[디지털 포렌식] 디지털 포렌식 기초

1.디지털 포렌식 (Digital Forensics: 디지털 포렌) 이란?

포렌식(Forensic)은 법의학이라는 뜻을 가진 단어입니다.
디지털 포렌식은 디지털 기기에 남아있는 증거물을 수집, 분석하여 수사에 활용하는 과학수사 기법입니다.

디지털 포렌식 종류

포렌식의 종류는 분석 목적에 따라 다르지만 크게 2가지로 나뉘게 됩니다.
 
디스크 포렌식
법행 입증에 필요한 증거 발견 및 확보를 목적으로 하는 포렌식입니다. 
주로 저장매체나 시스템에 저장되는 기록을 복구, 검색하여 증거를 찾습니다.
 
시스템 포렌식
해킹으로 인해 손상된 시스템의 로그, 백도어, 루트킷 등을 조사합니다.
침입자의 정보, 피해 정도, 침입 경로 등을 알아내는 것이 목적인 포렌식입니다.
 

포렌식 유형

또한 포렌식은 분석 대상에 따라 유형이 나뉘게됩니다.
 
디스크 포렌식
물리적인 저장장치인 SSD, HDD, CD 같은 저장장치의 데이터를 수집하고 분석합니다.
피의자로부터 장치를 압수하여 분석을 하는데 이 과정에서 데이터 무결성을 위해 그 장치의
사본을 만들어 분석해야합니다, 또한 해당 사본이 원본과 동일하다는 것을 입증하기 위해
해시값을 이용해 무결성을 인증해야합니다.
 
시스템 포렌식
서버, 운영체제 등 프로세스를 분석하여 증거를 확보하는 포렌식입니다. 
컴퓨터가 사용하는 시스템은 윈도우, 리눅스, 맥 등등 다양한 시스템 환경을 가집니다.
이 시스템들이 사용하는 소프트웨어 환경에 크게 차이가 있습니다.
해당 시스템은 생성 증거를 가지는데 이 증거는 시스템 포렌식에 있어 가장 중요한 증거입니다.
 
네트워크 포렌식
네트워크를 통해 전송되는 패킷을 통해 데이터나 암호 등을 분석하거나 형태를 조사해
단서를 찾아내는 포렌식입니다.
패킷의 경우 출발지, 목적지 정보와 데이터를 포함하고 있어 데이터가 오고가는 경로를
알 수 있습니다. 
 
인터넷 포렌식
인터넷을 이용해서 응용 프로토콜을 사용하는 증거를 수집하는 포렌식입니다.
인터넷의 경우 굉장히 많은 양의 데이터를 포함하고 있습니다.
현재 인터넷 범죄가 늘어 나고 있는 추세에 해당 인터넷 포렌식을 통해 웹브라우저 히스토리, 
IP, 전자 우편 등을 조사 하여 증거를 수집해 범죄자를 추적할 수 있습니다.
 
모바일 포렌식
스마트폰, 태블릿 PC,  카메라, IOT 기기 등등 모바일 장비들을 통해 데이터를 수집하고 분석합니다.
디지털 증거를 수집할 때 비중있는 포렌식입니다. 대표적으로 스마트폰이 있는데 이를 통해 통화/문자 내역,
SNS 정보, 인터넷 사용 내역 등을 수집하여 다양한 디지털 증거를 수집할 수 있습니다. 

---

2. 아티팩트(Artifact)

 운영체제나 애플리케이션을 사용하면서 생성되는 증거를 의미합니다.
 

증거의 분류     

증거는 생성증거, 보관증거 2가지로 나뉘게 됩니다.
(*아티팩트의 경우 생성 증거에 해당됩니다.)
 
생성증거
시스템이나 애플리케이션이 자동으로 생성한 데이터입니다.
윈도우를 예로 들자면 레지스트리, 프리패치/슈퍼패치, 이벤트 로그 등이 있습니다.
 
보관 증거
사람이 직접 작성한 데이터를 의미합니다. 
메일 , 블로그, SNS 글 및 댓글, 문서 등등이 있습니다.

---

3.디지털 포렌식 5가지 원칙

무결성
증거가 수집된 이후 증거를 제출하기까지 변경이나 훼손이 없어야 한다는 원칙입니다.
디지털 증거의 특성상 휘발성이 매우 강하기 때문에 변조, 삭제가 쉽다는 특징이 있습니다.
그러기에 데이터를 안전하게 보관, 이송할 수단이 있어야 합니다.
 
정당성
획득한 증거는 적법한 절차에 의해 수집되어야 하며 위법한 방법으로 수집된 증거는 증거능력을
상실합니다.
 
신속성
디지털 증거는 휘발성이 강하기 때문에 증거는 신속하게 수집이 되어야 합니다.
 
절차연속성의 원칙
각 단계에서의 담장자 및 책임자가 분명해야 합니다.
과정은 준비-> 증거 획득 -> 이송 -> 분석 -> 보관 및 검토 -> 보고서 작성 및 법정 제출 과정을 거칩니다.
 
재현의 원칙
현장 검증을 하거나 법정의 검증 과정에서 항상 동일한 결과가 나와야 합니다.