1. 포렌식( Forensic ) ?
Forensic science( 법과학 )은 과학적 범죄수사 방법을 말한다.
2. Inman-Rudin Paradigm
- 사건( 범죄 )의 발생
Divisible Matter( 분열될 수 있는 물질 ) : 사건이 일어나면 물질은 분리된다.
Matter( 물질 ) / Traits( 특성 ) : 분리된 물질은 전송된다. 서로에게( 로카르 법칙 ) 전송
-> 각각의 물질은 서로 다른 특성을 가진다.
해킹사건의 경우
-> 해커에게는 피해자의 정보( 해커가 얻고자 하는 정보 )가 남게 된다.
-> 피해자에게는 시스템에 로그가 남게 된다.
USB를 통한 정보유출의 경우
-> 정보유출자는 정보를 유출한 USB에 정보가 남게 된다.
-> 피해자의 경우 정보를 유출해 간 USB의 정보가 남게 된다.
- 사건( 범죄 )이 발생한 후 인지( Recognition )
사건이 발생하더라도 그게 발생했는지 인지하는데 까지는 상당한 시간이 필요하다.
-> 해킹사건의 경우 사건이 발생하고 난 후 그 사실을 인지하는데 까지는 오랜 시간이 필요하다.
-> 수사기관에서 해킹사실에 대한 내용을 알려주거나
-> 해커가 직접 알려주거나
-> 감사에서 적발된다.
사건 인지 후에 바로 증거 수집이 필요하다.
-> 있는 그대로의 증거를 수집한다.
- 사건( 범죄 ) 증거의 분류( Classification )
-> 사건현장, 증인, 피의자( 용의자 ), 목격자 등으로 분류
-> 사건현장( Scene )
-> 피해자( Victim )
-> 용의자( Suspect )
-> 목격자( Witnesses )
- 증거에 대한 식별( Identification )
-> 종이, USB, 컴퓨터 등 일반적인 사람이 인식할 수 있는 단계
-> 이름, 주민번호, 통장번호, 카드번호가 기재된 종이 ➞ 단지 종이
-> 책상위에 놓여져 있는 USB
-> 불이 켜져 있는 컴퓨터 본체
-> 이는 USB가 어느 회사 제품이고 용량이 얼마나 되며 속도가 어떻게 되는지에 대한 식별이 아닌 단순한 USB로만 인식하는 단계
- 증거에 대한 개별화( Individualization )
-> 이름, 주민번호, 통장번호, 카드번호가 기재된 종이: 어느 은행 또는 카드사에서 나온 것인지 판단
-> 책상위에 놓여져 있는 USB: 어느 회사 제품인지 용량이 얼마나 되는지 등
-> 불이 켜져 있는 컴퓨터 본체: 윈도우 운영체제는 어떤 것을 사용하고 있는지
-> 스마트폰: 어느회사 제품이고 어느 운영체제를 사용하는지
증거에 대한 연고나성( Association )
-> 증거 대상에 범죄에 대한 행위( transfer )가 일어났는지 증거를 찾는 것.
-> 모든 증거에 대해 상호 분석
-> 다양한 가능성을 염두해 두고 분석
- 증거에 대한 재구성( Reconstruction )
-> 수집된 증거에 대한 연관성 등을 분석해 사건을 다시 재구성하는 것.
-> 이를 통해 어떻게 사건이 일어났는지 추정
-> 타임라인 분석을 통해 시간대별 이벤트를 구성하여 전체적인 사건 재구성
-> 파일시스템 $MFT, $USNJurl, $Logfile, 프리패치, 링크파일, 레지스트리 하이브 등 여러 증거들을 종합해 전반적인 흐름 구성
3. 전통적인 포렌식과 디지털포렌식의 차이
- 전통적인 포렌식
How에 대한 문제는 해결해 주지만 Why에 대해서는 해결해주지 못한다.
범죄현장에서 어떻게 죽었는지, 무엇을 통해 죽임을 당했는지, 누구에 의해 죽임을 당했는지 등에 대해서는 밝혀낼 수 있다. 하지만 왜 죽임을 당했는지에 대해서는 밝혀낼 수 없다.
- 디지털 포렌식
전통적인 포렌식과 마찬가지로 어떻게 사건이 벌어졌는지에 대한 문제 해결이 가능하다. 또한 왜 이 사건이 발생했는지에 대한 문제도 해결 가능하다.
4. 전통적인 포렌식과 디지털포렌식 프로세스 비교
- 이미징: 저장매체의 모든 물리적 데이터를 파일 형태로 만드는 작업
복사 VS 복제 VS 이미징
- 네트워크 패킷 캡쳐: wireshark 등을 통해 네트워크 상에서 돌아다니는 데이터 패킷을 캡쳐한다. 이는 OSI 모델의 2계층인 Data-Link 계층에서 패킷을 캡쳐한다.
- 라이브 포렌식: 전원이 켜져 있는 기기에서 휘발성 데이터가 저장되는 RAM에 대한 증거 수집을 예로 들 수 있다.
5. 디지털 포렌식 절차
1) 조사준비
- 도구 개발 및 마련
분석 대상에 적합한 분석 SW 마련
분석 대상에 적합한 분석 SW 개발
- 교육훈련
각종 파일시스템 분석: FAT32, NTFS, ExFAT, HFS, Ext 2,3,4
네트워크 장비 특성 분석: IDS, IPS, WAF
OS 버전별 특징 분석: 윈도우 xp, vista, 7, 10, Cent OS, Ubuntu
어플리케이션 별 특징 분석: MS Office, Kakaotalk, ...
- 장비 및 도구 준비
분해 해체 공구 세트
디스크 복제/이미징 장비
쓰기방지 장치
분석용 소프트웨어
분석용 PC
다양한 규격의 케이블
증거 포장 운반세트
캠코더, 카메라
2) 증거 수집
- 증거 수집 시 고려사항
사진촬영( 무엇을 찍을 것인가? )
수집 대상 확인( 어떤 것을 수집할 것인가? )
전원이 켜진 PC에서 어떻게 증거를 수집할 것인가?
증거 데이터를 어느 범위까지 할 것인가?
- 증거 수집 시 방법
전체 디스크를 이미징
> PC에서 디스크 분리 후 현장에서 이미징
> PC에서 디스크 분리 후 압수 한 뒤 분석실에서 이미징
휘발성 정보 수집( 라이브 포렌식 )
> 메모리 전체를 이미징
> 필요한 정보 수집을 위한 스크립트 작성
디스크에서 일부 정보만 수집
3) 증거 조사/분석
- 삭제된 데이터 복구
- 해쉬 분석
- 인터넷 히스토리 분석
- 이메일 분석
- 링크파일 분석
- 프리패치 파일 분석
- 레지스트리 분석
- 이미지 파일 분석
- 휴지통 분석
- 윈도우 이벤트 로그 분석
- 컴파운드 파일 분석
- 시그니처 분석
- USB 접속기록 분석
- 타임라인 분석
4) 보고 및 증언
분석 보고서 작성: 분석자, 분석 SW, 분석 대상, 분석 내용, 분성 결과
전문가 증언: 법정에서의 전문가 증언
> 분석자로서의 자질 검증 및 의견 수렴
> 관련 학력, 관련 자격증, 관련 경력 등
