2011년 5월 31일 화요일

컴퓨터 포렌식(Computer Forensic)

일반적으로 Forensic 법정에서 변론하는 기술을 묘사할 사용하는 "웅변술, 토론학" 의하며, Forensic 법정 제출을 목적으로 증거를 수집하는 행위를 묘사할 사용하는 것이 관례이다. , "Computer Forensic" 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체 등의 컴퓨터 시스템과 네트워크로부터 자료(정보) 수집, 분석 보존하여 법적 증거물로 제출할 있도록 하는 일련의 행위를 의미한다. 컴퓨터 포렌식의 결과물은 법적으로 인정돼야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.

컴퓨터 포렌식의 정의
컴퓨터를 매개로 행해지는 범죄행위에 대한 법적 증거자료 확보를 위해 컴퓨터 등에서 수집, 분석, 보존한 디지털 자료가 법적 증거력을 갖도록 하는 절차 방법

컴퓨터 포렌식의 필요성
  • 디지털 자료는 복제, 조작, 삭제, 전송 등이 매우 용이하며 원본 여부 구분 어려움
  • 디지털 자료의 법적 증거력을 갖도록 하는 절차와 방법에 대한 요구
  • 컴퓨터 범죄로 인한 /형사상의 범죄 수사 횟수가 지속적으로 증가
  • 기업들간 내부 조직원에 의한 기밀자료 유출의 증거자료 확보요구 증가
  • 기업가 고객간 분쟁해결에 있어 중요한 증거자료 확보 필요성 인지


컴퓨터 포렌식의 기본원칙
기본원칙
내용
정당성의 원칙획득한 디지털 자료 증거가 적절한 절차를 거쳐 획득 위법한 방법으로 수집된 증거는 법적 효력을 상실
재현의 원칙피해 당시와 동일한 조건에서 현장 검증 동일한 결과 도출
신속성의 원칙컴퓨터 시스템의 휘발성 정보수집 가능성은 신속한 조치에 의해 결정되므로 신속히 수행
연계 보관성의 원칙디지털 증거물의 획득이송분석보관법정 제출의 단계에 따른 책임자 명시
무결성의 원칙획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명


컴퓨터 포렌식의 절차
순서절차내용
1수사 준비
수사인력 확보, 포렌식 도구 테스트
수사 참조 라이브러리 준비 : 알려진 파일에 대해 쉽게 식별
2
증거물 획득
자료 삭제/파괴행위 방지, 시스템 목록 작성, 하드디스크 이미징
시스템/네트워크/프로세스 상태 수집 증거물 무결성 확보
3
보관 이송
증거자료 이중화, 쓰기방지/봉인, 증거물 담당자 목록 기록관리
정전기 방지용 , 하드 케이스 안정한 포장, 접근통제
4
분석 조사
Timeline 분석, Signature 분석, Log 분석, History 분석
파일복구 : 삭제 깨진 파일의 복구 è 전문도구 사용
5
결과 보고서
누구나 쉽게 이해할 있도록 쉽고 상세한 설명
6 원칙에 따른 객관성 유지


컴퓨터 포렌식 방법론
증거물 획득
- 인터넷 침입과 같은 경우 증거물은 RAM에서만 발견
- 지속적인 전원 공급을 통해 컴퓨터의 지속적 동작을 통한 포렌식 증거 확보 필요

Handling the Evidence
시스템 관리자 또는 수사관이 증거를 제대로 다루지 못할 경우 조사의 나머지 부분이 크게 손상 있다.
1. Chain of Custody : 수집한 증거물들의 정확한 구분 - 어디서/어떻게 저장되어 있나? 누가 수집했나?
2. Collection : 가능한 얻을 있는 모든 자료 수집
3. Identification : 수집한 증거물들을 정확하게 구별사건번호, 간단한 설명, 서명, 증거 검출 시간 등을 기록
4. Transportation : 각각의 증거물이 수송 도중 손상되지 않도록 주의증거물, 데이터, 시간, 증거물 이동 이유 등의 내용 필요
5. Storage : 증거물의 저장 환경조성, 증거물 접근통제사람들에게 노출된 정보는 반드시 손상됨을 감안

Document the Investigation
증거물 Software Version Number, 수집도구/방법 이런 작업을 했는지 등을 기록하는 문서화 작업 향후 증거물에 대한 접근 편리한 제공

증거물 인증
- 실험을 위해 사용한 데이터와 수집한 데이터가 동일한 것임을 증명
- 증거물에 Timestamp 남겨 어떤 시점에서 point 존재하게 되었는지 표시
- 데이터 수집 해쉬함수를 이용한 해쉬 값을 만들어 기록
- 추후 실험에 사용했던 것과 원본 데이터가 동일한 것이라는 것을 증명
- MD5, SHA 현재 일반적으로 사용하는 해쉬 알고리즘
- 가능하면 드라이브 전체와 독립적인 파일에 해쉬를 생성

증거물 분석
- 어떤 하나의 프로그램으로 필요한 모든 과정의 해결은 불가능
- 수사요원들의 다양한 툴에 대한 접근 숙지는 필수 요소
- 실수가 발생할 때를 대비하여 물리적 증거물들은 복사본을 가지고 작업을 진행

컴퓨터 포렌식 도구의 요구기능
증거 보존 기능
- 시스템에 남겨진 기록들을 원본의 손상 없이 유지
- 원본 디스크에 대해 접속할 쓰기 방지 조치
- 원본 디스크의 이미지를 생성

증거 수집/분석 기능
- 컴퓨터 디스크에서 삭제된 내용에 대한 복구 기능
- 디스크에 저장된 내용에 대한 검색 비교 기능

문자열 검색 기능
- 정보유출 또는 불순한 내용의 파일 기록 검색
- 전산 감사 부정사용 내역을 검색

컴퓨터 포렌식의 증거확보 절차
1. 수사 피의자에 대해 서전 통보 없이 신속한 방문
2. 공격에 이용된 장치, 주변 서류 통신장치 등으로부터 피의자의 일체 격리
3. 피의자와의 대면 조사를 통한 공식적인 진술서의 확보
4. 컴퓨터 디스크 조사에 필요한 것으로 생각되는 모든 자원의 압수디스크 같은 민감한 자원은 특별한 보호 장치의 사용이 필수
5. 피의자의 거주지에 대한 상황 주변 환경의 조사사진 동영상 촬영을 통한 추후 증거자료로 사용이 가능
6. 증거 진술 확보 문서자료에 분류 표시
7. 하드디스크 등은 디스크 복사본을 만들어 증거 소실에 대비
8. 포렌식 도구를 이용한 증거자료의 식별 데이터 복구
9. 확보된 증거 자료에 대한 문서화 접근 통제

컴퓨터 포렌식의 현황
- 주요 국가의 수사기관 금용, 보험회사 등에서 컴퓨터 포렌식의 중요성 인식
- 전문가, 다양한 관련 기술의 확보와 디지털 증거 수집절차 분석방법 개발에 총력
- 무결성 확보 도구, 강력한 검색 도구, 디스크 복제 도구, 디스크 쓰기 방지 도구 다양한 분석 보고서 작성 소프트웨어 등이 국내외 컴퓨터 포렌식 시작을 독시
- 컴퓨터 포렌식을 피해가려는 우회기법들의 등장

컴퓨터 포렌식의 전망
- 기업들이 문제가 디지털 자료를 삭제하는 소극적 자세에서 컴퓨터 포렌식 기법을 도입해 /외부 문제를 해결하는 방향으로 진행
- 국내 시스템 개발 업체들이 컴퓨터 포렌식에 필요한 각종 도구의 개발에 집중 예상
- 민관합동으로 컴퓨터 포렌식의 전문기술의 연구 전문가 양성에 적극 참여
- 개발된 제품들에 대한 인증을 위한 전문 교육/인증 기관의 설립
- 증가하는 포렌식 우회기법들에 대한 대응 기법의 적극적 개발이 요구

댓글 없음:

댓글 쓰기

ETL 솔루션 환경

ETL 솔루션 환경 하둡은 대용량 데이터를 값싸고 빠르게 분석할 수 있는 길을 만들어줬다. 통계분석 엔진인 “R”역시 하둡 못지 않게 관심을 받고 있다. 빅데이터 역시 데이터라는 점을 볼때 분산처리와 분석 그 이전에 데이터 품질 등 데이...