1. 디지털 포렌식이란?

/*우선 공부를 하기전에 내가 생각하는 디지털 포렌식을 대충 끄적여보면 지워진 파일이나 증거가 될만한 것들을 복구하고 수집해서 증거로 사용하는 것으로 생각을 하고있다. 그리고 이 과정에서 문서작성의 중요성과 증거물 관리가 중요하다고 생각을 한다.*/

 

 

우선 디지털 포렌식이란 '전자증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업'이라고 되어있다. (얼추 맞게 생각하고있었다 흐흐)

 

Forensics : 법의학 -> 이건 몰랐다.

 

디지털 포렌식은 크게 3가지의 절차로 이루어진다고 한다.

 

1. 증거수집 ( Gathering of proofs )

2. 증거분석 ( Evidence analysis )

3. 보고서작성 ( Documents Production )

 

하나씩 살펴보도록 하자

 

1. 증거수집 ( Gathering of proofs )

손상되기쉽고, 사라지기 쉬운 디지털 증거가 저장된 매체에서 데이터의 무결성을 보장하면서 데이터를 읽어 내야 한다.

증거의 무결성을 보장하기 위해 이미징 기술이 사용되기도 한다.

(이미징 = 저장매체의 모든 물리적 데이터를 파일로 만드는 작업)

 

2. 증거분석 ( Evidence analysis )

수집한 즉 얻은 데이터로 부터 유용한 정보들을 이끌어내는 기술을 의미한다

(그냥 수집만하면 의미가없지 가공하는 부분이 진짜 중요한듯)

여기서 가장 많이 쓰이는 세 종류는 (Registry Hive, Web Log, System Log ) 파일로 생각해 두자

여기서 또 유용한 기술은 '삭제된 파일 복구, 암호화된 파일 해독, 문자열 검색 기술'로 볼 수 있다.

 

3. 보고서 작성( Documents Production )

어쩌면 이부분이 가장 중요하다고 볼 수 있는데 위 과정에서 어렵게 얻어낸 증거물들을 문서화해서 법정에 제출하는 단계이다. 보통 생각해보면 배심원이나 법정 관계자들은 컴퓨터에 대한 지식이 부족할 수 밖에 없다. 따라서 누구나 이해할 수 있도록 쉽게 작성해야하고 툴을 이용해서 작성하더라도 6하원칙에 따라 객관성있고 명백하게 작성해야 한다. 

(어쩌면 컴퓨터를 전문적으로 다루고 싶은 입장에서는 가장 까다로운 단계라고 생각이 벌써부터 든다.)

 

 

 

여기까지는 포렌식이 이루어지는 과정?과 단계를 알아보았다면 다음은 유형과 기술을 보고자 한다.

우선 유형을 알아보자

위를 보면서 디지털 포렌식이 어떠한 것인지 대충은 인지했다. 포렌식은 어쩌면 증거로 이루어져 있다고 볼 수 있다.

증거에 대해 좀 더 생각해보자. 증거란 무엇일까? 나는 흔적이라고 생각을 한다. 모든 흔적은 스쳐지나가는 것으로 볼 수도있는데 상황에 따라서는 범인을 식별해 내는 '증거'가 되기 때문이다. 그러면 더 나아가 우리가 사는 사이버상에서 흔적은 어디에서 찾을 수 있을까?

사이버상에서 흔적은 '디지털데이터'라고 볼 수 있는데, 이 디지털데이터는 cctv나 네비게이션, 휴대폰, 카메라 등등 데이터가 남을 수 있는 모든 디지털 기기에 적용이 될 수 있다. 

더 쪼개서 들어가 보면 비휘발성 저장매체을 대상으로 증거를 수집하고 분석하는 '디스크 포렌식'

휘발성 저장매체를 대상으로하는 '라이브포렌식'

네트워크로 전송되는 데이터를 대상으로 하는 '네트워크포렌식' 등 다양한 유형의 포렌식이 존재한다. 

 

다음은 사용되는 기술을 알아보도록 하자

위에서 말한 다양한 유형처럼 그 유형에 따라 사용되는 기술이 다양하게 존재할 것이다.

 

1. 저장매체에 대한 디지털 포렌식 기술

 

증거복구 : 하드디스크 복구, 메모리 복구 등 

증거 수집 및 보관 : 하드디스크 복제 기술, 저장매체 복제 장비

증거 분석 : 저장 매체 사용흔적 분석, 메모리 정보 분석

 

2. 시스템에 대한 디지털포렌식 기술

 

증거 복구 : 삭제된 파일 복구, 파일 시스템 복구, 시스템 로그온 우회 기법

증거 수집 및 보관 : 휘발성 데이터 수집, 시스템 초기 대응, 라이브포렌식

증거 분석 : 윈도우 레지스트리분석, 시스템 로그 분석, 백업 데이터 분석

 

3. 응용프로그램 및 네트워크에 대한 디지털 포렌식 기술

 

증거 복구 : 파일 포맷 기반 복구, 암호 통신 내용 해독

증거 수집 및 보관 : 네트워크 정보 수집, 역추적

증거 분석 : 네트워크 로그 분석, 해시 데이터베이스, 악성코드 분석

 

+ 타임라인 분석, 리버스 엔지니어링 등

 

( 작성하면서 느낀건데 저 각각의 복구, 복제, 분석 등등 다 방법과 툴이 존재할텐데 공부양이 방대할 것 같다)

 

 

 

 

 

 

참고 : http://forensic-proof.com/archives/3613,https://boanin.tistory.com/190,https://korea07.tistory.com/25