본문 바로가기
기술 용어 검색

Digital Forensic

알렉 2007. 12. 6. 00:48

1. 디지털 포렌식 종류    
  컴퓨터 포렌식:Windows나 Unix와 같은 운영체제를 탑재한 범용 컴퓨터를 대상 정보 수집 및 분석 포렌식    
  임베디드(모바일)포렌식:휴대폰과 같은 모바일 기기나 디지털 카메라,캠코더 ,PDA와 같은 다양한 디바이스 대상 정보 수집 및 분석 포렌식    
  N/W 포렌식:컴퓨터나 휴대폰과 같은 통신 디바이스를 사용해서 통신이 이루어지는 경우에  통신 디바이스에서 N/W정보, 사용자 로그, 인터넷 사용 기록등과 같은 정보 수집 및 분석 포렌식

2. 컴퓨터 포렌식의 정의    
  -컴퓨터를 매개로 이루어지는 범죄행위에 대한 법적 증거자료 확보를  위하여 컴퓨터 저장매체 등의 컴퓨터 시스템과 N/W 로부터 자료를 수집,분석 및 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차

3. 컴퓨터 포렌식의 필요성    
  -해킹 등을 통한 컴퓨터 범죄 및 피해의 증가    
  -네트워크  경유 침입자는 침입 후 다양한 방법으로 자신의 Log정보 삭제
  -컴퓨터 범죄에 대한 과학적인 법적 대응책 마련의 필요성 증가    

4. 컴퓨터 포렌식의 기본 5대 원칙      
  ㆍ정당성의 원칙 : 입수 증거의 적법절차(위법수집 증거 배제법칙, 독수의 과실 이론).      
  ㆍ재현의 원칙 : 피해 직전과 동일 조건에서 현장 검증을 실시한 경우, 피해 당시와 동일한 결과       
  ㆍ신속성의 원칙 : 시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체 없이 신속하게 진행    
  ㆍ연계 보관성의 원칙 : 증거물 획득ㆍ이송ㆍ분석ㆍ보관ㆍ법정 제출의 각 단계에서 담당자 및 책임자의 명확화    
   .무결성의 원칙:수집 증거가 위.변조 되지 않았음을 증명

5.  컴퓨터 포렌식의 핵심 증거 수집 및 분석 방법  
 -포렌식 절차:증거수집 -> 증거분석->증거 제출  
 - 증거 수집 방법    
  1)Dead 시스템상에서 증거수집:주로 HDD나 플래시 메모로부터 데이터 수집    
  2)라이브 시스템상에서의 증거수집:휘발성 저장매체 데이터를 먼저 획득후 비휘발성 저장매체      
      데이터 획득 순서로 진행 ->운영체제 명령보다 포렌식 툴을 사용    
   .라이브 시스템 메모리 덤프:M/M나 가상 메모리로부터 데이터 획득    
   .라이브 시스템 HDD 이미징:임시 데이터 및 저장된 데이터 획득    
    ->단, 운영체제가 Cache하여 지연쓰기를 하여는 경우는 일관성 문제가 발생 가능하므로  HDD에 기록 후 데이터 획득    

 - 증거 분석 방법(포렌식 툴의 기능)    
  1)덤프 메모리 분석:가상 메모리의 덤프를 획득한 경우 포렌식 툴이 가상 메모리 사용형태 분석    
  2)Windows 레지스트리 분석:포렌식 툴이 레지스트리 정보 분석    
  3)Timelin분석:포렌식 툴이 파일 생성/접근/수정 시간에 대한 증거 분석    
  4)삭제된 파일 복구:하나의 파일을 여러 클러스터들의 리스트로 이루어져 있어서, 파일삭제시 클러스터들을 프리시키므로 프리된 클러스터들이 다른 파일에 할당되지 않은 경우 복구 가능    
  5)비정상적인 파일 찾기:사용자에 의한 파일의 숨김 속성/확장자 변경시 검색 기능    
  6)이메일 분석:이메을 삭제시 메일의 헤더 변경으로 삭제하므로 복구 가능    
  7)로그 분석:OS나 App이 로그를 남긴 정보 분석    
  8)슬랙 공간 분석:큰 size의 팔일 저장시 클러스터들로 나누어 저장, 마지막 클러스터에는  
    파일을 맨 뒷부분 저장 후 남게 되는 공간을 슬랙 공간  

5. 컴퓨터 포렌식의 고려사항    
 - 컴퓨터 범죄 또는 침해사고에서 증거로서의 정보를 기록하고 보전할 경우 휘발성에 따른 정보 변경을 고려    
    .휘발성이 높은 기록 장치로부터 낮은 순서로 기록(RAM -> ROM)    
    .시스템의 휘발성 정보순서(캐쉬메모리 ->M/M ->Disk ->CD/DVD    
    .N/W의 휘발성 정보순서(N/W 패킷 데이터 -> N/W서비스 기록)    
 - 컴퓨터 범죄 또는 침해사고에서 증거로서의 정보를 기록하고 보전할 경우 삭제되거나 변경된 데이터를 고려    
  .삭제 또는 변경된 데이터의 복구(이전 시간의 데이터기록, 시스템에 삭제되었으나 매체에는 남아 있는 기록    
     매체에 숨겨진 이전 기록)    
  .메모리(메모리 dump로 남아있는 기록 복구 일부 가능)    
  .파일(삭제되었으나, 매체에는 남아있는 기록 복구 일부 가능)    
  .디스크(매체에 숨겨진 이전 기록 복구 가능)    
6. 포렌식 활용분야    
 - 수사기관:검찰,경찰,국정원등에서 스파이,기술 유출, 공갈, 위조, 해킹, 사이버 테러등에 활용  => S,B 사건에서 HDD를 복구하는데 디지털 포렌식 기술 사용 ㅋㅋㅋ    
 - 기업체:금융사고,회계감사 및 정보유출,보안사고 발생시 민.형사상 책임소재 위한 증거 자료 확보

7.  발전방향    
 - 디지털 증거에 대한 법적 증거 채택 관련 디지털 증거에 대한 법제화 및 포렌식 툴간 표준화    
 - 디지털 데이터의 대용량화로 데이터 처리 속도의 고속화 필요    
 - 국내 실정에 적합한 포렌식 장비의 개발    
 - Mobile Device등 다양한 device에 대한 포렌식 툴 개발    
 - 디지털 포렌식은 디지털 증거의 인증 서비스 등 새로운 보안 서비스 시장 창출

'기술 용어 검색' 카테고리의 다른 글

정보보호시스템  (0) 2007.12.06
CSOR(Computer Security Objects Register)  (0) 2007.12.06
KCDSA(Korean Certificate based Digital Signature Algorithm)  (0) 2007.12.06

'기술 용어 검색' Related Articles

티스토리툴바