170424 디지털포렌식 개요

전통적인 포렌식 절차로 본 디지털 포렌식

사건이 발생 한 후 사건에 대한 분석에서 적용되는 기본적인 개념

- 전달, 식별, 개별화, 연관성, 재구성 의 개념화

Inman K, Rudin N(2002), "The origin of evidence." 의 논문에 기술된 패러다임.

증거 형성( 증거의 기원) 에 대한 형성의 절차 및 방식 정의.

사건이 발생하면 분할될수 있는 물질(Divisible Matter) 에서 물질(Metter)과 특성(traits)이라는 개념이 생긴다. 가령 차량사고의 경우 충돌로인한 차량에서 발생한 떨어져나온파편( 파편은 주변으로 흩어지거나, 충돌한 상대방에게 묻거나 등의 움직임을 보일것) 과 차량자체의 변형이 있을것이다. 파편에 대한 이해를 물질로 생각하고 충돌로인한 차량의 변형을 특성으로 이해하면 되겠다.

사건발생시점에서 최초로 그 사건을 발견하는 시점이 인지(Recognition)이다. 

인지 발생후 증거의 분류(Classification)로서 사건현장(Scene), 목격자(Witnesses), 피해자(Victim), 용의자(Suspect) 등으로 분류한다. 

증거의 식별(Identification)은 사건 현장에 있던 있는 그대로의 모습이다. 종이에 어떤 내용이 적혀있다고 '내용이 적힌 종이'가 아닌 '그냥 종이' 로 분류해야 한다. 

식별 후 개별화(Individualization)의 과정에서 증거는 그 기원이 어디서 온것인지 의미를 가지게 된다. usb는 어디서 사용되고 어떤 내용이있는가? 어떤 회사의 제품이며 용량은 어떻게 되는가등의 부가적인 의미를 부여받는다.

그후 증거와 범죄행위와의 연관성(Association)을 연결 짓는다. 모든 증거에 상호관계와 가능성을 염두하고 분석한다.

증거의 연관성이 성립되면 사건의 재구성(Reconstruction)을 실시한다. 사건이 어떻게 일어났는가를 추정하는것이며, 타임라인 분석을 통해 시간대별 이벤트를 추정한다. 시체의 사망추정시각등을 알아내는것, 사건발생시 망가져 멈춰버린 시계등의 증거는 사건의 시간대를 알아내는데 유용하게 사용될 것이다. 파일시스템에도 다양한 툴을 이용하여 증거를 종합해 흐름구성이 가능하다.

이러한 전통적인 포렌식에서는 현장에서 어떻게 죽었는가? , 범죄 사용도구, 용의자 등을 알아내는  "HOW?"에 대한 정보는 알아 낼 수 있었지만 범인이 어떤 이유로 범죄를 저질럿는가에 대한 "WHY?"에 대한 답을 알아내진 못하였다.

이에반해 디지털포렌식은 분석을 통해 WHY? 에대한 범죄 동기 까지 알아낼 수 있다.

예 > 2011년 부산대학교수 부인살해 사건 ( 내연녀와 치밀하게 공모, 바다에 시신유기 )

디지털포렌식은 당연히 디지털 데이터를 대상으로한 포렌식 기법이다. 

그렇다면 디지털데이터에 대한 특성을 알아보자.

디지털데이터의 특성

- 비 가시성 

: 0과 1로 이루어진 바이너리로 구성, 사람이 알아보기힘들다. 분석시에도 16진수로 변환해서 분석함.

16년도 법 개정으로 디지털포렌식의 증거도 증거로서의 효력을 발생할 수 있게 되었다.

제314조(진술서 등) ②그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다.

제 314조 (증거 능력에 대한 예외) 진술할 수 없는 때에는 그 조서 및 그 밖의 서류(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자·사진·영상 등의 정보로서 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체에 저장된 것을 포함한다)를 증거로 할 수 있다.

- 변조 가능성

: 실제 사건현장에서의 증거보다 변조가 쉽다. 확장자를 변경하는 등의 일반인도 손쉽게 할 수 있는 조작들이 있으며 , 이러한 변조 가능성을 염두하고 분석해야 한다.

- 복제 용이성

: 복사, 삭제, 이동에 대한 행위가 쉽다. 이로인해 정보를 빠르고 쉽게 가로채는등의 행위가 가능하다. 디지털 포렌식에서는 이런 행위를확인하기 위해 파일시스템에서 이루어지는 복사, 삭제, 이동등에 대한 분석이 필요하다.

- 대규모성

: 기술의 발전에 따라 시스템의 활용 용량도 더욱 많아지고 있다. 이는 곧 디지털포렌식의 분석대상이 늘어나는 것과 직결되는 부분이며 분석해야되는 범위를 어떻게 줄일 것인지가 관건이다. 

- 휘발성

:  메모리에 올라온 데이터들이 전원을 공급받지못하면 사라지게됨. 이런 특성때문에 초기분석시 휘발성 메모리를 전체 덤프하거나 일부데이터를 수집하는 방향으로 진행됨.

- 초 국경성

: 클라우드의 대중화로 데이터가 개인의 pc에만 국한되어있지않음, 이로인한 어려움 증대

 데이터 통제 불가, 물리적 인프라 접근 불가, 국가간의 법적이슈(해외클라우드의 경우), 가상화시스템 및 분산화데어 있는 데이터를 수집하고 분석할 툴이 없음, 클라우드 제공자의 협조 여부 문제, 연계보관성의 어려움 등