디지털포렌식개요 JK Kim @pr0neer proneer@gmail.com
개요 1. 디지털포렌식소개 2. 디지털포렌식기술 3. 디지털포렌식절차 4. 디지털포렌식법률
디지털포렌식소개 Security is a people problem
디지털포렌식소개 포렌식 vs 디지털포렌식
디지털포렌식소개 아날로그증거
디지털포렌식소개 디지털증거
디지털포렌식소개 디지털포렌식정의 cont d 포렌식 (forensic science), WIKIPEDIA Forensic is the application of a broad spectrum of sciences to answer questions of interested to a legal system. The word forensic comes from the Latin adjective forensics, meaning of or before the forum. 컴퓨터포렌식 (computer forensics), WIKIPEDIA Computer forensics is a branch of digital forensic science pertaining to legal evidence found in computers and digital storage media. 디지털포렌식 (digital forensics), WIKIPEDIA Digital forensics is a branch of forensic science encompassing the recovery and investigation of material found in digital devices, often in relation to computer crime. The term was originally used as a synonym for computer forensics but has expanded to cover other devices capable of storing digital data.
디지털포렌식소개 디지털포렌식정의 디지털포렌식 ( 컴퓨터포렌식, 사이버포렌식 ) 디지털기기를매개체로하여발생한특정행위의사실관계를법정에서 (?) 규명하고증명하기위한절차와방법 과학수사 사건의정확한진상규명을위해현대적기술 시설 장비와과학적기술 지식을활용하는수사 원래포렌식 ( 법의학 ) 을기반으로했지만최근에는디지털포렌식까지영역확장
디지털포렌식소개 디지털포렌식역사 cont d 도입기 (1970년대후반 ~ 1980년대초반 ) 미국을중심으로컴퓨터관련범죄가법으로만들어짐 저작권, 개인정보보호, 사이버스토킹, 아동포르노등을대처하기위해관련법안통과 성장기 (1980 년대 ~ 1990 년대 ) 법집행기관을중심으로디지털포렌식관련기관설립 서로간의커뮤니티를위해관련기구를조직하거나심포지엄개최 표준기 (2000 년대 ~ 2010 년대 ) 국가별로디지털포렌식표준수립 국가기관을중심으로디지털포렌식정책, 기술연구
디지털포렌식소개 디지털포렌식역사 암흑기 (2010년대 ~ 현재 ) 클라우드기술을이용하여증거수집의어려움 빅데이터로분석의어려움 분석대상디지털기기가매우다양함 안티포렌식기법의증가 고급은닉기법의증가 관련법제도로인해적용범위가제한됨
디지털포렌식소개 국내디지털수사기관의변천 군또는정보부에서전자정보수집 1997 경찰청컴퓨터범죄수사대 1999 경찰청사이버범죄수사대 2000 경찰청사이버테러대응센터 2004 경찰청디지털증거분석센터 2008 대검찰청 디지털포렌식센터 2011 대검찰청사이버수사단 1980 1990 2000 2010
디지털포렌식소개 디지털증거정의 디지털데이터 컴퓨터, 휴대폰등의디지털기기에존재하는데이터 디지털증거 디지털포렌식절차에맞게수집된디지털데이터 ( 저장매체에저장, 네트워크전송 ) 로법정에서증거능력을갖는디지털데이터 전자증거 (Electronic Evidence) 전자정보 (ESI; Electronically Stored Information)
디지털포렌식소개 디지털데이터특성 비가시성 눈으로확인하기어렵기때문에별도의장치가필요 변조가능성 0 과 1 로이루어진데이터로쉽게변조가될수있음 복제용이성 0 과 1 의특성상쉽게복제할수있음 대규모성 디지털데이터는매우방대하므로고급검색및필터가필요 휘발성 내, 외부의영향으로쉽게사라질수있음 초국경성 인터넷의발달로인해데이터의영향범위가국경을초월함 디지털데이터특성을보완할수있는절차와방법 디지털포렌식
디지털포렌식소개 디지털포렌식적용분야 cont d 수사분야 사이버및지능범죄 해킹, 바이러스및악성코드피해조사, 사이버테러, 정보은닉, 암호화 일반및강력범죄 공갈, 사기, 위조, 협박, 횡령, 배임, 명예훼손등의일반범죄 회계부정, 세금포탈, 기업비밀유출 살인, 강도, 강간, 폭행등의강력범죄
디지털포렌식소개 디지털포렌식적용분야 디지털포렌식응용분야 침해사고대응 민사소송대응 이디스커버리 포렌식증거분석 포렌식회계감사 포렌식컨설팅 내부감사
디지털포렌식소개 디지털포렌식적용대상 개인용및서버용컴퓨터, 노트북 이동형저장매체 (CD, DVD, USB, 외장하드등 ) 휴대폰, 스마트폰 데이터베이스 디지털카메라, PDA, 녹음기, 캠코더, MP3, PMP CCTV, GPS 네비게이션, 블랙박스 네트워크장비 ( 라우터, 스위치등 ) 디지털증거가남을수있는모든디지털장치
디지털포렌식소개 디지털포렌식유형 디스크포렌식 비휘발성저장매체 ( 하드디스크, SSD, USB, CD 등 ) 를대상으로증거획득및분석 라이브포렌식 휘발성데이터를대상으로증거획득및분석 네트워크포렌식 네트워크로전송되는데이터를대상으로증거획득및분석 이메일포렌식 이메일데이터로부터송. 수신자, 보낸. 받은시간, 내용등의증거획득및분석 웹포렌식 웹브라우저를통한쿠키, 히스토리, 임시파일, 설정정보등을통해사용흔적분석
디지털포렌식소개 디지털포렌식유형 모바일 / 임베디드포렌식 휴대폰, 스마트폰, PDA, 네비게이션, 라우터등의모바일기기를대상으로증거획득및분석 멀티미디어포렌식 디지털비디오, 오디오, 이미지등의멀티미디어데이터에서증거획득및분석 소스코드포렌식 프로그램실행코드와소스코드의상관관계분석, 악성코드분석 데이터베이스포렌식 방대한데이터베이스로부터유효한증거획득및분석 안티포렌식, 안티안티포렌식 데이터완전삭제, 암호화, 스테가노그래피
디지털포렌식소개 디지털포렌식국내산업현황 수사업무 장비 / 솔루션컨설팅 / 서비스 / 교육 디지털 포렌식 법률 / 회계 침해사고 내부감사
디지털포렌식소개 디지털포렌식국내산업현황 수사기관 검찰 대검찰청디지털포렌식센터 (DFC, Digital Forensic Center), 약 100여명 사이버범죄수사단 디지털수사담당관실 디스크분석팀, DB 분석팀, 모바일분석팀, 통화 / 계좌분석팀, 사이버팀, 교육연구팀 과학수사담당관실 DNA 담당관실 대전 / 대구 / 부산 / 광주고등검찰청, 서울중앙 / 인천 / 수원지방검찰청, 각 3~4 명 디지털포렌식수사팀
디지털포렌식소개 디지털포렌식국내산업현황 수사기관 경찰 경찰청사이버안전국 (Cyber Bureau), 약 120여명 사이버안전과, 사이버범죄대응과, 디지털포렌식센터 지방경찰청, 약 1,000 여명 ( 경찰서포함 ) 사이버수사대, 사이버수사팀 해양경찰청 과학수사팀
디지털포렌식소개 디지털포렌식국내산업현황 수사기관 국방부 국방부조사본부 수사단내사이버범죄수사대 기무사령부 군사보안, 군방첩, 군관련첩보수집, 특정범죄수사, 매년국방해킹방어대회개최 헌병수사기관 육군중앙수사대, 해군헌병단, 공군헌병단 군검찰 육군 / 해군 / 공군고등검찰부디지털포렌식팀 국군사이버사령부 군사망침해사고예방, 조사, 대응업무
디지털포렌식소개 디지털포렌식국내산업현황 수사기관 국가정보원 국가사이버안전센터 국가사이버안전정책총괄 사이버위치예방활동 사이버공격탐지활동 사고조사및복구지원
디지털포렌식소개 디지털포렌식국내산업현황 준수사기관 ( 특별사법경찰관 ) 국세청 관세청 금융감독원 공정거래위원회 저작권위원회 방송통신위원회 선거관리위원회 한국마사회 식약청
디지털포렌식소개 디지털포렌식국내산업현황 법률, 회계관련 회계관련 4대회계법인중심 안진딜로이트, 삼일 PwC, 삼정 KPMG, 언스트앤영한영 법률관련 대형로펌 김앤장, 율촌, 태평양, 세종, 화우 IT 전문로펌 행복마루, 테크앤로, 민후, 평강
디지털포렌식소개 디지털포렌식국내산업현황 이디스커버리 이디스커버리절차지원 4대회계법인 유빅 (UBIC), 콜랩스리걸 (Kollabs Legal), 카탈리스트 (Catalyst), 더존정보보호서비스 이디스커버리관련솔루션 이메일아카이빙 시만텍볼트 (Vault), EMC 소스원 (SourceOne), 다우기술테라스 (Terrace), ARTEC EMA 등 리뷰솔루션 Clearwell, Guidance Software, ZyLAB, UBIC, Case Central, Nuix 등 정보저장소
디지털포렌식소개 디지털포렌식국내산업현황 침해사고 KISA 인터넷침해대응센터 인터넷침해대응본부 침해사고대응단, 침해사고분석단 안랩 클라우드분석팀 A-FIRST 파트 인포섹 탑서트 (Top-CERT)
디지털포렌식소개 디지털포렌식국내산업현황 서비스및솔루션 장비 / 솔루션리셀링 제트코, 더존정보보호서비스, 에이블시큐, 징코스테크놀로지, 유앤아이, 인섹시큐리티, 엔써클시스템즈, 쿠퍼스시스템즈, 레드아이포렌식, 벨정보 디지털포렌식솔루션 더존정보보호서비스, 지엠디시스템, 파이널데이터, 포앤식스테크, 이스턴웨어, 모바일캅스 디지털증거분석 플레인비트, 더존정보보호서비스, 지엠디시스템, 레드아이포렌식, KDL 컴퓨터포렌식, 비트포렌식 데이터복구 명정보기술, 데이터닥터, 모바일탐정
디지털포렌식소개 디지털포렌식국내산업현황 교육 대학 경기대학교, 호원대학교, 광주대학교, 군산대학교, 영산대학교, 한국IT전문대학 대학원 고려대학교정보보호대학원, 동국대국제정보대학원, 순천항대법과학대학원, 서울대계약학과 민간교육기관 SDS 멀티캠퍼스, 제트코, 더존정보보호서비스, 코어시큐리티, 한국정보보호교육센터, 아이제론 정기교육 KITRI 지식정보보안양성과정, KISA 아카데미디지털포렌식시니어 / 주니어과정, 고려대정보보 호교육지역센터침해사고대응및디지털포렌식과정
디지털포렌식소개 디지털포렌식국내산업현황 학회 / 협회 한국포렌식학회 대검찰청, 성균관대주도로처음만듦 [ 디지털포렌식전문가 ] 자격운영 한국디지털포렌식학회 경찰청, 고려대주도로처음만듦 [ 디지털포렌식연구 ] 발간 사이버포렌식전문가협회 동국대주도로만듦 CFPA 자격운영
디지털포렌식소개 디지털포렌식국내산업현황 보안 / 감사 기업보안 / 감사팀 대기업을중심으로보안팀, 감사팀에서포렌식교육이수, 인력채용 전문포렌식관련팀구성
디지털포렌식기술 Security is a people problem
디지털포렌식기술 디지털포렌식관련기술 증거복구 증거수집및보관 증거분석 저장매체 하드디스크복구 메모리복구 하드디스크복제기술 메모리기반장치복제기술 네트워크정보수집 저장매체복제장비 저장매체사용흔적분석 메모리정보분석 시스템 삭제된파일복구 파일시스템복구 시스템로그온우회기법 휘발성데이터수집 시스템초기대응 포렌식라이브 CD/USB 윈도우레지스트리분석 시스템로그분석 프리패치분석 백업데이터분석 데이터처리 언어통계기반복구 암호해독 / DB 구축 스테가노그래피 파일조각분석 디지털저장데이터추출 디지털증거보존 디지털증거공증 / 인증 데이터포맷별분석 영상정보분석 데이터베이스정보분석 데이터마이닝 응용 / 네트워크 파일포맷기반복구 프로그램로그온우회기법 암호통신내용해독 네트워크정보수집 네트워크역추적 데이터베이스정보수집 허니넷 네트워크로그분석 해쉬데이터베이스 바이러스 / 해킹분석 네트워크시각화 기타기술 개인정보보호기술, 디지털포렌식수사절차정립, 범죄유형프로파일링연구, 통합타임라인분석 디지털포렌식도구비교분석, 하드웨어 / 소프트웨어역공학기술, 회계부정탐지기술
디지털포렌식기술 기술전망 표준및인증방안 디지털포렌식표준마련 (NIST와같은 ) 민. 형사소송에서 CoC를보장할수있는합리적인절차마련 디지털증거의무결성을인정받을수있는데이터수집, 처리, 분석방법 포렌식장비 / 솔루션인증 어느기관이맡을것인가? 어떤기준으로? 포렌식자격인증 ( 사 ) 한국포렌식학회디지털포렌식전문가자격? 포렌식분석인증 국과수와같은모델이필요한가?
디지털포렌식기술 기술전망 연구시장마련 연구발표및토론의장부족 논문 / 학회지? 컨퍼런스 / 세미나? 이분화된학회운용 한국포렌식학회 한국디지털포렌식학회
디지털포렌식기술 기술전망 수집방안 논리적볼륨 & 엔터프라이즈저장소수집방안 RAID(0, 1, 2, 3, 4, 5, Hybrid), LVM, JBOD, Dynamic Disk NAD, DAS, SAN, iscsi 암호화디스크수집기술 SafeBoot Device Encryption, HP ProtectTools 2009, Bitlocker, PointSec, Truecrypt, GuardianEdge, Symantec Endpoint Encryption, SafeGuardEasy & PGP Whole Disk Encryption, Lenovo FDE 논리적증거 ( 선별 ) 수집방안 DRM, DLP, FDE, 소극적영장등 원격수집방안
디지털포렌식기술 기술전망 분석방안 업무별자동화된프레임워크개발 사용자행위, 기밀유출, 침해사고등 대용량데이터검색, 인덱싱방안 데이터별다양한시각화연구 안티안티포렌식기법연구 가상화포렌식연구 데이터정규화, 마이닝연구 엔터프라이즈포렌식연구 융합연구필요 자연어처리, 신호처리, 마이닝, 시각화등
디지털포렌식절차 Security is a people problem
디지털포렌식절차 디지털포렌식기술 + 절차 = 목적 디지털포렌식기술디지털포렌식절차디지털포렌식목적 저장매체시스템네트워크응용프로그램 + 증거수집증거이송증거분석분석검토보고서작성 = 증거능력 확보
디지털포렌식절차 디지털포렌식기본원칙 절차와방법으로 정당성의원칙 증거가적법절차에의해수집되었는가? 무결성의원칙 증거가수집, 이송, 분석, 제출과정에서위. 변조되지않았는가? 연계보관성의원칙 수집, 이동, 보관, 분석, 법정제출의각단계에서증거가명확히관리되었는가? 신속성의원칙 디지털포렌식의전과정이신속하게진행되었는가? 재현의원칙 같은조건과상황하에서항상같은결과가나오는가?
디지털포렌식절차 디지털포렌식절차 (6 단계 ) 사전준비 증거수집 증거포장및이송 조사분석정밀검토보고서작성 도구테스트 방법론숙지 저장매체준비 수집대상파악 압수대상선정 증거목록작성 디지털증거수집 관련자면담 문서화 복사 / 복제 / 이미징 증거물포장 증거물이송 증거물보관 데이터추출 데이터분류 인덱싱 데이터검색 프로파일링 분석결과검증 분석과정검토 용어설명 객관적설명 결과정리
디지털포렌식절차 1 단계 사전준비 디지털포렌식도구 디지털포렌식절차를신뢰적, 효율적, 체계적으로실시할수있는독립또는통합도구준비 평소에포렌식도구가올바르게동작하여, 무결성을보장하는지검증해야함
디지털포렌식절차 1 단계 사전준비 디지털포렌식도구 구분 쓰기방지도구 복제 / 이미징도구 종류 ICS Drive Lock, MyKey Technology, Inc. NoWrite FPU/FlashBlock II Tableau write blocker, WiebeTech write blocker, SAFE Block, FastBlock Data Compass, DeepSpar Disk Imager, ICS Solo3, PSIClone, Voom HardCopy III Dd, dcfldd, LinEn, dd_rescue, rdd, sdd, aimage, Adepto, FTK Imager 검색도구 Grep, dtsearch, Text Search Plus(NTI), Afind, Hfind, Sfind 문서 / 파일도구 분석 / 복구도구 Conversions Plus, Quick View Plus, Thumbs Plus, WinHex, Ultra Edit, EditPlus 010Editor, FileInsight, Hex Editor Neo, FlexHex, Radare, Hiew, Hex Workshop Hash Keeper, TCT, Easy Recovery, Recovery My Files, R-Tools, Final Data, Advanced Password Recovvery 통합분석도구 EnCase, Forensic Toolkit(FTK), Autopsy, log2timeline, X-Way Forensics
디지털포렌식절차 1 단계 사전준비 디지털포렌식도구검증 NIST의 CFTT(Computer Forensics Tool Testing) http://www.cftt.nist.gov/ 디지털포렌식도구의검증및평가방안제시 테스트결과를문서화하여공개, 포렌식도구의객관성강화 국내에서도검증을통한인증필요 평가요소 평가결과 기능대상매체결과물의크기오류대상형식원격접속 복제, 이미징, 검증 BIOS to IDE, BIOS to SCSI, ATA, ASPI, Legacy BIOS, SATA, SAS 원본 = 사본, 원본 < 사본, 원본 > 사본없음, 읽기에러, 쓰기에러, 이미지 R/W/C 볼륨, 파티션가능, 불가능
디지털포렌식절차 1 단계 사전준비 디지털포렌식매뉴얼 증거수집및보관에관한지침 RFC2828 디지털증거수집및획득에대한가이드라인 RFC3227 컴퓨터포렌식가이드라인 한국정보통신기술협회 휴대폰포렌식가이드라인 한국정보통신기술협회 컴퓨터포렌식을위한디지털데이터수집도구요구사항 한국정보통신기술협회 사이버범죄수사 : 초동수사를위한지침 U.S. Department of Justice 법집행과검시를위한지침 U.S. Department of Justice 디지털증거의포렌식조사 U.S. Department of Justice
디지털포렌식절차 1 단계 사전준비 저장매체준비 증거물수집을위한저장매체의조건 충분한용량 편리한확장성 무결성을제공해야함 저장매체완전삭제 (Wiping) 를통해기존데이터를완벽히제거해야함
디지털포렌식절차 2 단계 증거수집 일반적인디지털증거물획득절차 초기대응 휘발성 데이터수집 비휘발성 데이터수집 증거물 인증 무결성확보 증거획득
디지털포렌식절차 2 단계 증거수집 초기대응 현장도착및보호 현장의안전확보, 1차대응자는증거자료의삭제 / 파괴행위방지 범죄현장범위를구분하고경계선수립 (Police Line) 현장수색및시스템파악 시스템과관련증거에대한수집목록작성 현장에훼손되거나사라질가능성이있는증거가있다면카메라나메모를통해현장기록 현장정밀수색 수색영장이허용하는범위에서모든 H/W, S/W, 메모, 로그, 저장매체등을수색
디지털포렌식절차 2 단계 증거수집 휘발성데이터수집 실전포렌식 RFC 3227 NIST SP 800-86 네트워크연결정보 레지스터, 캐시 네트워크연결정보 물리메모리 라우팅테이블, ARP 캐시 로그온세션 프로세스정보 프로세스정보 물리메모리 열린파일목록 물리메모리 프로세스정보 로그온사용자 ( 세션 ) 임시파일시스템 열린파일 열린 TCP/UDP 포트정보 디스크 네트워크설정경보 프로세스와포트맵핑 원격로그온과모니터링데이터 시스템시간 라우팅테이블 물리적설정, 네트워크토폴로지 N/A 네트워크인터페이스 기타저장장치 N/A 휘발성데이터수집은커맨드라인방식 ( 보통스크립트 ) 를활용
디지털포렌식절차 2 단계 증거수집 비휘발성데이터수집 저장매체의대용량화 비휘발성데이터우선수집 전처리로분석시간단축 비휘발성우선수집대상 파일시스템메타데이터 레지스트리하이브파일 프리패치 / 슈퍼패치 웹브라우저사용흔적 시스템설정파일 다양한시스템 / 응용프로그램로그
디지털포렌식절차 2 단계 증거수집 증거획득 메모리덤프 저장매체복사, 이미징, 복제 생성과정에서오류검출알고리즘사용 (CRC : Cyclic Redundancy Check) 구분저장매체복사저장매체이미징저장매체복제 저장방식원본읽기 / 사본쓰기비트스트림이미징비트스트림복제 저장대상파일과디렉터리단위의정보원본의모든물리적섹터원본의모든물리적섹터 데이터손실정보손실발생원본의모든정보포함원본의모든정보포함 파일복구복구불가삭제된파일복구가능삭제된파일복구가능
디지털포렌식절차 2 단계 증거수집 무결성확보 해시알고리즘사용 (MD5, SHA1 등 ) 봉인 증거물이동과정에서연계보관성 (Chain of Custody) 을보장하기위해봉인
디지털포렌식절차 2 단계 증거수집 수집된증거물에대한인증 용의자의서명 제 3자의서명 증거수집과정촬영및녹화 디지털공증
디지털포렌식절차 3 단계 증거포장및이송 전자기 (EMP) 폭탄방지 순간적으로매우강한전자기파발생 전자기기및저장매체파괴 일반폭탄과달리무소음폭발이가능하여은밀성제공 이송중인디지털증거물에전자기폭탄사용시증거물무력화가능성 증거물포장 충격방지랩, 정전기방지용팩, 하드케이스등을사용 접근통제가가능한공간에보관
디지털포렌식절차 3 단계 증거포장및이송 연계보관 현장에서법정에제출될때까지거쳐간경로, 담당자, 장소, 시간기록 증거의무결성증명을위해담당자목록유지 디지털증거의특성상인수인계과정에서상호증거를확인하는절차필요
디지털포렌식절차 3 단계 증거포장및이송 이송 이송과정에서증거물훼손을방지 안전한이송을위한포렌식차량사용
디지털포렌식절차 4 단계 조사분석 타임라인분석 시간정보가포함된시스템아티팩트를대상으로타임라인정렬 사건발생시간을기준으로전, 후맥락비교 사건의원인과결과를한눈에확인가능
디지털포렌식절차 4 단계 조사분석 데이터브라우징 획득한저장매체내부의정보를가독성있는형태로변환하여출력 포렌식관점의브라우징 기억장치의이진데이터를폴더 / 파일단위로출력 저장매체또는이미지에존재하는파일들을 CLI/GUI 환경에서쉽게다룰수있어야함 이름, 크기, 속성, 시간정보, 해시값, 시그니처등으로정렬이나분류가능
디지털포렌식절차 4 단계 조사분석 데이터복구 기본적인파일삭제는메타정보와데이터의링크만사라짐 대부분의파일시스템에서삭제된파일복구가능 삭제후덮어써졌다면파일카빙기법을이용해복구 파일카빙기법 시그니처카빙 램슬랙카빙 파일크기획득 파일구조검증 스마트카빙기법
디지털포렌식절차 4 단계 조사분석 저장매체수리 / 복원 화재, 침수와같은자연재해로인해손상도상황에따라복구가능 하드웨어, 파일시스템이손상된경우에도상황에따라복구가능 손상된저장매체를어떻게취급, 관리하느냐에따라복구율이달라짐
디지털포렌식절차 4 단계 조사분석 해시검색 NSRL, Bit9 등의화이트리스트해시사용 조사대상제외 예 시스템및프로그램파일 표준해시셋 (Well known) 일치하는가? 아니오 조사대상컴퓨터파일들 DB 입력및해시비교검색 예 정밀조사대상 데이터영역의파일 조사자개인해시셋일치하는가? 아니오 일반조사대상 정상파일의해시셋 VS 악의적인파일의해시셋
디지털포렌식절차 4 단계 조사분석 파일검색 연속검색을위해인덱싱필요 통합분석도구에서인덱싱지원 검색전용도구 Splunk
디지털포렌식절차 4 단계 조사분석 데이터탐색 용의자의은닉정보를식별 스테가노그래피탐색 슬랙공간탐색 ( 램슬랙, 파일슬랙, 볼륨슬랙, 파일시스템슬랙등 ) NTFS ADS (Alternated Data Stream) 탐색 HPA(Host Protected Area), DCO(Device Configuration Overlay) 탐색
디지털포렌식절차 4 단계 조사분석 암호복호화 / 패스워드크랙 용의자는자신에게불리한증언을하지않을권리 패스워드노코멘트 권고이상의키를이용해 TDES, AES, RSA 등의관용암호를사용할경우복호화어려움 하지만, 사회공학적방법, 사전공격등을통하여패스워드를얻어낼가능성이높음 패스워드공격 상용및무료소프트웨어를이용한공격 GPGPU를활용한패스워드복호화 대규모분산시스템을이용하여패스워드복호화 검색용데이터베이스 (TMTO, 한국형패스워드사전 ) 를이용한복호화
디지털포렌식절차 4 단계 조사분석 그외다양한데이터분석 통합로그분석 시스템아티팩트정밀분석 악성코드역공학
디지털포렌식절차 5 단계 정밀검토 분석결과는법정에증거로사용될수있으므로보고서제출전정밀검토가필요 사본을대상으로동일한과정을반복하여결과와일치하는지 분석내용과사건과논리적으로잘연결이되는지
디지털포렌식절차 6 단계 보고서작성 증거물획득, 보관, 이송, 분석등의과정을 6하원칙에따라명백하고객관성있게기술 예상치못한사고발생시, 관련내용및담당자목록을명확히기재하고범죄혐의의입증에무리가없는지논리적으로설득할수있어야함 보고서의대상이되는법관, 배심원, 변호사등은비전문가이므로알기쉬운형태로작성 전문가증언을대비해비전문가를대상으로논리의타당성이있는지연습이필요
디지털포렌식절차 침해사고대응절차 (1/2) 사전준비 증거수집 증거의포장및이송 조사분석정밀검토보고서작성 디지털포렌식절차 업무협약담당자면담조사및분석보고서작성데이터파기결과보고 침해사고대응절차
디지털포렌식절차 침해사고대응절차 (2/2) 업무협약 담당자면담 활성시스템 활성데이터수집 조사및분석 저장매체이미징 비활성중요데이터수집 악성분석 정밀분석 사전분석 비활성시스템 보고서작성데이터파기결과보고
디지털포렌식법률 Security is a people problem
디지털포렌식법률 디지털증거의특성 증거능력 (Admissibility) 증거가엄격한증명자료로사용될수있는법률상의자격 미국에서는법적허용성 (Legal Admissibility) 용어로사용 위법수집증거배제법칙, 전문법칙 증명력 (Weight) 증거의실질적가치, 신빙도정도 법관의자유심증주의에의해판단 유효한증거가되기위해서는증거능력과증명력이있어야함 디지털증거의증거능력과증명력을뒷받침하기위한과학수사 디지털포렌식
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 증거재판주의 자유심증주의 위법수집증거배제원칙 자백배제법칙 전문배제법칙
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 증거재판주의 반드시증거에의해서만사실인정을허용한다는원칙 증거는증거능력이있고, 적법한절차를거쳐야함 형사소송법제 307 조 ( 증거재판주의 ) [ 전문개정 2007.6.1] 1. 사실의인정은증거에의하여야한다. 2. 법죄사실의인정은합리적인의심이없는정도의증명에이르러야한다.
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 자유심증주의 증거의증명력을법률로규정하지않고, 법관의자유로운판단에맡기는원칙 형사소송법제 308 조 ( 자유심증주의 ) 1. 증거의증명력은법관의자유판단에의한다. 민사소송법제 202 조 ( 자유심증주의 ) 1. 법원은변론전제의취지와증거조사의결과를참작하여자유로운심증으로사회정의와형평의이 념에입각하여논리와경험의법칙에따라사실주장이진실한지아닌지를판단한다.
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 자유심증주의 vs. 과학적증거방법 대판 2007.5.10, 2007도 1950 자유심증주의를규정한형사소송법제308조가증거의증명력을법관의자유판단에의하도록한것은그것이실체적진실발견에적합하기때문이지법관의자의적인판단을인용한다는것은아니므로, 증거판단에관한전권을가지고있는사실심법관은사실인정에있어공판절차에서획득된인식과조사된증거를남김없이고려하여야한다. 그리고증거의증명력은법관의자유판단에맡겨져있으나그판단은논리와경험법칙에합치하여야하고, 형사재판에있어서유죄로인정하기위한심증형성의정도는합리적인의심을할여지가없을정도여야한다 ( 대법원 2004. 6. 25. 선고 2004도2221 판결등참조 ). 특히, 유전자검사나혈액형검사등과학적증거방법은그전제로하는사실이모두진실임이입증되고그추론의방법이과학적으로정당하여오류의가능성이전무하거나무시할정도로극소한것으로인정되는경우에는법관이사실인정을함에있어상당한정도로구속력을가진다할것이므로, 비록사실의인정이사실심의전권이라하더라도아무런합리적근거없이함부로이를배척하는것은자유심증주의의한계를벗어나는것으로서허용될수없다.
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 위법수집증거배제원칙 (1/2) 위법한절차에의해수집된증거는증거능력을배제하는원칙 기존판례 영장주의에위반하여압수한증거물의경우압수절차가위법이라하더라도물건자체의성질이나형상에변경을가져오는것은아니므로그형상등에관한증거가치에는변함이없다할것이므로증거능력이인정된다. [ 대법원 1968.9.17. 선고 68도932판결 ]
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 위법수집증거배제원칙 (2/2) 형사소송법제 308 조의 2( 위법수집증거의배제 ) [2007.6.1 신설 ], 2008 년시행 1. 적법한절차를따르지아니하고수집한증거는증거로할수없다. 판례의변경 [ 대법원 2007.11.15. 선고 2007 도 3061 전원합의체판결 ] 헌법과형사소송법이정한절차에따르지아니하고수집한증거는기본적인권보장을위해마련된 적법한절차에따르지않은것으로서원칙적으로유죄인정의증거로삼을수없다. 수사기관의위법한압수수색을억제하고재발을방지하는가장효과적이고확실한대응책은이를통하여수집한증거는물론이를기초로하여획득한 2차적증거를유죄인정의증거로삼을수없도록하는것이다. [ 제주지사실압수수색사건, 공직선거법위반 ] 독수독과이론 (Fruit of the poisonous tree)
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 자백배제법칙 임의성이의심되는자백은증거능력을배제하는원칙 자백일지라도그사실이증거의의하지아니하면인정될수없음 단, 민사소송에서는당사자의자백에대한다툼이없을때는증거가필요없음 형사소송법제 309 조 ( 강제등자백의증거능력 ) [ 제목개정 1963.12.13] 1. 피고인의자백이고문, 폭행, 협박, 신체구속의부당한장기화또는기망기타의방법으로임의로 진술한것이아니라고의심할만한이유가있는때에는이를유죄의증거로하지못한다. 형사소송법제 310 조 ( 불이익한자백의증거능력 ) 1. 피고인의자백이그피고인에게불이익한유일의증거인때에는이를유죄의증거로하지못한다. 민사소송법제 288 조 ( 불요증사실 ) 1. 법원에서당사자가자백한사실과현저한사실은증명을필요로하지아니한다.
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 전문배제법칙 전문증거는증거능력을배제하는원칙 자백배제법칙과함께배심원의합리적심증형성을위해발달한증거법칙 전문 (hearsay) 원진술자가공판기일또는심문기일에행한진술이외의진술 사실의진위여부를알지못한상태에서전해들은말 형사소송법제 310 조의 2( 전문증거와증거능력의제한 ) [ 본조신설 1961.9.1] 1. 제 311 조내지제 316 조에규정한것이외에는공판준비또는공판기일에서의진술에대신하여진술을기재한서류 나공판준비또는공판기일외에서의타인의진술을내용으로하는진술은이를증거로할수없다.
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 전문법칙예외규정 (1/3) 형사소송법제311조 ( 법원또는법관의조서 ) 1. 공판준비또는공판기일에피고인이나피고인아닌자의진술을기재한조서와법원또는법관의검증의결과를기재한조서는증거로할수있다. 제184조및제221조의2의규정에의하여작성한조서도또한같다. < 개정 1973.1.25, 1995.12.29> [ 전문개정 1961.9.1] 형사소송법제 314 조 ( 증거능력에대한예외 ) 제 312 조또는제 313 조의경우에공판준비또는공판기일에진술을요하는자가사망 질병 외국 거주 소재불명그밖에이에준하는사유로인하여진술할수없는때에는그조서및그밖의서 류를증거로할수있다. 다만, 그진술또는작성이특히신빙할수있는상태하에서행하여졌음 이증명된때에한한다. [ 전문개정 2007.6.1]
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 전문법칙예외규정 (2/3) 형사소송법제315조 ( 당연히증거능력이있는서류 ) 다음에게기한서류는증거로할수있다. < 계정 2007.5.17> 1. 가족관계기록사항에관한증명서, 공정증서등본기타공무원또는외국공무원의직무상증명할수있는사항에관하여작성한문서 2. 상업장부, 항해일지기타업무상필요로작성한통상문서 3. 기타특히신용할만한정황에의하여작성된문서
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 전문법칙예외규정 (3/3) 형사소송법제316조 ( 전문의진술 ) 1. 피고인이아닌자 ( 공소제기전에피고인을피의자로조사하였거나그조사에참여하였던자를포함한다. 이하이조에서같다 ) 의공판준비또는공판기일에서의진술이피고인의진술을그내용으로하는것인때에는그진술이특히신빙할수있는상태하에서행하여졌음이증명된때에한하여이를증거로할수있다. < 개정 2007.6.1> 2. 피고인아닌자의공판준비또는공판기일에서의진술이피고인아닌타인의진술을그내용으로하는것인때에는원진술자가사망, 질병, 외국거주, 소재불명그밖에이에준하는사유로인하여진술할수없고, 그진술이특히신빙할수있는상태하에서행하여졌음이증명된때에한하여이를증거로할수있다. < 개정 1995.12.29, 2007.6.1> [ 전문개정 1961.9.1]
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 디지털증거에서의전문법칙 디지털증거는직접적으로사람의지각, 기억, 표현, 서술이라는진술과정을거치지않고기계적으로처리되어작성된것 생성증거 (Computer Generated Evidence) 전문법칙미적용 시스템이자동으로생성한증거, 시스템아티팩트 ( 로그, 레지스트리, 프리패치, 브라우저흔적등 ) 디지털증거를식별하거나분류하는데도움이되는부가정보 ( 메타데이터 ) 파일명, 해시값, 타임스탬프등 보관증거 (Computer Stored Evidence) 전문법칙적용 사건을직접적으로증명해주는증거 보통사람의사상이나감정을표현하기위해작성한증거 ( 문서, 사진, 동영상등 ) 저장증거가증거가되기위해서는전문법칙의예외규정에적용이되야함 형사소송법제 311 조, 제 312 조, 제 313 조, 제 314 조, 제 315 조, 제 316 조
디지털포렌식법률 증거법상기본원칙 ( 형사소송법 ) cont d 전문법칙예외규정 형사소송법제 311 조 공판기간동안진술을기재한조서와법원또는법관의검증의결과를기재한조서 형사소송법제 312 조 검사또는사업경찰관의조서등 형사소송법제 313 조 진술자의진술에의하여그성립의진정함이증명된때, 진술서 형사소송법제 314 조 사망, 질병, 외국거주, 소재불명등으로진술할수없을때, 그조서및그밖의서류 형사소송법제 315 조 가족관계기록사항에관한증명서, 공정증서등본등 상업장부, 항해일지기타업무상필요로작성한통산문서 비즈니스기록 ( 회계장부등 ) 기타특히신용할만한정황에의하여작성된문서 신용할만한정황을입증 형사소송법제 316 조 피고인이아니더라도공판기간동안진술이피고인의진술을그내용으로하는것인경우
디지털포렌식법률 디지털데이터와증거능력 디지털데이터의증거능력요건 진정성 (Authenticity) 증거데이터수집과정에서오류없이의도된결과가정확히획득됐고, 그로인해생성된자료임이입증되어야함 무결성 (Integrity) 수집에서부터법정에제출되기까지증거데이터가훼손없이보호되었음이입증되어야함 신뢰성 (Reliability) 증거데이터의처리과정에서사용된솔루션과분석가의자질에신뢰성이입증되어야함 원본성 (Originality) 원본매체의데이터와실제법정에제출되는데이터의동일함이입증되어야함
디지털포렌식법률 디지털데이터와영장 영장의방식 형사소송법제114조 ( 영장의방식 ) 1. 압수 수색영장에는피고인의성명, 죄명, 압수할물건, 수색할장소, 신체, 물건, 발부년월일, 유효기간과그기간을경과하면집행에착수하지못하며영장을반환하여야한다는취지기타대법원규칙으로정한사항을기재하고재판장또는수명법관이서명날인하여야한다. 다만, 압수 수색할물건이전기통신에관한것인경우에는작성기간을기재하여야한다. < 개정 2011.7.18.> 2. 제75조제2항의규정은전항의영장에준용한다.
디지털포렌식법률 디지털데이터와압수 압수 수색절차와대상 형사소송법상압수의대상은 유체물 만가능 디지털증거는 무체물 이기때문에압수의대상이되지못함 유체물대상으로압수수행 2007 년 10 월개정된형사소송규칙제 134 조의 7, 제 134 조의 8 읽을수있도록출력하여인증한등본제출 녹음. 녹음매체등의녹취서, 그밖에그내용을설명하는서면을제출, 재생하여청취또는시청 형사소송규칙에근거하여저장매체의사본을만들어기록하고, 디지털정보를출력하여사용
디지털포렌식법률 디지털데이터와압수 압수 수색대상 형사소송법제106조 ( 압수 ) 1. 법원은필요한때에는피고사건과관계가있다고인정할수있는것에한정하여증거물또는몰수할것으로사료하는물건을압수할수있다. 단, 법률에다른규정이있는때에는예외로한다. < 개정 2011.7.18> 2. 법원은압수할물건을지정하여소유자, 소지자또는보관자에게제출을명할수있다. 3. 법원은압수의목적물이컴퓨터용디스크, 그밖에이와비슷한정보저장매체 ( 이하이항에서 " 정보저장매체등 " 이라한다 ) 인경우에는기억된정보의범위를정하여출력하거나복제하여제출받아야한다. 다만, 범위를정하여출력또는복제하는방법이불가능하거나압수의목적을달성하기에현저히곤란하다고인정되는때에는정보저장매체등을압수할수있다. < 신설 2011.7.18> 4. 법원은제3항에따라정보를제공받은경우 개인정보보호법 제2조제3호에따른정보주체에게해당사실을지체없이알려야한다. < 신설 2011.7.18>
디지털포렌식법률 디지털데이터와압수 압수 수색대상 형사소송법제215조 ( 압수, 수색, 검증 ) 1. 검사는범죄수사에필요한때에는피의자가죄를범하였다고의심할만한정황이있고해당사건과관계가있다고인정할수있는것에한정하여지방법원판사에게청구하여발부받은영장에의하여압수, 수색또는검증을할수있다. 2. 사법경찰관이범죄수사에필요한때에는피의자가죄를범하였다고의심할만한정황이있고해당사건과관계가있다고인정할수있는것에한정하여검사에게신청하여검사의청구로지방법원판사가발부한영장에의하여압수, 수색또는검증을할수있다. [ 전문개정 2011.7.18]
디지털포렌식법률 디지털데이터와압수 판례 2011. 5. 26. 대법원재항고기각 전자정보에대한압수. 수색영장의집행이그적법성을갖추기위하여필요한조치 [2009모1190] 전자정보에대한압수 수색영장의집행에있어서는원칙적으로영장발부의사유로된혐의사실과관련된부분만을문서출력물로수집하거나수사기관이휴대한저장매체에해당파일을복사하는방식으로이루어져야하고, 집행현장의사정상위와같은방식에의한집행이불가능하거나현저히곤란한부득이한사정이존재하더라도그와같은경우에그저장매체자체를직접혹은하드카피나이미징등형태로수사기관사무실등외부로반출하여해당파일을압수 수색할수있도록영장에기재되어있고실제그와같은사정이발생한때에한하여예외적으로허용될수있을뿐이다. 나아가이처럼저장매체자체를수사기관사무실등으로옮긴후영장에기재된범죄혐의관련전자정보를탐색하여해당전자정보를문서로출력하거나파일을복사하는과정역시전체적으로압수 수색영장집행의일환에포함된다고보아야한다. < 생략 > 2011 년 7 월 18 일압수. 수색에관한형사소송법개정 디지털데이터압수. 수색관련조항신설
디지털포렌식법률 국내디지털포렌식관련법률 형사소송법 / 규칙 디지털증거수집및분석규정 ( 대검찰청예규 ) 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 부정경쟁방지및영업비밀보호에관한법률 산업기술의유출방지및보호에관한법률 신용정보법등개인정보관련규정등
질문및답변