[5장]디지털 포렌식 수행 절차

이 글은 아래의 책 5장을 읽고 공부 목적으로 작성됨.

이상진, 「디지털 포렌식 개론」, 이룬, 2015

---

목차

1. 개요

2. 디지털 포렌식 조사 모델

---

 

1. 개요

디지털 포렌식 수행 절차에서는 디지털 포렌식 조사의 각 과정을 단계별로 개념화, 체계화하여 기본 원칙과 수행 방법을 제시한다.

목적: 법적인 증거로 사용될 수 있도록 한다.

 

각 절차에서는 다음과 같은 사항들이 지켜져야 한다.

• 적법절차 준수
  피조사자의 인권을 보장해야 한다. 프라이버시 침해 문제가 발생할 수 있기 때문이다. 따라서 적법하게 접근할 수 있는 영역 내에서 조사해야 한다.
• 원본의 안전한 보존 및 무결성 확보
  증거 분석은 반드시 복제본에서 수행해야 한다. 또한 데이터 수집 이후 어떠한 변경도 없었다는 것을 입증할 수 있는 기술적 절차를 따라야 한다.
• 분석 방법의 신뢰성 확보
  증거 분석은 과학적인 방법을 사용해야 하고, 전문가들에 의해 충분히 검토되어 신뢰할 수 있는 기술적 절차로 수행해야 한다. 동일한 환경에서 재분석한다면, 항상 동일한 결과가 도출되어야 한다.
• 진정성 유지를 위한 모든 과정의 기록
  사후 검증할 수 있는 수단을 제공하기 위해서, 디지털 증거의 수집부터 법정에 제출될 때까지 모든 절차를 기록해야 한다.

---

 

2. 디지털 포렌식 조사 모델

각 절차는 ‘조사 준비 - 현장 대응 - 증거 확보 및 수집 - 증거 운반 및 확인 - 조사 및 분석 - 보고 및 증언’ 순서대로 이루어진다.

 

1) 조사 준비

디지털 포렌식 조사는 사건을 인지하고 원인 파악을 할 필요성이 제기되면 시작된다. 디지털 기기의 다양성, 디지털 데이터의 복잡성을 이유로 조사를 시작하기 전에 사전 준비 과정을 거친다.

 

① 도구 개발 및 교육 훈련

디지털 기기에 대한 연구가 선행되어 있어야 하고, 데이터의 구성 방식에 대한 조사가 꾸준히 진행되어야 한다. 따라서 포렌식 도구의 개발이 지속되어야 한다.

 

② 사건 발생 및 확인

사건 발생을 인지하면 조사할 필요가 있는지 확인해야 한다. 조사하기로 결정하면, 주요 조사 대상을 파악하고 수사 계획을 수립한다.

 

③ 조사 권한 획득

정보에 접근할 권한이 없다면 관련 내용에 대한 조사를 하지 말아야 하며, 조사가 필요하다면 권한 확보가 선행되어야 한다.

 

④ 조사 팀 구성

사건의 유형, 조사자의 전문성, 압수 대상 장소를 고려하여 조사 팀을 구성해야 한다. 현장 도착 후 수색 절차, 증거 수집 방법과 범위, 각 조사자의 역할 등을 분담한다.

 

⑤ 장비 / 도구 준비

• 증거 수집 장비 : 소프트웨어(이미지 작성용 프로그램, 데이터 수집 프로그램, 현장 초동 분석용 프로그램 등) + 하드웨어(휴대용 컴퓨터, 카메라와 캠코더, 시스템 분해 및 해체 도구, 이미징 장비 등)
• 증거 봉인 및 포장 장비 : 충격 완화용 박스, 흡수 소재가 부착된 증거 포장용 각종 봉투, 특수 테이프(Evidence Tape)와 봉인지(Seal) 등
• 운반 장비 : 증거 운반용 전문 케이스, 운반 차량

 

2) 현장 대응

목표 : 증거 수집을 시작하기 이전에 현장을 통제하고 이를 보존하여 필요한 모든 증거가 수집되도록 준비하는 것이다. (단 민간의 경우, 의뢰인의 협조를 통해 조사가 이루어지므로 현장 통제 과정은 불필요하다.)

 

① 현장 통제와 보존

현장 보존과 통제를 실시함으로써 현장 조사가 시작된다. 증거 수집 단계부터 연계보관성이 유지될 수 있도록 모든 작업과 관련 사항을 기록한다.

증거물 파괴 등의 악의적인 시도를 방지하기 위해 외부인의 접근을 통제한다. 현장 보존은 증거물을 최대한 원본 상태로 보존하고 사건 발생 원인을 신속하게 파악할 수 있게 해준다.

현장의 시스템과 네트워크의 전체적인 구조를 촬영해, 향후 재현이 필요할 때 참고할 수 있도록 한다.

 

② 관계자 협조 요청

범죄 혐의가 없는 자를 설득하여 협조를 이끌어내고 조사가 원활히 이루어지도록 한다.

현장 조사 과정에서 조사 대상자에게 수집하는 증거를 확인시키고 증거물에 대한 확인 서명을 받는다. 기업 조사의 경우, 기업 담당자의 협조를 얻어 증거 자료를 확보할 수 있도록 해야 한다.

 

③ 조사 대상 매체 파악

물리적인 증거와 디지털 기기, 저장매체, 네트워크 구성을 파악한다.

 

 

3) 증거 확보 및 수집

조사 대상 증거물을 확보하고 어떤 종류의 데이터를 어떤 방법으로 수집할 것인지 결정한다.

 

① 시스템 확보

시스템 확보는 해당 시스템이 범죄 도구로 사용되었거나 시스템 전체에 대한 정밀분석이 요구될 때 실시한다. 필요할 경우 주변 장치도 확보한다.

• 사진 촬영
  사용자를 파악할 수 있도록 표시하고 모니터의 현재 화면, 시스템의 앞뒷면과 주변 장치 등을 촬영한다.
• 휴대용 저장 매체 확인
  CD / DVD 등을 확인하여 삽입된 것이 있으면 이를 제거하고 필요 시 별도 압수물로 처리한다.
• 컴퓨터의 전원 상태
  -활성 시스템(전원 on) : 전원을 차단하기 전, 휘발성 데이터 수집이 필요하다면 수집한다. 전원을 차단할 때 전원 플러그를 차단하는 것이 권장된다.
  -비활성 시스템(전원 off) : 전원이 꺼진 상태 그대로 둔다.
• 주변 기기와 케이블 분리
  차후에 재연결 할 수 있도록 동일 숫자 레벨을 부착한다.

② 저장 매체 확보

시스템을 확보할 필요가 있는 경우, 하드 디스크 드라이브를 확보한다.

시스템 전원 종료 -> 분해 -> 하드 디스크 드라이브 분리 -> 전원 재연결 -> BIOS에 설정된 시간 확인 후 실제 시간과 함께 기록(시간 오차 확인)

• 원본 압수 : 바로 포장 단계에 들어간다.
• 원본 복제 :
  -복제 장치를 통한 사본 생성 시, 저장 매체 복제 장치에 하드 디스크 드라이브를 연결하고 사본을 생성한다.
  -포렌식 분석 도구로 포렌식 이미지 파일 생성 시, 하드 디스크 드라이브와 분석 시스템 사이에 쓰기 방지 장치를 중간에 연결한다.

기기 수집 후, 전자파를 차단할 수 있는 수단을 강구해야  한다. 그런 방법이 없을 때는 비행기 탑승 모드 설정과 같은 방법으로 데이터의 변경을 막는다.

 

③ 데이터 선별 수집

특정 데이터만을 수집해야 하는 경우에 수행된다. 조사자는 권한이 부여되어 있는 상태에서 접근이 헉된 데이터만 선별 수집되도록 주의해야 한다.

데이터 수집용 포렌식 도구를 이용하게 되는데, 이러한 도구는 메타 데이터를 함께 수집할 수 있어야 하며, 해쉬 값이 계산되어 무결성을 유지할 수 있어야 한다.

 

④ 증거물 포장과 봉인

증거 획득과 이송과정에서 증거물에 대한 위/변조가 없었음을 증명하기 위해서 봉인한다.

디지털 기기는 정전기 방지 봉투와 충격 흡수소재를 통해 완충용 보호 박스에 보관한다. 밀봉 전용 특수 테이프(Evidence Tape)를 사용하여 포장한다.

 

⑤ 증거물 목록 작성

디지털 저장 매체를 밀봉하기 직전, 증거물 번호를 부여하고 목록에 기록한다. 목록에는 증거물을 압수한 장소와 증거물의 종류, 제조사, 모델명, 일련번호 등이 기록되어야 한다. 또한 봉인과정에 입회한 제3의 입회인 서명과 현장 총 책임자의 서명이 필요하다.

 

 

4) 증거 운반 및 확인

 이 단계에서 가장 주의해야 할 사항은 증거물의 진정성 유지와 훼손방지이다.

 

증거물을 인수인계할 때 반드시 증거물 목록을 함께 전달하여 누락된 증거물은 없는지 확인하고, 특수 테이프에 이상이 없는지 확인한다. 특수 테이프가 훼손되었다면 증거물 목록에서 제외시킨다.

이송 완료 후, 전 과정과 동일하게 증거물 목록과 증거물을 대조하여 훼손 여부를 확인하고 특수 테이프의 상태를 확인한다. 증거물이 무결하다는 것이 확인되면 인수 책임자는 증거물 목록에 이상 없이 전달받았다는 서명을 한다.

 

5) 조사 및 분석

① 저장 매체 수리

저장 매체가 고장나 있거나 증거 인멸을 위해 인위적으로 파괴한 경우, 수리 과정을 거친다. 하드 디스크는 헤드를 교체, USB 플래시 드라이브는 동일 제품의 컨트롤러를 교체, 임베디드 기기는 플래시 메모리를 분리하는 방식으로 이루어진다.

 

② 사본 생성

수집한 디지털 데이터를 복제한다. 일반적으로 2개의 사본을 생성해서 하나는 보관용, 하나는 분석용으로 사용한다. 사본 생성이 완료되면 해쉬 값을 획득하여 무결성을 검증한다.

 

③ 데이터 추출

분석용 사본에서 데이터를 추출한다.

• 정상적으로 파일 시스템을 인식할 수 있으면, 정상 파일 추출 후 삭제되었지만 복구할 수 있는 파일을 추출한다. 미할당 영역을 대상으로 파일 카빙(복구)을 실시한다.
• 파일 시스템을 인식할 수 없으면, 저장 매체 전체를 대상으로 파일 카빙을 실시한다.

파일 시스템의 메타 데이터를 함께 추출하고, 해쉬값을 계산하여 이미 알려진 파일의 해쉬값과 동일하면 분석 대상에서 제거한다.

 

④ 데이터 분류

사건 유형에 따라 분석 우선 순위를 결정한다.

• 시간 정보에 따른 분류 : 파일 시스템의 메타정보(마지막 수정 시간, 접근 시간, 생성 시간, 변경 상태 등)에 포함된 정보를 검토하여 사건과 관계된 시간 구간 내에 있는 파일을 분류한다.
• 위/변조 데이터 분류 : 데이터 탐지와 복구 기술이 필요하다.
• 응용 프로그램과 파일 포맷에 따른 분류 : 정보 검색에 도움을 줄 수 있으며, 시스템의 사용 수준을 파악할 수 있고, 어떤 용도로 사용했는지 추측할 수 있다.

 

⑤ 상세 분석

상세 분석의 예 : 인터넷 사용 흔적 분석, 사용자 활동 정보 분석, 시스템 사용 정보 분석, 응용 프로그램 사용 흔적 분석, 개별 파일 분석

 

 

6) 보고 및 증언

결과 보고서는 조사/분석자의 모든 행동과 관찰 내역, 분석 과정 등이 정확히 기록되어야 하고 각 단계의 결과야 완벽히 일치해야 한다. 일반인도 쉽게 이해할 수 있는 용어를 사용해야 한다.

 

결과 보고서에 포함되어야 하는 항목

• 사건(Case) 및 보고서 번호
• 증거 수집 일시, 보고서 작성 일시
• 조사 / 분석자, 보고서 작성자
• 조사 / 분석에 사용된 장비 및 환경
• 각 절차에 대한 개략적 설명
• 사진 및 인쇄물 등과 같은 첨부 자료
• 추출 및 분석된 증거 데이터의 상세 설명
• 분석 결과 및 결론