kmozzart

디지털 포렌식 (영어: Digital forensics) 1

작성일 작성자 시나브로




디지털 포렌식 (영어: Digital forensics)은 법 과학 (법의학 과학)의 한 분야로 주로 컴퓨터 범죄 관련 디지털 장치에 기록 된 정보의 수집과 분석 조사 등을 실시하는 것을 가리킨다. 디지털 포렌식이라는 용어는 원래 "컴퓨터 포렌식'의 동의어로 사용되고 있었지만, 모든 디지털 장치를 커버하는 범위가 확대되었다. 1970 년대 후반부터 1980 년대 초반의 PC (Hobby Personal Computer) 혁명의 발단이 된 이 분야는 1990 년대 사이에 막연한 채로 발전하고 일정한 정책으로 결정되어 온 것은 21 세기에 이르러서이다.




Foro Romano

 

용어

법의학 (Forensic sciences)의 여러 분야에서 머리에 붙은 "법의학 (Forensic)"형용사는 라틴어의 "forēnsis" "포럼 (광장)'에서 유래하고 있다. 로마 제국 시대 '기소'는 로마 시내 중심에 있는 포로 로마노(이탈리아어: Foro Romano)에서 청중에게 공개하는 것이었다. 피고와 원고는 모두 자신들의 주장을하고 더 나은 주장을 더 넓게 받아들여진 것이 재판에서 판결을 내릴 수 있었다. 이 기원은 현대의 "forensic"이라는 단어의 두 가지 용법의 토대가 되고 있다. 첫째는 "법적으로 유효하다 '라는 뜻과 그리고 두 번째가 "공개 발표'라는 뜻의 형용사이다.

현재 법과학을 의미하는 법의학 과학 (forensic science) 대신 단순히 포렌식 (forensics)이라고 표현해도 같은 의미를 가진다. 이제 "forensics"과학과 밀접하게 관련된 것으로 파악되고 있기 때문에 많은 사전이 "forensics""forensic science"즉 법 과학의 의미를 동시에 싣고있다.

디지털 컴퓨터 분야에서는 원래 컴퓨터 과학은 컴퓨터 과학 일 수도 있고, 위의 약어를 사용하여 뒤에 포렌식 (forensics)이라고 붙인다.




 

개요

디지털 포렌식 조사에는 다양한 용도가 있을 수 있다. 가장 일반적인 것은 형사 재판 또는 민사 재판에서 입증 또는 반증하는 증거를 얻기 위한 것이다. 형사 사건은 경찰에 의해 체포되어 검찰 등에 기소 된 절도 나 폭력 사건 등의 법률 위반이 있다. 한편, 민사 소송은 개인의 권리와 재산을 보호 할 목적으로 행해지 (가족 간의 분쟁 등)는 경우가 많다. 또한 기업 간 계약 분쟁과 관련하여 디지털 포렌식이 사용되는 것도 있다.

 

디지털 포렌식은 법정 외의 민간 부문에서 활용되는 경우도 있다. 기업 내부 조사 및 침입 조사 (무단 네트워크 침입 탐지 및 정도를 전문적으로 조사하는 것 등) 등이다.

 

조사의 기술적 측면으로는 관련 디지털 기기의 종류에 따라 다음과 같은 몇 가지 작은 분야로 나눌 수 있다. 컴퓨터 포렌식(영어 : computer forensics), 네트워크 포렌식 (영어; Network forensics), 포렌식 데이터 분석 (영어; Forensic data analysis) 및 모바일 장치 포렌식 (영어; Mobile device forensics) 등이다. 전형적인 법 과학적인 프로세스는 장치의 처분 (원본 데이터를 변경하지 않고 행해지는 것)으로 데이터 추출, 분석 및 수집 된 증거에 대한 보고서 작성이다.

디지털 포렌식을 사용하여 범죄의 직접적인 증거를 특정 할뿐만 아니라 증거를 특정 용의자에 귀속시키는 것도 역할의 하나이다. 예를 들어, 용의자의 알리바이 와 과거의 발언을 확인하고 그 의도를 판단하고, 출처를 식별 (저작권 위반의 경우)등이다. 조사는 복잡한 시계열과 가설을 수반하는 경우가 많으며, 다른 법의학 분석 (일반적으로 간단한 질문에 대한 답변을 이끌어 내기)보다 훨씬 넓은 범위에 걸친 경우가 많다.




 

역사

1970 년대 이전에는 컴퓨터 범죄는 기존의 법률을 통해 해결되고 있었다. 첫 번째 컴퓨터 범죄는 1978 '플로리다 컴퓨터 범죄 법'에 법리 되었다. 여기에는 컴퓨터 시스템에서 허용되지 않은 데이터 변경 또는 삭제를 불법화하는 법률을 포함했다. 이후 몇 년간 컴퓨터 범죄의 범위가 확대되고, 저작권 위반, 개인 / 괴롭힘 (: 사이버 괴롭힘 , 사이버 스토킹 ) 및 아동 포르노 와 성적 착취 문제를 다루는 법률이 통과되었다. 다만 미국에서 주법이 아닌 연방법으로 컴퓨터 범죄를 도입 한 것은 1980 년대에 이르러서이다. 1983 년 최초의 법안을 가결 한 나라는 캐나다이다. 이에 이어 1986 년 미국 연방 "컴퓨터 사기 및 남용 법, 1989 년에 호주의 '범죄 법'의 개정, 그리고 1990 년에 영국의"컴퓨터 남용 법의 제정이 이루어졌다.

 

1980 년대 - 1990 년대 : 성장기

1980 년대부터 1990 년대에 걸쳐 컴퓨터 범죄의 증가로 인해 법 집행 기관은 범죄 수사의 기술적 측면에 대응 해 나가기 위해 전국 수준의 전문 조직을 설립했다. 1984 년에 FBI "컴퓨터 분석 대응팀'을 출범, 이듬해에는 영국 경시청 싸이버 부대에서 컴퓨터 범죄 부서가 설치되었다. 이 그룹의 초기 멤버는 법 집행 기관의 전문가뿐만 아니라 원래 컴퓨터 애호가이며, 이 분야의 초기 연구와 교육을 담당하게 되었다.

 

디지털 포렌식의 첫 번째 실용적인 (또는 적어도 공표 된) 예 중 하나는 1986 년 클리포드 스톨 (Clifford Paul "Cliff"Stoll 1950 6 4 일 출생) 에 의한 해커 마르크스 헤스의 추적이다. 컴퓨터와 네트워크의 법 과학적 기술을 이용한 설치는 법 집행 및 법의학 전문 분석관은 없었다. 이처럼 초기에 전문 분석관과 수사관이 실시하는 것으로는 되지 않았던 것이다.



Hacking-in-Britain-Not-Limited-to-Media-Industry-SOCA-Report-Shows

 

1990 년대를 통해 이러한 새로운 분야의 전문 수사관의 수요가 높아질 때 영국 '국가 하이테크 범죄 단위'2001 년에 설립 된 컴퓨터 범죄의 국가 인프라를 제공하는 것으로 되었다. 런던의 중심부에 위치하면서 다양한 지역의 경찰과 협력하는 체제를 취하고 있었다. 2006 년에 중대범죄 조직 국 (영어 : Serious Organised Crime Agency, SOCA) 에 통합)이다.

 

그동안 디지털 포렌식은 취미의 IT 전문가에 의해 개발 된 기술이나 특별 도구에 의한 것이었다. 이것은 과학계에서 태어난 다른 법의학 분야와는 대조적 인 것이다. "컴퓨터 포렌식 '이라는 용어가 학술 문헌에서 처음 등장하는 것도 1992 년이 되고 나서이다 (비공식적으로는 사용되었다). Collier and Spaul의 글은 이 새로운 지침서를 법의학의 세계로 만들려고 했다. 이러한 급속한 발전은 기술의 표준화 및 교육의 부족이라는 새로운 문제를 안게 되었다. K. Rosenblatt1995 년 저서 하이테크 범죄 : 컴퓨터와 관련된 사건의 조사에서 다음과 같이 쓰고 있다.

 

컴퓨터에 저장되어있는 증거 압류, 보존, 분석은 1990 년대에 법 집행 기관이 직면하고 있는 가장 큰 난제이다. 다른 법 과학적 검사, 지문이나 DNA 형 감정은 전문 훈련 된 전문가가 실시하지만, 컴퓨터 증거 수집은 경찰과 형사가 하고 있다.




 

2000 년대 : 표준 확립

2000 년 이후 기술의 표준화의 필요성에 부응하여 다양한 기관이 디지털 포렌식 가이드라인을 발표했다. 디지털 증거에 대한 과학 워킹 그룹 (영어; Scientific Working Group on Digital Evidence, SWGDE)2002 년의 논문 'Computer Forensics의 모범 사례"를 만들고 2005 년에는 국제 ISO 표준 ( ISO 17025 시험 및 교정의 능력에 대한 일반 요구 사항) 공개가 이어졌다. 유럽의 주요 국제 협약 인 ' 사이버 범죄 조약 '은 국내 컴퓨터 범죄 법, 조사 기술 및 국제 협력을 조정하기 위한 목적으로 2004 년에 발효되었다. 협약은 43 개국 (미국, 캐나다, 일본, 남아프리카, 영국 및 기타 유럽 국가를 포함)에 의해 서명되어 16 개국에 의해 승인되어있다.

 

교육 문제도 눈길을 끌었다. 영리 기업 (종종 법 과학적 소프트웨어 개발자) 인증 프로그램을 제공하였고 디지털 법의학 분석은 영국의 전문가 조사원 교육 시설, Centrex 훈련에 포함되게 되었다.

 

1990 년대 후반 이후 모바일 기기가 널리 이용되게 되어 휴대가 간단한 통신 기기를 넘어 진보 디지털 포렌식에게도 그것은 풍부한 정보 (증거)가 되는 것이 밝혀졌다. 그럼에도 불구하고 휴대 전화 디지털 분석은 주로 장비 제조업체의 독자성을 위해 기존 PC 관련 기기에 뒤처지고 있다.




USJFCOM_SEAL 미국 통합 전력 군

 

이 시대, 인터넷 범죄, 특히 사이버 전쟁 과 사이버 테러의 위험에도 초점을 맞추었다. 2010 2 미국 통합 전력 군(영어: United States Joint Forces Command, 약칭: USJFCOM) 보고서는 다음과 같이 결론을 내렸다.

적은 사이버 공간을 활용하여 비즈니스 업계, 학계, 정부뿐만 아니라 공군, 육군, 해군, 주역까지도 대상으로 하는 것이다. 대전에서 에어 파워가 전쟁을 바꾼 것처럼, 사이버 공간은 국가를 보호하는 역할이었으나 상업 및 커뮤니케이션에 대한 공격을 가능하게하고 있다.

 

현재 디지털 포렌식 분야는 미해결의 문제에 직면하고 있다. Peterson Shenoi에 따르면 2009 년의 논문 '디지털 포렌식 연구 : , , 그리고 아직 알려지지 않은 문제 "디지털 포렌식 조사에서 Windows OS에 편중에 대해 우려를 표명하고 있다. 2010 Simson Garfinkel은 미래의 디지털 조사의 문제를 열거하고 그 중 디지털 미디어의 용량의 확대, 소비자에게 다양한 암호화의 보급, 다양한 OS 와 파일 형식 여러 장치를 소유한 개인의 증가, 법적 문제 등을 꼽았다. 또한 이 문서에서는 지속적인 교육 문제 및 이 분야에 진입하기 위한 매우 높은 비용도 지적되었다.




1280px-Portable_forensic_tableau 하드 드라이브에 연결된 휴대용 Tableau 쓰기 차단기

 

법의학 도구의 개발

1980 년대에는 직업적인 디지털 포렌식을 위한 도구는 거의 존재하지 않고, 그 결과 조사는 해당 기기에서 직접 분석하여 기존의 관리 도구를 사용하여 증거를 추출했다. 이 방법은 잘못, 또는 저급한수준의 원인으로 디스크의 데이터가 변경되어 버릴 위험성이 있고, 증거가 조작되어 있다고 주장되는 일이 벌어지고 있었다. 이 문제를 해결하기 위해 1990 년대 초반에 여러 소프트웨어 도구가 개발되기 시작했다.

 

1989 년에 연방 법 집행 훈련 센터는 이러한 소프트웨어의 필요성을 인정하고 "IMDUMP (Michael White)1990 SafeBack (Sydex 의해 개발 된)" 만들기에 이른다. 같은 소프트웨어가 다른 나라에서도 개발되고 있었으며, "DIBS (하드웨어 및 소프트웨어 솔루션)"1991 년에 영국에서 상업적으로 출시 된 Rob McKemmish"Fixed Disk Image"를 발표하고 호주 법 집행 기관에 무료로 제공했다. 이 도구는 확인을 위해 원본 디스크를 원래의 상태로 유지 한 채 작업하기 위해 원래의 정확한 복사본을 만들 수 있었다. 1990 년대 말까지 디지털 증거의 수요가 증가함에 따라 "EnCaseFTK '등 고급 상용 툴도 개발되어 분석관은 원시 데이터 분석을 하지 않고 복사를 사용하여 알아낼 수 있게 되었다. 최근에는 "라이브 메모리 포렌식 '의 경향이 높아지면서'WindowsSCOPE"라는 도구를 사용할 수 있게 되었다.

 

최근에는 모바일 기기에 대해서도 같은 도구의 개발이 이루어지고 있다. 당초 PC 시절과 마찬가지로 장치의 데이터에 직접 액세스하는 것이었지만 곧 "XRYRadio Tactics Aceso '등의 전문 도구가 등장했다.



Radio Tactics Aceso




맨위로
통합 검색어 입력폼