디지털 포렌식의 절차(6단계)

디지털 포렌식의 절차(6단계)

 

디지털 포렌식의 절차(6단계)

 

1. 사전 준비

2. 증거수집

3. 증거포장 및 이송

4. 조사 분석

5. 정밀 검토

6. 보고서 작성

 

 

 

 

1. 사전 준비

디지털 포렌식 절차를 신뢰적, 효율적, 체계적으로 실시 할 수 있는 독립 또는 통합도구 준비

저장매체 준비

'유령'드라마에서도 소지섭이 휘발성 데이터를 체크하기위해 별도의 Tools이 설치된 USB를 사용하는 것을 볼 수 있습니다.

 

 

 

 

 

2. 증거 수집

​디지털 증거물 획득 절차에는 6단계가 있습니다.

 

1) 초기대응

현장 도착 및 보호 (폴리스라인 등 경계선 설치)

현장 수색 및 시스템 파악

현장 정밀 수색

2) 휘발성 데이터 수집

프로세스 정보, 레지스터, 캐시메모리, 네트워크 연결정보, 로그온 세션, 임시파일 등.. 수집합니다.

 

영상에서 소지섭이 "휘발성 데이터 체크했어?"라는 대사가 나오죠..

3) 비휘발성 데이터 수집

저장매체를 중심으로 수집합니다.

 

 

4) 증거 획득

메모리 덤프

저장매체 복사, 이미지, 복제

 

영상에서

"그냥 노트북 까서 보면되는거지 뭐하러 일일이 다 복사하는거야?" 라는 대사가 나옵니다.

디지털 증거는 절대 원본으로 분석하면 안됩니다.

 

"원본으로 분석했다가 훼손 시키면 어떻할려구요? 복사본을 떠서 분석해야 안전하죠" 라는 대사가 나오죠 ㅎㅎ

 

 

5) 무결성 확보

해시 알고리즘을 사용하여 무결성 확보

증거물 이송 과정에서는 연계보관성(Chain of Custody)를 보장하기 위하여 봉인 합니다.

6) 증거물 인증

용의자 서명

제 3자의 서명

증거 수집 단계 촬영 및 녹화

 

영상에서 보면 현장을 들이닥치 때라든지, 현징 수색이라던지, 디지털증거 분석 및 조사 모든 것들을 사진으로 기록합니다.

 

 

 

 

  

3. 증거 포장 및 이송

​디지털 증거물 포장 및 이송 절차에서는

전자기(EMP) 폭탄 방지

증거물 포장(충격 방지 랩, 정전기 방지용 랩, 하드케이스 등을 사용)을 합니다.

또한, 연계보관성을 지켜야 합니다.

수집, 이동, 보관, 분석 과정에서는 각각 맡은 담당자들이 있기 때문에, 디지털증거를 건내주는 과정에서 서로 사인을 함으로써 전달단계를 거칩니다.

그리고 나서, 이송단계에서는 안전한 이송을 위해 포렌식 차량을 별도로 이용합니다.

절대 개인용 차량으로 디지털증거를 이송해서는 안됩니다.

4. 조사 분석

디지털 증거물 조사 절차는 9가지가 있습니다. 

1) 타임라인 분석

2) 데이터 브라우징

3) 데이터 복구

용의자가 데이터를 삭제했을 시 복구.

기본적인 파일 삭제는 메타정보와 데이터의 링크만 사라지기 때문에 원본데이터는 살아있다.

(메타정보 : 실제 데이터를 간략하게 표현한 데이터, 파일이름, 생성시간 등의 정보를 담고 있다.)

 

만약, 용의자가 일반삭제가 아닌 Wipping기법이나 덮어씌위기 기법으로 삭제했다면, 파일 카빙기법을 이용해서 복구한다.

 

4)저장매체 수리/복원

화재, 침수와 같은 자연재해로 인한 손상이 있을경우 상황에 따라 복구

하드웨어, 파일시스템이 손상된 경우에도 상황에 따라 복구

 

5) 해시 검색

조사대상 컴퓨터의 시스템 및 프로그램 파일을 퓨전 해시셋으로 비교 후 일치하면 조사대상 제외, 불일치시 정밀조사 진행

조사 대상 컴퓨터의 데이터 영역의 파일을 조사자의 개인 해시셋으로 비교 후 일치하면 정밀조사, 불일치시 일반조사 진행

 

용의자가 컴퓨터 관련으로 깊은 지식을 가지고 있다면, 컴퓨터 시스템을 변경할 수 있으므로 해시셋을 비교하여 정밀조사할 것인지 일반조사 할 것인지 정한다.

 

6) 파일 검색

중요 파일 혹은 의심되는 파일을 위주로 검색

 

7) 데이터 검색

용의자의 은닉 정보를 식별하고, 스테가노 그래피기법을 사용했는지 탐색

(스태가노 그래피 : 파일을 다른 파일안에 숨겨서 은닉하는 기법)

 

8) 암호 복호화/패스워드 크랙

용의자가 파일에 암호화를 걸어놨다던가, 컴퓨터에 암호를 걸어뒀다면 이를 복호화, 패스워드 크랙을 통해 해제시킨다.

용의자는 자신에게 불리한 증얼을 하지 않을 권리가 있기 때문이다.(묵비권)

 

9) 그 외 다양한 분석

통합 로그 분석, 악성코드 역공학(리버싱)

 

 

 

5. 정밀 검토 

분석 결과는 법정에서 증거로 사용될 수 있으므로 보고서 제출 전에 정밀 검토가 필요하다.

사본을 대상으로 동일한 과정을 반복하여 결과와 일치 하는지 확인을 한다. (재현의 원칙)

 

 

 

6. 보고서 작성 

연계보관성(Chain of Custody)과정을 육하원칙에 따라 명백하고 객관성 있게 기술한다.

보고서의 대상이 되는 법집행관, 배심원, 변호사 등은 비전무가 이므로 알기 쉬운 형태로 보고서를 작성한다.

전문가 증언을 대비해 비전문가를 대상으로 논리의 타당성이 있는지 준비한다. 

 

여기까지 디지털 포렌식의 절차를 설명해 드렸습니다.

부족한 부분도 다소 있지만, 최대한 자세하고 이해하기 쉽게 설명하려고 노력하였습니다.