디지털포렌식 수행절차

심야·2022년 12월 21일
Digital Forensics
0

디지털 포렌식

목록 보기
2/23

디지털포렌식은 컴퓨터로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로부터 자료를 수집,분석 및 보존하여 법정 증거물로써 제출할 수 있도록 하는 일련의 절차와 행위이다. 본 글에서는 제출할 수 있도록 하는 수행절차에 대해 설명하겠다.

디지털포렌식 절차 6단계

절차 6단계.png

6단계는 조사 준비, 현장대응, 증거 확보 및 수집, 이송 및 보관, 분석 및 조사, 보고서 작성 순으로 이루어지며 해당 절차는 기관, 업체마다 조금씩 상이하다.

아래 4가지 사항은 수행절차 중 기본적으로 지켜야 하는 사항이다.

1. 적법절차 준수

사건 조사 시 가장 우선해야 하는 것은 피조사자의 인권보장이다. 디지털 저장매체에는 개인의 사생활 관련 정보가 저장되어 있을 가능성이 있다. 그러므로 접근가능 영역 내에서만 조사를 진행하며 발생할 수 있는 문제에 대한 책임 여부를 사전에 확인 후 조사해야 한다.

2. 원본의 안전한 보존 및 무결성 확보

디지털 데이터는 쉽게 훼손될 수 있어 데이터를 안전하게 보존할 수 있는 수단을 마련해야 한다. 특히 물리적인 충격이나 전자기파에 의해 손상을 입지 않도록 주의를 기울여야 하며, 증거 분석은 원본의 손상을 막기 위해 반드시 복제본에서 수행해야 한다. 원본이 손실되었을 경우 복제본이 원본의 모든 데이터를 그대로 보유하고 있음을 입증해야 한다.

3. 분석방법의 신뢰성 확보

증거 분석은 과학적인 방법을 사용하고 해당 분야 전문가들에 의해 충분히 검토되어 신뢰할 수 있는 기술적 절차로 수행한다. 도출된 결과는 동일한 환경에서 재분석 시 동일한 결과가 나와야 한다.

4. 진정성 유지를 위한 모든 과정의 기록

디지털 증거의 수집 분석 도중 불가피하게 발생한 증거의 변형을 비롯한 모든 과정을 기록해 사후 검증할 수 있는 수단을 제공해야 한다. 디지털 증거의 진정성은 수집 이후부터 법정에 제출될 때까지 진행된 증거 처리에 관한 내용이 기록된 문서를 통해 입증되어야 한다.
따라서 진정성 유지를 위한 제반절차인 연계 보관성을 지켜야 한다.

조사 준비단계

  • 관리/기술적으로 준비하는 과정
    수사에 사용되는 증거분석 도구(소프트웨어, 하드웨어), 압수수색 영장, 진술서 양식, 자문가 연락처, 관리자 승인, 현장 채증 준비 등을 확인 점검하는 단계
    사건 특성에 맞는 준비가 없으면 증거를 훼손할 위험성이 존재한다.

  • 도구 개발 및 교육훈련
    디지털 기기는 계속 신제품이 출시된다. 해당 기기에 대한 연구가 선행되어 있지 못하면 조사 자체가 어려우므로 신규 디지털 기기가 출시되면 데이터를 안전하게 추출 분석할 수 있는 포렌식 도구의 개발이 지속되어야 한다. 포렌식 도구는 사용하기 전 제대로 작동하는지 검증해야 한다.

  • 사건 발생 및 확인
    사건 확인 과정을 거쳐 조사하기로 결정하면, 주요 조사 대상을 파악해 전반적인 수사 계획을 수립한다. 중요한 결과를 얻을 수 있는 자료를 우선적으로 수집 분석하도록 조사순위를 결정하는 과정이 필요하다.

  • 조사권한 획득
    사건을 조사하는 과정에서 불가피하게 알게 되는 정보가 있다. 기업 비밀이나 개인정보 관련 사항 등 외부에 노출되지 않아야 할 정보가 포함될 수 있다. 따라서 해당 정보에 접근 권한이 없다면 조사를 하지 말아야 하며 조사가 필요하다면 해당 정보의 접근 권한 확보가 선행되야 한다.

  • 조사 팀 구성
    현장 도착 후 수색 절차, 증거 수집 방법과 범위, 각 조사자의 역할 등을 분담한다.
    디지털 증거에 대한 법정 논란이 예상될 경우, 전체 현장 조사 과정을 검증할 자격이 있는 제3자의 입회인을 참석시켜 증거획득, 포장, 봉인, 이송 과정을 확인하도록 한다.

현장 대응 단계

  • 현장을 통제 및 보존하고, 관계자에게 협조를 요청하며 조사 대상 매체를 파악한다. 이 단계의 목표는 증거 수집 이전에 현장을 통제하고 이를 보존하여 필요한 모든 증거가 수집되도록 준비하는 것이다.

  • 수사기관
    피조사기관에게 협조를 요청하거나 영장을 제시해 필요한 물리적 증거 혹은 디지털 증거를 획득하기 위한 현장 통제 및 압수수색을 실시한다.

  • 민간업체
    의뢰인의 협조를 통해 조사가 이루어지므로 현장 통제 과정이 불필요하고 조사가 필요한 시스템은 의뢰인과 협의해 결정한다.

  • 현장 통제와 보존
    현장에 도착해 피조사자에게 부여된 권한과 조사 범위를 명확히 설명하고 조사할 대상을 신속히 파악한 후, 현장 보존과 통제를 실시함으로써 현장 조사가 시작된다.
    현장 보존을 위해선 외부인의 접근 통제가 있어야 한다. 증거물을 파괴하려는 악의적인 시도를 방지하고 증거 수집 단계부터 연계보관성이 유지될 수 있도록 모든 작업과 관련 사항을 기록한다.

  • 관계자 협조 요청
    증거 수집과정의 객관성, 신뢰성을 확보하기 위해 현장 조사 과정에 조사 대상자가 직접 참관토록 하여 수집하는 증거를 확인시키고, 현장에서 발견된 증거물에 대한 확인 서명을 받는다. 접근 통제 또는 암호 기능이 설정된 시스템이 있을 경우 시스템의 사용자에게 패스워드를 알아내거나 보안기능을 해제시키는 방법을 알아내야 한다.

증거 확보 및 수집 단계

조사 대상 증거물을 확보하고 어떤 종류의 데이터를 어떤 방법으로 수집할 것인지 결정하는 단계

  • 휘발성 데이터 수집절차
    증거물 획득 절차.png

  • 휘발성 정보수집

    • 시스템을 종료하거나 전원 차단 시 휘발성 데이터가 손실되므로 현재의 상태가 유지되는 상태에서 프로세스, 메모리, 자원 사용정보 등의 휘발성 정보를 수집하는 과정

    • 증거수집 시 메모리나 프로세스, 화면에 있는 정보 등 소멸 가능성이 많은 증거부터 우선 확보한다. 일반적으로 레지스트리 / 캐쉬 / 라우팅 테이블 / ARP 캐쉬 / 프로세스 테이블 / 커널 정보와 모듈 / 메인 메모리 / 임시파일 / 보조메모리 / 라우터 설정 순으로 소멸

    • 비휘발성 시스템의 경우 전원이 꺼진 상태 그대로 두며, 활성 시스템인 경우는 전원을 차단하기 전에 휘발성 데이터 수집 필요성을 판단해 필요하다면 휘발성 데이터를 수집한다.

  • 전원차단 여부 결정
    웹 서버, 데이터베이스의 경우 OS의 정상적인 종료과정을 거치지 않으면 시스템 손상, 데이터 훼손이 일어날 수 있다. 하지만 정상종료 절차는 활성 상태일 때 저장된 설정 정보, 임시 데이터를 지워버릴 수 있어 전원을 차단해도 문제가 발생하지 않는 시스템에서 전원 차단을 해야한다.
    네트워크에 연결되어 있는 경우에는 수시로 원격으로 접속하여 데이터 삭제가 가능하므로 이에 대비하여 사전에 네트워크 단자를 제거해야 한다.
    개인 PC(데스크탑)은 전원 플러그 차단 방법을 사용한다.
    전원차단방법.png

  • 저장매체 확보

    • 조사대상 시스템에 장착되어 있는 하드 디스크 드라이브를 확보한다. 만약 RAID로 구성된 시스템일 경우 시스템 전체를 압수한다.
    • 원본 복제 시 저장 매체 복제 장치를 통해 사본 하드 디스크를 생성하거나 포렌식 분석도구를 이용해 포렌식 이미지 파일을 생성한다.
    • 수집한 매체의 종류에 따라 PC, 서버, 이동형 저장매체 등의 출처, 사용자, 관련부서, 연락처 등을 정확히 기재하여 나중에 혼동되는 일이 없도록 라벨을 부착
    • 증거 수집과정에서 사용한 도구의 이름, 버전, 분석과정, 시간, 산출 결과 등 전 과정도 기록
    • 디스크 이미지 생성 시 쓰기 방지 장치를 사용해 이미지 사본을 생성해야 한다. 쓰기명령을 차단해 원본 디스크의 훼손을 막기 위해서 꼭 필요하다.

  • 증거물 포장과 봉인

    • 디지털 저장매체는 물리적 충격에 의한 증거 훼손을 막기위해 충격 방지제로 포장한다.
    • 증거 획득과 이송과정에서 증거물에 대한 위 변조가 없었음을 증명하기 위해 봉인한다.
    • 디지털 기기는 충격이나 전자기파에 약해 정전기 방지봉투와 충격 흡수소재를 통해 포장을 한다.

증거 운반 및 확인

  • 디지털 증거 운반에서 가장 주의해야 할 점은 증거물의 진정성 유지와 훼손방지이다. 그리고 증거물의 누락 및 도난이 없도록 연계보관성을 유지해야 한다.

분석 및 조사

  • 분석 시작 전 수집한 원본과 동일하게 복제한 사본을 생성한다. 2개의 사본을 생성하며 하나는 보관용, 하나는 분석용으로 사용한다.

보고서 작성 및 증언

  • 결과 보고서는 조사 분석자의 행동, 관찰 내역, 디지털 증거수집, 운송 및 보관, 조사/분석 과정 등이 기록되고 각 단계의 결과와 완벽히 일치해야 한다. 디지털 포렌식에 대한 이해가 부족한 일반인도 이해할 수 있게 작성한다.

  • 6단계의 전 과정을 6하 원칙에 따라 명백하고 객관성 있게 설명해야 하며, 예상하지 못한 사고로 데이터가 유실되어 변경이 생겼을 경우 이를 명확히 기재하고 범죄 혐의 입증에 무리가 없음을 증명해야 한다.

  • 결과 보고서에 아래 항목이 포함되어야 한다.

    • 사건 및 보고서 번호
    • 증거 수집 일시, 보고서 작성 일시
    • 조사, 분석자, 보고서 작성자
    • 조사, 분석에 사용된 장비와 환경
    • 각 절차에 대한 설명
    • 사진 및 인쇄물 같은 첨부자료
    • 추출 및 분석된 증거 데이터의 설명
    • 분석 결과 및 결론

    보안프로젝트 디지털포렌식 통합과정과 디지털포렌식 개론 서적을 정리한 글입니다.

profile
심야
하루하루 성실하게, 인생 전체는 되는대로.
이전 포스트

디지털 포렌식 개념

다음 포스트

윈도우 아티팩트 왜 알아야 해?

0개의 댓글