디지털포렌식이란? PRESENTER: 박명찬 www.happy-maru.com www.hmconsulting.co.kr Thinking from your side 2017.02.08
강사소개 2 이름박명찬본부장 / 공학박사 학위 2005. 공학박사취득 ( 정보보안전공 ) 경 력 현 ) 행복마루컨설팅 ( 주 ) 전략기획본부장현 ) 한국디지털포렌식전문가협회이사현 ) 한국저작권보호원디지털과학수사전문위원현 ) 행복마루법무법인디지털포렌식자문위원한국저작권위원회 ( 감정포렌식팀과장 ) 프롬투정보통신 ( 정보보안팀선임연구원 ) 자격증 수행경험 CISSP, ACE, 디지털포렌식전문가 2 급 A 사협력업체부정 비리감사 B 사개인정보관리실태진단 C 사인수기업 PMI 감사 G 사기업정보유출감사 A 은행정보보안상시점검 C 그룹정보보안관리체계수립 J 사개인정보관리실태진단문화부, 검찰합동저작권위반 OSP 수사지원
행복마루컨설팅소개 (1/2) 3 2011 년대한민국최초로고객사에감사전문가를상주시키며독립적인내부감사수행 디지털포렌식기반부정 비리감사를주된업무영역으로삼아성장 2011 년 10 월 국내최초로기업내상주형부정 비리감사계약체결 회사설립 업무범위확대 고객사확대 금융회사포렌식전문감사실시개인정보보호관리실태점검시작 정보보안감사 Compliance 감사부정 비리수사및감사 은행, 보험, 제조, 유통, 에너지, 방송, IT 등 지속적인성장 외부신고채널제공법무법인, 사모펀드등과연계한서비스도입 현재 국내유일의디지털포렌식전문감사기업 (Digital Forensic based Audit and Investigation)
행복마루컨설팅소개 (2/2) 4
5 목차 1 2 3 디지털포렌식이란? 디지털증거 민간영역에서의디지털포렌식기술 4 적용사례
1 디지털포렌식이란? 6
1 디지털포렌식이란? 7 Digital Forensics 美 DFRWS(Digital Forensic Research Workshop) 범죄현장에서확보한개인컴퓨터, 서버등의시스템이나전자장비에서수집할수있는디지털증거물 에대해수집, 보존, 확인, 식별, 분석, 기록, 재현, 보고등을과학적으로도출하고증명가능한방법으로 수행하는것 컴퓨터범죄수사에입각한정의 컴퓨터관련조사 수사를지원하며디지털자료가법적효력을갖도록하는과학적이고논리적절차와방법을연구하는학문 - 디지털자료 : 컴퓨터에만국한되지않음 - 법적효력 : 법규범에합치되는논리성을가져야함 - 과학적 / 논리적 : 보편성과객관성이필요한지식체계 - 절차와방법 : 목표달성을위한과정이결과만큼중요
1 디지털포렌식이란? 8 디지털포렌식의기본원칙 증거물획득, 이송, 분석, 보관, 법정제출의담당자및책임자명확 연계성의원칙 무결성의원칙 수집증거가위 / 변조되지않았음을증명 (Hash 값검증이용 ) 시스템의휘발성정보수집을비롯한모든과정은지체없이신속하게진행 신속성의원칙 디지털포렌식 재현의원칙 정당성의원칙 입수증거가적법절차를거쳐얻어져야함 피해직전과같은조건에서검증시, 피해당시와동일한결과가도출되어야함
1 디지털포렌식이란? 9 디지털포렌식절차 디지털포렌식을통한증거수집및분석은사전준비단계에서부터보고서작성에이르기까지 총 5 단계로진행됨 사전준비 [Preparation] 증거물수집 [Acquisition] 이송및보관 [Preservation] 증거분석 [Examination] 보고서작성 [Reporting] 수집대상및범위검토 수집대상파악 증거물포장및운반 데이터복구, 추출, 용어설명 포렌식툴준비및검증 현장보존 원본디스크이미지 분류, 검색, 분석 객관적설명 장비확보등 하드디스크이미징 복사및보관등 관련대상자인터뷰 Fact 기반보고서 ( 복제 ) 수행등 작성등 증거수집물목록 작성등
1 디지털포렌식이란? 10 디지털포렌식분류 디스크포렌식시스템포렌식네트워크포렌식인터넷포렌식모바일포렌식데이터베이스포렌식 물리적인저장장치인하드디스크플로피디스크, CO ROM, DVD 등각종보조기억장치에서증거를수집하고분석하는포렌식분야디스크파일시스템분석, 디스크검색, 복구, 키워드검색 컴퓨터의운영체제, 응용프로그램및프로세스를분석하여증거를확보하는포렌식분야시스템데이터및로그분석 네트워크를통하여전송되는데이터나암호등을특정도구를이용하여가로채거나서버에로그형태로저장된것을접근하여분석하거나에러로그, 네트워크형태등을조사하여단서를찾아내는분야 인터넷으로서비스되는월드와이드웹 (WWW), FTP, USENET 등인터넷응용프로토콜을사용하는분야에서증거를수집하는포렌식분야 휴대폰, PDA, 전자수첩, 디지털카메라, MP3, 캠코더, 휴대용메모리카드등휴대용기기에서필요한정보를입수하여분석하는포렌식분야휴대용기기데이터은닉용이성으로세심한분석필요 데이터베이스로부터데이터를추출분석하여증거를획득하는포렌식분야기업의분식회계, 횡령, 탈세수사시필수
1 디지털포렌식이란? 디지털포렌식전문인력부족 디지털포렌식인력을채용하고있으나, 대부분정보보안부서에서채용 삼성서울병원 삼성디스플레이 코오롱베니트 11 삼성중공업현대카드 / 캐피탈삼정 KPMG
1 디지털포렌식이란? 12 디지털포렌식전문인력채용 ( 기업 ) 디지털포렌식전문가 1 급 /2 급 국가공인 CCFP(Certified Cyber Forensic Professional) [ 국제공인 ] EnCE(Encase Certified Examiner) - Guidance ACE(Accessdata Certified Examiner) - Accessdata CHFI(Computer Hacking Forensic Investigator) - EC-Council 객관적고려사항 CISA, CISSP 등정보보안자격증 + CIA 주관적고려사항 검찰 / 경찰등수사기관에서디지털포렌식업무경험자 정보보안또는 IT 부서에근무한경험이있고디지털포렌식에대한이해가있는자 대학교, 대학원에서디지털포렌식관련전공을한후실무경력이있는자 디지털포렌식기술과디지털증거와관련된법률에대한이해가있는자
1 디지털포렌식이란? 디지털포렌식전용도구도입 13 증거수집 ( 이미징 ) 쓰기방지증거분석 디지털증거 (HDD, USB 등 ) 복제를위한장비 디지털증거의손상방지를위해물리적장비를이용하여쓰기차단 국내 / 외수사기관및기업에서사용하고있는증거분석도구 로드마스터 (RoadMaster) 도시어 (Dossier) 솔로4(Solo4) 팔콘 (Falcon) TD3 등 슈퍼이미저 (SuperImager) Tableau FastBlock UltraDock 등 Encase FTK Xray( 모바일 ) Finaldata Forensic 등
1 디지털포렌식전용도구 증거수집 - 팔콘 14 주요기능 최대 11GB 의전송속도로복제, 이미징, 삭제작업가능 (SATA 기준 ) 원본포트에총 4 개의장치연결이가능하며, 각기다른작업동시가능 하나의원본저장매체를사용하여복제및이미지작업동시가능 이미지작업시복제와사본 Hash 계산을동시에하는것이가능하며사본하드디스크의속도에비례하여 Hash 계산속도향상도가능 EnCase 전용포멧인 E01 과 Ex01 이미지파일생성가능 컴퓨터또는아이폰 / 아이패드의웹브라우져 ( 크롬, 사파리, 오페라 ) 를사용하여 Falcon 에원격접속가능 데이터를복구할수없도록삭제가가능하며, DoD 방식지원 모든작업에대한로그파일저장및전용프린터를사용하여출력가능 7" 터치스크린에직관적인 GUI 를제공하여사용이용이
1 디지털포렌식전용도구 증거수집 - 도시어 15 주요기능 최대분당 7GB 의전송속도로복제및삭제작업가능 고성능내장엔진으로고속이미지복제 (7GB/ 분 ) EnCase 에서바로조사 / 분석가능한 E01 이미지생성 터치스크린, 자체키보드내장으로손쉬운사용 전용운영체제를통한빠른부팅및안정적인동작 이미지복제시무결성보장을위한 MD5, SHA256 해쉬값계산지원 다양한드라이브와호환될수있는다중인터페이스지원 IDE, SATA, SAS, SCSI, esata, MicroSATA 지원 미디어리더기내장으로플래쉬메모리에대한이미지복제지원 CF, SD, SM, MS, MMC 지원 /RAID 로구성된드라이브캡처지원 자체원본 HDD 쓰기방지 /Audit Trail Log 로그저장
1 디지털포렌식전용도구 증거수집 - 솔로 4 16 주요기능 최대분당 7GB의전송속도로복제및삭제작업가능 1:2 또는 2:2의방식으로복제작업이가능하며, 복제작업시해시값생성이나데이터삭제작업을동시에수행가능 FireWire 1394B 와 USB2.0 내장으로노트북및일반컴퓨터의 HDD분리없이 capture가능 IDE, SATA, SAS, USB, SCSI 지원 네트워크를통한증거업로드 증거의암호화 (AES256) 저장
1 디지털포렌식전용도구 증거수집 - 로드마스터 17 주요기능 최대분당 8GB의전송속도로복제및삭제작업가능 현장수사시증거자료보존을위한원본하드디스크의고속복사기능 1:2, 1:3 또는 2:2의방식으로복제작업이가능하며, 복제작업시해시값생성이나데이터삭제작업을동시에수행가능 신속한분석이필요한경우현장에서증거수집과동시에분석가능 하드웨어및소프트웨어일체형 USB Port를통한외장드라이브지원으로대용량백업가능 현존하는모든 OS 캡쳐
1 디지털포렌식전용도구 증거수집 - FTK Imager 18 주요기능 E01, DD 등의파일형태로하드디스크이미징가능 이미지파일생성시압축률조정가능 해시값생성 생성된이미지파일읽기가능 무료 SW
1 디지털포렌식전용도구 쓰기방지 - 타블류 19 주요기능 P-ATA, S-ATA, SAS, USB, FireWire 장치지원 모든포트들이데이터무결성을위해쓰기방지기능내장 호스트장비와 FireWire 및 esata 방식으로연결가능, 빠른속도 EnCase의 Write Blocked 표시 T35u : USB3.0포트를통해 IDE/SATA 방식의하드디스크지원장치 T4es : SCSI 방식의하드디스크지원장치 T6es : SAS 방식의하드디스크지원장치 T8-R2 : USB 방식의저장매체지원장치 T9 : FireWire1394B 방식의저장매체지원장치
1 디지털포렌식전용도구 20 증거분석 - EnCase 주요기능 고속 Search Engine ( 검색시간단축 ) Enhanced E-mail support Outlook PST 파일빠른분석, DBX 지원 ( 삭제 E-mail등 ) Base64 와 UUE encoded e-mail 의자동디코딩. Unicode 지원 가능지원 File System : FAT,NTFS,HFS,HFS+,UFS,SUN,Solaris,EXT2,Palm,CDFS,UD F,ISO9660등 최적화된보고서작성 ( 증거, 작업자설명, 북마크, 검색결과등의 RTF와 HTML생성가능 )
1 디지털포렌식전용도구 21 증거분석 - Forensic Toolkit 클라우드컴퓨팅시대에최적화된분산처리지원 메모리덤프분석 (RAM Dump Analysis) 및비교분석기능 강력한인덱스검색 ( 비할당영역지원 ), 정규표현식 (GREP) 검색지원 OCR 분석을통한이미지파일내문자열분석 Fuzzy Hash 분석기능을통한파일유사도검사지원 Data 카빙을통한다양한파일복구기능지원 암호해독솔루션 PRTK 를제공 주요기능 Tacc1441 H/W Accelerator 와결합하여강력한암호해독지원 PORT 의 Rainbow Table 을이용한사전계산된전사적공격지원 네트워크를통한원격시스템의메모리와디스크에대한증거수집 / 분석
22 목차 1 2 3 디지털포렌식이란? 디지털증거 민간영역에서의디지털포렌식기술 4 적용사례
2 디지털증거 23
2 디지털증거 24 로카르법칙 (Locard s Exchange Principle) 프랑스의법의학자로카르 접촉하는두개체는서로의흔적을주고받는다 사용자또는조사자그누구든간에동작중인시스템을다루게되면해당시스템은변화가발생한다 - 프로세스활동 - 데이터저장 / 삭제 - 네트워크상의데이터흐름 - 웹사이트접속 ( 캐시데이터, 접속목록, 방문 URL 등 ) 충남서산경창서증거분석실
2 디지털증거 디지털증거란, 저장매체또는네트워크를통해전송중인자료중법적증거능력을가진정보 25 디지털증거의종류 디지털증거의특징 비가시성 취약성 ( 변조가능성 ) 매체독립성 ( 복제용이성 ) 대량성 초국경성 휘발성 전문성 눈에보이지않는 0 과 1 의조합인디지털형태로저장되어적발과증명이곤란 변조나손상이쉽고변조사실을찾아내기어렵기때문에사후에법정에서조작여부, 증거획득절차의적정성이문제 0 과 1 의디지털신호로되어있어원본과동일한내용으로쉽게복제할수있으며원본과복제본의구별이쉽지않음 기업의전산회계자료등데이터양이수백기가바이트에이를만큼방대하여특별한도구나전문인력이없인증거를찾는데어려움이있음 인터넷을통하여전송되거나저장, 장소적제한없이원거리또는타국의서버나컴퓨터에존재 컴퓨터메모리나네트워크상에서만일시적으로존재하는휘발성데이터가존재하며, 디지털증거압수과정에서사라지지않도록각별히주의해야함 디지털증거의수집과분석은전문적인기술이사용되므로, 디지털증거의압수 / 분석등에있어포렌식전문가가필수적임
2 디지털증거 디지털증거의증거능력요건 진정성 (Authenticity) 법정에제출할증거가요증사실을설명하기위한바로그증거라는사실을증명 특정인이특정시간에생성한, 요증사실의증거가맞는가? 무결성 (Integrity) 26 원본으로부터수집되어보관 / 분석되는과정에서부당한수정, 변경, 손상이없어야함. 원본성 (Originality) 디지털증거는자체로서가독성이없으므로가시성이있는인쇄물로출력하여제출해야함. 증거원본이제출되어야하는증거법상사본증거, 가시성, 가독성있는형태로변환된증거를인정할수있는가? 신뢰성 (Reliability) 증거데이터의분석등처리과정에서위 / 변조되거나오류를포함하지않았다는것을의미 증거자체의특성이아닌증거를취급하는정차, 도구, 인력등과같은요소가영향 요증 : 증명을필요로하는일
2 디지털증거 디지털증거의분류 27 생성증거 ( 자동으로생성되는디지털증거 ) 보관증거 ( 인위적으로생성되는디지털증거 ) 인터넷사용기록 방화벽로그 운영체제이벤트로그등 각종메타데이터 문서파일 전자메일 동영상및사진 소프트웨어 암호데이터 일반적인경우보관증거는법적증거로인정되지않음. 단 ) 예외사항의경우증거로인정됨 휘발성증거 비휘발성증거 프로세스 예약작업 인터넷연결정보 네트워크공유정보 메모리정보등 파일및파일시스템 운영체제 로그데이터 설치된소프트웨어
28 목차 1 2 3 디지털포렌식이란? 디지털증거 민간영역에서의디지털포렌식기술 4 적용사례
3 민간영역에서의디지털포렌식기술 기업에서디지털포렌식활용분야 1 자금횡령 배임등조사 지점, 대리점근무자의자금횡령 배임 불법적인방법으로영업활동수행 ( 차명계좌사용등 ) 29 2 3 4 5 6 협력업체거래부정조사경영실태진단영업비밀등기업정보유출조사사내 협력업체등정보보안감사개인정보보호관리실태점검 친인척등특수관계인회사와계약체결및거래발생 과도한선물접대등 기업 M&A 로인하여 DD 실사참여 점검대상자 PC 정밀분석하여기존경영실태파악 경쟁사로다수의직원이이직하여설계도면유출 협력업체직원소스코드유출 내부규정우회하여자료보관 ( 파일암호화, 확장자변경등 ) 내부사이트취약점점검 협력업체에서영업활동목적으로데이터가공 협력업체에서보유기간초과개인정보보관
3 민간영역에서의디지털포렌식기술 디지털포렌식서비스 30
3 민간영역에서의디지털포렌식기술 기업에서수집가능한디지털증거 31 물리적증거 사용자의 PC 및노트북 법인휴대폰및스마트패드 법인차블랙박스및네비게이션 CCTV 기록 정보보안시스템 매체제어시스템 문서보안시스템 방화벽로그 출력물관리시스템 보안토큰시스템 출입기록시스템 업무용시스템 전자결제시스템 ERP 법인카드사용내역 이메일
3 민간영역에서의디지털포렌식기술 32 사전준비 [Preparation] 증거물수집 [Acquisition] 이송및보관 [Preservation] 증거분석 [Examination] 보고서작성 [Reporting] 사건파악 ( 영장제시 ) 증거물포장및운반 타임라인분석 증거분석결과 포렌식도구검증 현장분석 이미지복사 시그니처분석 전문가소견 장비확보 동의서징구 사본생성 레지스트리분석 이미징대상선정 디스크이미징 웹히스토리분석 동의서준비 ( 법률적 해시값확인서서명 데이터복구 검토필수 ) ( 사안의중요성에 키워드검색 특별감사통보 따라서결정 ) 패스워드및암호 복구
3 민간영역에서의디지털포렌식기술 33
3 민간영역에서의디지털포렌식기술 34
3 민간영역에서의디지털포렌식기술 35 수집된디지털증거물 ( 보안씰부착 ) 증거분석실이송을위해정전기봉투에넣고, 최종안전봉투에넣어이송
3 민간영역에서의디지털포렌식기술 36 타임라인분석을통한사용자의 PC 사용패턴분석 인터넷히스토리분석을통해최근인터넷검색내용및접근한사이트분석 레지스트리분석을통하여최근열람문서및이동식저장장치등사용흔적분석 시그니처분석을통하여사용자가은닉을목적으로파일확장자를변경한흔적분석 회사내부메신저대화내역분석 - 부정행위입증에결정적증거제공 문서파일키워드분석을통하여결정적입증자료증명 삭제파일복원하여최근에삭제한내역중심으로분석실시 이메일분석등실시
3 민간영역에서의디지털포렌식기술 37 증거물이상유무확인및사본생성 삭제파일복구 ( 할당영역, 비할당영역 ) 1. 환경구축 2. 증거분석 각종문서파일추출 (doc, hwp, ppt, pdf 등 ) 레지스트리정보추출 웹접속정보추출 시스템로그추출 문서, 메일등키워드분석을위한 Indexing 레지스트리분석 웹접속분석 키워드분석 메신져분석 시그니처분석 타임라인분석
3 민간영역에서의디지털포렌식기술 38 보고서에기술되는모든내용은사실 (Fact) 기반으로작성되어야함 보고서를받아보는사람이쉽게이해할수있는용어들을사용해야하며, 이해하기어려운용어에대해서는각주로표기해야함 추정또는가능성등개인적인소견을나타내는용어들은가급적사용금지 어떤방법과절차로증거분석결과가도출되었는지상세히기술 법적인이슈와관련이있을경우사내변호사의보고서검토작업필요
39 목차 1 2 3 디지털포렌식이란? 디지털증거 민간영역에서의디지털포렌식기술 4 적용사례
4 적용사례 40 디지털포렌식적용사례 활용사례 반도체개발업체기술유출사건 세부내용 최근 1 년간 10 여명의개발자가외국계기업으로이직이빈번하여기술유출여부디지털포렌식조사 개발회사소스코드유출사건 외주업체직원이이미지파일에소스코드숨겨서외부유출한사건 대리점자금횡령사건 협력업체거래부정사건 개인정보유출사건 대리점에서판촉비명목으로내린현금을지점장이자금을유용 횡령하였는지디지털포렌식조사 내부직원이친구이름으로차명회사를설립한후다수의프로젝트를아웃소싱한협 력업체거래부정사건 디지털포렌식방법론을적용하여내부통제를우회하여회사기밀정보, 개인정보 등보유실태점검
4 적용사례 41 반도체개발업체기술유출조사 1 개요 최근 1년간반도체설계부서직원 10여명이경쟁사로이직 회사매출이감소하기시작하고기술유출이되었다는소문이들리기시작 경쟁사로이직을결정한 A대리에대한조사요청 2 점검방법 대상 PC에대해디지털포렌식정밀진단수행 3 발견사항 파일접근권한이없는 K과장에게반도체관련파일전송정황확인 ( 메신저 ) 개인 USB에회사업무관련파일복사된흔적확인 한달후 K과장경쟁사로이직 4 결과 K과장이경쟁사이직을위해 A대리로부터기업비밀자료확보후이직
4 적용사례 반도체개발업체기술유출조사 메신저대화에서이상징후확인 42
4 적용사례 반도체개발업체기술유출조사 USB 를통해회사기밀자료전송정황확인 ( 링크파일분석 ) 43
4 적용사례 개인정보유출조사 44 1 개요 A 기업인수합병과정실사중정보유출관련내부문서발견후조사요청 2 점검방법 대상 PC 에대해디지털포렌식정밀진단수행 3 발견사항 삭제파일복구과정에서시그니처가다른이상파일확인 복구확인결과엑셀파일로확인 4 결과 압축파일해제결과다량의개인정보자료확인 고객정보보관을위해저장 ( 개인정보관리위반 )
4 적용사례 개인정보유출조사 45
Thinking from your side
47 목차 1 2 3 디지털포렌식이란? 디지털증거 민간영역에서의디지털포렌식기술 4 적용사례 5 참고자료
5 모바일포렌식 HDD vs SSD HDD: 자기디스크방식으로충격에약하고, 발열량이많음 SSD(Solid Stata Drive): 반도체방식으로비활성플래시메모리사용 48
5 모바일포렌식 SSD 종류 데이터저장방식에따라 SLC, MLC, TLC 로구분 SLC(Single Level Cell) - 하나의셀이 1bit 의정보를저장 {0,1} MLC(Multi Level Cell) - 하나의셀에 2bit 의정보를저장 {00,01,10,11} TLC(Triple Level Cell) - 하나의셀에 3bit 의정보를저장 {000,001, 110,111} 49
5 모바일포렌식 50 SSD 구조 SSD 기본단위셀 (Cell) 셀이모여서 Page(4KB) Page가모여서 Block(512KB)
5 모바일포렌식 51 SSD 구조 웨어레벨링 (Wear leveling): 셀마다쓰기횟수가제한적. 모든페이지에골고루쓰기가가능하도록관리 ( 모든페이지의재기록횟수저장관리 ) 가비지콜렉션 (Garbage Collection): 일정수준의 Invalid 가모이면한꺼번에삭제수행
Thinking from your side