[241002] 디지털 포렌식 개론 제 5장

제 1절 개요

적법 절차의 준수
피조사자의 인권을 보장하는 것이 우선. 디지털 저장 매체에는 고객의 개인정보 등과 같은 프라이버시가 담긴 정보들이 포함되어 있기 때문에 적법하게 접근할 수 있는 영역 내에서만 조사를 진행해야 함.

 

원본의 안전한 보존 및 무결성 확보
데이터를 안전하게 보존할 수 있는 수단을 강구해야 함. 물리적 충격이나 전자기파에 의해 손상을 입지 않도록 주의를 기울여야 하며, 원본의 손상을 막기 위해 복제본에서 수행해야 함. 데이터 수집 이후에는 무결성 확보가 필수적임.

 

분석 방법의 신뢰성 확보
과학적인 방법을 사용해야 하며, 신뢰할 수 있는 기술적 절차로 수행해야 함. 도출된 결과는 검증할 수 있어야 함.

 

진정성 유지를 위한 모든 과정의 기록
불가피하게 발생한 증거의 변형을 비롯한 모든 과정을 기록하여 사후 검증할 수 있는 수단을 제공해야 함. 진정성 유지를 위한 제반 절차인 연계 보관성을 지켜야 함.

---

제 2절 디지털 포렌식 조사 모델

디지털 포렌식 수행 절차

• 조사 준비: 사건 발생 및 확인, 권한 획득 준비
• 현장 대응: 현장 통제와 보존
• 증거 확보 및 수집: 시스템 확보
• 운반 및 확인: 증거물 운반
• 조사 및 분석: 사본 생성
• 보고 및 증언: 분석 보고서 작성

---

조사 준비

• 침입 탐지 시스템의 경고 발생, 네트워크 방화벽 로그의 비정상적 징후, 기타 보안 장비의 경고 신호 등에 대한 원인을 파악해야 함.
• 디지털 기기의 다양성과 디지털 데이터의 복잡성 때문에 사전 준비 과정이 필요하며, 본격적 조사에 앞서 조사할 대상에 대한 정보 수집과 조사 계획 수립이 선행되어야 함.

1) 도구 개발 및 교육 훈련

• 데이터의 저장 방식이 계속해서 바뀌기 때문에 조사가 꾸준히 진행되어야 함. 디지털 포렌식 관점에서는 의미있는 데이터를 안전하게 추출, 분석할 수 있는 포렌식 도구의 개발이 지속적으로 이루어져야 함.
• 디지털 데이터는 한 번 손상되면 회복이 불가능하기 때문에 디지털 기기의 취급 방법과 조사 원칙 등에 대한 사전교육 및 훈련 과정이 필요함.

2) 사건 발생 및 확인

• 조사가 필요가 있는지 확인해야 함. 확인 과정은 조사 진행 여부를 결정하는 첫 번째 단계이므로 신뢰성 있는 분석과 확실한 판단이 필요함.
• 조사를 결정하면, 주요 조사 대상을 파악하고 전반적인 수사 계획을 수립하며 중요한 자료를 우선적으로 수집 및 분석하도록 조사 순위를 결정하는 과정이 필요함.
• 조사 대상의 선정은 전체 조사 전략을 수립하고 진행하는 데 중요한 역할을 하며, 조사 책임자는 사건의 유형을 잘 파악하고 주요 수집 대상을 선정할 수 있는 능력이 필요함.
• 조사할 전산 환경, 시스템의 유형, 규모, 운영체제, 네트워크 구성을 파악하여 증거 수집이 가능한지 판별해야 함.

3) 조사 권한 획득

조사가 필요하다면, 적합한 권한을 확보해야 함.

• 국가 기관: 영장 발급 또는 피조사자의 동의
• 민간의 경우: 위험성 공지 후 비밀 유지 서약

4) 조사 팀 구성

각 조사자의 역할을 분담함. 디지털 증거에 대한 법정 논란이 예상될 경우, 제 3의 입회인을 참석시켜 증거 획득, 포장, 봉인, 이송 과정을 확인하도록 할 수도 있음.

 

5) 장비/도구 준비

• 증거 수집 장비: 소프트웨어, 하드웨어 모두를 포함. (소프트웨어 -> 프로그램 등 / 하드웨어 -> 장비)
• 증거 및 포장 장비: 특수 테이프, 봉인지, 압수물 라벨 등 포함
• 운반 장비: 증거 운반용 전문 케이스나 운반 차량이 포함
• 쓰기 방지 장치: 저장 매체의 데이터 훼손을 방지하기 위해 사용
• 대용량 저장장치: HDD, RAID 저장 장치 등

---

현장 대응

• 조사 진행 결정: 면밀한 계획을 수집 후 현장에 출동하여 조사에 필요한 조치를 취함. 현장을 통제/보존, 관계자에게 협조 요청. 조사 대상 매체를 파악.
• 현장 대응 과정에서 주의할 점: 증거 인멸 시도를 차단하기 위한 조치를 취해야 하며, 디지털 데이터의 훼손 위험성을 최소화하는 것

1) 현장 통제와 보존

• 현장 보존은 증거물을 최대한 원본 상태로 보존하고, 사건 발생 원인을 신속하게 파악할 수 있게 해 줌. -> 증거 훼손을 막아 증거 자료가 손실되지 않도록 해야 함. 
• 현장 보존을 위해서는 외부인의 접근 통제가 있어야 함. 연계보관성이 유지될 수 있도록 모든 작업과 관련 사항을 기록. 특히 네트워크를 통해 원격에서 접근하여 중요 데이터를 인멸하려는 시도를 차단해야 함과 동시에 물리적 데이터도 함께 보관해야 함.

2) 관계자 협조 요청

객관성과 신뢰성을 확보하기 위해 대상자가 직접 참관토록 함. 기업 조사 같은 경우, 피조사 기업 담당자의 협조를 얻어 증거 자료를 확보해야 함.

 

3) 조사 대상 매체 파악

현장에 있는 모든 것이 조사 대상이 될 수 있음.

---

증거 확보 및 수집

기본적인 조치 후, 조사 대상 증거물을 확보하고 어떤 종류의 데이터를 어떤 방법으로 수집할 것인지 결정해야 함. 컴퓨터나 기타 저장 매체 등의 위치가 파악되면 압수 및 복제 여부, 활성 데이터의 수집 필요성을 고려하여 증거물을 확보해야 함.

• 시스템 확보: 해당 시스템이 범죄 도구로 사용 or 시스템 전체에 대한 분석이 필요할 때
• 원본 저장 매체 확보: 저장된 데이터의 복구 및 분석 필요 and 원본을 보존할 필요가 있는 경우
• 저장 매체 복제: 저장된 데이터를 복구하고 분석할 필요가 있지만 원본 압수 필요 X
• 데이터 선별 수집: 수집 불가능 or 허용범위가 데이터에만 제한된 경우

1) 시스템 확보

시스템 자체를 확보하는 경우: 압수 범위 결정 -> 사진 및 촬영 스케치  -> 휴대용 디지털 매체 확인 -> 컴퓨터의 전원 상태 점검 -> 휘발성 증거 수집 -> 시스템 종료 -> 주변 기기와 테이블 분리 -> 증거물 포장 > 봉인 및 인증 과정

 

컴퓨터의 전원 여부에 따라 조사 방법에 차이 존재함. 

• 활성 시스템: 컴퓨터의 전원이 켜져 있음
• 비활성 시스템: 컴퓨터의 전원이 꺼져 있음

횔성 시스템의 종료 방법

1. 전원 플러그를 차단
2. 운영체제의 정상적 종료: 서버 시스템이 이를 활용함. 그러나 정상적 종료 절차는 데이터를 지워버릴 수 있기에 전원을 차단해도 문제가 발생하지 않는 시스템에서는 전원 플래그를 차단하는 것이 권장됨.

2) 저장 매체 확보

하드 디스크 드라이브를 확보해야 함.

절차: 시스템의 전원 종료 -> 분해 -> 모든 하드 디스크 드라이브를 분리 -> 전원 재연결 -> BIOS에 설정되어 있는 시스템의 시간을 확인

 

• 시스템의 전체를 확보하는 경우: 시스템의 설정 시간을 좌 기관의 증거 분석실에서 확인 가능
• 하드 디스크 드라이브만을 확보하는 경우: 현장에서 실시 ( 분리한 하드 디스크 원본을 압수할 경우 -> 포장 단계 / 원본을 복제해야 하는 경우: 저장 매체 복제 장치1)를 통해 생성 or 포렌식 이미지 파일 생성 )

• 디스크 복제 장치를 이용한 사본 생성: 조사 대상 시스템 하드 디스크 분해 -> 수집 대상 디스크 분리 -> 디스크 복제 장치에 연결
• 포렌식 소프트웨어를 이용한 포렌식 이미지 생성: 분해 -> 쓰기 방지 장치2) 연결 -> 분석 시스템과 쓰기 방지 장치 연결 -> 분석 시스템 -> 이미지 파일 획득

=> 이들 기기를 수집하면 전자파를 차단할 수 있는 수단을 강구해야 함(전자 차단 봉투, 차단 장치 등)

 

1) 저장 매체 복제 장치는 무결성 유지를 위한 해쉬값을 계산하여 별도의 출력창에 표시함 => 증거물 라벨지/증거물 목록 문서에 이를 기록

2) 쓰기 방지 장치란 디스크 이미징을 이용하여 사본을 생성하는 경우, 읽기 명령만 전달하고 쓰기 명령 차단함 => 원본 디스크의 훼손 막고 그대로 보존하기 위해

 

3) 데이터 선별 수집

시스템 확보/저장 매체 확보가 불가능할 때 특정 데이터만을 수집함(이미징을 하면 개인정보 누출 가능성이 있기 때문)

데이터 수집용 포렌식 도구를 이용함. 이때 메타 데이터를 수집할 수 있어야 하며 해쉬값 계산되어 무결성을 유지해야 함.

 

4) 증거물 포장과 봉인

디지털 기기는 정전기 방지 봉투와 충격 흡수소재를 통해 포장을 하며 완충용 보호 박스에 보관함. 증거물 조작 방지를 위해 밀봉 전용 특수 테이프를 사용함.

 

5) 증거물 목록 작성

디지털 저장 매체를 밀봉하기 직전 그 매체에 증거물 번호 부여, 목록에 기록함. 증거물 라벨지를 작성하여 피조사자/입회인으로부터 확인 서명 받아 증거물에 부착함.

---

증거물 운반 및 확인

증거물의 누락 및 도난이 없도록 연계보관성을 유지하고 반복 확인 과정을 거침.

• 증거물 인수할 때: 증거물 목록을 함께 전달하여 증거물과 비교 후, 누락된 증거물은 없는지 확인. 있을 시 기록함
• 특수 테이프가 훼손될 경우: 증거물 목록에서 제외함
• 증거물 운반 하고 나서: 증거물을 대조하면서 훼손/누락 여부를 확인함

---

조사 및 분석

주어진 데이터를 체계적으로 분류하고 사건 특성에 맞는 데이터를 선별하는 과정이 필요함.

 

1) 저장 매체 수리

• 하드 디스크 드라이브: 헤드를 교체
• USB 플래시브: 동일 제품 컨트롤러로 교체
• 임베디드 기기: 플래시 메모리를 분리

2) 사본 생성

• 수집한 디지털 데이터를 복사함 (원본을 직접 분석할 경우 무결성에 손상을 줄 수 있기 때문). 이전에 사용하던 하드 디스크로 복제할 때는 모든 데이터를 '0'으로 초기화 한 후 사용함.
• 완료되면 해쉬 값을 획득하여 무결성을 검증함. 다만, 증거 확보 및 수집 단계에서 저장 매체를 복제하여 확보했다면 사본 생성 필요 X

3) 데이터 추출

분석용 사본에서 데이터를 추출함.

• 디지털 데이터 추출 -> 정상 파일 추출 후 메타 데이터로부터 복구할 수 있는 파일 추출 -> 미할당 영역 대상으로 파일 카빙 실시 -> 인식하지 못하고 남는 데이터는 따로 모아 문자열을 추출, 보관
• 추출 과정 중 해쉬값을 계산하여 이미 알려진 파일의 해쉬값과 동일하면 분석 대상에서 제거하여 분석 데이터의 양을 축소

4) 데이터 분류

1. 시간 정보에 따른 분류: 사건이 발생한 시기에 생성된 데이터를 결정하는데 유용함. 파일 시스템의 메타정보에 포함된 시간과 날짜 정보를 검토 후 사건에 관계된 시간 구간 내에 있는 파일을 분류함(에러 로스, 설치 로그, 네트워크 연결 로그, 보안 로그).

 

2. 위변조 데이터 분류: 데이터 탐지와 복구 기술이 필요.

• 대상 시스템에서 위/변조 데이터가 발견됐다면 고의적으로 데이터 은닉한 가능성 있음 -> 조사 실마리 획득
• 스테가노그라피(데이터를 다른 데이터에 삽입) 기술을 이용한 은닉 데이터가 있는지 확인할 필요가 있음.
• 보통의 경우 존재하지 않는 HPA에 사용자가 생성한 데이터가 존재할 경우 데이터를 숨기기 위한 고의적 의도라고 볼 수 있음. 

3. 응용 프로그램과 파일 포맷에 따른 분류: 관련된 정보를 효과적으로 검색하는데 도움됨(사용 수준 파악, 용도 파악).

 

4. 데이터 발생 순서에 따른 분류: 특정한 시간대에 사용내역을 확인하고 해당 시간에 접속한 사용자를 확인하여 분류함. 응용 프로그램을 설치할 때 입력한 사용자의 이름도 사용될 수 있음.

 

5) 상세 분석

예 - 인터넷 사용 흔적, 사용자 활동 정보 분석, 시스템 사용 경보 분석, 응용 프로그램 사용 흔적 분석, 개별 파일 분석 등

 

1. 인터넷 사용 흔적 -> 웹 브라우저 / 메신저, 이메일 분석

웹 브라우저: 가장 기본적 소프트웨어. 인터넷을 통한 정보 획득의 첫 번째 수단이기 때문에 중요한 위치에 있음.

                     인터넷 사용 내역을 웹 브라우저 생성 파일에 기록함. 따라서 웹 브라우저 생성 파일 분석은 범죄 행위에 대한

                     직/간접 증거 추출이 가능함.

 

2. 시스템 사용 경보 분석: 윈도우 시스템에서는 시스템 설치 / 사용자 활동 정보 등이 모두 레지스터에 저장됨. 이를 분석하면 정보를 얻을 수 있음. 윈도우 시스템이 작동 중에 지속적으로 참고하는 정보가 있는데 이러한 정보를 우선적으로 분석하여 효율성을 높일 수 있음. 

 

3. 파일에 따른 분류: 조사 대상 시스템의 운영체제와 용도에 의존적일 수 밖에 없음. 일반 사용자에 의해 사용되는지 서버로 사용되는지에 따라 분석 우선 순위가 정해짐.

 

=> 수백 기가의 대용량 하드 디스크를 동시에 조사할 경우 모든 파일을 상세히 분석하는 것은 현실적으로 어려움. 따라서 사건 유형에 따른 파일 포맷, 접근 시간 등을 활용하여 검사 우선 순위를 선정하고 검색 범위를 축소하여 분석의 효율성을 높여야 함.

---

보고 및 증언

결과 보고서는 다음을 따라야 함.

• 조사/분석자의 모든 행동과 관찰 내역, 분석 과정 등이 정확히 기록 and 각 단계의 결과와 완벽히 일치해야 함
• 디지털 포렌식에 대한 이해가 부족한 일반인도 쉽게 이해할 수 있어야 함.

보고서에 포함되어야 할 항목은 다음과 같음.

• 사건 및 보고서 번호
• 증거 수집 일시, 보고서 작성 일시
• 조사 / 분석자, 보고서 작성자
• 조사 / 분석에 사용된 장비 및 환경
• 각 절차에 대한 개략적 설명
• 사진 및 인쇄물 등과 같은 첨부 자료
• 추출 및 분석된 증거 데이터의 상세 설명
• 분석 결과 및 결론

본 글은 디지털 포렌식 개론 개정판(이상진, 2015)을 읽은 후 요약 정리한 글임.