2019년 1월 4일
디지털 포렌식(Digital Forensics)
I. 디지털 증거 수집/분석 기술, 디지털 포렌식
가. 디지털 포렌식(Digital Forensics)의 개념
- 디지털 증거물을 사법기관에 제출하기 위해 증거물을 수집, 분석, 보고서 작성 기법
나. 디지털 포렌식의 5원칙
| 원칙 | 설명 |
|---|---|
| 무결성 | – 수집된 증거의 위/변조 방지 |
| 신속성 | – 휘발성 데이터의 특성 상 신속한 과정 |
| 정당성 | – 적법한 절차를 통해 수집된 증거 능력 |
| 재현 | – 같은 조건과 상황 하에서 같은 결과 |
| 절차 연속성 | – 수집, 이동, 제출 등 각 단계 담당자 명확 |
II. 디지털 포렌식 기술
가. 디지털 포렌식 기술 분류도
 |
나. 디지털 포렌식 기술
| 구분 | 증거 복구 | 수집/보관 | 증거 분석 |
|---|---|---|---|
| 저장 매체 | HDD 복구 메모리 복구 | HDD 복제 메모리 복제 | HDD 사용흔적 메모리 덤프 |
| 시스템 | 삭제 파일 복구 파일시스템복구 시스템로그복구 | 휘발성데이터 초기 대응 포렌식 라이브 | 레지스트리분석 시스템로그분석 백업데이터분석 |
| 데이터 처리 | 데이터 복호화 스테가노그래피 파일 조각 분석 | 데이터 추출 데이터 보존 공증/인증 | 데이터포맷분석 영상 정보 분석 DB 정보 분석 |
| 네트 워크 | 암호 통신 복구 패킷 캡쳐 NIC 버퍼 복구 | 망 정보 수집 네트워크역추적 허니팟 | 스위치로그분석 바이러스 분석 네트워크시각화 |
다. 디지털 포렌식 절차
| # | 절차 | 설명 |
|---|---|---|
| ① | 사전 준비 | – 사전 교육, 공증인원, 증거 수집 준비물 – 봉인지(Seal), 정전기 차단 봉투, 박스 |
| ② | 증거 수집 | – 현장 통제/보존, 영장제시, 증거인멸차단 – 사진촬영, 휘발성데이터/이동매체 수집 |
| ③ | 포장/이송 | – 정전기 차단, 증거물 포장, 봉투 봉인 – 무진동 차량, 인수/인계 확인서 |
| ④ | 조사 분석 | – 데이터 이미징, 복제, 추출 및 분류 – 데이터 조사 및 증거 검색 |
| ⑤ | 정밀 검토 | – 분석 결과 검증 과정에 대한 검토 – 공증인 서명, 봉인지 확인, 사진 백업 |
| ⑥ | 보고서 작성 | – 디지털 용어 설명, 분석 결과 정리 – 증거 분석 보고서/증거물 법원 제출 |
III. 디지털 포렌식의 유형
| 유형 | 유형 설명 | 기법/도구 |
|---|---|---|
| 디스크 포렌식 | – 비휘발성 저장매체 – HDD, SSD, CD 등 | – 유형 매체 수집 – 정전기 발생 방지 |
| 활성데이터 포렌식 | – 휘발성 데이터분석 – RAM영역, 통신 패킷 | – 신속한 수집/분석 – 전원 유지 필요 |
| 이메일 포렌식 | – 이메일 데이터의 송수신자, 시간분석 | – 이메일 서버 접근 – Exchange, POP3 |
| 네트워크 포렌식 | – 유무선 통신정보분석 – 패킷 형태 캡쳐 | – 네트워크 스니핑 – wireshark, tcpdump |
| 모바일 포렌식 | – 이동형기기 증거분석 – 스마트폰, 태블릿PC | – 모바일OS 분석 – IMSI, S/N 확보 |
| 웹 포렌식 | – 웹브라우저 사용흔적 – 쿠키, 임시파일, 설정 | – index.dat parser – WEFA, IEF 분석기 |
| 멀티미디어 포렌식 | – 음성/영상 등 분석 – 블랙박스, CCTV영상 | – 인코더/디코더 – H.264, MPEG, HEVC |
| 소스코드 포렌식 | – 이진/소스 코드 분석 – 최초 작성자 구분 | – 원시코드 대조 – 리버스 엔지니어링 |
| DB 포렌식 | – 스키마, 테이블 분석 – DB 내 데이터 분석 | – ERD 추출, DB복구 – Toad, WorkBench |
| 안티 포렌식 | – 포렌식 차단 기법 – 데이터 파괴, 은닉 | – 디가우징, 램슬랙 – 스테가노그래피 |
About The Author
도리
15 Comments
한눈에 보기 좋아요 감사합니다.