갓생살기
블로그 이미지

Home

Write

Setting

About Me
Dark
🔐 [정보보안] 모의해킹 침해대응 전문가 취업캠프/디지털 포렌식

[디지털 포렌식] 디지털 포렌식이란

나장승현
|2023. 11. 27. 10:11

개요

  • 포렌식이란 법의학 등을 이용한 범죄에 관한 과학수사 정도로 말할 수 있으며, 디지털 포렌식은 컴퓨터를 통해 발생한 범죄에 대한 과학 수사

정의

  • 컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로부터 자료를 수집, 분석 및 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차와 행위

목적

  • 컴퓨터 범죄를 행하는 범죄자를 빠른 시간 안에 정확하게 찾아내서 범죄 행위에 이용된 증거를 확보하고, 이를 통하여 법적 대응이 가능하도록 해야 함

필요성

  • 컴퓨터 관련 범죄 증가 및 증거자료의 디지털화
  • 디지털포렌식 기술의 활용도 증가

5대 원칙

정당성의 원칙

획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실함

신속성의 원칙

시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체 없이 신속하게 진행되어야 함

무결성의 원칙

수집한 증거가 위변조되지 않았음을 증명할 수 있어야 함

재현의 원칙

피해 직전과 같은 조건에서 현장 검증을 실시하였다면, 피해 당시와 동일한 결과가 나와야 함

연계 보관성의 원칙

증거를 획득, 이송, 분서, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확하게 해야 함

유형

분석 목적

사고대응 포렌식(침해사고)

  • 해킹 등 침해 시스템의 로그, 파일 등을 조사하여 침입자의 신원, 피해내용, 침입경로 등을 파악
  • 네트워크 기술과 서버의 로그분석 기술, 유닉스, 리눅스, 윈도우 서버 등 운영체제에 대한 기술 등이 필요

증거(정보) 추출 포렌식

  • 범행 집증에 필요한 증거를 얻기 위하여 디지털 저장매체에 기록되어 있는 데이터를 복구하거나 검색하여 찾아냄
  • 회계 시스템에서 필요한 계정을 찾아 범행을 입증할 수 있는 수치 데이터를 분석하거나, 이메일 등의 데이터를 복구 및 검색하여 증거를 찾아내는 것이 목적

분석 대상

디스크 포렌식

  • 대용량의 비휘발성 저장매체로부터 자료를 획득, 분석, 검색, 삭제된 파일 복구하는 기능 등이 주로 활용
  • 삭제된 파일을 복구하고, 여러 가지 종류의 파일을 파일명, 확장자, 작성자, 작성 일시 등을 기준으로 분류하고, 키워드 검색을 통하여 수사의 단서를 추출하는 작업
  • 디스크포렌식 과정에서는 증거의 손상이난 훼손을 방지하기 위해 2개의 사본을 만들어 하나는 증거로 보존하고 나머지 하나는 분석이 이루어져야 함

네트워크 포렌식

  • 네트워크를 통하여 전송되는 데이터, 암호 등을 특정도구를 이용하여 가로채거나 서버에 로그 형태로 저장된 것을 접근하여 분석하거나 네트워크 형태 등을 조사하여 단서를 찾아내는 분야

인터넷 포렌식

  • 인터넷으로 서비스되는 www, ftp 등 인터넷 응용 프로토콜을 사용하는 분야
  • 게시판에 불법 정보를 업로드 하거나 명예훼손과 관련된 글을 올린 용의자 추적, 전자메일발신 추적, 인터넷 서핑내역 추적 등을 위하여 웹 서버나 메일서버, WAS 등의 서버를 분석

모바일 포렌식

  • 휴대폰, PDA, 전자수첩, 디지털카메라, MP3, 캠코더, 휴대용 메모리카드, USB저장장치 등 휴대용 기기에서 필요한 정보를 입수하여 분석하는 분야

데이터베이스 포렌식

  • DB로부터 데이터를 추출/분석 하여 증거를 획득하는 분야
  • 방대한 양의 데이터로부터 증거 수집 및 분석을 위한 기술, ERP 기반에서 개발된 회계시스템 등의 대형 시스템을 위한 하드웨어 및 소프트웨어 기술, 다양한 DB관리 시스템에 대한 제어 기술 등이 필요

암호학 포렌식

  • 문서나 시스템에서 암호를 찾아내는 분야
  • 암호가 될 수 있는 숫자나 문자를 고속으로 대입하여 비교하는 크랙 프로그램을 개발하여 무차별 대입 공격 기법이나 사전대입 공격 기법을 빠른 속도로 실시

회계 포렌식

  • 기업의 부정과 관련된 수사를 할 때 저장된 회계 데이터를 추출하고 회계사 등 회계 전문가가  분석할 수 있도록 데이터를 정제하는 분야
  • 회계 시스템에 대한 프로그램을 개발한 경험이 있거나 회계 시스템을 운영해 본 경험이 있는 전문가가 필요

메모리 포렌식

  • 메모리에 로드 되는 정보들을 분석 할때 활용하며, 사고대응포렌식 분야에서 빠르게 시스템의  정보를 분석 할 때 유용하게 활용 할 수 있으며, 휘발성 정보(프로세스, 네트워크 등)를 한번에 분석 할  수 있음
  • 하지만 증거추출 포렌식 분야에서는 법정 증거로 채택이 안됨. 사고대응포렌식 분야에서만 활용하고 있음

절차

  1. 조사준비
  2. 현장대응
  3. 증거확보 및 수집
  4. 이송 및 보관
  5. 분석 및 조사
  6. 보고서 작성

'🔐 [정보보안] 모의해킹 침해대응 전문가 취업캠프 > 디지털 포렌식' 카테고리의 다른 글

[디지털 포렌식] 디스크 포렌식  (2) 2023.12.11
[디지털 포렌식] 안티 포렌식  (1) 2023.12.11
[디지털 포렌식] 윈도우 포렌식  (0) 2023.11.30
[디지털 포렌식] 네트워크 포렌식  (0) 2023.11.29
[디지털 포렌식] 침해사고  (0) 2023.11.28

티스토리툴바