체없이 신속하게 이루어져야한다.

 

연계보관성의 원칙

증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다.

수집된 하드디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계한다. 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 한다.

 

무결성의 원칙

수집 증거가 위변조 되지 않았음을 증명해야한다.

수집당시의 데이터 hash 값과 법정 제출 시점 데이터의 hash 값이 같다면 hash 함수의 특성에 따라 무결성 입증이 가능하다.

 

 

디지털 포렌식 수행과정

수사준비 -> 증거물 획득 -> 보관 및 이송 -> 분석 및 조사 -> 보고서 작성