반응형
* Digital Forensic : 법의학적 접근으로 디지털 증거물의 효력을 입증하는... (개념은 그냥 구글링 하자)- 핵심은 디지털 수사 과정에 존재하는 "절차"
| 증거 능력 요건 | 내용 |
| 진정성 | * 직접 연관된 증거물로 입증 - 굉장히 애매한 요소로, 가장 법적 분쟁이 많은 요소 |
| 원본성 | * 제출한 증거가 원본임을 입증 - 분석 과정에서는 사안에 따라 사본을 제출하더라도 원본과 동일하다는 증명 가능할 시, 무관 |
| 무결성 | * 데이터가 변조되지 않았다는 입증 - 활성 시스템(Live) 분석은 무결성 유지 과정의 입증이 중요 * 최근 환경적 요인을 고려하여 아래 방식으로 수행되는 경우도 존재 - 보안 서약서 - 수사관의 Body Cam 촬영 등 |
| 신뢰성 | * Digital Forensic 과정에서의 입증 가능한 신뢰성을 증명 - 수사 기관이 어디인지 - 수사관이 누구이며, 어떤 이력과 자격을 가지고 있는지 - 어떤 수사 도구를 사용하였는지 등 |
* Digital Forensic 관점
| 관점 | 내용 |
| 법의학 수사 관점 (수사 기관 위주) |
* 법적 공방을 목적으로한 포렌식 - 법정으로의 증거물 제출로, 원본의 무결성이 핵심 - 사본 데이터를 통한 분석 (원본 유지) |
| 침해 사고 조사 관점 (민간 기관 위주) |
* 최초 공격 시점, 취약점에 대한 식별이 무결성 보다 우선 - 무결성의 중요성이 수사 기관 대비 낮음 - 보통 Live 상태로 사고 조사를 수행하나, 불가할 시, 사본 데이터 및 Disk Snapshot을 통한 분석 수행 |
* Digital Forensic 절차
| 항목 | 내용 |
| 사전 준비 | * Digital Forensic 수행을 위한 기반 준비 - 수집 방법 및 분석 도구 테스트 - 조사 및 분석 방법 준비 - 사본 저장용 저장 장치 준비 |
| 사고 식별 | * 후순위 절차에 가장 크게 영향을 미치는 단계 (처리 결과에 따라 방향성이 굳어짐) - 사건 발생 접수 - 침해 사고 식별 - 조사 및 분석 범위 결정 - 신고자/용의자 대상 Interview |
| 증거 수집 | * 식별된 사고를 입증할 증거 수집 - 활성 정보 (Live Evidence) - Memory Dump - 비활성 정보 * 수집 절차가 다양하나, 핵심은 조사 대상의 전원 On/Off 여부에서 시작 - 필요 대상에 따른 선별 수집 (예외 사항이 있을 시, 전체 수집) - 수집 완료 후, 전원 Off (조사 대상 격리 절차) * 방식 - Hardware : 포렌식 하드웨어 장비 기반의 이미징 수행 (Bad Sector가 나오더라도 자동 Skip 처리 후, 최종 결과에 Bad Sector 수를 출력 단, Bad Sector의 처리가 오래걸림) - Software : 포렌식 소프트웨어 기반의 이미징 수행 (Bad Sector가 나오면 진행이 불가능 할 확률이 높음, 이 경우 이미징 방식이 아니라, Disk 자체를 분석하거나, 하드웨어 방식으로 전환해야 할 수 있음) |
| 조사 분석 | * 수집한 증거물 분석 - 활성 정보 분석 - 아티팩트 분석 - 삭제 파일 복구 |
| 보고서 작성 | * 상위 절차에 따른 결과 보고서 작성 - 원인 및 분석 결과 확인 - 보고서 작성 - 결과 보고 * 보고서는 Case별로 흐름이 유사하게 가기 때문에, 별도 정리/보관을 권장 ex) 데이터 유출 -> USB 기반 유출 Case 유형 ex) 데이터 삭제 -> 직원 퇴사 시, 데이터 대량 삭제 등 |
| 증거 보존 | * 법률적 문제는 종결에 긴 시간이 필요하여 증거물의 일정 기간 보존이 필요 - 추후 분석을 위한 증거로 보존 - 수집 및 보관 절차 수립 및 유지 |
* Digital Forensic 과정 주의 사항
| 주의 사항 | 내용 |
| 분석 기관 노출 | * 외압, 증거물 흐름에 대한 개입의 위험성 존재 |
| 관리 정책 미흡 | * Digital Forensic 과정의 전체적 관리 프로세스 미흡 - 보안 서약서 - 조사 시, 사전 고지 - 감사 진행에 대한 증빙 마련 부족 - 인원벽 적합한 권한 부여 실패 등 |
| 유관 부서 연계 미흡 | * 법률팀, 기타 기술팀의 협조가 적시에 필요하면 즉시 요청, 대응이 가능하도록 준비가 필요 |
* Data 복구와 Carving 개념
| 분류 | 정의 |
| Data 복구 | * 운영체제가 인식할 수 있는 파일의 Flag만 '삭제'로 변경된 데이터들에 대해서 복구 - 잔재하는 데이터가 온전한 경우 |
| Data Carving | * 잔재 데이터가 불온전하여, 저장 장치 내, 파일로 식별되는 대상을 빈 공간을 활용하여 강제로 복구 - 파일 이름이 Sector로 지정되며, 각종 Metadata도 부정확 ex) 그림 파일 Carving 시, 이미지 일부분만 복구 또는 복구 시, 이름이 원본과 다르게 기록 등 |
* 다수 대상에 대한 Digital Forensic 절차 진행
- 내부 조사 기준에 따른 조사 대상 선별
- 전체 데이터 이미징 및 증거 선별 후, 총합하여 보기
- 전체 대상 중 가장 사안이 심각한 대상 위주로 확인 (Most Using Case)
반응형
'Information Security > Digital Forensic' 카테고리의 다른 글
| Windows File System (0) | 2023.06.26 |
|---|---|
| [Digital Forensic] Memory Analysis with Volatility3 (0) | 2023.05.20 |
| [Digital Forensic] Linux Forensic (2) | 2023.05.19 |
| [Digital Forensic] Windows Forensic (0) | 2023.05.16 |
| 디지털 포렌식 (Digital Forensic) (0) | 2021.02.07 |
