7. 디지털 포렌식

📋 디지털 포랜식 용어 정리

• 포렌식 : 범죄자를 잡기 위해 과학적인 수사기법을 활용하는 것
• 디지털 포렌식 : 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집 · 분석 보고서를 작성하는 일련의 작업
• 전자적 증거물 : 문서, 인터넷 사용기록, 방화벽 로그, 사진, 동영상 등
  
  • 사법기관으로 제출되어 형사소송법의 증거 능력에 부합하도록 조사된다.
• 디지털 데이터 : 컴퓨터·휴대폰 등의 디지털 기기에 존재하는 데이터 (예: 사진, 메모장 등)
• 디지털 증거 : 디지털 포렌식 기법을 활용하여 수집된 디지털 데이터
  • 예: 저장 매체에 저장, 네트워크로 전송 → 법정에서 증거 능력으로 인정
• 디지털 증거의 특징
  
  • 비가시성 : 눈으로 확인하기 어렵기 때문에 별도의 장치가 필요
  • 변조 가능성, 복제 용이성 : 0과 1로 이루어진 데이터이므로 쉽게 복제, 변조 가능
  • 대규모성 : 디지털 데이터는 매우 방대하므로 고급 검색 및 필터가 필요
  • 휘발성  : 내부·외부의 영향으로 쉽게 사라질 수 있음
  • 초국경성 : 인터넷의 발달로 인해 데이터의 영향범위가 국경 초월
    → 어떤 사건이 발생 시, 여러 나라의 데이터를 국제 공조를 통해 주고 받기가 가능

---

📃 디지털 포랜식의 유형과 분야

• 디지털 포랜식의 유형
  • 디스크 포렌식  : 하드디스크·SSD,USB·CD등 비휘발성 저장매체를 대상으로 증거 획득·분석
  • 활성데이터 포렌식  : 휘발성 데이터를 대상으로 증거 획득·분석
  • 네트워크 포렌식  : 네트워크로 전송되는 데이터를 대상으로 증거 획득·분석
  • 이메일 포렌식  : 이메일 데이터로부터 송·수신자, 보낸·받은 시간, 내용 등의 증거 획득·분석
  • 웹 포렌식  : 웹 브라우저의 쿠키·히스토리·임시 파일·설정 정보 등 통해 사용 흔적 분석
  • 멀티미디어 포렌식 : 디지털 비디오·오디오·이미지 등 멀티미디어 데이터를 활용하여 증거 획득
  • 소스코드 포렌식 : 프로그램 실행 코드와 소스 코드의 상관관계 분석 → 악성코드 탐지
  • 데이터베이스 포렌식 : 방대한 데이터베이스로부터 유효한 증거 획득·분석
  • 모바일/임베디드 포렌식 : 휴대폰·스마트폰·PDA·네비·라우터 등 모바일 기기 대상으로 증거 획득
• 디지털 포렌식의 분야
  
  • 1. Device(디바이스)  : 저장매체 복구·복제·이미징
  • 2. Data(데이터)  : 의미 있는 데이터 검색, 여러 번에 걸쳐 일어나는 데이터 시간에 맞게 분석
                                 → 파일 브라우징, 데이터 추출
  • 3. Application(어플리케이션)  : 이메일·인터넷 브라우저 흔적 분석
                                                      → 암호 해독, 역공학 분석
  • 4. System·network(시스템·네트워크)  : 네트워크 안의 범죄자의 흔적 분석, 패킷 교환 역추적
                                                                    → 시스템 파일·로그 분석

---

🔎 디지털 포렌식 기술들

• 타임라인 분석 : 각종 파일에 대한 시간 정보 분석 (생성·수정 등의 시간 정보 추출)
  
  • FAT 파일  : 해당 지역에 대한 로컬 시간을 따름 ( Since JAN 1,1980 )
    
    • 파일이 생성된 시간·날짜
    • 마지막으로 파일 내용에 접근한 날짜 저장
  • NTFS 파일  : 전 세계적으로 통용되는 유니버셜 타임을 따름 ( Since JAN 1,1601 )
    
    • 파일이 생성된 시간
    • 마지막으로 파일 내용이 수정된 시간
    • 마지막으로 파일 내용에 접근한 시간 저장
  • 말웨어 공격자가 모든 시간 정보를 처리하고, 타임라인 증거를 숨기는 것은 거의 불가능
    → 시간 정보를 통해 어떠한 방식으로 공격하는지 알 수 있음
  • 여러 시스템에 타임라인 정보들이 분산, 시스템 공격과 관련된 전체적인 흐름 파악에 도움
    → 공격에 대한 전체적인 큰 그림을 파악하는데 도움을 준다.
• 데이터 복구 : 데이터가 사라지거나 물리적 매개체가 파괴 → 어떻게 복구할 것인지가 중요
  
  • 1. 물리적 복구 : 저장매체의 물리·전자적 복구, 침수·파괴 등으로 손상된 매체로부터 정보 획득
  • 2. 논리적 복구 : 삭제·훼손된 파일·파일 시스템 복구-
  • File delete는 완전한 지워짐이 아닌 FAT와 Data area의 연결고리가 깨지는 것
    → FAT 정보만 삭제된 것이고 실제 데이터는 그대로 존재!
    → Low Format·Rewrite로 삭제된 경우는 복구 어려움
• 라이브 데이터 (Live data) 분석
  
  • 라이브 데이터 : 전원이 꺼지면 사라지는 정보 (시간 관련 기록, TCP·UDP 포트 관련 기록)
• 키워드 분석 :
  • 검색에 사용한 키워드로 사용자의 의도, 관심사를 명확하게 알 수 있음 → Cache · History 로그에 기록됨
• 메타데이터 분석 : 카메라 제조사, 모델, 회전 방향, 초점 거리, 로케이션 정보(촬영장소) 등
• 소셜 엔지니어링 : 인터넷상에 공개된 각종 데이터를 활용하여 용의자 특정

---

😈 안티포렌식 기술

• 안티 포렌식 기술 : 데이터 완전 삭제, 암호화, 심층암호에 해당
• 스테가노그래피 기법
  • 전달하려는 정보를 이미지 파일이나 MP3파일, 동영상 파일 등에 암호화해 숨기는 기술
  • 스테가노그래피 기법이 적용된 특정 파일이 추가된 사진은 이미지 뷰어로 봤을 때 똑같다
  • 다만 기존 파일보다 파일 사이즈는 더 크다.
• 임베디드 포렌식
  • 사물인터넷의 발달함에 따라 생긴 기술
  • 임베디드 시스템의 사용 기록, 시간 정보 등을 활용한 타임라인 분석 → 정황 증거 파악
  • 예) 범죄자가 버스장 광고 시스템과 커뮤니케이션 → 데이터가 범죄자의 휴대폰에 저장
  • 안티포렌식 : 기존의 파일 시스템, OS가 사용하는 파티션 외 추가적인 파티션 생성
    → 임베디드 디바이스에 데이터 은닉할 수 있다.

 

---

🔀 디지털 포렌식 절차

• 디지털 포렌식의 절차
  • 조사 준비 → 현장 대응(훼손 방지) → 증거 확보, 수집 → 운반, 확인 → 조사,분석 → 보고,증언
• 디지털 증거의 요건
  
  • 1. 동일성 : 이미지 작업을 통해 생성된 파일의 내용과 출력된 문건에 기재된 내용이 동일함
  • 2. 무결성 : 디지털 저장매체 원본이 입수된 이후 문건 출력에 이르기까지 변경되지 않았음
  • 3. 신뢰성 : 컴퓨터의 기계적 정확성, 프로그램 신뢰성 + 조작자의 전문적 기술 능력과 정확성
• 무결성 입증 방법 : 해시 알고리즘 
  
  • 임의의 길이의 입력 데이터 → 고정된 길이의 출력 데이터로 변환하는 알고리즘
  • 출력 → 입력이 불가능한 단방향 알고리즘
  • 원본의 1 bit만 바뀌어도 output인 해시 값이 완전히 변경
  • 증거 획득 → 해시값 추출 → 증거 원본,해시 값 저장 → 법원에 증거물 제출
      → 해시 펑션 적용하여 증거에 대한 해시 값 추출
      → 증거물 제출시 해시값과 증거 최초 획득 시 해시 값 비교  → 동일시 무결성 입증 가능
  • 디지털 증거의 무결성뿐만 아니라 동일성 입증에도 활용
• 미국 E-discovery 제도 : 디지털 증거에 대한 제출 정당화
  → 민·형사 분쟁 시에 발생하는 방대한 디지털 자료에서 분쟁에 필요한 자료 효율적 추출

---

* 이 게시글은 K-MOOC 정보보호와 보안의 기초 (링크) 강의를 듣고 개인 학습용으로 정리한 내용입니다.