작성자 : Smart Dolphine ( goreddragon@nate.com )
※ 목차는 변경 될 수 있습니다
편집자 : 엔시스(sis@sis.pe.kr)
- 목차 -
1. 디지털 포렌식이란 무엇인가?
1-1. 로카르드 교환법칙(Locard's exchange Principle)
-> 1-2. 디지털 증거
2. 디지털 포렌식의 동향
3. 디지털 포렌식 분석을 위한 기초 지식
4. 디지털 포렌식 도구 분석 ( Encase 등등)
5. 개발자 관점에서 보는 디지털 포렌식 기술
5-1. Registry Hive
5-2. Web Log
5-3. System Log
6. 향후 디지털 포렌식에 관한 견해
1. 디지털 포렌식이란 무엇인가?
1-1. 로카르드 교환법칙(Locard's exchange Principle)
-> 1-2. 디지털 증거
2. 디지털 포렌식의 동향
3. 디지털 포렌식 분석을 위한 기초 지식
4. 디지털 포렌식 도구 분석 ( Encase 등등)
5. 개발자 관점에서 보는 디지털 포렌식 기술
5-1. Registry Hive
5-2. Web Log
5-3. System Log
6. 향후 디지털 포렌식에 관한 견해
※ 목차는 변경 될 수 있습니다
안녕하세요.
스마트 돌고래 입니다.
디지털 포렌식의 동향에 대해서 포스팅하기 전에 디지털 포렌식의 대상이라 할 수 있는 디지털 증거에 대해 잠깐 언급하려 합니다.
그렇다면 디지털 증거란 무엇일까요?
먼저 컴퓨터증거에 관한 국제 조직 IOCE 에서는 "2진수 형태로 저장 혹은 전송되는 것으로서 법정에서 신뢰할 수 있는 정보" 라 하고 디지털 증거에 관한 과학실무 그룹 SWGDE 에서는 "디지털 형태로 저장 전송되는 증거가치 있는 정보" 라고 말하고 있습니다.
기관들이 정의하는 표현이 다 그렇듯 너무 모호하죠?
더 자세히 알아봅시다.
디지털 증거는 여러가지 특성을 가지는데 이들의 종류에는 "매체독립성", "비가시성", "다양성", "취약성", "대량성" 등이 있습니다.
이들을 정의를 설명하자면 다음과 같습니다.
1. 매체독립성 - 디지털정보는 값이 같다면 어느 매체에 저장되어 있든지 동일한 가치를 가진다. 즉 컴퓨터 하드디스크에 저장되어 있는 특정한 한글 파일은 이를 USB 저장장치나 다른 하드디스크에 복사를 하더라도 동일한 가치를 가진다. 따라서 디지털증거는 사본과 원본의 구별이 불가능하다.
2. 비가시성 - 디지털 증거는 이진 형태의 전자적인 신호로 존재하기 때문에 사람의 지각으로 바로 인식할 수 없으며, 증거로 사용하기 위해서는 사람이 인식할 수 있도록 일정한 변환 절차를 거쳐야만 한다.
3. 다양성 - 수식이 포함된 엑셀파일, 피의자의 계획이 담겨 있는 한글파일뿐 아니라 인터넷을 통해 이메일, 웹페이지 디지털 카메라를 통해 사진, 동영상 특별한 프로그램을 이용해 자동화되어 있는 기기 작동 등 디지털 기기를 통해 발생하는 수많은 데이터들과 자료들은 특별한 하드웨어, 소프트웨어 및 분석기법을 필요로 한다
4. 취약성 - 디지털증거는 삭제 및 변경 등이 용이하다. 하나의 명령만으로 하드디스크 전체를 포맷하거나 특정 파일을 삭제할 수도 있다. 또한 특정 워드 파일을 열어보는 것만으로도, 비록 의도하지는 않았어도, 파일 속성이 변경된다. 수사기관에 의한 증거조작의 가능성도 배제할 수 없으므로 여기에서 디지털증거에 대한 무결성이 문제가 된다. 무결성이 훼손될 경우에는 증거 주작 시비 등에 휘말려 증거능력 자체를 상실할 수도 있다
5. 대량성 - 저장매체 기술의 발전으로 개인이 사용하는 컴퓨터나 물리적으로 아주 작은 저장매체일지라도 방대한 분량의 정보를 저장할 수 있게 되었으며, 기업의 데이터베이스나 인터넷 서비스 등과 같이 대규모 서버의 경우에는 엄청난 데이터가 대규모로 집적되어 저장, 처리, 전송된다. 따라서 디지털 증거를 분석하는 데에는 강력한 성능의 시스템과 소프트웨어 등 특별한 도구와 전문 지식이 필요하다.
이러한 디지털 증거의 본질적인 특징들 때문에 기존의 물리적 증거물에서는 찾을 수 없었던 "무결성의 문제", "신뢰성의 문제", "동일성의 문제" 등의 기술적인 문제가 대두 됩니다.
아래는 기술적인 문제이죠.
1. 무결성 - 디지털 증거는 다른 증거와는 달리 변경과 훼손이 아주 용이하다는 특징이 있으므로 최초 증거가 수집된 이후에 법정에 제출되기까지 변경이나 훼손이 없었다는 점이 입증되어야 한다
2. 신뢰성 - 디지털 증거의 신뢰성은 분석 등에 참여한 조사관과 사용된 장비 및 프로그램, 분석방법과 그 결과 등을 신뢰할 수 있느냐의 문제다.
3. 동일성 - 피의자의 하드디스크 같은 매체에서 컴퓨터 파일을 복사한 경우 원본과 사본이 동일하다는 것을 증명하는 문제다.
이렇듯 디지털 증거는 약점 아닌 약점을 지니게 되는데 이해을 돕기 위해 디지털 증거 위조의 예를 들어볼까 합니다.
디지털 증거로써 유용할 수 있는 "파일의 MAC 시간"을 타겟으로 잡아보겠습니다.
파일의 MAC 시간이 무엇이냐구요??
아래 보이는 시간대라 생각하시면 되겠습니다.
정확하게 설명하자면 MAC이란 “Modified, Accessed, Created”의 약자로써 변경, 접근, 생성을 의미하는데
파일의 경우에는 <어떤 방법에 의한 파일의 수정>, <파일이 마지막으로 열린 접근시간>, <파일의 생성 날짜> 를 나타냅니다.
운영체제에서는 다양한 종류의 운영체제의 호환성을 유지하기 위해서 파일 MAC시간을 파일 시스템에 의존하는 방법으로 관리합니다.
하지만 아까도 말씀 드렸듯이 디지털 증거라는 것이 은폐나 위조의 가능성을 지니고 있다는 것 입니다. 이러한 문제로 디지털 증거인 파일의 MAC시간대는 조작이 가능하다는 사실 입니다.
제가 간단한 예를 보여드리죠..
C:\에 Data 폴더를 생성하고 여기다가 Lee.txt라는 파일을 생성하였습니다. 이 파일의 MAC 시간인 만든날짜, 수정한 날짜, 액세스한 날짜는 위와 같습니다.
하지만 이것은 Timestomp 라고 불리는 안티 포렌식 도구로 조작이 가능합니다. 간단하게 파일의 수정, 접근, 생성 시간을 한국전쟁이 발발한 시간으로 바꿔보겠습니다. (60주년을 맞아 ^^)
한국전쟁 발발 당시 시간으로 변경된 것을 확인 하실 수 있을 겁니다.
어떻게 보면 이러한 파일의 MAC 시간은 디지털 증거로써 조사자에게 유용할 수 있지만 은폐나 위조의 가능성을 내제하고 있다는 사실을 실험을 통해 확인 할 수 있었습니다.
이처럼 까다로운 디지털 증거가 유요한 증거로써 인정 받기 위해서는 위에서 언급했었던 무결성, 신뢰성, 동일성등의 문제점들을 극복해 내야 한다는 것이죠.
하지만 위의 문제들을 다 해결됐다 하더라도 디지털 증거로서 완벽한 것은 아닙니다. 그 과정에서 사용하는 포렌식 도구의 신뢰성이 보장되지 않는다면 그 도구의 결과인 디지털 증거를 신뢰할 수 없다는 것 입니다.
그러므로 디지털 증거 분석을 위해 사용되는 각각의 도구들은 테스트(NIST에서 진행)를 거쳐 인가받은 것만을 사용하게 되는 것인데, 국내에서는 미국에서 신뢰성을 입증받은 EnCase를 사용하고 있기 때문에 현재까지 법적으로 문제가 된적은 없다고 합니다.
디지털 증거의 증거법상 증거능력과 관련된 문제점에 대해서는 크게 두 가지 접근 방법이 존재합니다.
① 위법수집증거배제원칙
② 전문증거 배제법칙
위의 2가지 접근 방법은 형사증거법상의 대원칙으로써, 디지털 증거의 증거능력 인정여부를 결정할 때 반드시 검토되어야 하는 문제입니다.
각각 두 가지를 접근 방법에 대해 간략히 설명드리자면 우선 '전문증거 배제법칙' 접근방법은
비가시성의 특성을 가지는 디지털 증거는 포렌식 조사관에 의해
그 내용을 가시화하는 작업이 필요하게 되는데,
이렇게 해서 도출된 서류가
과연 '전문증거 배제법칙' 과 관련하여 증거 능력을 획득할 수 있는지의 관접에서 접근이라 말할 수 있습니다.
'위법수집증거배제원칙' 접근방법은
디지털 증거가 가지는 특징들 때문에 수집 및 분석 그리고 법정제출에 이르기까지
세심한 주의와 엄격한 통제가 필요한 특수한 영역이기 때문에,
헌법 및 형사 소송법상의 적정절차 및 영장주의
그리고 위법 수집증거 배제법칙에 증거능력 인정여부를 판단해야 한다는 접근입니다.
이와 같이 두 가지 접근 방식은, 디지털 증거의 증거능력 인정여부를 결정할 때 반드시 검토되어야 하는 부분이라고 알여져 있지만, 국내에 접목함에 있어 아직 유연성등의 개선이 필요한 부분이 있다고 합니다.
오늘은 디지털 증거에 대해서 알아보았습니다.
디지털 증거에 대해 알아보던 중 대한민국의 민 형사 소송법 영역에서의 제도적 개선이 요구 된다는 것과
디지털 포렌식의 절차규정의 정비가 절실하다는 것을 알 수 있었습니다.
대한민국이 선진국가 대열에 오른 만큼 이 분야에서도 재빠른 개선이 이루어 졌음 하는 바램이네요.
포스팅이 많이 늦었는데 다음부턴 빨리 올리도록 하겠습니다.
허접한 글 읽으시느라 수고 많으셨습니다.
디지털 증거에 대해 알아보던 중 대한민국의 민 형사 소송법 영역에서의 제도적 개선이 요구 된다는 것과
디지털 포렌식의 절차규정의 정비가 절실하다는 것을 알 수 있었습니다.
대한민국이 선진국가 대열에 오른 만큼 이 분야에서도 재빠른 개선이 이루어 졌음 하는 바램이네요.
포스팅이 많이 늦었는데 다음부턴 빨리 올리도록 하겠습니다.
허접한 글 읽으시느라 수고 많으셨습니다.
- 출처 및 참고자료 -
디지털증거의 증거능력에 관한 연구 - 장 상 귀
정보통신정책연구원 디지털증거(Digital evidence)와 포렌식(Forensic) - 김봉수
디지털 포렌식 기술과 표준화 동향 - 길연희, 홍도원
인터넷법률신문 The Law Times
인사이드 윈도우즈 포렌식 - 할랜 카비
http://cafe.naver.com/tennisaroma
디지털증거의 증거능력에 관한 연구 - 장 상 귀
정보통신정책연구원 디지털증거(Digital evidence)와 포렌식(Forensic) - 김봉수
디지털 포렌식 기술과 표준화 동향 - 길연희, 홍도원
인터넷법률신문 The Law Times
인사이드 윈도우즈 포렌식 - 할랜 카비
http://cafe.naver.com/tennisaroma
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
