디지털 포렌식 수행절차

디지털 포렌식 수행절차
  전통적인 아날로그 증거(혈흔, 지문)는 획득, 보관, 분석, 제출하는 과정에서 변조(훼손)될 가능성이 크지 않지만, 디지털 기기에 남아있는 디지털 데이터는 단순히 "0"과 "1"이라는 비트열로 존재하고, 저장매체에 따라 가벼운 충격이나, 전자기파에 의해 쉽게 훼손될 수 있다. 수집한 데이터가 증거가 되기 위해 반드시 지켜야 할 디지털 포렌식의 절차에 대해 살펴보자.

디지털 포렌식의 절차는 6가지 절차가 존재 한다. 사전 준비 단계, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성으로 나뉜다. 각 단계마다 무결성(integrity)을 보장하면서 원하는 데이터를 수집할 수 있는 기술을 필요로 한다.

https://whitesnake1004.tistory.com/276

디지털 포렌식 수사관 자격 및 선발

· 대검찰청 디지털 수사 담당간실에서 실시하는 디지털 포렌식 관련 전문교육을 수료한 자.

· 국가 또는 공공기관의 디지털 포렌식 관련 분야에서 3년 이상 근무한 자.

· 디지털 포렌식, 컴퓨터 공학, 전자 공학, 정보보호 공학 등 관련 분야 대학원 과정을 이수하여 석사 이상의 학위를 소지

· 디지털 포렌식 관련 분야 학사학위를 소지하고 전문교육 과정을 수료하거나 자격증을 소지한 자

① 사전 준비단계(조사 준비단계)
  포렌식 조사는 일반적으로 일어나는 범죄와 동일하게 피해자의 신고가 접수 되거나, 자체적으로 조사를 통해 사건을 인지하여 원인을 파악해야 할 경우에 조사가 시작됩니다. 일반적인 범죄는 살인 사건, 강도 사건, 사기등에 의해 신고가 되지만, 사이버 범죄의 경우 기업내에 침입 탐지 시스템(IDS)에 이상 징후가 있거나, 네트워크 방화벽 로그의 이상 징후 및 기타 보안 장비의 경고 신호에 의해서 알아챌 수 있으며 이런 증상이 일어나는 원인을 파악하면서부터 조사가 시작됩니다.

 

  덧붙혀 사전 준비단계(조사 준비단계)는 디지털 포렌식 조사를 위한 기본적인 훈련 과정이다. 사건이 일어나기 전에 행동하는 것으로 증거 수집 단계에서 사용해야 할 도구, 장비 등을 준비 함으로써 도구의 사용법과 도구에서 사용하는 기술과 그 기술의 한계 등에 대한 교육이고 증거 수집 단계를 뒷받침하기 위해 물리적인 준비를 하는 단계입니다.

 

  쉽게 말해 수사에 필요한 인원 구성, 사전조사, 공증 인원, 증거 수집 도구, 운반 도구 등등 조사에 필요한 도구들이나 인원에 문제가 없는지, 또한 문제가 생길수도 있으니 여러 가지 해결 방안을 마련하는 것이다. 또한 조사 방법에 대한 연구 및 도구 개발이 병행된다. 조사 준비과정에는 도구 개발 및 교육 훈련, 사건 발생 및 확인, 조사 권한 획득, 조사 팀 구성, 장비 및 도구 준비의 절차가 있다.

 

 

* 과잉금지의 원칙

  디지털 데이터의 수집은 수사 목적을 달성하기 위해서 가능한 최소한의 범위 내에서 이루어져야 함.

* 공증 인원
  현장의 조사 과정을 전체적으로 검증할 자격이 있는 제3자의 입회인을 참석시켜 증거 획득, 포장, 이송 과정을 확인하게 하고, 공증 인원이 필요한 이유는 법정에서 증거물로 제출할 때 현장 대응 과정이 공정하게 이루어졌고 무결성이 입증되는 효과적인 증명 방법이다.

<디지털 기기를 압수, 수색, 검증하거나 디지털 자료를 수집하고자 할 때 다음과 같은 계획을 수립한다>
­· 사건의 개요, 압수 · 수색 장소 및 대상을 파악
· 압수 · 수색대상자가 운영하고 있는 정보처리 시스템의 유형과 규모를 확인
· 압수 · 수색대상자가 운영하고 있는 네트워크의 구성 형태를 확인
· 스마트폰, PC뿐 아니라 기타 디지털기기의 보유현황을 확인

Ex) 도구 준비, 도구 검증, 분석 교육, 연구 개발

② 증거 수집단계
  사건 현장에서 조사해야 하는 대상을 수집하는 단계이다. 디지털 기기의 파악, 네트워크 구성 현황 파악, 압수 대상 선정 후 증거 목록 작성 등이 있다. 조사 대상의 증거물을 확보하고 나서 디지털 기기의 종류마다 데이터를 어떠한 기술로 수집할 것인가를 결정하고, 현장을 수사하는 수사기관은 영장의 기재 내용에 의거하여 필요한 증거물들을 압수한 다음 포렌식 당사자는 현장에서 데이터를 수집 및 분석을 할 것인지 아니면 시스템이나 중요자료에 대해 사본을 확보할 것인지를 결정한다. 제일 중요한 것은 연계 보관성 유지를 위해 이 단계부터 모든 것을 기록해야 한다.

 

* 로카르의 교환 법칙

  접촉하는 두 개체는 서로 흔적을 주고 받는다. 라는 말을 남기신 프랑스의 범죄학자 에드몽 로카르는 사건을 조사할 때 범죄를 저지른 사람도 모르게 범죄 현장에 단서를 남김으로써 현장에 있던 어떤 것(먼지, 지문, 족적, 혈액, 머리카락)을 가지고 있다고 본 것이다. 쉽게 말하면 에드몽 로카르는 범죄를 밝혀 낼 단서가 현장 에 있다는 말을 의미하는 것이다.

 

* 영장 집행의 방법

  디지털 데이터 또는 저장매체를 압수할 경우 영장에 형사소송법 제106조 제3항과 기재된 압수 대상 및 방법의 제한에 따름. 

 

* 제106조 제3항

  법원은 압수의 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보 저장매체인 경우에 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보 저장매체 등을 압수할 수 있다.

 

  쉽게 말해서 영장에 적혀있는 범위 내에서 수색을 하게 되면 정보처리 시스템으로부터 저장매체 만을 분리하여 압수를 하게 되는데, 저장매체를 분리할 경우 수사 목적을 달성할 수 없거나 디지털 자료가 훼손될 우려가 있을 때 정보처리 시스템 전부를 압수할 수 있다.

 

<압수 절차>

· 사전 준비 단계에서 준비해온 도구들을 이용해서 압수할 목록을 미리 정하고 증거 압수를 수행

· 증거를 획득한 사람, 감독, 인증의 역할을 하는 사람들이 각각 있고 참관한 상태에서 증거를 수집한 후 데이터 고유 식별 값인 (Hash) 값을 생성하여 확인 후 서명 · 날인함
· 정보처리 시스템을 압수·수색·검증할 경우 정보처리 시스템의 설정시간을 한국 표준시간과 비교하여 기록한다.

· 디지털 데이터 및 디지털 저장매체를 압수한 경우에 압수를 한 증거물의 교부는 최종적으로 출력물로 남김

· 디지털 데이터 및 디지털 저장매체를 압수한 경우에 디지털 증거물이 훼손되지 않도록 적절한 조치를 취해야 함

 

<증거 수집 대상>

① 휘발성 데이터 수집

  - 시스템 정보, 열려있는 파일 정보, 현재 실행 중인 프로세스 리스트, 현재 실행중인 서비스 리스트, 현재 로그인한 사용자 계정, 클립보드 내용, 명령어 콘솔 사용 정보 등 사안에 따라 필요한 것들을 수집한다.

 

② 비 휘발성 데이터 수집

  - 시스템에 저장되어 있는 범죄와 관련된 문자, 사진, 동영상, 인터넷 접속 기록

  - 시스템 사용 기록이 담긴 파일 시스템 메타데이터, 로그파일, 저널, 레지스트리, 이벤트 로그, 윈도우 아티팩트, 삭제된 데이터 수집

  - 디스크 이미징이 가능하면, 메타 데이터가 변조하지 않기 위해 쓰기 방지 장치를 사용

 

③ 네트워크 정보

  - 네트워크 카드정보, 라우팅 테이블, ARP 테이블, TCP 연결 상태, UDP 연결 상태, 열린 TCP 포트와 프로세스 정보, 열린 UDP 포트와 프로세스 정보, 공유자원정보, 원격 접근 파일, 사용 중인 외부 자원 등이 있다.

 

③ 포장 및 이송 단계

  증거 수집 단계에서 수집된 디지털 압수물의 원본 또는 복제본을 포장하여 분석실로 이송하는 과정에서 외부의 요인(전자기장, 충격, 습기, 먼지)에 의해 변조되지 않도록 안전하게 보관한다. 단, 압수물을 분석할 때 디지털 포렌식 수사관이나 증거분석관 자격이 있는 자가 한다. 

 

Ex) 보관 도구(하드 디스크 충격 장비 보호 케이스, 충격 완충 랩)

 

④ 증거 분석 단계

  수집한 디지털 기기들을 분석하는 과정으로 다양한 디지털 포렌식 분석 기술이 사용된다. 증거분석을 하는 디지털 포렌식 수사관은 압수한 디지털 기기가 변조되지 않도록 쓰기 방지 장치를 사용하여 압수한 디지털 기기와 똑같은 복제(이미징) 본을 생성한 후 원본과 복제본의 해시 값을 기록함으로써 위, 변조가 이루어지지 않았다는 것을 증명한다. 디지털 포렌식 수사관은 생성한 복제본을 가지고 증거분석을 수행하여야 한다. 왜냐하면 무결성을 입증하기 위해서 원본은 건드리지 않지 않고 사본을 이용해 분석을 하면 사본 데이터 파일은 실행시간이 바뀌었지만, 원본의 데이터 파일은 실행시간이 변경되지 않는다. 그러므로 원본 파일은 이전부터 범죄자의 컴퓨터에 존재했다는 걸 알 수 있다. 단, 수사상에 긴박한 사정이 있어서 복제본을 생성할 수 없는 불가피한 사정이 있을 때 원본 파일로 분석할 수 있다. 범죄자의 삭제 파일 복구, 암호화된 데이터들을 분석하고 난 후 획득한 디지털 증거물은 분석 종료 시까지 별도의 디지털 저장매체에 안전하게 보관한다. 

 

<증거 분석 기술>

  증거 분석 기술로는 덤프 메모리 분석, 삭제된 파일 복구, 비정상적 파일 찾기, 로그 분석, 이메일 분석, 슬랙 공간 분석, 검색, 탐색, 복호화, 정보 은닉(스테가노그라피), 데이터 분석, 내부 연결장치, 서비스 흔적, 파일 카빙 등 종류가 엄청 다양하다. 자세한건 다음에 포스팅 하겠습니다.

 

⑤ 정밀 검토 단계

  정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계이다. 분석결과는 법정 증거로 채택이 될 수 있기 때문에 정확하게 검토 해야 한다. 복제를 한 사본으로 분석을 한 과정을 그대로 재현을 다시 반복해보고 증거가 그대로 나오는지 확인해봐야 한다. (디지털 포렌식 5가지 원칙 중 재현의 원칙)

 

⑥ 보고서 작성 단계

  보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 보고서를 작성하는 단계이다. 보고서를 작성할 때는 절차 연속성 과정을 육하원칙에 따라 작성한다. 절차 연속성은 보안사고 조사를 위해 증거 수집을 한 디지털 기기가 법정 제출까지의 여러 단계를 거치면서 어떠한 위, 변조도 이루어 지지 않았다는 것을 증명하기 위한 절차이다. 보고서를 제출하게 되면 판사, 배심원, 변호사 등 IT분야의 비전공자분들이 읽는 자료이기 때문에 기술 적인 용어들을 최소한으로 하고, 제3자의 전문가가 검증을 하였을 때도 신뢰성을 보장할 수 있는 문서화 작업이 필수이다. 

 

오늘 포렌식의 수사절차 6가지에 대해 배워 보았는데 쉽게 설명하려고 노력했습니다. 부족한 점이 있다면 댓글로 남겨주세요 수정하도록 하겠습니다. 다음 시간에는 디지털포렌식의 종류에 대해서 설명하도록 하겠습니다.