기본원칙

내용

정당성의

원칙

- 증거가 적법절차에 의해 수집되었는가?

위법절차를 통해 수집된 증거는 증거능력이 없음 (불법적인 해킹을 통해 수집한 증거): 위법수집증거배제법칙

- 위법하게 수집 증거에서 얻어진 2차 증거도 증거능력이 없음: 독수 독과(과실)이론

재현의

원칙

- 같은 조건과 상황하에서 항상 같은 결과가 나오는가?

- 불법 해킹 용의자의 해킹 툴이 증거능력을 가지기 위해서는 같은 상황의 피해시스템에 툴을 적용할 경우 피해 결과와 일치하는 결과가 나와야 함

신속성의

원칙

- 컴퓨터 포렌식의 전 과정이 신속하게 진행되었는가?

- 휘발성 데이터의 특성 상 수사 진행의 신속성에 따라 증거 수집 가능 여부가 달라짐

연계보관성

(Chain of Custody)의 원칙

- 증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확해야 함

- 수집된 저장매체가 이동 단계에서 물리적 손상이 발생하였다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수 인계하여 이후의 단계에서 적절한 조치가 취해지도록 해야 함

무결성의

원칙

- 수집된 증거가 위•변조 되지 않았는가?

- 일반적으로 해쉬값을 이용하여 수집 당시 저장매체의 해쉬값과 법정 제출 시 저장매체의 해쉬값을 비교하여 무결성 입증

단계

설명

고려사항

수사준비

- 전문 인력과 포렌식 도구의 활용 방안 수립

- 보관의 연속성 방안 수립

- 데이터의 무결성 유지방안 수립

- 수사참조라이브러리준비: 잘 알려진 파일에 대해 쉽게 식별

- 전 과정에 대한 기록 준비

- 하드디스크복사도구

- 자료검사 도구

- 자료무결성 도구

- 시스템분석용 도구

- 암호용 도구

증거 수집

- 증거 수집 및 수집 시간/과정 기록

- 디스크 이미징, 복제, 해싱(Hashing) 기법 활용

- 자료삭제/파괴행위방지,

시스템목록작성, 하드디스크 이미징

- 시스템/네트워크/프로세스 상태수집, 증거의 무결성(해쉬 및 오류검증 알고리즘 적용) 확보

- 휘발성 증거 우선 수집: 프로세서, 메모리, 자원 사용정보 등의 정보수집

- 전원차단 여부 결정

- 증거 수집 대상에   따른 대응(복제/원본/출력 등)

보관/이송

- 증거의 훼손, 변경, 유출 방지

- 라벨링 부착하여 이력관리

- 증거자료 이중화, 쓰기방지/봉인, 증거물 담당자 목록 기록관리

- 정전기 방지용 팩, 하드케이스 등 안전한 포장, 접근통제

*증거물보관, 증거의 이송, 연계보관

- 증거물의 이력관리

증거 분석

- 수집된 데이터 복구 및 증거 분석

- 암호 해제, 삭제파일 복구, 고급 검색, 이메일 분석, 웹 히스토리 분석 기법 활용

* Hash Analysis, 검색, 파일변환, folder browsing 분석, timeline분석, Signature 분석, Log 및 History분석, 파일 복구

- Chain of Custody

보고서 및 증거 제출

- 분석과정 및 결과에 대한 보고서 작성

- 증거물과 보고서를 법정에 증거로 제출

- 6하 원칙에 따른 객관성 유지

- 누구나 쉽게 이해할 수 있도록 쉽고 상세한 설명

기능

내용

디지털 증거의 획득 및 무결성 검증 기능

- 무결성 검증: MD5 Hash, CRC Check

- 디스크 이미지 복제, 압축 및 분할 저장 지원

파일 복구기능

- 삭제 또는 손상된 파일 복구

고급 검색기능

- 파일명, String 등에 대한 검색

- 이메일 데이터에 대한 Search

- 웹 히스토리 검색

- 파일 슬랙에 대한 검색

기타

- 변조 확장자 검색

- 주요 문서파일 분류

- 암호파일 검색

분류

기술

내용

수집기술

디스크 이미징

- 원본 디스크에 손상이나 변경 없이 원본디스크를

물리적으로 동일하게 복제하거나 미러 이미지 파일을 생성

메모리 덤프

- 프로세스가 사용 중 가상 메모리의 덤프를 획득하여 정보 획득

무결성 입증

- 증거가 변경되지 않았음을 입증하기 위한 해쉬나 메시지 다이제스트 사용

분석기술

Timeline 분석

- 파일의 생성시간, 최근 접근시간, 수정시간 분석

- 파일 시스템에 대한 사용로그 분석

삭제된 파일복구

- 클러스터에 대한 정보 분석을 통한 삭제파일 복구

- 복구가 불가능한 경우에도 파일 존재여부 증명가능

비정상 파일검색

- 숨김 속성의 파일 및 확장자가 바뀐 파일 검색

- 파일 생성 시, 헤더에 고유정보를 이용한 확장자 변경 확인

이메일 분석

- 삭제된 파일복구와 유사하게 이메일 복구

- 이메일 삭제 시 헤더 값을 바꾸는 것으로 복구 가능성 높음

슬랙공간 분석

- 클러스터의 남는 공간인 슬랙 공간에 데이터 은닉

- 슬랙 공간 데이터에 대한 분석을 통한 증거 확보

암호 복구

- 시스템 또는 파일에 설정된 암호를 크랙

덤프 메모리분석

- 코드영역, 데이터영역, 스택 영역에 대한 분석

구분

내용

디스크 (데이터)

포렌식

- 디스크의 증거(데이터) 식별 및 복구

- 각종 보조기억장치에서 삭제된 파일 복구, 증거 분석, 증거   훼손 방지를 위한 쓰기 방지 등 사후 조치.

- 디렉터리 구조, 키워드 검색, MAC Time 및 시계열 분석 등의 기법 사용

시스템 포렌식

- 운영체제, 응용프로그램 및 프로세스 분석하여 증거를 확보

네트워크 포렌식

- 네트워크를 통한 데이터 및 로그 분석

- 스니핑된 트래픽 로깅 파일, IP 발신자 추적, 라우터 로그 분석 등을 통하여 증거 확보

인터넷 포렌식

- 인터넷(웹 등) 통신 히스토리 분석

- 웹 히스토리 분석, 전자우편 헤더 분석, IP추적 기술 이용

모바일 포렌식

- 휴대용 기기에서 필요한 정보를 입수하여 분석

- 휴대용 기기의 은닉 용이성으로 세심한 분석 필요

암호 포렌식

- 문서나 시스템에서 암호를 추출

- 증거수집에서 비인가 접근을 막기 위해 문서나 시스템에 암호를 설정한 경우 암호 분석 필요

회계 포렌식

- 저장된 회계 데이터를 추출하고 회계 전문가가 분석할 수 있도록 데이터를 정제

- 기업의 부정과 관련된 수사 시 필요

전자메일 포렌식

- 전자메일, 메신저 등에서 증거자료 확보, 분석

- 발신자추적, 메일검색, 삭제된 메일복구 등의 기술 활용

소스코드

포렌식

- 프로그램 소스코드 유형을 보고 작성자를 구분

(필적 감정과 유사한 형태)

- 프로그램 개발 흔적을 조사하여 원시코드와 실행프로그램과의 상관관계를 분석.

데이터베이스

포렌식

- 데이터베이스에서 데이터를 추출 및 분석

- 압수. 수색이 현실적으로 어려운 대형시스템에서 디지털 증거물 획득 및 분석

- 증거 획득과정에서 관계자 입회 및 작업과정 결과파일에 대한 해쉬값 계산, 문서화 후 서명 절차 등이 필요.

멀티미디어 포렌식

- 디지털형태의 그림, 음악, 비디오파일에 관련된 저작권, 자료의 위•변조 여부 분석 및 데이터 은닉 기술(Steganography) 등이 해당됨.