디지털 포렌식 수행 절차

제 5 장 디지털 포렌식 수행 절차

1. 개요

 : 디지털 포렌식 조사는 사건 발생을 인지한 순간부터 증거 수집, 조사 과정을 거친 후, 그 결과를 정리하여 보고하는 순서로 진행

• 적법절차의 준수

 : 사건을 조사할 때 가장 우선해야 하는 것은 피조사자의 인권을 보장하는 것

 개인의 사생활과 관련된 정보가 저장되어 있을 가능성이 높기 때문에 이를 열람할 권한이 없는 상태에서 조사할 경우, 프라이버시 침해 문제가 발생할 수 있음

•  원본의 안전한 보존 및 무결성 확보

 : 증거 분석은 원본의 손상을 막기 위해 반드시 복제본에서 수행해야 함

 디지털 데이터가 어떠한 변경도 없었다는 것을 입증할 수 있기 때문에 데이터 수집 이후에는 어떠한 변경도 없었다는 것을 입증할 수 있는 기술적 절차를 따라야 하며, 원본이 손실 되었을 경우에도 생성한 복제본이 원본의 모든 데이터를 그대로 보유하고 있음을 입증

• 분석 방법의 신뢰성 확보

 : 증거 분석은 과학적인 방법, 전문가들에 의해 충분히 검토되어 신뢰할 수 있는 기술적 절차 수행, 도출된 결과는 검증할 수 있어야 함

• 진정성 유지를 위한 모든 과정의 기록

 : 디지털 증거의 진정성은 수집 이후부터 법정에 제출될 때까지 진행된 증거 처리에 관한 내용이 기록된 문서를 통해 입증

 진정성 유지를 위한 제반 절차인 연계 보관성 (chain of custody)을 지켜야 함

2. 디지털 포렌식 조사 모델

 디지털 포렌식 수행 절차

• 조사 준비

 : 사건들은 크게 보면 유사하게 분류할 수 있지만, 세부적으로는 모두 다르기 대문에 사건 특성에 맞는 철저한 준비가 없으면 중요한 증거를 훼손할 위험성 존재

 따라서 본격적인 조사에 앞서 조사할 대상에 대한 정보 수집, 조사 계획을 수립해야 하며, 평상시에도 디지털 포렌식 조사 기법에 대해 숙지하고 관련 기술개발에 노력해야 함

ⅰ. 도구 개발 및 교육 훈련

 : 디지털 기기는 계속해서 신제품이 출시되고, 지속적으로 개량되고 있으므로 해당 기기에 대한 연구가 선행되어 있어야 함

ⅱ. 사건 발생 및 확인

 : 사건 발생 인지 시 조사할 필요가 있는지 확인해야 함

 나아가 증거 수집 대상을 확보하기 위한 사전 조사가 필요함

 조사 대상을 확보하기 위해 관련 환경, 접근 대상 시스템의 유형, 규모, 운영체제, 네트워크 구성 등을 파악하여 증거 수집이 가능한지 판별

 자체 보안 솔루션 등으로 외부 저장장치를 통한 데이터 접근이 제한되는지, DRM 시스템과 같이 접근 제어형 보안 소프트웨어가 사용되고 있는지 확인 등

ⅲ. 조사 권한 획득

 : 국가 기관의 경우, 영장 발급 또는 피조사자의 동의를 받아 조사

 민간의 경우, 의뢰자가 해당 정보의 담당자인지 확인, 조사하는 과정에서 노출될 수 있는 정보에 대한 위험성 공지, 비밀 유지 서약을 한 후, 제공해 주는 데이터에 대한 조사 진행

ⅳ. 인원 구성

 : 사건의 유형, 조사자의 전문성, 압수 대상 장소를 고려하여 조사 팀 구성

 현장 도착 후 수색 절차, 증거 수집 방법과 범위, 각 조사자의 역할 등 분담

팀 구성이 완료되면 조사 책임자는 현장 조사에 참여할 인원들에게 조사 장소의 특성, 예상되는 시스템 등을 고려한 담당 업무와 유의사항에 대한 사전 교육 실시

ⅴ. 장비 · 도구 준비 단계

 - 증거 수집 장비 : 소프트웨어(이미지 작성용 프로그램, 데이터 수집 프로그램, 현장 초동 분석용 프로그램 등)

    하드웨어(현장에서 직접 분석하기 위한 휴대용 컴퓨터, 현장 촬영을 위한 카메라와 캠코더, 시스템 분해와 해체를 위한 공구, 디지털 데이터 수집을 위한 이미징 장비, 쓰기 방지 장치 등)

 - 증거 봉인 및 포장 장비 : 충격 완화용 보호 박스, 충격 흡수 소재가 부착된 증거 포장용 각종 봉투, 특수 테이프(Evidence Tape),

 봉인지(Seal), 압수물 라벨, 정전기 차단 봉투 등

 - 운반 장비 : 증거 운반용 전문 케이스나 운반 차량

• 현장 대응

  본격적인 증거 수집을 시작하기 이전에 현장을 통제하고 이를 보존하여 필요한 모든 증거가 수집되도록 준비하는 것

ⅰ. 현장 통제와 보존

ⅱ. 관계자 협조 요청

ⅲ. 조사 대상 매체 파악

• 증거 확보 및 수집

ⅰ. 시스템 확보

ⅱ. 저장 매체 확보

ⅲ. 데이터 선별 수집

ⅳ. 증거물 포장과 봉인

ⅴ. 증거물 목록 작성

• 증거 운반 및 확인

 : 획득한 증거물의 진정성 유지, 훼손방지

 또한 증거물의 누락 및 도난이 없도록 연계보관성을 철저히 유지, 반복 확인 과정을 거쳐야 함

• 조사 및 분석

ⅰ.  저장 매체 수리

ⅱ. 사본 생성

ⅲ. 데이터 추출

ⅳ. 데이터 분류

ⅴ. 상세 분석

• 보고 및 증언

 : 보고서는 디지털 포렌식에 대한 이해가 부족한 일반인도 쉽게 이해할 수 있는 용어를 사용하여 정확하고 간결하며 논리 정연하게 작성

 - 사건 및 보고서 번호

 - 증거 수집 일시, 보고서 작성 일시

 - 조사 · 분석자, 보고서 작성자

 - 조사 · 분석에 사용된 장비 및 환경

 - 각 절차에 대한 개략적 설명

 - 사진 및 인쇄물 등과 같은 첨부 자료

 - 추출 및 분석된 증거 데이터의 상세 설명

 - 분석 결과 및 결론

위의 항목이 포함되어야 함