디지털 포렌식 (Digital Forensic)

* 디지털 포렌식 : 디지털 매체를 매개체로 한 범죄 행위에 대해 자료 수집, 분석, 보존하여 법적 효력을 유지, 법원에 제출할 수 있도록 하는 일련의 절차 및 방법

 

 

 

* 디지털 포렌식 5원칙

원칙	내용
정당성의 원칙	증거를 적법한 절차로 수집하며, 위반 시에 증거는 효력을 잃음
재현의 원칙	동릴 조건과 상황에서 항상 같은 결과 쟇녀을 보장하여야 함
연계 보관성의 원칙	증거는 획득, 이송, 분석, 보관, 법정 제출의 일련의 과정이 명확해야 하며, 이를 추적할 수 있어야 함
무결성의 원칙	수집된 정보는 각각의 과정에서 위/변조되지 않음을 입증해야 함
신속성의 원칙	수집 과정은 손실이 발생하지 않도록 신속히 진행해야 함

 

 

 

* 디지털 포렌식 절차

1. 수사 준비

2. 증거 수집

3. 보안/이송

4. 증거 분석

5. 보고서 및 증거 제출

 

 

 

* 디지털 포렌식 유형

유형	내용
디스크 포렌식	저장 장치에서 삭제된 파일 복구와 증거 분석, 증거 훼손 방지를 조치
시스템 포렌식	운영체제와 애플리케이션 및 프로세스를 분석하여 증거를 확보
네트워크 포렌식	로깅 파일과 IP 발신자 추적 등의 분석을 수행
인터넷 포렌식	웹 히스토리와 이메일 히스토리를 분석
모바일 포렌식	휴대용 기기에서 필요한 정보를 입수하여 분석
회계 포렌식	기업의 부정과 관련된 수사 시, 회계 데이터를 추출, 분석

- 이외 데이터베이스, 멀티미디어 포렌식 등 다양항 유형 존재

 

 

 

* 디지털 포렌식 도구 : 포렌식 외 침해사고 대응 시에도 분석, Timeline 구성 등에 사용할 수 있는 툴

- Encase : 유료이지만, 포렌식 계 사실상 표준(Defacto) 툴

- FTK Imager : 무료 툴

- Process Explorer

- BlackIce

- iFunBox

- APKtool

- analyzeMFT

- REGA

- IDA

- OllyDBG