4장

SeoulTech 2015-2 nd 컴퓨터보안 제 5 장디지털포렌식수행절차 박종혁교수 (http://www.parkjonghyuk.net) Tel: 02-970-6702 Email: jhpark1@seoultech.ac.kr

개요 학습목표 디지털포렌식조사모델을통해디지털포렌식수행절차를알아보고수행시유의사항과디지털데이터가법적인증거로사용되기까지의과정을학습한다. 학습내용 디지털포렌식수행시유의사항 디지털포렌식조사모델의조사준비 디지털포렌식조사모델의현장대응 디지털포렌식조사모델의증거확보및수집 디지털포렌식조사모델의증거운반및확인 디지털포렌식조사모델의조사및분석 디지털포렌식조사모델의보고및증언

목차 1. 디지털포렌식조사모델이란? 2. 디지털포렌식조사모델비교 3. 디지털포렌식조사모델 1. 조사준비 2. 현장도착시대응 3. 증거확보및수집 4. 운반및확인 5. 조사및분석 6. 보고및증언

포렌식조사모델수행시유의사항 증거의 무결성확보 증거의 신뢰성증명 원본의 안전한보존 분석결과의 반복성 적법절차의 준수 디지털포렌식 조사모델 진정성유지

조사모델수행시유의사항 적법절차의준수 피조사자개인의인권을보장해야하고, 피조사기관은기업의영업비밀이나중요자료의노출이발생하지않도록적법절차를준수 특히디지털포렌식조사의대상이되는저장매체는개인의사생활과관련된많은정보가저장 따라서조사자가이를열람할수있는권한을확보하지않은상태에서조사할경우추후문제가발생 준수방안 수사기관인경우, 압수ㆍ수색권한혹은영장이한정하는영역내에서만조사를진행 민간기관인경우, 조사를수행할때발생할수있는책임여부를사전에상호확인하고, 의뢰인이위임한부분에대해서만조사를수행

조사모델수행시유의사항 원본의안전한보존 디지털데이터는쉽게훼손될수있기때문에데이터를안전하게보존할수있는수단을강구해야함 특히물리적인충격이나전자기파에의해손상을입지않도록포장에주의 증거분석은원본의손상을막기위해반드시사본에서수행 또한생성한사본이원본과동일하다는것을증명할수있는절차적, 기술적절차가수반 증거의무결성확보 디지털데이터는완벽히조작할수있기때문에데이터확보이후에는어떠한변경도없었다는것을입증하기위한기술적, 절차적수단을확보해야함 법정에서무결성을증명할수있는방법을준비

조사모델수행시유의사항 증거의신뢰성증명 증거분석은과학적인방법을사용해야하고, 해당분야전문가들에의해충분히검토되어신뢰할수있는기술적절차로수행되어야함 도출된결과는신뢰성을검증할수있어야함 분석결과의반복성 도출된분석결과는동일한실험조건이주어진다면, 오차범위내에서항상동일한결과가나올수있도록재현할수있어야함 진정성유지를위한모든과정의기록 디지털증거수집ㆍ분석을비롯한모든과정을기록함으로써사후검증할수있는수단을제공 디지털증거의진정성은수집이후부터법정까지진행된증거처리에관한내용을기록한문서를통해입증

디지털포렌식조사모델의정의 디지털포렌식조사모델의정의 디지털정보를포함하고있는매체를증거로서확보하여, 디지털증거의법적가치가훼손되지않도록수집ㆍ보관ㆍ이송ㆍ분석ㆍ보고하는일련의수행절차 이러한과정은분석된결과가법적인증거로허용될수있도록법적절차를준수해야하며, 신뢰성있는결과의산출, 분석결과의정확성, 오류발생의최소화등에기초해야함 디지털포렌식조사모델 조사준비 현장대응 증거확보및 수집 운반및확인조사및분석보고및증언

일반적인사법처리과정 위법 개시 / 고소 압수 보존 조사 분석결과 보고 법 증거 집행 선고 평결 최종변론 교차심문 전문가증언 사건진술 심문 개시 본안

디지털포렌식조사모델 조사준비현장대응증거확보및수집 조사준비 현장대응 증거확보및수집 사건발생및확인 조사권한획득준비 조사팀구성 장비 / 도구준비 현장통제와보존 접근권한과협조획득 조사대상매체의확보 시스템확보 저장매체확보 ( 하드디스크등 ) 증거물포장과봉인 보고및증언 보고및증언 분석보고서작성 증거관련문서보관 법정증언 조사및분석 조사및분석 사본생성 데이터추출 데이터분류 상세분석 운반및확인 운반및확인 증거물운반 증거물등록및확인 원본보관

조사준비 - Overview 조사준비단계 위법행위, IT 보안시스템의경보등과같이사건이발생하면, 본격적인수사에앞서필요한준비과정을수행하는단계 신뢰할수있는디지털증거를확보하기위해서는조사준비과정에서세밀한준비가절실히요구됨 현장출동시, 필요한장비를준비하지못하거나, 인원이부족하는등의문제가발생하면원활한조사진행이불가능함 오랜조사경험이나전문지식이있는책임자의지휘아래철저한조사준비를해야함 조사준비과정의세부절차 사건발생및확인 조사권한획득 인원구성 장비ㆍ도구준비단계

사건발생및 확인 권한획득 준비 조사팀구성 장비 / 도구 준비 사건발생및확인 사건이발생시, 이에대한조사를수행할필요성이있는지에확인필요 일반범죄수사의경우 최근컴퓨터및디지털기기의사용이일반화됨에따라일반적인민사ㆍ형사사건의경우에도범죄현장의디지털포렌식조사를수행 피해자의신고를통한사건발생, 내부조사를통해위법행위등이발견되면본격적인조사가시작 사이버범죄조사의경우 비정상적경고의발생 침입탐지시스템의경고발생, 네트워크방화벽로그의비정상적인징후, 기타보안장비의경고신호등 네트워크트래픽이급증하였다면, 발생한경보가단순히비정상적으로방문자가급증한것이원인인지, 내부네트워크에서실수로패킷을과다발생시킨것인지, DDos 공격에의한것인지확인이필요 이러한확인과정은특정사건에대한조사를진행할것인지를결정하는첫번째단계이므로신뢰성있는분석과확실한판단이필요

사건발생및 확인 조사권한획 득준비 조사팀구성 장비 / 도구 준비 주요조사대상의선정 ( 조사대상의가치평가 ) 확인과정은나아가주요조사대상이무엇인지를결정하고전반적인수사계획을설정하는과정을포함 현대의디지털포렌식수사는엄청난양의데이터를조사해야하므로, 수많은잠재적인증거자료로부터사건해결에실마리를제공해줄수있고중요한결과를얻을수있는자료를우선적으로수집ㆍ분석할수있도록선정하는과정이필요 사전조사 조사대상을선정하기위해서는피조사기관의전산환경, 접근대상시스템의유형, 규모, 운영체제, 네트워크구성등을파악하여증거수집이가능한지를판별 특히자체보안솔루션등으로외부저장장치를통한데이터접근이제한되는지, DRM 시스템과같이접근제어형보안소프트웨어가사용되고있는지확인이필요

사건발생및 조사권한 조사팀 장비 / 도구 확인 획득준비 구성 준비 권한획득의필요성 조사에필요한자료이지만별도의접근권한이필요한경우는그에적합한권한확보과정이선행되어야함 수사기관의경우, 영장신청과정에서조사가필요한대상과권한등의내용을상세히기재해서법적인문제가발생하지않도록주의 차후조사하는과정에서, 사건과관련없는정보를열람할경우가분쟁이발생할수있으므로이에대한접근권한을명확히설정해야함 구분확인사항설명 권한의유무영장등기재내용증거수집대상의관련정보 당사자의동의 권한있는자의승인 사건개요 압수수색장소 압수대상 압수범위 정보처리시스템의유형 규모 운영체제 네트워크구성등 당사자의동의를얻지않을경우, 영장을발부받아조사권한을획득해야함영장의내용에서기재된범위를확인해야하며, 특히압수수색의주요대상증거물 ( 특정파일, 사진, 회계데이터등 ) 이무엇인지확인해야함 DRM과같이자체보안등으로외장저장장치를통한데이터저장제한, 특이한컴퓨터소프트웨어사용등을확인해야함

사건발생및 조사권한획 조사팀 장비 / 도구 확인 득준비 구성 준비 인원구성 사건의유형, 조사자의전문성, 압수대상장소의수등을고려하여조사팀의인원을구성 추가적으로현장출동후수색절차, 증거수집방법과범위, 각조사자의역할등을분담 사전교육 조사책임자는현장조사에참여할인원들에게담당할업무와유의사항에대한사전교육을실시 각압수장소에대한인원배분, 시스템의예상수량과장비의배분, 또한조사자의전문성을고려하여적절한배분과역할을분담 공증인원추가 전체현장조사과정을검증할자격이있는제 3 의입회인을참석시켜증거획득ㆍ포장ㆍ봉인ㆍ이송과정을확인하도록할수있음 이는현장대응과정이공정하고무결하다는것을보여줄수있는효과적인증명방법

사건발생 조사권한 조사팀 장비 / 도구 및확인 획득준비 구성 준비 증거수집장비 소프트웨어장비 이미지작성용프로그램, 데이터수집프로그램, 현장초동분석용프로그램등이포함 하드웨어장비 현장에서분석할경우를대비하기위한휴대용컴퓨터 ( 분석소프트웨어포함 ) 하드디스크이미징장치, 쓰기방지장치, 대용량저장매체, 광학디스크매체 다양한규격의연결케이블및어댑터, 시스템분해와해체를위한공구일체 기타장비 현장촬영을위한카메라및녹화를위한캠코더등이포함 서류작성을위한각종서식과휴대용프린터등을확보 증거봉인및포장장비 충격완화용보호박스 ( 증거운반용박스 ), 증거를포장할각종봉투와충격흡수소재, 밀봉된증거물의무결성을증명할특수테이프 (Evidence Tape) 와봉인지 (Seal), 압수물라벨, 정전기차단봉투, CD 케이스등 운반장비 증거운반용전문케이스나운반차량이포함

사건발생 조사권한 조사팀 장비 / 도구 및확인 획득준비 구성 준비 포렌식하드웨어

사건발생 조사권한 조사팀 장비 / 도구 및확인 획득준비 구성 준비 포렌식소프트웨어

사건발생 조사권한 조사팀 장비 / 도구 및확인 획득준비 구성 준비 장비 / 도구종류별일람 분류 세부장비 분해와해체를위한공구세트디스크복제장치쓰기방지장치증거사본보관용대용량저장장치 컴퓨터등분해를위한사이즈별 +/- 드라이버, 케이블절단을위한니퍼, 플라이어등현장에서디스크복제업무를수행할때사용현장에서사본이미지작성, 분석업무등을수행할때원본디스크의데이터훼손을방지하기위해사용현장에서디스크복제또는사본이미지를작성하는경우사용할대용량 HDD, 다양한유형의 HDD를연결할수있는인터페이스장비, 휴대용 RAID 저장장치등 외장형저장매체 데이터검색ㆍ수집을위한 USB 메모리또는휴대용디스크, CD-R, DVD-R 등 분석용소프트웨어 다양한규격의연결케이블및어댑터 휘발성데이터수집프로그램, 이미지작성프로그램, 해쉬프로그램, 압축프로그램, 기타분석에필요한프로그램멀티플러그, 전원케이블과어댑터, 네트워크케이블, 각종데이터전송케이블과어댑터등 증거포장운반용세트 충격완화용보호박스, 정전기차단용백, 전차파차폐용팩, 운반용하드케이스등 증거수집및분석용모바일컴퓨터 기타장비 현장에서증거수집및초동분석업무등을수행할때사용 카메라, 캠코더, 금속스캐너, 모바일프린터등

현장대응 -Overview 현장도착시조치과정 사건준비과정이완료되면현장에출동하여조사에필요한조치를수행하며, 향후증거수집과정을시작하기앞서모든준비과정을수행하는단계 현장을통제하고이를보존하며, 관계자와의협조를얻어주요조사대상시스템과매체를확보함. 또한조사과정의신뢰성확보를위해카메라나캠코더로이를촬영하여기록 현장통제와보존 조사를수행하기에앞서최대한현장을보존하며, 증거인멸시도의가능성을 고려하여이를보존하고통제 조사권한획득과협조요청 사건책임자가용의자또는피조사기관의관리자와면담을통해조사협조 를구하고관련서류를제시하여접근권한을획득 조사대상시스템및저장매체확보 조사가필요한시스템, 물리적증거들을피조사자와협조를통해확인 확보된시스템은사용자를격리하여이를통제함 또한전체적인현장의시스템및네트워크상황을파악해야함

현장통제와보존 권한획득과협조 조사대상 매체확보 현장통제와보존의필요성 현장의통제는증거물을최대한원본상태로보존할수있고, 이를통해사건이발생한원인을파악함으로써본격적인조사를시작할것인지를판단할수있는근거가됨 또한증거훼손을막아예기하지못한실수로인해중요한증거자료가손실되지않게막을수있음 수사기관의현장조치요령 영장제시 현장통제 현장분석 시스템등통제 관리자에게압 전체조직도, 전산관리자신 시스템 on/off 수수색취지 직원명부활용 병확보, 현장 유지 설명 규정된현장조 압수수색대상결정 분석에활용 시스템상황, 네트워크연결차단등조치 사절차를준수 팀인원과장비 현장으로부터직원격리 네트워크상황등파악 지문채취등조치 배분 소지품검사 현장의전체적 (USB, 플래쉬 구조를촬영및 메모리 ) 확보 스케치

현장통제와보존 권한획득과협조 조사권한획득 수사기관은영장을제시하여주요대상에대한접근권한을받음 민간기관은의뢰기관이허가한시스템에대해서만조사를진행 조사대상 매체확보 조사대상자참여유도 일반사용자 조사과정에직접참관하고, 조사과정을공개적으로설명하여참여유도 수집된증거물에대한확인, 서명을받음으로써수집과정과증거물의객관성, 신뢰성, 증거물출처와데이터의동일성을주장할수있도록함 시스템관리자 ( 기업등대규모조사 ) 현장상황을가장잘알고있는대상자의협조를통해압수수색의효율성을재고 다양한시스템및저장매체를조사 이동식저장매체조사 (USB 드라이브, 플래쉬메모리등 ) 최근대용량ㆍ소형저장매체가대중화되어있으므로이를철저히조사 백업, 교체, 은닉시스템이나저장매체수색철저 조사과정에서하드디스크교체흔적등이있는경우숨겨진하드디스크나백업용저장매체를찾아야함 백업, 스토리지, 데이터베이스서버등유용한자료가저장되어있는시스템을은닉할수있으므로시스템구성을파악하여은닉여부를탐지 재래식증거물수집 다이어리노트, 일지, 포스트 - 잇메모지, 컴퓨터출력물등에서비밀번호등함께수집

현장통제와보존 권한획득과협조 조사대상 매체확보 조사과정의사진촬영 ( 녹화 ) 을통환신뢰성확보

현장통제와보존 권한획득과협조 조사대상 매체확보 디지털포렌식에서다양한컴퓨터확보 대부분의조사대상은데스크탑컴퓨터와다수의사용자가접속해서사용하는서버컴퓨터로구분 두종류의컴퓨터모두다수의하드디스크가내장될수있으며, 주로하드디스크가압수수색에서가장중요한대상 컴퓨터조사시유의사항 일반적으로컴퓨터본체를압수하거나하드디스크를분리하여디스크만압수 레이드 (Raid) 시스템을운영하는환경의컴퓨터또는서버시스템의경우, 환경이특수하므로전체를압수하지못하고사건에연관된일부데이터만을확보 하드디스크를분리할때, 보안시스템또는자동으로파괴하는특수한컴퓨터도고려해야하기때문에가능한컴퓨터그자체를압수하는것이바람직 컴퓨터와이동식저장매체는각각다른증거물로관리되기때문에 ODD 내부에 CD 나 DVD 가들어있을수있으므로이를주의해야함

현장통제와보존 권한획득과협조 조사대상 매체확보 휴대폰 휴대폰은대부분의사용기록이내부에탑재된플래시메모리에저장 따라서휴대폰을조사할때에는기기자체를확보해야하며, SIM 혹은 USIM 메모리카드를장착하고있으므로기기와메모리카드각각을분류해서수집 휴대폰은전화수신이가능하므로반드시전자파를차단해서현재상태를보존 개인휴대용정보단말기 (PDA, Smart Phone) PDA 는내부저장장치로플래시메모리를장착하고있는작은컴퓨터 또한내장된플래시메모리외에소형메모리카드를삽입해서사용할수있으므로이를확인후각각을압수 스마트폰의경우에는휴대폰과같은속성을가지기때문에반드시전자파를차단함 휴대폰과 PDA 전파차단봉투와차단장치

현장통제와보존 권한획득과협조 조사대상 매체확보 디지털캠코더및카메라 영상및사진정보를담는기기로서포렌식수사관점에서볼때컴퓨터의하드디스크만큼이나중요한증거대상임 대부분내부적으로소형의플래시메모리를장착하고있으며, 실제영상이나사진데이터는메모리카드를통해저장하므로기기안에삽입되어있는메모리카드는반드시분리하여따로확보 임베디드시스템 최근 MP3, PMP, 휴대용게임기, 네비게이션, 비디오게임기등다양한디지털기기에대한사용이증가하고있음 이러한기기들은내부 / 외부에플래시메모리나하드디스크같은저장매체를이용하므로포렌식조사의대상으로인식하고, 데이터를수집할수있도록이를확보해야함

현장통제와보존 권한획득과협조 컴퓨터에서주로사용하는저장매체의종류 플로피디스크 하드디스크 플래시메모리기반저장매체 (USB 메모리, 메모리카드, SSD) 광학매체 : CD-ROM, DVD-ROM, Blu-Ray, HD-DVD 등이존재 조사대상 매체확보 디지털포렌식관점에서저장매체 범죄현장의조사자는다양한디지털저장매체를파악하고이를현장에서확보할수있도록배경지식을갖추어야함 대부분의저장매체는메인보드에직접연결되어사용되거나 USB 등과같은외부연결인터페이스를사용 이러한연결정보가시스템에저장되므로사용자가은닉한매체가있는지확인하고확보해야함

증거확보및수집 -Overview 증거확보및수집을위한준비 조사대상자의증거물을확보 ( 압수 ) 한뒤어떤종류의데이터를어떤방법으로수집할것인지를결정 수사기관은영장의기재내용에의거하여필요한증거물을압수하는과정 포렌식서비스업체는현장에서데이터를수집및분석할것인지, 시스템이나중요자료에대해사본을생성하여이를확보할것인지등협의 시스템의위치파악및보존증거수집방법결정시스템확보 / 데이터수집증거물포장과봉인 증거확보및수집세부절차

증거수집방법 결정 시스템확보 / 데이터수집 증거물포장과 봉인 하드디스크에저장된데이터및시스템전체에대한정밀분석이요구될때실시 부득이한경우컴퓨터본체를비롯한모니터, 프린터, 케이블등주변장치도확보 하드디스크에저장된데이터의복구및분석이필요하고원본의필요성이중요하여 확보할필요가있는경우 하드디스크에저장된데이터를복구하고분석할필요가있지만굳이원본을확보할 필요가없는경우 위세가지방법에의한압수가불가능하거나영장의허용범위가특정데이터에만 국한된경우

증거수집방법 결정 시스템확보 증거물포장과 봉인 사진촬영 사용자를파악할수있도록표시하고모니터의현재화면, 시스템의앞뒷면과 주변장치등을촬영 필요한경우대상물의위치와상태를스케치하여기록 이동형저장 매체조사 플로피드라이브와 CD ㆍ DVD 등을확인하여삽입된것이있으면이를제거하 고필요한경우는별도압수물로처리 컴퓨터전원 상태확인 비활성시스템의경우는전원이꺼진상태그대로확보 전원이켜져있는경우를활성시스템의경우, 전원을차단하기전에휘발성 데이터의수집필요성을판단한후결정 휘발성데이터 수집 시스템의현재상태가중요한경우는휘발성데이터를수집 휘발성데이터는현재실행중인프로세스정보, 네트워크연결정보등다양 한정보를포함하며최근에는필수적으로수집함 시스템종료 ( 전원차단 ) Windows 제품군을사용하는데스크탑시스템은정상종료과정에서다양한 데이터를삭제하거나정리하여데이터가삭제될수있음 전원이켜진상태에서전원공급장치에연결된전원코드를분리

증거수집방법 결정 시스템확보 증거물포장과 봉인 활성시스템조사 활성시스템 (Live System) 현장에서조사관이접근할수있는전원이켜져운영중인시스템 휘발성데이터 : 시스템의 RAM에저장되어있어전원을내리면수집할수없는데이터 사건현장에서촬영한즉석사진 과같이당시시스템의동작상태를그대로나타내는시스템사용정보 활성시스템포렌식조사 디스크이미지조사기반의일반적디지털포렌식과정과는다르게시스템이켜져있는상태에서데이터를선별수집및조사를진행함 시스템의전원을내리면수집할수없는휘발성데이터 (Volatile Data) 와신속한조사에필요한비휘발성데이터를선별해서수집

증거수집방법 결정 시스템확보 증거물포장과 봉인 휘발성데이터의종류 시스템정보 네트워크정보 프로세스세부정보 시스템시간 열려있는파일정보 현재실행중인프로세스리스트 현재실행중인서비스리스트 현재로그인한사용자계정 클립보드내용 명령어콘솔사용정보 네트워크카드정보 라우팅테이블 ARP 테이블 TCP 연결상태 UDP 연결상태 열린 TCP 포트와연결된프로세스정보 열린 UDP 포트와연결된프로세스정보 인접네트워크시스템정보 열린공유자원정보 원격사용자정보 원격접근파일 사용중인외부자원 프로세스실행파일의전체경로 프로세스를실행한계정 부모 / 자식프로세스 프로세스가로드한라이브러리 사용중인네트워크연결정보 (TC P/UDP) 실행시작시간

증거수집방법 결정 휘발성데이터수집시조사절차 시스템확보 증거물포장과 봉인 시작 시스템확보 전원이켜져있는가? NO YES 시스템기본정보수집 ( 시스템시간, 사용자정보등 ) 물리메모리이미지획득이필요한가? NO 네트워크정보수집 파일시스템메타데이터수집 YES 물리메모리이미지수집 실행중인프로세스정보수집 레지스트리하이브파일수집 가상메모리파일수집 비휘발성데이터수집이필요한가? YES 응용프로그램사용흔적데이터수집 ( 웹히스토리, 메신저등 ) 운영체제로그파일수집 NO 종료

증거수집방법 결정 시스템확보 증거물포장과 봉인 전원차단시유의사항 전원코드강제분리종료 전원이끊김과동시에하드디스크에쓰기방지되어하드디스크의데이터를동결시키는효과를얻을수있음 갑작스런전원차단으로시스템에치명적인손상이가해질수도있음 Dos, Windows 3.1/NT/95/98/ME/2000/XP/Vista/7 Series 정상적인종료 시스템이종료되는과정에서운영체제가각종임시파일들을삭제하고일부시스템파일을수정하는등작업을수정 Windows NT/2000/2003 Server, Linux/Unix, Macintosh 주변기기와케이블분리 시스템혹은하드디스크에연결되어있는주변기기와케이블을분리 이때시스템의연결포트와케이블들을차후에재연결할수있도록꼬리표 ( 라벨 ) 부착

증거수집방법 결정 하드디스크확보 증거물포장과 봉인 원본 / 사본디스크확보를위한준비과정 하드디스크만확보할경우, 시스템시간설정을획득할수없으므로현장에서 BIOS 에기록된시간정보를획득함 시스템전체를확보하는경우에는조사기관의증거분석실에서확인 BIOS 시스템시간정보확인방법 1. 시스템의전원을종료하고본체를분해 2. 시스템에연결된모든하드디스크를분리 3. 다시전원을연결하여 BIOS 셋업화면으로진입 4. BIOS 에설정되어있는시스템날짜와시간정보를확인 5. 증거물라벨지에획득한시간정보를기록 증거물라벨지에표준시간을동시에기록하여오차확인

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 시스템시간정보확인 (BIOS 설정정보활용 ) 시스템전원 OFF BIOS 에서시간정보비교및표준시간과확인 하드디스크분해 시스템전원 ON 부팅시 BIOS 진입 (F2, Del 키등 )

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 사본디스크확보 하드디스크에저장된데이터를복구하고분석할필요가있지만굳이원본을확보할필요가없는경우수행 입수된하드디스크를분석시스템에연결하여조사 / 분석과정을수행하면, 증거물이손상되므로복제 ( 사본 ) 디스크를생성 디스크이미징 (Disk Imaging) 을이용한사본생성 원본디스크를복제 (Bit by Bit Copy) 하여사본디스크를생성 디스크이미징 H/W 장비를이용하여다른하드디스크에이를복제 또는디스크이미징 S/W 를사용하여디스크이미지파일을생성 디스크이미지파일 (Disk Image or Forensic Image) 원본디스크를복제하여이미지파일을생성하여사본디스크를대신함 원본디스크와동일함을증명하기위해검증과정이필요 ( 해쉬함수로무결성검증 )

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 디스크이미징장비 (Disk Imaging Hardware) 단독으로복제디스크를생성가능한포렌식장비 디스크를컴퓨터에연결하지않고다른하드디스크에사본을생성 LogiCube Talon,Dossier ICS ImageMasster Solo 3 & 4 등 Logicube Talon Logicube Dossier ICS Image Masster Solo3 ICS Image Masster Solo4

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 디스크이미징장비를이용한사본생성절차 [ 조사대상시스템 ] 원본디스크에대하여사본디스크를복제 ( 사본 2 개까지생성 ) [ 조사대상시스템 ] 하드디스크분해 [ 수집대상디스크 ] [ 이미징장치 ]

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 디스크이미징소프트웨어 (Disk Imaging Software) 디스크이미징, 브라우징기능제공 그래픽인터페이스제공 증거미리보기및데이터검색 / 분석기능제공 윈도우, Palm OS등의플랫폼과 RAID 방식지원 EnCase v6.13

증거수집방법 결정 하드디스크획득 증거물포장과 봉인 디스크이미징소프트웨어를이용한사본생성절차 [ 조사대상시스템 ] [ 이미지파일 ] [ 디스크이미징도구 ] 획득 분해 수집 [ 수집대상디스크 ] 쓰기방지장치에연결 [ 쓰기방지장치 ] 분석시스템과쓰기방지장치연결 [ 분석시스템 ]

디스크이미지의무결성검증 디스크이미지 비트스트림복제 (Bit Stream Clone) 방식으로저장매체를전체복사해서이미지를생성 해쉬및오류검증알고리즘을저장매체와이미지에적용 해쉬알고리즘 해쉬 : 데이터의일부분에알고리즘을적용하여고정된크기의유일한디지털지문을생성 원본데이터를 1bit만바꾸어도해쉬함수는전혀다른출력값을생성하기때문에데이터변조여부확인방법으로사용됨 오류검증알고리즘 CRC(Cyclic Redundancy Check) : 전송데이터내에에러가있는지확인하기위한방법중의하나 검증값이불일치하면데이터에오류가존재함. 해쉬및오류검증알고리즘을원본 Disk 와 Disk image 에적용하여보관 차후법정증거제출시에무결성확보여부를주장할수있음

증거수집방법 결정 시스템확보 / 데이터수집 증거물포장과 봉인 증거물포장 물리적충격이나정전기 / 자기장의영향을받지않도록세심히포장 완충용보호박스나정전기 / 자기장방지봉투를사용 밀봉전용특수테이프 (evidence tape) 와봉인지 (seal) 를이용해증거물훼손을막도록마감처리 증거물인증 증거물라벨를작성하여참관인으로부터확인을받고서명을필하여증거물에부착 증거물라벨과는별도로전체증거물에대한압수목록을작성 증거확보절차모두가완료되면, 획득한증거물목록을완성하여조사자로부터확인, 서명을받고, 사건책임자가서명을함 사건번호 담당부서 / 조사책임자 제조사 / 모델명 제품번호 압수장소 증거물라벨 ( 시스템용 ) 압수번호 압수일시년월일시분 시스템시간년월일시분 시스템사용자 조사관 ( 서명 ) 피조사자 ( 서명 ) 비고 ( 특이사항 ) 참관인 ( 서명 )

증거물운반및확인 증거물운반 운반과정의최우선사항은증거물의무결성유지와훼손방지 증거물의누락및도난이없도록연계보관원칙을면밀히수행하고, 철저한확인과정을거쳐야함 증거물인수인계 증거물인수인계시반드시증거목록을함께전달하고이를비교하여누락된증거물이없는지확인 증거물을인수할때는각증거물의밀봉전용특수테이프 (evidence tape) 와봉인지 (seal) 의상태가이상없는지확인 만약특수테이프나봉인지가훼손되었다면해당증거물은증거물목록에서제외하고기록에남김 모든증거물의무결성에문제가없다고판단될경우운반책임자는증거물목록에무결한상태로전달했다는서명을함 분석실에도착한증거물확인 조사대상자나참관인도운반과정에동행하여, 분석실에도착후자신이서명한목록과이상이없는지를확인

조사및분석 조사및분석과정 조사및분석과정에서처리해야할데이터의양이많고, 범죄유형에따라조사해야할데이터가서로다르므로많은시간이소요 따라서어떠한방법으로분석을수행할것인지전략을수립하여분석할전체데이터를유형에따라분류하고, 그결과를검토하여분석을수행 데이터추출 조사가필요한데이터를추출할수있도록사본을생성해서수행 응용프로그램파일, 운영체제사용정보등분석에유용한데이터를추출 데이터분류 효과적인분석과소요시간을줄이기위해데이터를특정기준으로분류 시간흐름, 응용프로그램종류등에따라데이터를분류하고결과검토 상세분석 분류된데이터를바탕으로사건유형에맞게본격적인분석을수행 인터넷사용흔적분석, 사용자활동정보분석, 시스템사용정보분석, 응용프로그램사용흔적분석, 파일분석등

사본생성데이터추출데이터분류상세분석 증거물보존을위한사본생성 증거물원본에대하여바로분석을수행할경우, 무결성에손상을줄수있으므로원본과동일한저장매체나이미징기술로사본생성 일반적으로 2 개의사본을생성하며, 하나는분석용으로사용하고나머지는만일의사태에대비하여보관 디지털저장매체에대한사본생성 하드디스크의보존은증거확보단계에서수행한디스크이미징을통하여사본디스크나이미지를생성 현장에서확보한 USB 메모리, 메모리카드, 광학매체와같은휴대용저장매체는디스크이미징기술을활용하여이미지파일을생성하여분석을수행

사본생성데이터추출데이터분류상세분석 데이터추출 데이터분류를위해서는먼저조사가필요한데이터추출을먼저수행 데이터추출은원본증거물에대한무결성을유지하면서수행 데이터추출기법의구분 물리적추출 : 파일시스템과무관하게물리적인매체에서데이터를복구하고식별하여데이터추출 논리적추출 : 설치된운영체제, 파일시스템, 응용프로그램에기반하여파일과데이터를복구하고식별하여데이터추출 키워드검색 파일카빙 파티션테이블추출 미할당영역에서삭제된파일복구 정상파일추출 응용프로그램별파일추출 파일시스템에서삭제된파일복구 파일슬랙데이터추출등 조각난데이터복구등 물리적추출 논리적추출

사본생성데이터추출데이터분류상세분석 데이터분류의목적 조사에필요한데이터를선별함으로써분석할데이터의양을줄여, 효율적이고신속한분석을가능하도록함 분류된결과를검토하여상세분석단계로진행할지결정 다양한분류방법이존재하며, 분류된결과는서로데이터가중복될수있음 일반적인데이터분류방법 시간정보 (timeframe: 타임프레임 ) 에따른분류 위ㆍ변조데이터분류 응용프로그램파일별분류 소유자에따른분류

사본생성데이터추출데이터분류상세분석 디스크분석의뢰 데이터추출및분류절차도 저장매체종류확인 원본복제가필요한가? YES NO 물리적 / 논리적데이터추출 쓰기방지장치에연결 원본증거복제 타임프레임에따른데이터분류 위ㆍ변조데이터에따른데이터분류 응용프로그램파일분류 소유자에따른데이터분류 NO 이미징작업이필요한가? YES 분류결과검토 디스크이미징 상세분석진행

사본생성데이터추출데이터분류상세분석 시간정보에따른분류 사건이발생한시점이나주변시간대에서컴퓨터의사용흔적을조사하여사용자, 작업한내용등을선별하여조사하는데유용 파일시스템의메타정보 ( 마지막수정시간, 마지막접근시간, 생성시간, 변경상태등 ) 와파일내부에저장된시간과날짜정보를검토 사건발생시간대에서작업한파일들의리스트를확인하고, 범죄행위와관련된파일이없는지키워드검색등을활용하여분석 시간역전현상 : 파일을수정한날짜가만든날짜보다과거시간 파일을원래매체에서다른저장매체에서옮길경우주로발생

사본생성데이터추출데이터분류상세분석 응용프로그램과파일유형에따른분류 사건과관련된정보를효과적으로검색하는데도움을줄수있음 파일종류별통계분석으로사용자의컴퓨터사용수준을파악할수있으며시스템의주요사용목적을추측할수있음

사본생성데이터추출데이터분류상세분석 특정시간대에있는파일을분류 시스템로그데이터와응용프로그램의로그에서특정타임프레임내에서수사와관계된이벤트가없는지확인 사건이발생한특정시점의전후시간대를기준으로파일의접근및변경시간을조사 웹브라우저사용기록을연 / 월 / 일단위로구분하여특정시간내에방문한웹사이트, 검색어등을분석

사본생성데이터추출데이터분류상세분석 상세분석시작 인터넷사용흔적분석 No 레지스트리분석이필요한가? Yes 파일분석 파일시스템메타정보분석 레지스트리분석 히스토리분석 데이터파일분석 임시인터넷파일분석 시스템사용흔적분석 암호파일분석이필요한가? Yes No 쿠키파일분석 응용프로그램흔적분석 시스템활동분석 사용자활동분석 암호파일분석 평문파일분석 변형된파일분석 보고서작성 타임라인분석 법정제출

사본생성데이터추출데이터분류상세분석 파일분석 상세분석과정의핵심으로, 사용자가범죄에이용하였거나작업한데이터는사건해결에결정적단서를제공 데이터분류기법과응용프로그램사용흔적분석과연계하여중요파일들을선별하여분석을수행 다양한분류 기법적용 특정키워드 검색을통한 파일추출 파일분석 응용프로그 램사용 흔적분석 위ㆍ변조 데이터분석 타임라인 분석

사본생성데이터추출데이터분류상세분석 인터넷서비스사용흔적분석 인터넷사용흔적은사용자의최근관심사, 취미생활, 생활습관등행동패턴까지분석이가능 용의자의인터넷사용정보를조사하면범죄행위에대한다양한직ㆍ간접적증거자료를획득할수있음 전자메일, 메신저사용흔적은사용자의친구, 인맥, 최근송수신자료또는대화내용등을획득할수있으므로, 범죄공모사실, 개인의비밀정보등유용한정보를파악할수있음

사본생성데이터추출데이터분류상세분석 시스템사용정보분석 ( 레지스트리분석 ) 사용자정보, 응용프로그램및하드웨어설치정보등의유용한정보를획득하여분석 Windows 운영체제의레지스트리는시스템의사용정보를저장하는일종의데이터베이스로, 포렌식관점에서유용한정보가존재 사용자의프로필, 컴퓨터에설치된응용프로그램, 최근에작성한문서, 사용한이동형저장매체, 폴더및응용프로그램정보등을획득가능 MS 오피스 2007 파워포인트로작성한최근작성한문서내역

사본생성데이터추출데이터분류상세분석 위ㆍ변조데이터분석 위ㆍ변조데이터가발견되면고의적으로데이터를은닉한것으로볼수있으므로, 여기에서유용한정보를취득할가능성이높음 위ㆍ변조데이터분류방법 파일확장자의불일치 해당파일구조를비교하여파일확장자의이상유무를판별, 불일치하는경우사용자가고의적으로은닉할수있으므로실제파일을추출하여분석 패스워드로접근이제어되거나암호화된파일의획득 사용자가데이터를숨기려고시도한것을판별할수있음 또한복구한패스워드자체는다른암호화파일의복구에도움을줌 파일확장자불일치여부확인

보고및증언 결과보고서 조사ㆍ분석자의모든행동과관찰내역, 분석과정등의내용을객관적이고명확하게기록 분석결과를증거자료로인정받기위해분석결과를재현하였을경우에도완벽히일치해야함 보고서의내용은쉽게이해할수있는용어를사용하여정확하고간결하며논리정연하게작성 작성자는결과보고서에서명하고작성내용에대해책임짐 증언 분석보고서에최종날인하고확인한조사책임자는향후법정에출두할가능성이높음 법정에서전문가증언시, 전문가로서경력에따라분석결과의신뢰성이판단될수있으므로사건책임자나분석팀장등이증언 증언시에는객관적이고분명한어조로설명해야하며, 조사및분석내용은비전문가도이해할수있도록쉽게설명해야함

국외포렌식조사모델비교 Lee et al.(2001) DFRWS(2001) Reith et al. (2002) Séamus 확장모델 (2004) Casey (2004) 사건준비및대응 인지, 확인 (Recognition, Identification) 수집과보존 (Collection and Preservation) 확인 (Identification) 보존 (Preservation) 수집 (Collection) 확인 (Identification) 준비 (Preparation) 보존 (Preservation) 수집 (Collection) 인식 (Awareness) 허가 (Authorization) 계획 (Planning) 고지 (Notification) 탐색 / 확인 (Search/Identification) 수집 (Collection) 인지 (Recognition) 보존 (Preservation) 수집 (Collection) 문서화 (Documentation) 이송및보관 이송 (Transport) 보관 (Storage) 조사 구별 (Individualization) 조사 (Examination) 조사 (Examination) 조사 (Examination) 분류 (Classification) 비교 (Comparison) 구별 (Individualization) 분석및보고 재구성 (Reconstruction) 보고및제출 (Reporting and Presentation) 분석 (Analysis) 제출 (Presentation) 결정 (Decision) 분석 (Analysis) 제출 (Presentation) 가설 (Hypothesis) 제출 (Presentation) 증명 (Proof/Defense) 보고 (Dissemination) 재구성 (Reconstruction)

국외포렌식조사모델비교 DFRWS 모델 디지털포렌식수사모델은단순히증거처리에만중점 증거수집, 증거조사, 증거분석단계로구분 Henry LEE 의모델 전체수사절차에중심을둔것이아니라, 범죄현장에서어떻게대응할것인지를위주로제안한현장수사모델 ( 일반적인물리증거조사까지포함 ) 구체적절차 인지 (recognition) 어떤대상을잠재적증거자료로삼을것인지를파악하여 무엇을 (What), 어디서 (Where) 찾을것인지를결정하고, 이를기록ㆍ수집ㆍ보존 식별 (identification) 물리적ㆍ생물학적ㆍ화학적및그이외의증거들을분류하여기존실험결과와비교 특정 (individualization) 가능성있는증거자료에서특정인이나이벤트를실험과해석을통해유일한대상으로선정 재현 (reconstruction) 도출된결과를종합하여사건을재현하고이를보고ㆍ현출

국외포렌식조사모델비교 DFRWS 모델 2001 년에디지털포렌식분야의국제학술대회인 DFRWS (Digital Forensic Research Workshop) 에서디지털포렌식을중심으로한새로운조사모델이발표 특징 : 디지털증거법적효력을갖도록하기위해각단계별로필요한요소또는기술들을소개하고, 앞으로어떠한연구를수행해야할것인가를제안 확인보존수집조사분석제출 사건 / 범죄탐지사건관리보존보존보존문서화 고소 / 고발이미징기술증명된하드웨어추적성추적성전문가증언 악성코드발견연계보관증명된소프트웨어유효성기술통계분석설명 비정상탐지시간정보확인법적권한필터링기술프로토콜분석요점중심진술 프로파일링비손실압축패턴매칭데이터마이닝대응책 시스템모니터링데이터샘플링은닉데이터조사타임라인분석통계해석 감정분석데이터복구은닉데이터추출상관분석

국외포렌식조사모델비교 (Casey 모델 ) 사건발생가치평가현장대응확인ㆍ압수보존복구 범죄가신고되거나위법행위가감지되어수사를시작하는단계 전반적인수사과정에서어떤대상이우선적으로조사할가치가있는지를평가하여순위를선정 수사를진행하는기관의입장에서자체적으로수립한규칙ㆍ절차에따라조사를진행 수립한가치평가와현장대응절차를바탕으로수사대상을확인하고이를압수, 포장하는과정 무결성을유지하기위해사본을생성하고압수한원본을적절한보관시설에보존 삭제되거나은닉된데이터를복구하여가능한모든데이터를추출

국외포렌식조사모델비교 (Casey 모델 ) 조사 복구된데이터를비롯하여사건해결에필요한데이터를수집 분류재구성및검색분석보고진술및증언 수집한데이터를특정기준으로분류하여분석과정에필요없는데이터를삭제하여조사대상을줄이는과정 사건과관련된정보를이용하여수집한데이터를재구성하여필요한정보를검색 조사결과를바탕으로평가, 실험, 종합, 상관분석, 유효성판단과정을거쳐법정에제출할증거자료를생성하는과정 생성한증거자료가법정에서받아들여질수있도록상세히기록하고그과정들을문서화 증거자료, 기록, 관련조서들을법정에서활용할수있도록알기쉽게해석하고이를진술ㆍ증언

( 국내 ) 대검찰청디지털증거압수수색모델 대검찰청압수수색모델은수사기관인점을감안하여영장발부, 집행, 압수수색과같은부분이강조됨 증거수집준비단계 영장집행및증거수 집 운반및보관 분석및조사 보고서작성 영장내용확인 영장제시 증거물운반 데이터복구 분석보고서작성 대상시스템정보수집 현장통제및분석 증거물등록 해쉬분석 수사일지등보관 인원구성 시스템차단 사본작성 시그니처분석 장비 / 도구준비 증거수집 원본보관 전자메일분석등 인증 / 봉인

( 국내 ) 경찰청디지털증거압수절차 전체수사모델에대해공개된자료는없음 경찰청에서발간한디지털증거처리가이드라인에서증거수집, 증거분석, 보고서작성으로나누어상세히설명하고있음 디지털증거수집절차도 컴퓨터전원 OFF YES 사진촬영증거현장스케치 휘발성증거수집필요한가? NO 전원이켜져있는가? NO YES 휘발성증거수집 하드디스크만수집할것인가? YES NO 하드디스크수집 기타디지털저장매체, 주변장치, 케이블각종부착물, 메모수집 YES 주변장치등을수집할것인가? NO 증거물포장, 상세정보기재 증거물목록작성, 입회인서명 사용자질의서작성

디지털포렌식조사모델의변천 각모델의초점에따라다양 과학적체계, 기술적인방법, 조사절차, 법적절차등, 각모델이추구하는초점에따라다양한조사모델이존재 디지털포렌식연구가시작된 2000 년초반은디지털증거의취약성에주의하여디지털증거의보존을중심으로발전 최근에는디지털포렌식조사가일반민사ㆍ형사사건에모두활용되면서디지털증거처리만이아닌사건발생부터법정증언까지고려한전체조사과정을다루는모델로발전