1. 디지털 포렌식 개요

포렌식 & 디지털 포렌식

① 포렌식(Forensics)

• 법의학이란 의미로 법정에서 사용되는 증거 수집 및 분석을 의미함
• 법률적으로 중요한 사실 관계를 연구하고 해석하며 감정하는 학문

② 디지털 포렌식(Digital Forensics)

• 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법
• 따라서, 법정에서 규명하기 위해 디지털 데이터의 증거 능력 고려
• 아날로그 증거와 달리 디지털 데이터는 쉽게 복제 가능하기에 검증된 절차와 방법 등이 요구됨
• (쉽게 설명하면) 용의자를 특정하여 증거물로 사법기관에 제출하기 위해 디지털 포렌식을 통해 데이터 수집

따라서, 포렌식과 디지털 포렌식은 증거 수집하고자 하는 대상에서 차이가 발생한다.(디지털 포렌식은 대상이 데이터)

 

로카르드의 법칙(Locard's Principle)

접촉하는 두 개체는 서로의 흔적을 주고 받는다. 이는 디지털 포렌식에도 적용된다.

 

---

디지털 포렌식 과정

(대충 흐름만 파악하면 됨)

1) 사전준비

• 증거물 수집을 위한 저장매체 준비 
• 디지털 포렌식 도구 : 디지털 포렌식 전반적인 과정에 신뢰적인 결과 줄 수 있는 도구 준비, 올바르게 동작하여 무결성 보장하는지 검증
• 이미징 : 물리적인 장비에 있는 모든 물리적 데이터를 파일 형태로 변환하는 작업, 방식은 2가지(S/W, H/W)
• 저장매체 이미징 - H/W
  
  • 하드디스크 독 : 데이터 복제하는 장비
  • tableau td3 : 이미징 장비, 장점은 빠르고 싸고 신뢰성 있는 기관에서 만들어짐, 단점은 하나의 소스만 연결(하나의 디스크만 이미징할 수 있다.)
  • falcon forensic imager : 최대 3개의 소스에 대해서 복제가 가능, td3보다 가볍다.
  • solo-4 : 비싼데 가벼움, 주로 경찰들이 사용
• 저장매체 이미징 - S/W
  
  • FTK Imager
  • tableau Imager
  • Encase Imager

2) 증거수집

① 초기대응 -> ② 활성 데이터 수집 -> ③ 비활성 데이터 수집 -> ④ 증거 획득 -> ⑤ 무결성 확보 -> ⑥ 증거물 인정

 

3) 증거 포장 및 이송

• 충격/정전기 방지용 팩 및 하드케이스 등을 이용하여 포장하며 이송과정에서 증거물 훼손 방지
• 절차연속성의 법칙(CoC : Chain of Cutody) : 증거의 무결성 증명을 위해 현장에서 법정에 제출될 때까지 거쳐간 경로, 담당자, 장소, 시간 등과 같은 담당자 목록을 유지

4) 조사 분석

• 타임라인 분석, 데이터 브라우징, 데이터 복구, 저장매체 수리/복원, 해시/파일 검색, 암복호화, 아티팩트 분석 등등
• 아티팩트 : 그 시대나 상황을 잘 표혀해주는 흔적을 의미함, 여기서는 운영체제나 애플리케이션을 사용하면서 자동으로 생성한 데이터들의 흔적을 의미

5) 정밀 검토

• 분석 결과는 법정에서 증거로 사용되기 때문에 분석 내용이 사건과 논리적으로 잘 연결되었는지 확인
• 동일한 데이터를 봤을 때 편파적으로 분석하지 않았는지가 중요

6) 보고서 작성

• 증거물 획득, 보관, 이송, 분석 등 모든 과정을 육하원칙에 따라 명백하고 객관성있게 기술
• 보고서의 대상이 되는 법관, 배심원, 변호사 등은 비전문가이므로 알기 쉬운 형태로 작성
• 따라서, 보고서를 작성할 때 의견은 변호사나 판사, 검사가 내기 때문에 절대 분석가의 의견이 포함되면 안됨

---

디스크 이미지 파일 종류

1) E01

• 포렌식에서 가장 범용적으로 쓰이는 포맷, E01은 압축을 지원하기 때문에 파일크기를 줄일 수 있다는 장점이 있음
• 증거 파일의 무결성을 보장하기 위해 MD5, SHA1 해시를 사용할 수 있고 증거 파일 암호화를 위해 AES256사용
• 확장자가 E01이 아니라, E02, E03로 늘어나면서 저장되는 포맷

2) RAW(DD)

• 기본적으로 데이터를 추가 또는 삭제하지 않고 디스크 또는 볼륨의 RAW 데이터를 비트 단위 복사, 포렌식 도구를 사용하지 않을 때 사용되는 파일이며 원본 데이터를 파일 형태로 변환만 해줌, 압축 x

+) E01은 Encase포맷을 사용하여 효과적으로 압축한 이미지 생성, RAW(DD)는 파일 시스템을 통째로 복사해서 이미지 생성

+) 정상적인 파일 시스템이면 E01을 통해 필요한 파일만 뽑아내고, 파일 시스템이 조작되어 있다면 RAW(DD)를 통해 분석을 진행함

+) E01은 리눅스 지원안하지만 RAW(DD)는 리눅스 지원함

+) 운영체제를 분석할 때는 Logical Drive를 사용함(Physical Drive는 디스크의 0번째부터 끝까지를 말하는 거고 Logical Drive는 C나 D드라이브 같은 거를 말함)

+) 소프트웨어 이미징을 할 때 운영체제가 설치된 드라이브를 먼저 확인해야 함 그래서 환경변수를 보면 알 수 있음(cmd.exe -> 'SET'명령어 실행하면 환경변수 확인할 수 있음 -> systemroot = "C:\\")