이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
 
작성자 : h0neyk.h0neyperl@gmail.com )

편집자 : 엔시스(sis@sis.pe.kr)


- 목차 -

->1. 디지털 포렌식이란 무엇인가?

2. 디지털 포렌식 분석을 위한 기초 지식

3. 디지털 포렌식의 기술 동향

4. 디지털 포렌식 도구 분석 ( Encase 등등)

5. 개발자 관점에서 보는 디지털 포렌식 기술

   5-1. Registry Hive  
   5-2. Web Log
   5-3. System Log

6. 향후 디지털 포렌식에 관한 견해

※ 목차는 변경 될 수 있습니다


안녕하세요 :)

이틀만에 돌아온 h0ney 입니다.

이번 포스팅에는 디지털 포렌식이란 무엇인지에 대해서

짧고 굵게 글을 써 보겠습니다.


더 쉬운 이해를 위하여

얼마전 만들어 두었던 PPT 를 참고하여 글을 풀어 나가겠습니다^^







위키백과의 글에 따르면 디지털 포렌식이란 ,

전자 증거물 등을 사법기관에 제출하기 위해

데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말합니다.






디지털 포렌식을 설명하기에 앞서서 포렌식이라는 의미는 무슨 의미일까요?

forensics 이라는 의미 자체는 법의학을 이야기 하며, 

범죄에 관한 과학수사를 의미합니다.


과학적인 수사는 일상 생활에서 많이 접할 수 있습니다.

유명한 미국드라마인 "프리즌 브레이크"에서도 최첨단 과학수사가 등장 하기도 하죠~

 
이 포렌식이라는 단어 뒤에

디지털이라는 단어가 수식어로 붙어서 디지털 포렌식이 됩니다.


이는 디지털 매체에 대한 과학적인 수사를 의미한다는 뜻이 되겠죠 :)


다시 풀이하면,


컴퓨터에 남겨진 여러 자료들을 수집하여 사법기관에 제출하기 위한 

법적으로 효용성이 있는 데이터들을 뽑아내는 작업을 디지털 포렌식이라 이야기 합니다.



 



너무 포괄적으로 설명했죠?

조금 더 구체적으로 설명 드리겠습니다.


수사시에 조사를 받아야 하는 용의자에 대하여

용의자가 소지한 디지털 매체에서 관련 자료들을 추출 해 낸 뒤,

경찰측에서 증거를 확보하여 용의자의 범죄를 입증하는 기술을 의미합니다.

꼭 범인을 결론짓는 기술이 아닌, 용의자의 무죄를 입증하거나

조사용으로도 많이 활용되는 기술이 디지털 포렌식 기술입니다.





디지털 포렌식은 크게 3가지 절차로 이루어집니다.

이 절차들은 디지털 포렌식의 핵심적인 이론이고,

대부분의 기관들이 이와 같이 디지털 포렌식 분석을 진행합니다.


첫번째로 증거 수집 ( Gathering of proofs)

두번째로 증거 분석 ( Evidence analysis )

세번째로 보고서 작성 ( Dcuments Production)

 
세번째 항목이 보고서 작성이 아닌 증거 제출 ( 무결성 및 툴 검증 ) 으로 분류되기도 합니다.





첫번째로 증거 수집은  손상되기 쉽고, 사라지기 쉬운


디지털 증거가 저장된 저장매체 (컴퓨터 메모리, 하드디스크, USB 등)에서

데이터의 무결성을 보장 하면서 데이터를 읽어 내야 합니다.

이 때 무결성이란 원 저장매체에 대한 데이터 변조가 일어나지 않음을 의미하고 ,

증거수집을 할때 무결성을 보장하는 이미징 기술이 사용되기도 합니다.





두번째 증거 분석은 얻은 데이터로부터 유용한 정보를 이끌어 내야 기술입니다.

 
유용한 정보는 보통 저장 매체에 존재하는 파일 시스템의 내부나 외부에 존재할 수 있습니다.

예를 들면, 범죄자는 저장매체에 존재하는 NTFS와 같은 파일 시스템 내부나,

NTFS에서 사용하지 않는 저장매체 구역에 중요 정보를 숨길 수 있습니다.

그림 상으로 나열된 데이터들은

증거 분석에서 가장 많이 쓰이는 3종류( Registry Hive , Web Log , System Log )의 파일에 대하여

나열해 보았습니다.



증거 분석에서 유용한 기술로는

삭제된 파일 복구 기술이나 암호화된 파일 해독 및 문자열 검색 기술 등을 들 수 있습니다.





세번째 보고서 작성은

디지털 증거수집, 운송 및 보관, 조사/분석 단계의 모든 내용을

문서화해 법정에 제출하는 단계입니다.



보고서를 읽게 되는 법관, 배심원, 변호사 등은

컴퓨터에 대한 기본 지식이 부족한 경우가 대부분이기 때문에

누구나 보고서를 읽어도 이해할 수 있도록 쉽게 작성하며,

전문적인 내용은 상세한 설명을 첨부해야 합니다.




마지막 보고서 제출같은 경우 외국의 전문화 된 툴일 경우에는 

툴을 사용해서 보고서를 작성한다고 해도

일반 이해하기가 힘든 부분이 허다합니다.

그 뿐만이 아니라 증거물 획득, 보관, 분석 등의 과정을 6하 원칙에 따라 명백하고

객관성있게 설명해야 하며,
 
예상하지 못한 사고로 데이터가 유실되어 변경이 생겼을 경우 이를 명확히 기재하고,

범죄 혐의 입증에 무리가 없음을 논리적으로 설득할 수 있어야 합니다.

어떻게 보면 상당히 까다로우며, 정확성을 요구하는 작업이 보고서 작성 부분입니다.



디지털 포렌식 서비스 또는 전문가에게 상담을 의뢰하였다면

그 결과를 전문가 소견서 형태로 제출하고,

전문가를 법정에 참고인으로 출석할 수 있게 하는 과정도 포함해야 합니다.






여기까지 디지털 포렌식에 대한 이론과

디지털 포렌식의 분석의 절차에 대해서 설명 드렸습니다.



글을 가다듬기도 하고, 쉽게 풀어쓰려고 노력은 했는데

많은 도움이 되었는지 모르겠네요 ^^;


디지털 포렌식에 대하여 한 칼럼에 다 쓰려고 했는데

2번에 걸쳐서 써야 할것 같습니다.

읽어주셔서 감사합니다 :)


댓글은 선택이 아닌 필수~~ 가 되면 안될까요? ㅎㅎ





- 참고

* 위키백과(http://ko.wikipedia.org/wiki/컴퓨터_포렌식)

* 디지털 포렌식의 기술 및 동향 ( http://ettrends.etri.re.kr/PDFData/22-1_097_104.pdf )

* 포렌식을 이용한 정보보호
 (http://www.digipine.com/?mid=software&listStyle=gallery&page=1&document_srl=2958)
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,