1. 사이버 공간에서 범죄 증거 확보 기법, 디지털 포렌식 개념
가. 디지털 포렌식 개념
- 컴퓨터를 이용하거나 활용해 이뤄지는 범죄 행위에 대한 법적 증거 자료 확보를 위해 컴퓨터 시스템,
네트워크 등 가상 공간의 자료가 법적 증거물로 법원에 제출될 수 있도록 확보하는 일련의 절차와 방법
나. 디지털 포렌식 기본 원칙 (정재신연무)
| 기본원칙 | 내용 |
| 정당성의 원칙 | 획득한 증거 자료가 적법한 절차를 준수해야 함 |
| 재현의 원칙 | 동일한 조건의 검증 과정에서 동일한 결과가 나와야 함 |
| 신속성의 원칙 | 휘발성 증거의 수집 여부는 신속하게 진행되야 |
| 연계 보관성의 원칙 | 증거물 획득 → 이송 → 분석 → 보관 → 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함 |
| 무결성의 원칙 | 수집 증거가 위, 변조되지 않았음을 증명할 수 있어야 함 |
2. 디지털 포렌식 절차 및 절차별 주요 활동
가. 디지털 포렌식 절차
나. 디지털 포렌식 절차, 단계별 주요 활동
| 단계 | 주요 활동 | 고려 사항 |
| 수사준비 | - 전문인력, 포렌식 도구 활용방안 수립 - 보관 연속성 방안 수립 - 무결성 방안 수립 |
- 전 과정에 대한 기록 준비 - 하드디스크 복사 도구/자료 검사 도구/암호화 도구 사전 확인 |
| 증거획득 | - 증거수집, 수집 시간 기록 - 디스크 이미징, 복제, 해싱(Hashing:무결성위해) - 시스템/네트워크/프로세스 상태 수집, 증거물확보 |
- 휘발성이 강한 순서대로 수집(우선 순위) 1. CPU, 캐시 및 레지스터 데이터 2. 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계 3. 메모리 4. 임시 파일 시스템/스웝 공간 5. 하드 디스크에 있는 데이터 6. 원격에 있는 로그 데이터 7. 아카이브 매체에 있는 데이터 |
| 보관/이송 | - 전자파 차폐용기 사용 보관 - 라벨링 부착 이력 관리. - 적정 온도, 습도 유지 |
- 증거물의 이력 관리 |
| 증거 분석/조사 |
- 수집된 데이터 복구 분석 - 암호 해제, 삭제 파일 복구, 이메일 분석, 웹 히스토리 - 분석 기법 활용 |
- 증거 무결성 - slack space 등 고려 - Time line |
| 보고서 작성 |
- 분석과정 및 결과 보고서 작성 - 증거물과 보고서를 법정에 증거물 제출 |
- 누구나 쉽게 이해 할 수 있도록 쉽고 명확하게 설명. |
3. 디지털 포렌식 수집 및 분석 기술
| 분류 | 기술 | 설명 |
| 수집기술 | - 디스크 이미징 | 원본 디스크 손상, 변경 없이, 복제 하거나, 미러 이미지 파일 생성 |
| - 메모리 덤프 | 프로세스가 사용 중인 가상 메모리 덤프를 획득, 추출 | |
| - 무결성 입증(해싱) | 증거 변경되지 않았음을 입증하기 위해 해쉬, 메시지 다이제스트 획득 | |
| 분석기술 | - Time line 분석 | 파일 생성 시간, 최근 접근 시간, 수정 시간 등 분서 |
| - 슬랙공간 분석 | 디스크의 남은 공간에서의 데이터 은닉 등을 분석 | |
| - 덤프 메모리 분석 | 코드 영역, 데이터 영역, 스택 영역 분석 |
- 분석기술 : 파일 복구 분석, 비정상 파일 검색, 이메일 분석, 암호 복구, 수치 자료 정합성 분석 등
'메가노트 > 토픽과제(정리)' 카테고리의 다른 글
| IPSec(이강욱) (0) | 2022.10.01 |
|---|---|
| 시큐어코딩(이재용) (0) | 2022.10.01 |
| 웹 해킹(이상희) (0) | 2022.10.01 |
| DDOS 공격(문경숙) (0) | 2022.10.01 |
| APT(안혜진) (0) | 2022.10.01 |