ㅊ 사이버포렌식개론 목차 Contents 제 1 절개요 1 장디지털포렌식개관 제 2 절 제 3 절 디지털포렌식의흐름 디지털포렌식조사의일반원칙 디지털포렌식수행과정 제 1 절 개요 제 1 절 개요 디지털포렌식개요 법과학 (forensic science) - 범죄사실을규명하기위해각종증거를과학적으로분석하는분야 디지털포렌식이란? 디지털정보기기에남아있는전자증거물을수집하여사법기관에제출하기위해법적효용성이있는데이터를수집하고분석하는디지털수사과정. 디지털포렌식 컴퓨터도입 법전산 (forensic computing) 또는디지털포렌식 (digital forensics) - 디지털기기에남아있는각종데이터를조사하여사건을규명하는법과학분야 컴퓨터포렌식 조사대상 임베디드포렌식 네트워크포렌식 디지털데이터유형활성데이터, file System, DB, 악성코드, 로그데이터등 제 1 절 개요 제 2 절 디지털포렌식의흐름 디지털포렌식의종류 컴퓨터포렌식 범용컴퓨터를대상으로함. 임베디드 ( 모바일 ) 포렌식 모바일기기나디지털카메라같은디바이스를대상으로함. 네트워크포렌식 통신디바이스에서네트워크정보, 사용자로그등의정보를수집분석함. 디지털포렌식도입예 문서위조사건 - 문서에날인되어있는도장진위여부, 필적감정등 전자문서내에기록되어있는시간정보확인하여시간적모순성검증 디지털포렌식흐름 1) 디지털포렌식 1991 년 IACIS 에서처음디지털포렌식이라는용어사용. 컴퓨터보급과사용률증가로컴퓨터와관련된범죄가늘어나면서컴포터포렌식을 통한과학수사분야연구가가속화되며이사용됨. 2) 국내의디지털포렌식을활용하는분야 년도 내용 1997년경찰청내에컴퓨터범죄수사대창설. 디지털포렌식조사업무시작. 2000년 사이버테러대응센터설립. 2004년 디지털증거분석센터설립. 2006 년 디지털증거처리표준가이드라인발표. 디지털포렌식수사에활용. 2008년 디지털포렌식센터개소. 자체적디지털포렌식조사기술을연구, 개발. 1
제 2 절 디지털포렌식의기본원칙 제 3 절 디지털포렌식조사의일반원칙 디지털포렌식조사원칙 디지털증거의무결성입증이최대의관건 무결성을입증방안으로해시함수사용 절차의연속성유지 디지털포렌식의 3 요소를갖추어야함 전문가 신뢰성있는프로그램또는도구 절차또는규정 합법적절차 증거는법정에서채택되지않으면무의미. 합법적절차에의거하여증거수집, 관리. 무결성유지 통신디바이스에서데이터가조작, 변경되지않음을증명. 무결성입증을위해디지털데이터에대한해쉬값별도보관. 디지털증거수집방법 디지털데이터는위 변조와훼손이용이. 수집이후변경되지않음을입증할수있어야함. [ 실습 ] HashTab 을이용한해쉬값확인하기 HashTab 다운로드 공식홈페이지 http://implbits.com/hashtab.aspx HashTab 압축풀기 HashTab 설치하기 HashTab 으로해쉬값확인하기 2
실습 1. HashTab 을이용한해쉬값비교 제 3 절디지털포렌식조사의일반원칙 1 HashTab 으로해쉬값비교하기 1. 적법절차의준수 형사소송법제 307 조제 1 항및제 2 항 위법수집증거배제의원칙 비진술증거 ( 물적증거 ) 에대한성질형상불변론에의거한 서로다름 위법수집증거채택에서배제로대법원판결 제 3 절디지털포렌식조사의일반원칙 2 제 3 절디지털포렌식조사의일반원칙 3 2. 원본증거의안전한보존및무결성유지 3. 디지털증거분석장비와소프트웨어신뢰성확보 디지털증거의분석은사본은통하여진행 디지털증거물의압수및이동중에도보호장치사용 원본에대한데이터수집의경우에도쓰기방지장치사용 무결성확보하기위한국제적으로입증된알고리즘사용 ( 해시함수 ) 분석도구의신뢰성확보를위하여신뢰성이입증되어야함 정품소프트웨어사용및수시점검으로오류를최소화하여야함 바이러스감염및원본증거물에의한오염도주의하여야함 제 3 절디지털포렌식조사의일반원칙 3 증거수집및분석과정의문서화 디지털증거는원본을획득하되사본을통하여획득하여야함 압수수색의과정에서부터투명성확보 ( 관계자또는입회인참여 ) 진행과정의사진촬영과밀봉후서명날인 인수인계과정의투명성을위하여관계자의서명날인 ( 절차의연속성 유지 ) 형사소송법제 106 조 압수의대상 : 증거물, 몰수물 수색의대상 : 신체, 물건, 주거기타의장소 디지털증거에대한학술, 판례는불분명 디지털증거에관한연구의필요성증가 디지털저장매체의특징을이해할필요가있음 소형화, 대용량화, 네트워크화, 개인정보보유 3
1. 디지털증거압수수색의근거 위법수집증거배제법칙 전문법칙의예외 실험사실의간접적보고라는점에증거로서의특색이있음 전문법칙의예외를인정하기도함 증명력 증거의실질적가치를의미하는것으로법관의자유판단에 따른다고규정함 디지털포렌식의 3 요소가잘갖추어져야함. 사이버범죄유형과관련법률 해킹 정보통신기반보호법, 정보통신망이용촉진및정보보호등에관한법률, 물 류정책기본법 개인정보침해 형법, 정보통신망이용촉진및정보보호등에관한법률위반, 통신비밀보호 법, 주민등록법 인터넷사기 형법 디지털포렌식수행과정 사이버범죄유형과관련법률 명예훼손 정보통신망이용촉진및정보보호등에관한법률위반 성폭력 정보통신망이용촉진및정보보호등에관한법률, 성폭력범죄의처벌및피해자보호등에관한법률 저작권침해 저작권, 온라인콘덴츠산업발전법 디지털포렌식조사수행과정 사전준비 증거수집 증거의포장및이송조사분석정밀검토보고서작성 1) 사전준비 디지털기기및데이터의유형숙지, 디지털포렌식교육및연구개발 2) 증거수집 수집대상파악, 압수대상선정, 증거목록작성, 물리적증거수집, 관련자면담, 문서화 3) 증거의포장및이송 압수물개별포장, 전자파및충격방지포장, 증거물포장및운반 4) 조사분석 데이터이미징, 데이터추출및분류, 데이터조사및증거검색 5) 정밀검토 분석결과검증및분석과정에대한검토 6) 보고서작성 용어설명, 객관적설명, 결과정리 연습문제 ( 데이터종류에따라포렌식기술달라짐 ) 디지털포렌식의정의에대하여쓰시오. 디지털포렌식의 3 가지기본원칙을쓰시오. 디지털데이터 디지털포렌식의무결성을입증하는방법을쓰시오. 디지털포렌식의 3 요소를쓰시오. 공공기관에해킹을시도한자, 또는시도하려고모의한자를처벌하 는법규정및벌칙을쓰시오. 휘발성데이터 전원이차단시사라지는데이터. 수집시약간의훼손이불가피함. 비휘발성데이터 전원차단되어도유지되는데이터. 쓰기방지장치부착하여데이터수집. 데이터에대한설명 + 파일형태로생성 = 데이터이미징 4
파일숨기기 스테가노그라피 (Steganography) 를이용한파일숨기기 사진이나음악파일등에특정파일을숨기는기술. 메시지의존재자체를숨기기위해서사용. 디지털저작권, 보안목적으로도많이사용. 파일숨기기 - 다운로드 : http://huikyun.tistory.com/83 스테가노그라피 (Steganography) Tool 의종류 Openstego Invisible Secrets Wbstego 파일숨기기 - 파일속에파일숨김 ( Encrypt ) / 숨겨진파일찾기 ( Extract ) 파일숨기기 - 숨길파일을넣을이미지파일을선택. (jpg, bmp 등 ) 파일숨기기 - 숨길파일 (jpg, bmp, txt, doc, hwp 등등 ) 을선택. 파일숨기기 - Fake file을선택하여위조파일생성과사이즈를설정가능. 5
파일숨기기 - 패스워드입력. ( V2.1은 5글자까지 ) 파일숨기기 - 두개의파일을합쳐만든위조파일이저장될위치와이름지정. 파일숨기기 - 암호화과정. 파일숨기기 - 원본그림과 hwp가숨겨진그림비교. 블로그 : http://prof.ysu.ac.kr/mjahn 이메일 :mjahn@ysu.ac.kr 6