kmozzart

디지털 포렌식 (영어: Digital forensics) 2(마지막)

작성일 작성자 시나브로




포렌식 과정 (Digital forensic process)

디지털 포렌식 조사는 일반적으로 "수집 또는 디스크 이미지 복사 " "분석", "보고" 3 단계로 이루어진다.

  


Disk-structure2. 그림 1 디스크의 구조.  

(A) 트랙

(B) (기하학) 섹터

(C) 트랙 섹터

(D) 클러스터

 

데이터 수집 또는 복사 단계에서 이상적인 것은 컴퓨터의 휘발성 메모리 (RAM)' 이미지 '를 캡처 또는 섹터(영어: Disk sector) 수준의 복제, 미디어의 복제 쓰기 블로킹을 이용한 기존의 변형을 방지 등의 대책을 취하는 것입니다. 다만, 최근의 저장 매체 크기의 확대와 클라우드 컴퓨팅 (영어: cloud computing)등의 개발에 의해 물리적 저장 장치의 전체 이미지가 아닌 데이터의 "논리적"복사가 취득 된다 "원시 데이터" 검색이 늘었다. 수정이 되어 있지 않거나 후 검증하기 위해 취득한 이미지 (또는 논리적 복사)와 원래의 미디어 / 데이터 모두가 해시(영어: hash function) 되어 ( SHA-1 MD5 같은 알고리즘을 사용하여) 복제와 값을 비교하여 같으면 동일한 것으로 알려졌다.



Hash_table_4_1_1_0_0_1_0_LL. 해시 함수 이름과 0에서 15까지의 정수를 매핑하고있다. John Smith 와 Sandra Dee해시 값이 충돌하고있다.

 

분석 단계에서는 조사원은 다양한 방법과 도구를 사용하여 증거 자료를 회수한다. 2002 International Journal of Digital Evidence 기사는 이 단계를 "의심스러운 범죄 관련 증거에 대한 자세한 체계적인 검색'이라고 부르고 있다. 2006 년 법 과학 조사원의 Brian Carrier"직관적인 절차"에서 명백한 증거가 확인 된 후 "철저한 조사가 이루어지는 것"이라고 설명했다.

 

분석 과정은 실제 조사에 따라 다를 수 있지만, 일반적인 방법론으로는 디지털 미디어 전체 파일 검색 (파일 할당되지 않은 공간, 여유 공간), 삭제 파일 복구, 레지스트리 정보 추출 등이 있다 (USB 장치 포함).

회수 된 증거는 이벤트를 재구축하고 분석하여 일반적으로 서면보고의 형태로 일반 인간에 이해할 수 있는 말로 정리 한다.



Cloud_computing. 이미지도. 사용자 관점에서 클라우드 (구름 네트워크)에 공급자가 제공하는 각종 서비스가있다.

 

응용

디지털 포렌식은 형사 사건뿐만 아니라 일반 조사에서도 일반적으로 사용되고 있다. 전통적으로 법원에서 지지 또는 반대를 표명하는 데 근거가 되는 증거를 수집하기 위해 형법에 관련하고 있었다. 다른 법 과학 분야와 마찬가지로 이것은 많은 분야에 걸쳐 광범위한 연구의 일부가 된다. 경우에 따라서는 수집 된 증거는 재판 절차 이외의 목적으로 디지털 정보의 수집의 한 형태로 사용되어 사용 된다 (다른 범죄의 특정 중지 등 포함). 그 결과, 정보 수집의 방법은 법정에서 요구되는 기준만큼 어렵지 않은 법 과학적 기준에 의거 할 수도 있다.

 

민사 소송 또는 기업의 문제는 디지털 포렌식 전자 디스커버리 프로세스의 일부를 형성하는 경우가 있다. 법 과학적 절차는 형사 수사에 사용되는 것과 유사한 것이 있지만, 종종 다른 법적 요구 사항 및 제한이 존재한다. 민간에서 디지털 포렌식의 이용은 회사의 조사 등에 이용된다. 일반적인 예로는 허가되지 않은 네트워크 침입이 꼽힌다. 일반적으로 방어 연습으로, 또는 실제 침입의 정도를 확인하고 공격자를 특정하려고하는 모두 공격의 특성과 피해의 범위 · 정도에 관한 법 과학적 검사가 이용된다. 이러한 공격은 1980 년대에는 전화선을 통해 이루어지고 있었지만, 현대에서는 보통 인터넷을 통해 침입이 시도 되고 있다.

 

디지털 포렌식 조사의 주요 초점은 범죄 행위의 객관적 증거 (법적 용어로는 "actus reus"라고도 함)를 확보하는 것이다. 그러나 디지털 장치에 보존되어있는 다양한 데이터는 다른 학문 분야에도 도움이 되는 것이다.

 

귀속

메타 데이터 및 기타 로그를 사용하여 특정 작업을 특정 개인에 연결 지어 개인을 식별한다. , 예를 들어 컴퓨터의 디스크에 있는 개인 문서 파일의 메타 데이터 의해 그 소유자를 식별하는 등 이다.

알리바이 증언

관계자에 의해 제공된 정보는 디지털 증거와 일치하는 것으로, 알리바이 증거로 할 수 있다. 예를 들어, 살인 사건 수사 중에 혐의를 받은 사람이 함께 있었다고 주장했던 사람의 휴대 전화 통화 기록하여 용의자의 알리바이는 입증된다.

의도

범죄가 저질러졌다는 객관적인 증거를 찾는 것 이외에도 조사는 그 의도를 증명하기 위해서도 사용 된다 (법적 용어로는 "(mens rea)'가 된다). 예를 들어, 유죄 판결을 받은 살인자, Neil Entwistle 브라우저 기록에는 "살해 방법"을 논의하고 있는 사이트에 검색 기록이 남아 있었다.

출처 확인

메타 데이터 등 특정 데이터의 출처를 식별하는 데 사용 된다. 예를 들어, 이전 버전의 Microsoft Word 에서 만든 컴퓨터를 식별하는 GUID 가 포함되어 있었다. 조사 중인 디지털 기기에서 파일이 생성 된 것인지, 다른 장소 (인터넷 등)으로 부터 입수 된 것인지를 증명하는 것은 매우 중요하다.

문서 인증

"출처 확인"에 관련하여 디지털 문서와 관련된 메타 데이터를 쉽게 변경할 수 있다 (예를 들어 컴퓨터의 시간 설정을 변경하여 파일의 생성 날짜를 위장 할 수 있다) . 기술 인증은 그런 세부 사항 변조 탐지 및 식별이 이루어진다.

제약과 한계

디지털 포렌식 조사에서 큰 제한이 되는 것은 암호화의 사용이다. 이 키워드를 사용하여 적절한 증거를 검색하는 첫 번째 단계에서 조사를 넘어야할 문제다. 개인에 대한 암호화키를 공개하도록 강제 할 수 있는 법률은 아직 최근 화제의 논쟁으로 되어있다.

 

법적 고려 사항

디지털 미디어 분석 조사는 국내외 법에 의해 규제되는 경우가 있다. 특히 민사의 조사에서는 분석관은 특히 법적 제한을 받게 된다. 네트워크 모니터링 및 사적 커뮤니케이션의 읽기는 대개 법에 의한 규제가 존재하고 있기 때문이다. 형사 수사의 경우에는 얼마나 많은 정보를 압류 할 수 있을지는 국내법에 달려있다. 예를 들어 영국에서는 법 집행 기관의 증거 처분은 "PACE 에 근거하는 것으로 되어있다. 초기는 "컴퓨터 증거 국제기구 '(IOCE) 등의 기관이 증거 처분을 위해 호환되는 국제 표준을 확립하기 위해 움직이고 있었다.

 

다만 영국에서는 컴퓨터 범죄 단속 같은 법률이 조사관에 영향을 미칠 가능성이 지적되었다. 1990 년 법은 컴퓨터에 대한 무단 액세스를 방지하는 것이었다, 이것이 민사의 조사관에게 특히 우려 사항이 되고 있다.

 

개인의 프라이버시에 대한 권리는 디지털 포렌식의 한 분야이며, 이것은 여전히 대부분 법원에서 판례화 되어 있지 않다. 미국 전자 통신 프라이버시 법 (ECPA )은 법 집행 기관 또는 민간 조사관이 증거를 해석하고 접근하는 능력에 제한을 마련한 것으로 되어있다. 저장되어있는 통신 (: E 메일 아카이브) 와 전송 된 통신 (: VoIP)를 구분하여 후자는 개인 정보 침해로 간주되기 때문에 영장을 취득하는 것은 곤란해진다. ECPA 법은 또한 기업의 직원의 컴퓨터와 통신을 조사하는 데에도 영향을 미칠 것이다. 이것은 기업이 얼마나 감시를 할 수 있는가하는 점에서 여전히 논쟁의 여지가 남아있는 것으로 되어있다.

 

유럽 인권 협약 제 5 조는 ECPA 법과 같은 개인 정보 제한을 부과하고 있으며, EU 내외의 개인 데이터의 처리 및 공유를 제한하는 것이다. 영국의 법 집행 기관의 권한은 수사 권한 규정 법에 의해 규정 된 것으로 되어있다.




PersonalStorageDevices. 디지털 증거는 다양한 형태

 

디지털 증거(Digital evidence)

디지털 증거는 법정에서 사용되는 경우, 다른 형태의 증거와 같은 법적 지침을 따르게 된다. 미국에서는 연방 증거 규칙 디지털 증거의 허용 성을 평가하기 위해 사용 된 영국 PACE 및 민사 증거법은 같은 지침을 가지고 많은 다른 나라에서 자신의 법률이 있다. 미국 연방법에서는 명백한 증거 가치가있는 것에 한정 처분이 용인된다.

 

(한국에서는 이 "증거 법에 해당하는 유사한 법률은 존재하지 않는다 )

 

디지털 증거를 취급 법은 일관성과 안정성이라는 두 가지 문제를 중시한다. 무결성은 디지털 미디어를 처분하여 취득하는 행위에 의해 증거 (원본 또는 사본 중 하나)가 변경되지 않도록 할 것. 신뢰성은 정보의 무결성을 확인하는 기능이다. 디지털 미디어의 변경이 용이하다는 것은 범죄 현장의 분석에서 결국 법원까지 ( 일련의 증거 보전 및 감사 ) 절차를 문서화 할 증거의 신뢰성을 확립하기 위해 중요한 것이다.

 

변호사는 디지털 증거는 이론적으로 변경 될 가능성이 있기 때문에 증거로서의 신뢰성을 떨어 뜨릴 것이라고 주장 해왔다. 미국의 판사는 이 이론을 부정하고 있다. 법정에서 "컴퓨터에 포함 된 데이터를 변경하는 것이 가능하다는 사실은 신뢰할 수 없음을 입증 하려면 분명히 부족하다"고 판결했다. 영국이나 미국에서는 증거의 신빙성과 완전성을 문서화 하기 위한 지침을 만들고 있다.




Faraday cage

 

디지털 포렌식의 각 분야는 각각 조사 실시 및 증거의 취급에 관한 자신의 지침을 가진다. 예를 들어, 휴대 전화 장치에 무선 트래픽을 방지하기 위해 처분 중 패러데이 실드(영어: Faraday cage)에 넣어 둘 필요가 있다. 국제적인 접근으로는 유럽위원회에 따르면 "전자 증거 가이드"는 전자 기록의 식별 및 취급에 대한 지침을 각국의 법 집행 기관 및 사법 당국용으로 제공하고 있다.




Firefox2 Netscape 의 오픈 소스 화를 거쳐 다시 태어난 web 브라우저 Mozilla Firefox 는 오픈 소스의 대표적인 유물 중 하나다

 

조사 도구

디지털 증거의 법정에서의 효과는 그것을 추출하는 데 사용되는 도구에 의존한다. 미국에서는 1993 년 미국 대법원에서 도바트 대 메렐 다우 제약 (영어; Daubert v. Merrell Dow Pharmaceuticals, Inc.)에서 연방법의 일부가 된 도바트 기준 (영어; Daubert standard) 을 준수하게 되었다. 이 경우 판사가 사용되는 프로세스와 소프트웨어가 허용 범위 내에 있는지를 확인할 책임이 있다. 2003 년의 논문에서 Brian Carrier는 도바트 기준 지침은 법 과학적 도구의 소스 코드를 공개하고 심사하는 것이 요구된다고 했다. 그는 " 오픈 소스 (영어: open source) 도구는 닫힌 소스 도구보다 지침의 요구 사항을 보다 명확하고 포괄적으로 충족시킬 수 있다"고했다. 2011 년에 Josh Brunty는 디지털 포렌식 검사 실행 관련 기술과 소프트웨어의 과학적 검증은 각 실험실의 과정에 있어서도 중요하다고 말했다. 그는 "디지털 포렌식은 재현 가능한 프로세스 및 품질 증거의 원칙에 기초하고 적절한 검증 프로세스를 설계하고 적절하게 유지하는 방법을 알 수 있고 법정에서 자신의 기술을 증명하기 위에서 중요하다 "고 말하고 있다.

 

각 소 분야

현재 소형 디지털 기기 (태블릿, 스마트 폰, 플래시 드라이브 등)이 범죄자에 의해 널리 사용되고 있기 때문에 디지털 포렌식 조사는 단순히 컴퓨터에서 데이터를 검색하는 것에 한정되지 않는다. 장치, 미디어 또는 물질의 종류에 따라 디지털 포렌식 조사는 다양한 종류로 분기한다.

 

컴퓨터 포렌식

컴퓨터 포렌식의 목적은 디지털 매체의 상태를 설명하는 것이다. 컴퓨터 시스템, 저장 매체 또는 전자 문서 등이다. 이 분야는 일반적으로 개인용 컴퓨터 (PC), 임베디드 시스템 (초보적인 계산 능력 및 온보드 메모리를 갖춘 디지털 장치) 및 정적 메모리 (USB 펜 드라이브 등)를 대상으로하고 있다.

컴퓨터 포렌식 로그 (인터넷 히스토리 등)에서 드라이브의 실제 파일까지 포괄적인 정보를 다룬다. 2007 년 검찰은 조셉 E 던컨 3 세의 컴퓨터에서 발견 한 스프레드 시트 (스프레드 시트) 를 증거로 살인을 구형하였다. 또 다른 살인범은 고문과 살인의 환상을 자세히 설명하는 전자 메일 메시지에서 형이 확정됐던 경우도 있다.

 

모바일 장치 포렌식 (Mobile device forensics )

모바일 장치 포렌식은 모바일 장치에서 디지털 증거 나 데이터의 복구에 관계한다. 모바일 장치 고유의 통신 시스템을 가지고 있다는 점에서 컴퓨터 포렌식과는 다른 (: GSM ) 것으로되어 있다. 또한 모바일 장치에서는 일반적으로 자신의 저장 메커니즘을 가진다. 따라서 조사는 일반적으로 삭제 된 데이터의 자세한 회복이 아닌 통화 데이터 및 통신 (SMS / E - 메일) 등의 간단한 데이터에 초점을 둔다. 모바일 장치의 SMS 데이터 조사에서는 영국 유학생 살해 사건에서 Patrick Lumumba의 무죄를 확정하는 데 도움이 되었다.

모바일 장치는 내장 GPS / 위치 추적에서 또는 모바일 웹 로그를 통해 장치를 추적하고 위치 정보를 취득하는 데에도 도움이 된다. 그런 정보는 실제 납치범을 추적하는 데 사용 된다.

 

네트워크 포렌식 (Network forensics)

네트워크 포렌식은 정보 수집, 증거 수집 또는 침입 탐지를 목적으로 한 로컬 및 WAN / 인터넷 모두 컴퓨터 네트워크 트래픽 모니터링 및 분석이다. 트래픽은 패킷 수준에서 차단되어 나중에 분석하기 위해 저장하거나 실시간으로 필터링 된다.

2000 년에 FBI는 가짜 면접에서 컴퓨터 해커 Aleksey Ivanov Gorshkov를 미국에 유인했다. 양자 컴퓨터에서 발생하는 네트워크 트래픽을 모니터링 하여 FBI는 암호를 식별하고 러시아의 컴퓨터에서 직접 증거를 수집하는데 성공했다.

 

포렌식 데이터 분석 (Forensic data analysis)

포렌식 데이터 분석은 디지털 포렌식의 한 분야이다. 금융 범죄로 인한 불법 행위의 패턴을 발견하고 분석하는 것을 목적으로 구조화 된 데이터를 확인하는 것이다.



RAM_n RAM의 IC 나 모듈

 

데이터베이스 포렌식 (Database forensics)

데이터베이스 포렌식은 데이터베이스 와 그 메타 데이터(metadata)의 법의학 조사를 실시, 디지털 포렌식의 한 종류이다. 조사에서는 데이터베이스의 내용, 로그 파일 및 RAM(Random Access Memory)의 데이터를 사용하여 타임 라인을 만들거나 관련 정보의 복원을 실시한다.






맨위로
통합 검색어 입력폼