[정보보안기사 39] 디지털 포렌식
다양한 디지털 장치
에서 범인과 연관된 자료를 발견하고 분석
하여 법적인 문제를 해결하는 방법
포렌식을 통해 증거획득하고 이 증거가 법적인 효력을 가지려면 그 증거를 발견, 기록, 획득, 보관하는 절차가 필요
기본 원리
- 정당성의 원칙
- 모든 증거는
적법한 절차
를 거쳐서 획득한 것이어야 함
- 모든 증거는
- 재현의 원칙
- 똑같은 환경에서 같은 결과가 나오도록
재현
할 수 있어야 함
- 똑같은 환경에서 같은 결과가 나오도록
- 신속성의 원칙
- 휘발성 정보를 취득하기 위해 신속하게 처리해야 함
- 연계 보관성의 원칙
- 증거는 획득된 뒤
이송/분석/보관/법정 제출
이라는 일련의 과정이명확
해야 함 - 이러한 과정에 대한
추적
이 가능
- 증거는 획득된 뒤
- 무결성의 원칙
- 수집된 정보는
연계 보관성 원칙
을 만족시켜야 하고, 위조/변조가 되면 안됨
- 수집된 정보는
수행 절차
수사 준비
사이버 포렌식 전문가를 소집하고 각종 장비, S/W, H/W를 준비하고 점검
하는 단계
증거 수집
각종 저장매체
로부터 디지털 증거
를 획득하는 단계
- 증거의 무결성이 중요
- 디스크 이미징 = 저장매체에 저장된 데이터를 추출하는 과정
- 저장된 데이터와 동일한 사본을 만듦
보관 및 이송
획득된 증거는 연계 보관성
을 만족시키며 보관 및 이송
해야 함
Evidence sage
= 증거의 연계 보안성을 위한 안전한 장소- 이송되거나 담당자/책임자가 바뀔 때는 문서에 그 증적을 남김
조사 및 분석
증거를 관리할 때는 최량 증거 원칙(The Best Evidence Rule)
을 따름
최량 증거 원칙: 복사본이나 2차 증거물이 아닌
원본
을 제출하도록 요구하는 영미 증거법상의 원칙
디스크 브라우징
수집한 저장매체 또는 디스크 이미지에 존재하는 파일을 GUI 환경
에서 쉽고 편리하게 다룰 수 있도록 가독성 있는 형태로 변환하여 출력하는 기술
데이터 뷰
저장 매체나 디스크 이미지에 저장된 방대한 파일을 열어서 확인할 수 없기 때문에 브라우징 과정에서 파일을 인식하여 텍스트, 그림 형식으로 볼 수 있도록 하는 자동 뷰
기능을 제공하는 기술
파일 복구
복구 S/W를 이용하여 파일 원본을 복구
시키는 기술, 파일이 손상되어도 디스크 내에는 관련 정보가 보존되어 있기에 파일 복구가 가능하다.
보고서 작성
포렌식의 모든 단계의 내용을 문서화하는 단계로 일련의 과정을 정확히 작성하여 증거자료로서 타당성
을 제공해야 한다.
따라서 증거자료 획득, 보관 및 이송, 분석 등 모든 과정을 명확하고 객관성 있게 설명하고 불법행위를 입증할 수 있도록 논리적으로 작성해야 한다.
기술
기술 | 설명 |
---|---|
디스크 포렌식 | 물리적 저장장치인 보조 기억장치에서 증거를 수집하고 분석 |
시스템 포렌식 | OS, 응용프로그램 및 프로세스를 분석하여 증거 확보 |
N/W 포렌식 | 네트워크 전송되는 데이터, 암호를 가로채어 단서를 찾아내는 기술 |
인터넷 포렌식 | 인터넷 응용 프로토콜을 사용하는 분야에서 증거를 수집하는 기술 |
모바일 포렌식 | 휴대용 전자기기에서 필요한 정보를 입수하여 분석 |
DB 포렌식 | DB의 데이터를 추출 분석하여 증거를 수집하는 기술 |
암호 포렌식 | 문서 또는 시스템에서 암호를 찾아 암호화 문서를 복호화 |
포렌식 도구
- EnCase: 전 세계에서 가장 대표적인 포렌식 도구
- 디지털 증거 수집, 검증, 검색, 보고, 완전삭제 등 다양한 기술 제공
- FTK: 다용도 포렌식도구로 EnCase처럼 다양한 기능 제공
증거
디지털 증거물 분석
- TimeLine 분석
- 파일 생성, 변경, 접근, 삭제 시간
- 시그니처 분석
- 의도적으로 파일 확장자를 변경한 파일을 간단히 파악
- Hash 분석
- 시스템 내 파일이 변경되었는지 확인
- 파일의 해시값을 구한 후 기존 파일 해시값과 비교하여 기존 파일과 같은 파일이 존재하는지 확인
- 로그 분석
- 웹 브라우저 로그, 메일로그, FTP 로그 등
- 프로세스 분석
- 현재 수행되고 있는 프로세스 메모리 내용 조시, 의심되는 실행파일 조사
휘발성 데이터
- 시스템의
메모리
(RAM, 캐시 메모리, 비디오 카드 메모리 등)에 임시로 저장된 데이터 - 휘발성이 큰 증거가 사라질 가능성이 크기 때문에, 휘발성이 큰 증거를 먼저 수집해야 한다.
live response
: 실행 중인 시스템을 대상으로 행해지는 일련의 포렌식 조사 과정- 전통적인 방법과 달리 컴퓨터 시스템의 플러그를 제거하지 않음
- 휘발성 데이터의 유실을 막기 위함
디지털 증거 보존
디지털 증거는 근본적으로 손상되기 쉽기에 완전한 비트스트림
이미지를 즉시 만들어야 한다.
비트스트림 이미지: 원본 저장 장치에 기록되었던 모든 데이터의 사본, CRC계산으로 원본과 비교
구분 | 디스크 복사 | 디스크 이미징 |
---|---|---|
저장방식 | Source read & Destination write | Bit Stream Clone(Sector by Sector) |
저장대상 | 파일과 디렉터리 단위 일부 | 디스크의 모든 물리적 섹터 |
정보 손실 | Source read 과정에서 읽지 못한 정보는 손실이 발생 | 디스크 이미지는 디스크의 모든 정보를 포함 |
파일 복구 | 삭제된 파일은 복사과정에서 제외 | 디스크 섹터에 삭제파일 정보가 남아있는 경우 복구 가능 |
'KAITE.til > Security' 카테고리의 다른 글
[정보보안기사 40] OWASP TOP10 (2020년 기준) (0) | 2020.06.24 |
---|---|
[정보보안기사 38] 전자상거래(E-Commerce) (0) | 2020.06.24 |
[정보보안기사 37] 데이터베이스 (0) | 2020.06.24 |
[정보보안기사 36] DHCP/DNS (0) | 2020.06.24 |
[정보보안기사 35] SSL/TLS (0) | 2020.06.24 |
댓글
이 글 공유하기
다른 글
-
[정보보안기사 40] OWASP TOP10 (2020년 기준)
[정보보안기사 40] OWASP TOP10 (2020년 기준)
2020.06.24 -
[정보보안기사 38] 전자상거래(E-Commerce)
[정보보안기사 38] 전자상거래(E-Commerce)
2020.06.24 -
[정보보안기사 37] 데이터베이스
[정보보안기사 37] 데이터베이스
2020.06.24 -
[정보보안기사 36] DHCP/DNS
[정보보안기사 36] DHCP/DNS
2020.06.24