[디지털 포렌식 개론] 5장 디지털 포렌식 수행 절차

분석 결과가 법적 증거가 될 수 있도록 해야 한다. 

디지털 포렌식을 할 때에는 다음 사항이 지켜져야 한다. 

• 적법절차 준수
• 원본의 안전한 보존 및 무결성 확보
• 분석 방법의 신뢰성 확보
• 진정성 유지를 위한 모든 과정의 기록 

---

디지털 포렌식 조사 모델

1. 조사 준비

1) 도구 개발 및 교육 훈련

디지털 기기가 계속 발전하고 있으므로 이에 맞추어 포렌식 도구와 교육 훈련이 필수적이다. 

2) 사건 발생 및 확인

사건 발생을 인지 후, 조사 진행 여부를 결정해야 한다. 또한, 증거 수집 대상을 확보하기 위한 사전 조사가 필요로 하다. 

3) 조사 권한 획득

사건 조사 시, 노출되지 말아야 할 정보에 접근할 권한이 있어야 한다. 만약 권한을 받지 않았다면 관련 내용에 대한 조사를 하지 말아야 한다. 

4) 조사 팀 구성

사건의 유형, 조사자의 전문성, 압수 대상 조사를 고려하여 조사 팀을 구성한다. 만약 디지털 증거에 대한 법적 논란이 예상될 경우, 제3의 입회인을 선정하여 부적절한 행위가 없었음을 증명한다. 

5) 장비, 도구 준비

조사용 장비는 증거 수집 장비, 증거 봉인 및 포장 장비, 운반 장비로 나누어진다.

증거 수집 장비는 소프트웨어, 하드웨어를 포함한다. 

소프트웨어 : 이미지 작성용 프로그램, 데이터 수집 프로그램, 현장 초동 분석용 프로그램 등

하드웨어 : 현장에서 직접 분석할 휴대용 컴퓨터, 현장 촬영을 위한 카메라와 캠코더, 이미징 장비, 공구, 휴대용 프린터 등

증거 봉인 및 포장 장비는 봉인지, 압수물 라벨, 정전기 차단 봉투 등 증거물이 손상되지 않기 위한 장비이다. 

운정 장비는 증거 운반용 전문 케이스나 운반 차량이 포함된다. 

 

2. 현장 대응

현장을 통제하고 보존하여 필요한 모든 증거가 수집되도록 준비한다.

증거 인멸 시도를 차단하기 위한 조치를 취하고 디지털 데이터의 훼손 위험성을 최소하 한다. 

1) 현장 통제와 보존

증거물을 최대한 원본 상태로 보존하고, 이를 통해 사건 발생 원인을 신속하게 파악할 수 있어야 한다. 

2) 관계자 협조 요청

피조사자의 협조를 얻어 증거 자료를 확보할 수 있도록 해야 한다. 예를 들어, 패스워드를 알아내거나 보안 기능을 해제시키는 방법 등에 대해 알아내야 한다. 

3) 조사 대상 매체 파악

현장에 있는 모든 것이 조사 대상이고 디지털 증거가 포함되어 있는 모든 기기를 파악한다.

 

3. 증거 확보 및 수집

조사 대상 증거물을 확보하고 어떤 종류의 데이터를 어떤 방법으로 수집할 것인지를 결정한다. 시스템과 네트워크 상황을 최대한 고려하여 증거 확보 방법을 결정한다. 

증거 확보는 크게 시스템 확보, 원본 저장 매체 확보, 저장 매체 복제, 데이터 선별 수집으로 나눌 수 있다. 

1) 시스템 확보

사진 촬용은 모니터의 현재 화면, 시스템의 앞뒷면과 주변 장치 등을 촬영하고 필요한 경우에는 별도 압수물로 처리한다.

컴퓨터의 전원 여부에 따라 활성 시스템, 비활성 시스템이라 부른다. 활성 시스템인 경우 전원 차단 전에 휘발성 데이터의 수집 필요성 파악이 우선된다. 활성 시스템일 경우 시스템을 종료해야 하는데, 이 경우에는 전원 플러그를 차단하는 방법으로 진행한다. 이 과정을 통해 정상적인 전원 종료보다 데이터 증거의 훼손을 막을 수 있다. 

휘발성 데이터 수집 절차

2) 저장 매체 확보

시스템 확보가 필요한 경우 하드 디스크 드라이브를 확보한다. 

저장 매체를 확보할 때에는 저장 매체를 직접 시스템에 연결하는 것이 아닌 쓰기 방지 장치를 중간에 연결하여 원본 디스크의 훼손을 막고 원본 그대로 보존해야 한다. 

3) 데이터 선별 수집

데이터 선별 수집은 시스템 확보나 저장 매체 확보가 불가능한 경우 특정 데이터만을 수집해야 하는 경우에 수행된다. 최근에는 용의자 검거에 시간 단축이 절대적으로 필요한 사건에 대해서는 현장에서 발견된 컴퓨터를 이미징 과정 없이 데이터를 선별 수집하여 분석하는 방법론이 대두되고 있다. 

데이터 선별 수집에서는 데이터 수집용 포렌식 도구를 이용하게 되는데 이러한 도구는 수집과 동시에 해시값이 계산되어 무결성을 유지할 수 있어야 한다. 

4) 증거물 포장과 봉인

증거 획득과 이송과정에서 증거물에 대한 위, 변조가 없었음을 증명하기 위해 봉인해야 한다. 대형 디지털 기기, 소형 디지털 기기, 휴대용 저장 매체에 따라 포장과 봉인에 조금씩 차이가 존재한다. 

5) 증거물 목록 작성

증거물 목록을 작성하여 입회인이나 피조사인으로부터 확인 서명을 받아 증거물 조작을 방지한다. 

 

4. 증거 운반 및 확인

획득한 중거물의 진정성 유지와 훼손 방지가 가장 주의해야 할 사항이다. 이송 전 후에 밀봉전용 특수 테이프의 상태를 확인하는 과정을 거쳐 증거물이 무결하다는 것을 확인해야 한다. 

 

5. 조사 및 분석

디지털 데이터의 양이 증가하고, 범죄 유형에 따라 조사해야 할 데이터가 다르므로 데이터를 체계적으로 분류하고 사건 특성에 맞는 데이터를 선별하는 과정이 필요하다. 

1) 저장 매체 수리

고장이 있거나 증거 인멸을 위해 인위적으로 파괴한 경우에는 수리 과정을 거친다. 

2) 사본 생성

분석 시작 전에 수집한 디지털 데이터를 복제한다. 원본 저장 매체를 직접 분석하게 되면 무결성에 손상을 줄 수 있으므로 원본과 동일하게 복제한 사본을 생성한다. 이때, 보관용 사본과 분석용 사본, 2개를 복제한다. 

3) 데이터 추출

디지털 데이터 추출에서 파일 시스템의 메타 데이터로부터 복구할 수 있는 파일을 추출한다. 이후 미할당 영역을 대상으로 파일 카빙을 실시한다. 

4) 데이터 분류

사건 유형에 따라 우선순위를 결정함으로써 효율적이고 신속한 증거 분석을 가능하게 한다.

사건 정보에 따른 분류는 사건이 발생한 시기에 생성된 데이터를 결정하는데 유용하다. 시스템과 응용 프로그램의 로그를 확인하여 사건과 관련된 시간 구간 내에 있는 로그를 추출한다. 

위 변조 데이터 분류를 위해서는 데이터 탐지와 복구 기술이 필요하다. 스테가노그라피 도구의 설치 유무를 파악하여 은닉 데이터를 확인할 필요가 있다.

5) 상세 분석

데이터 분류가 완료되면 상세 분석을 수행한다. 상세 분석의 예로 인터넷 사용 흔적 분석, 사용자 활동 정보 분석, 시스템 사용 정보 분석, 응용 프로그램 사용 흔적 분석, 개별 파일 분석이 있다. 

 

6. 보고 및 증언

보고서에는 사건(case) 및 보고서 번호, 증거 수집 일시, 보고서 작성 일시, 분석자 및 보고서 작성자, 분석에 사용된 장비와 환경, 각 절차에 대한 개략적 설명, 사진 및 인쇄물 등과 같은 첨부 자료, 추출 및 분석된 증거 데이터의 상세 설명, 분석 결과 및 결론이 포함되어야 한다. 

디지털 포렌식이 범죄 증거를 수집하는 데 중요한 역할을 한다는 것은 알고 있었지만, 체계적인 분석 방법과 최신 기술의 활용이 어떻게 실질적인 법적 증거로 전환되는지에 대해 구체적으로 이해할 수 있었다. 

 

 

[출처 문헌]

디지털 포렌식 개론, 이상진