이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:












작성자 : 투라 (extraman@boanin.com)

편집자: 엔시스 (sis@sis.pe.kr)


 

투랍니다..

포랜식 관련 두번재 포스팅입니다..


지난번 포스팅에서는 간단히 포렌식의 영역, 궁극적인 목표, 디지털증거, 우리나라에서의 디지털 증거가 인정된 계기, 조서 진술서의 증거 능력 인정 방법과 용어 정리를 해드렸습니다.

 

오늘 포스팅에서는 컴퓨터 포렌식이란 무엇인지, 컴퓨터 포렌식 웍칙 , 증거수집 원칙, 포렌식절차등에 대해서 알아보겠습니다.

 

컴퓨터 포렌식이란, 하드디스크등 컴퓨터 저장매체에 들어 있는 데이터를 대상으로 복구 검색 그리고 조사하는 기법을 말한다.

 

컴퓨터 범죄 수사에 입각한 정의는 컴퓨터 관련 수사를 지원하며 디지털 자료가 증거로써 증명력을 같도록 과학적이고 논리적 절차와 방법을 연구하는 학문이다.

그렇다면 컴퓨터 포렌식의 기본 원칙이란 무엇인가?

 

1.     정당성(正當性)의 원칙

입수증거가 적법절차를 거쳐 얻어져야함, 위법수집증거 배제법칙, 독수독과이론

 

2.     재현(再現)의 원칙

피해직전과 같은 조건에서 현장 검증을 실시하였다면, 피해당시와 동일 결과가 나와야함

 

3.     신속성(迅速性)의 원칙

휘발성 정보수집은 지체없이 신속하게 진행되어야 함

 

4.     연계 보관성 ( chain of custody)

증거물 획득, 이송, 분석, 보관, 법정제출의 각단계에서 담당자 및 책임자 명확히

 

5.     무결성의 원칙

수집 증거가 위,변조 되지 않았음을 증명할수 있어야함

 

6.     동일성의 원칙

증거물은 증거물 입수단계와 동일 해야함


 

포렌식의 기본원칙을 보니, 증거에 대해서 언급을 하고 있습니다.

그렇다며 증거 수집은 어떻게 해야할까요..

 

 

증거물 수집의 기본 원칙에 대해 알아봅시다.

 

1.     적법절차의 준수

법규 지침에 규정된 일반적인 원칙과 절차를 준수하여 증거수집

 

2.     원본의 안전한 보존

증거 수집시 반드시 쓰기방지장치를 이용하여 무결성 유지

원본에 대한 이송 및 보관에 주의 하여 손상방지

 

3.     증거의 무결성 확보

증거수집시 디스크 or 파일에 대해 해시값 구한다.

해시값 출력후 입회인(대상자)의 서명 날인 받는다.

증거 원본에 대한 사본 생성후 이에 대한 해시값 비교하여 무결성 검증

증거분석은 해시값 비교한 사본으로 수행

 

증거물 수집에 대한 기본 원칙까지 알아봤습니다.

 

그렇다면 포렌식 절차에 대해 알아봐야할듯하네요..

 

< cissp협회 세미나중 사이버 포렌식 협회 이정남 국장님의 포렌식 기술소개자료중 발췌 >



 

포렌식의 절차는 준비-> 획득-> 이송-> 분석 -> 보관 -> 보고의 절차로 이뤄집니다.


 

준비단계는 출동장비 준비할 때 쓰기방지 장치를 챙기는 것을 잊지 말아야겠습니다.


획득단계는 상세 사진촬영, 휘발성 증거 수집, 별도 저장 후 네트워크를 분리, 컴퓨터 시간을 확인해서
              표준시간(휴대폰시간)와의 편차 등을 상세 기록 해야 한다.


이송단계는 충격으로부터 보호하고, 전자파 영향 등에 유의해야 한다.


분석단계는 원본에 대한 사본 이미지 생성하여 수행하는 것을 원칙으로 하며, 재현 대비해 과정을
              상세하고 명확하게 기록하고 유지 해야 함


보관단계는 항온항습장치, 전자파차단, 증거물 DB 구축하여 운영하며, 증거물 반출입 내역을 기록한다.


보고단계는 결과 보고서를 쉽게 이해할 수 있는 용어로 정확하고 간결하게 논리 정연하게 작성하며
              분석 및 처리 과정을 사진 or 화면 캡처 등으로 첨부한다.


 

이것으로 이번 포스팅을 마무리 하려고합니다..

 

다음에는 윈도우 파일시스템 및 윈도우 포렌식 관련으로 이어 갈까 합니다.

어느새, 토요일 저녁이네요한주가 너무 바쁘게 지나갑니다…^^;

이런저런 사정으로 꽃놀이도 못가고..그렇습니다..

 


 

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://whoaru.tistory.com BlogIcon 후아유! 2009.04.07 00:09 신고  댓글주소  수정/삭제  댓글쓰기

    포렌식 요즘 관심 있게 보고있습니다^^
    좋은 내용 감사드리며~ 또 다음내용이 기대가 .. 두근반 세근반입니다^^/

  2. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.14 20:58 신고  댓글주소  수정/삭제  댓글쓰기

    포렌식... 역시.. 법적인 단계에서 인정을 받는 다는 것은...
    어찌보면, 복잡한 절차와 아주 보수적인 형태의 작업에서 비롯된다고 생각되어 지네요..
    딱딱 정해진 것에 위배가 되지 말아야 하고, 이런 저런 절차를 전부 다 준수하고 나서 이런 저런 복잡한 조건들이 모두 만족을 해야만 인정을 받으니....
    +ㅁ+ 투라님 덕분에 항상 부족함을 느끼고, 뒤돌아 보게 되네요...
    이번 포스팅도 잘 보고 갑니다..^^
    항상 양질의 포스팅을 작성하시느냐고 고생하시네요...^^
    (얼굴에 철판 깔고, 앞으로도 기대하겠습니다..ㅎㅎ)
    항상 몸 건강하시구요~+ㅁ+

  3. Favicon of https://deniallog.tistory.com BlogIcon Denial 2010.08.17 08:09 신고  댓글주소  수정/삭제  댓글쓰기

    잼있네요^^ 좋은 내용 감사합니다.