SeoulTech 2015-2 nd 컴퓨터보안 제 1 장디지털포렌식개관 박종혁교수 (http://www.parkjonghyuk.net) Tel: 02-970-6702 Email: jhpark1@snut.ac.kr
개요 학습목표 디지털포렌식의의미와전반적인내용을이해하고조사과정에서의일반원칙및수행과정에대해서학습한다. 디지털증거에대해이해한다. 학습내용 디지털포렌식 디지털포렌식의일반원칙 디지털포렌식의수행과정 디지털증거의종류및특징
목차 1. 디지털포렌식개관 등장배경 디지털포렌식흐름 디지털포렌식연구분야 2. 디지털포렌식조사의일반원칙 Hash 함수 3. 디지털포렌식수행과정 4. 디지털증거 디지털증거의종류 디지털저장매체 디지털증거의특징
디지털포렌식개관 법과학 (forensic science) 범죄사실을규명하기위해각종증거를과학적으로분석하는분야 Digital Forensics 美 DFRWS(Digital Forensic Research Workshop) 범죄현장에서확보한개인컴퓨터, 서버등의시스템이나전자장비에서수집할수있는디지털증거물에대해보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출등을과학적으로도출되고증명가능한방법으로수행하는것 컴퓨터범죄수사에입각한정의 컴퓨터관련조사 수사를지원하며, 디지털자료가법적효력을갖도록하는과학적 논리적절차와방법을연구하는학문 전자적자료 : 컴퓨터에만국한되지않음 법적효력 : 법규범에합치되는논리성을가져야함 과학적 / 논리적 : 보편성과객관성이필요한지식체계 절차와방법 : 목표달성을위한과정이결과만큼중요
디지털포렌식개관 - 등장배경 디지털포렌식의등장배경 정보화사회가고도화됨에따라사이버범죄가증가하고있으며, 이에대처하기위해과학수사와수사과학분야에서새로운형태의조사기술이필요하게됨 생성되는자료의 95% 이상이전자형태로존재, 매년 2배씩증가 1EB = 1,000,000TB 5년간 10배로증가예상 1,800 EB (=1.8ZB) 12 ExaByte 9 ExaByte 과거 300,000 年 4 年 180 EB 281 EB 1999 년 출처버클리大 2006 2007 2011 출처 IDC
디지털포렌식개관 디지털포렌식흐름 군또는정보부의전자정보수집 IACIS - 1991 경찰청컴퓨터범죄수사대 - 1997 경찰청사이버범죄수사대 - 1999 경찰청사이버테러대응센터 - 2000 경찰청디지털증거분석센터 - 2004 대검찰청디지털포렌식센터 - 2008 1980 1990 2000 2005
디지털포랜식개관 - 디지털포렌식연구분야 증거복구증거수집및보관증거분석 디지털매체 하드디스크복구 메모리복구 하드디스크 / 전자매체복제기술 네트워크장비정보수집 하드디스크복제장비 전자매체사용이력분석 메모리정보분석 시스템 삭제파일복구 파일시스템복구 시스템로그온우회기법 휘발성데이터수집 시스템초기접근 Forensic Live CD 윈도우레지스트리분석 시스템로그분석 데이터처리 언어통계기반파일복구 암호해독 / 패스워드 / DB 분석 스태가노그래피 파일파편분석 디지털저장데이터추출 디지털증거보존 디지털증거공증 / 인증 데이터포멧별 Viewer 영상정보분석 DB 정보분석 데이터마이닝 응용프로그램및네트워크 파일포맷기반파일복구 프로그램로그온우회기법 암호통신내용해독 네트워크정보수집 네트워크역추적 DB 정보수집 Honey Pot/Net 네트워크로그분석 해쉬 DB( 시스템, S/W, 악성파일 ) 웜 / 바이러스 / 해킹툴분석 Network Visualization 기법 네트워크프로토콜분석기 기타기술 프라이버시보호, 포렌식수사절차정립, 범죄유형프로파일링연구 외산 / 국산포렌식 S/W 비교분석, 하드웨어 / 소프트웨어역공학기술, 회계부정탐지기술
디지털포렌식조사의일반원칙 무결성의원칙 정당성의원칙 절차연속성의원칙 디지털포렌식 재현의원칙 신속성의원칙
디지털포렌식조사의일반원칙 정당성의원칙 입수증거가적법절차를거쳐얻어져야함 위법수집증거배제법칙 위법절차를통해수집된증거의증거능력부정 독수의과실이론 재현의원칙 위법하게수집된증거에서얻어진 2 차증거도증거능력이없음 같은조건에서항상같은결과가나와야함 신속성의원칙 전과정은지체없이신속하게진행되어야함
디지털포렌식조사의일반원칙 연계보관성 (Chain of Custody) 의원칙 증거물획득 이송 분석 보관 법정제출의각단계에서담당자및책임자를명확히해야함 수집된하드디스크가이송단계에서물리적손상이있었다면이송담당자는이를확인하고해당내용을인수인계, 이후과정에서복구및보고서작성등적절한조치를취할수있어야함 무결성의원칙 수집증거가위 변조되지않았음을증명 수집당시의데이터 hash 값과법정제출시점데이터의 hash 값이같다면 hash 함수의특성에따라무결성을입증
디지털포렌식조사의일반원칙 - Hash 함수 Hash 임의의비트열을고정된짧은길이로변환 10101010101010101010101010101011010101010101001010101010110100100100100101010111010001010111010010000100101110001001000100010 11010010101110100010101000101000101001010101010101010101010100000000000111111101101010110101010101010100101101010101010101011 11110000101010101010100101010101010011101010100110101010101010101010101010101010101010101010010111100001110101110000111010001 10001111001110101011010101010101010101100101000101010100001000101011100010111001010000010100111001010101010101110101010101010 10101010101010101101010101010100101010101011010010010010010101011101000101011101001000010010111000100100010001011010010101110 10001010100010100010100101010101010101010101010000000000011111110110101011010101010101010010110101010101010101111110000101010 10101010010101010101001110101010011010101010101010101010101010101010101010101001011110000111010111000011101000110001111001110 10101101010101010101010110010100010101010000100010101110001011100101000001010011100101010101010111010101010101010101010101010 10110101010101010010101010101101001001001001010101110100010101110100100001001011100010010001000101101001010111010001010100010 10001010010101010101010101010101000000000001111111011010101101010101010101001011010101010101010111111000010101010101010010101 01010100111010101001101010101010101010101010101010101010101010100101111000011101011100001110100011000111100111010101101010101 01010101011001010001010101000010001010111000101110010100000101001110010101010101011101010101010101010101010101010110101010101 01001010101010110100100100100101010111010001010111010010000100101110001001000100010110100101011101000101010001010001010010101 01010101010101010100000000000111111101101010110101010101010100101101010101010101011111100001010101010101001010101010100111010 10100110101010101010101010101010101010101010101010010111100001110101110000111010001100011110011101010110101010101010101011001 010001010101000010001010111000101110010100000101001110010101010101011 0101010101010101010101010101101010101 0101001010101011010101011101110110101010101010010101010101010111 MD5 의경우 128bit 출력 SHA-1 의경우 160bit 출력 1101000101010001010001010010101010101010101010101000000000001111111011
디지털포렌식수행과정 수사준비 (Preparation) 증거물획득 (Acquisition) 보관및이송 (Preservation) 분석및조사 (Exam & Analysis) 보고서작성 (Reporting) 포렌식툴 TEST 장비확보 협조체계확립 현장분석 Snap Shot Disk Imaging 증거물인증 Image 복사 증거물포장및운반 자료복구 / 검색 TimeLine 분석 Signature 분석 은닉자료검색 Hash/log 분석 증거분석결과 증거담당자목록 전문가소견
디지털증거 전자적형태로유통되거나저장되어있는데이터로사건의발생사실을입증하거나반박하는정보또는범행의도나알리바이외같은범죄의핵심요소를알수있는정보 컴퓨터시스템 하드디스크, USB 와같은휴대용저장장치 통신시스템 네트워크정보 인터넷, 방화벽, IDS 등의로그데이터 임베디드시스템 휴대폰, PDA, 네비게이터, MP3 플레이어
디지털증거 디지털증거의종류 문서파일 : 한글, 훈민정음, MS 워드등 멀티미디어데이터 : 동영상, 사진, MP3 전자메일 (email) 네트워크데이터 소프트웨어 : 바이러스제작도구, 안티포렌식도구 로그데이터 : 인터넷, 방화벽, IDS 등의로그데이터 CCTV 영상데이터 임베디드시스템의저장정보 교통카드, 신용카드, 휴대폰사용기록등
디지털증거 디지털증거의종류 자동으로생성되는디지털증거 인위적으로생성되는디지털증거 문서파일 인터넷사용기록 전자메일 방화벽로그 동영상 운영체제이벤트로그등 사진 최근사용한파일 소프트웨어 암호데이터
디지털증거 디지털증거의종류 휘발성증거 비휘발성증거 프로세스예약작업인터넷연결정보네트워크공유정보메모리정보등 파일및파일시스템운영체제로그데이터설치된소프트웨어
디지털증거 디지털저장매체
디지털증거 디지털증거의특징 매체독립성 디지털증거는 유체물 이아니고각종디지털저장매체에저장되어있거나네트워크를통하여전송중인정보그자체 정보는값이같다면어느매체에저장되어있든지동일한가치임 따라서디지털증거는사본과원본의구별이불가능함 비가시성 ( 非可視性 ), 비가독성 ( 非可讀性 ) 디지털저장매체에저장된디지털증거그자체는사람의지각으로바로인식이불가능하며일정한변환절차를거쳐모니터화면으로출력되거나프린터를통하여인쇄된형태로출력되었을때가시성과가독성을가짐, 따라서디지털증거와출력된자료와의동일성여부가중요
디지털증거 디지털증거의특징 비가시성 ( 非可視性 ), 비가독성 ( 非可讀性 )
디지털증거 디지털증거의특징 취약성 디지털증거는삭제 변경등이용이 하나의명령만으로하드디스크전체를포맷하거나파일삭제가가능함, 또한파일을열어보는것만으로파일속성이변경됨 수사기관에의한증거조작의가능성도배제할수없으므로디지털증거에대한무결성문제가대두 대량성 저장기술의발전으로방대한분량의정보를하나의저장매체에모두저장할수있게됨, 회사의업무처리에있어컴퓨터의사용은필수적이고, 회사의모든자료가컴퓨터에저장됨 그결과수사기관에의하여컴퓨터등이압수되는경우, 업무수행에지장을줄수있음
디지털증거 디지털증거의특징 전문성 디지털방식으로자료를저장하고이를출력하는데컴퓨터기술과프로그램이사용됨 디지털증거의수집과분석에도전문적인기술이사용되므로, 디지털증거의압수 분석등에있어디지털포렌식전문가가필수적임 여기에서디지털증거에대한신뢰성문제가대두됨 네트워크관련성 디지털환경은각각의컴퓨터가고립되어있는것이아니라인터넷을비롯한각종네트워크를통하여서로연결되어있음 디지털증거는공간의벽을넘어전송되고있으며, 그결과관할권을어느정도까지인정할것인지국경을넘는경우국가의주권문제까지도연관됨
Q & A 22