디지털 포렌식(Digital Forensic)에 대하여

디지털 포렌식(Digital Forensic)에 대하여

디지털 포렌식의 역사

 

​<< 도입기(1970년대 후반 ~ 1980년대 초반) >>

미국을 중심으로 컴퓨터 관련 범죄가 법으로 만들어짐

저작권, 개인정보보호, 사이버스토킹, 야동 포르노 등을 대처하기 위해 관련 법안 통과

 

<< 성장기(1980년대 ~ 1990년대) >>

법 집행 기관을 중심으로 디지털 포렌식 관련 기관을 설립

 

<< 표준기(2000년대 ~ 2010년대) >>

국가별로 디지털 포렌식 표준 수립

국가기관을 중심으로 디지털 포렌식 정책, 기술연구

 

<< 암흑기(2010년대 ~ 현재) >>

클라우드 기술을 이용하여 증거 수집이 어려워짐

빅데이터 기술로 분석이 어려워짐

분석 대상의 디지털 기기가 매우 다양해짐

안티포렌식 기법의 증가

고급 은닉 기법 증가(스테가노 그래피 등등...)

관련 법규 제한으로 인해 적용 범위가 제한됨

​디지털 증거의 정의

​디지털 데이터(Digital Data)란 컴퓨터, 휴대폰 등의 디지털 기기에 존재하는 모든 데이터를 의미한다.

디지털 증거는 디지털 포렌식 절차에 맞게 수집된 디지털 데이터로 법정에서 증거 효력을 갖는 디지털 데이터를 말한다.

 

  

 

​디지털 데이터의 특성

​비가시성 : 눈으로 확인하기 어렵기 때문에 별도의 장치가 필요하다.

변조가능성 : 0과 1로 이루어진 데이터로 쉽게 변조가 가능하다.

복제 용이성 : 0과 1로 이루어진 데이터 특성상 쉽게 복제가 가능하다.

대규모성 : 디지털 데이터는 매우 방대하다.

휘발성 : 내, 외부의 영향으로 쉽게 사라질 수 있다.(충격, EMP폭탄 등...)

초국경성 : 인터넷의 발달로 인해 데이터의 영향 범위가 국경을 초원한다.

디지털 포렌식의 적용 분야

​수사분야, 침해사고 대응, 포렌식 증거분석, 포렌식 회계 감사, 포렌식 컨설팅, 내부 감사 등이 있다.

 

​수사 분야에는 '사이버 및 지능 범죄'와 '일반 및 강력 범죄'로 나누어 진다.

'사이버 및 지능 범죄'에는

해킹, 바이러스 및 악성코드 피해 조사, 사이버테러, 정보은닉, 암호화가 있다.

'일반 및 강력 범죄'에는

공갈, 사기, 위조, 협박, 횡령, 명예훼손 등의 일반범죄, 회계부정, 세금포탈, 기업비밀유출, 살인, 강도 등의 강력 범죄가 속한다.

​디지털 포렌식의 적용대상

​개인용 및 서버용 컴퓨터, 노트북

이동형 저장매체(CD, DVD, USB, 외장하드, SD카드 등등..)

일반휴대폰, 스마트폰

데이터베이스

디지털카메라, PDA, 녹음기, MP3, PMP

CCTV, 내비게이션, 블랙박스

라우터, 스위치 등등...

디지털 증거가 남을 수 있는 모든 디지털 장치들이 적용대상이 된다.

디지털 포렌식의 유형

​디스크 포렌식(Disk Forensic)

비휘발성 저장매체(HDD, SSD, USB, CD등등..)을 대상으로 증거 획득 및 분석

 

라이브 포렌식(Live Forensic)

휘발성 데이터를 대상으로 증거를 획득 및 분석

최근 사용한 데이터는 RAM에 담겨있음

 

네트워크 포렌식(Network Frensic)

네트워크로 전송되는 데이터를 대상으로 증거 획득 및 분석

 

이메일 포렌식(E-mail Forensic)

이메일 데이터로부터 송수신자, 소수신시간 등의 내용을 기반으로 증거 획득 및 분석

 

데이터베이스 포렌식(Datebase Forensic)

방대한 데이터베이스로부터 유효한 증거 획득 및 분석

 

안티 포렌식(Anti Forensic), 안티안티 포렌식(Anti-Anti Forensic)

데이터 완전 삭제, 암호화, 스테가노 그래피

 

 

 

저장매체에 대한 ​디지털 포렌식 관련 기술

증거복구 : 하드디스크 복구, 메모리 복구

증거 수집 및 보관 : 하드디스크 복제 기술, 저장매체 복제 장비

증거 분석 : 저장매체 사용흔적 분석, 메모리 정보 분석

 

 

​시스템에 대한 디지털 포렌식 관련 기술

​증거복구 : 삭제된 파일 복구, 파일 시스템 복구, 시스템 로그온 우회 기법

증거 수집 및 보관 : 휘발성 데이터 수집, 시스템 초기 대응, 라이브 포렌식

증거 분석 : 윈도우 레지스트리 분석, 시스템 로그 분석, 백업 데이터 분석

 

 

​응용프로그램/네트워크에 대한 디지털 포렌식 관련 기술

​증거 복구 : 파일 포맷기반 복구, 암호 통신 내용 해독

증거 수집 및 보관 : 네트워크 정보 수집, 역추적

증거 분석 : 네트워크 로그 분석, 해시 데이터베이스, 바이러스/해킹 분석

 

 

​기타기술

​개인정보보호 기술, 디지털 포렌식 수사 절차 정립, 범죄 유형 프로파일링 연구, 통합 타임라인 분석

디지털 포렌식 도구 비교 분석, 하드/소프트웨어 역공학 기술(리버싱)