▣ 디지털 포렌식_포렌식 특징, 포렌식 관련 용어
■ 디지털 포렌식의 특징
| 특징 | 설명 |
| 정당성의 원칙 | 획득한 디지털 자료 증거가 적법한 절차를 거쳐 획득 위법한 방법으로 수집된 증거는 법적 효력을 상실(위법 수집 증거배제 법칙) |
| 재현의 원칙 | 피해 당시와 동일 조건에서 현장 검증 시 동일한 결과 도출 |
| 신속성의 원칙 | 컴퓨터 시스템의 휘발성 정보수집 가능성은 신속한 조치에 의해 결정되므로 신속히 수행 |
| 연계 보관성의 원칙 (Chain of Custody) |
디지털 증거물의 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에 따른 책임자 명시 |
| 무결성의 원칙 | 획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명 |
* 암기 : 정재신연무
■ 디지털 포렌식 유형
| 유형 | 설명 | 대상 매체 |
| 데이터 포렌식 | 디지크 파일시스템 분석 디스크 검색, 복구, MAC 분석, 키워드 검색 |
FAT, NTFS, EXT2, EXT3 등 |
| 네트워크 포렌식 | 네트워크를 통한 데이터 및 로그 분석 스니핑 된 트래픽 로깅 파일 |
라우터, 스위치, FW, IDS |
| 데이터베이스 포렌식 |
데이터베이스로부터 데이터를 추출 및 분석 기업의 분식회계, 횡령, 탈세수사 시 필수 |
정보시스템의 데이터베이스 |
| Mobile 포렌식 | 휴대용 기기에서 필요한 정보를 입수 및 분석 휴대용 기기의 은닉 용이성으로 세심한 분석이 필요함 |
휴대폰, PDA, 전자수첩 USB 저장장치, 미디어 |
| Cryptograph 포렌식 |
문서나 시스템에서 암호를 추출 증거수집에서 비인가 접근을 막기 위해 문서나 시스템에 암호를 설정한 경우 암호 분석 |
암호화 문서 및 시스템 |
| 회계 포렌식 | 저장된 회계 데이터를 추출하고 회계 전문가가 분석할 수 있도록 데이터를 정제함 기업의 부정과 관련된 수사 시 필요 |
회계 시스템 SAP/R3 ERP, Oracle ERP |
■ 디지털 포렌식 관련 용어
| 용어 | 설명 | 비고 |
| HPA(Host Protected Area) |
ATA4 표준에서 추가된 디스크 예약영역으로 포맷이나 삭제시에도 데이터를 보존이 가능 |
Device Configuration Overlays(DCO) |
| MBR(Master Boot Record) |
하드디스크의 첫 섹터에 위치한 512 바이크 영역의 부팅 정보를 저장한 섹터 |
|
| Slack space | 파일 관리 시스템의 고정 분할로 인해 발생하는 유휴공간 블록(or 클러스터) 공간 중 일부 사용되지 않는 공간 |
Ram Slack, Drive Slack |
| 디가우징 (Degaussing) |
자성 저장 매체의 완전 데이터 소거를 위해 강력한 자기장을 통해 자기력 History를 제거 |
|
| 웹 아티팩트 | 웹 서버와 통신을 하며 클라이언트에 생성된 흔적 대부분 웹브라우저 로그 |
임시 인터넷 파일 index.dat |
| 이미징 | 원본 저장매체의 변조를 방지하기 위해 별도의 매체에 블록 단위(File 단위 아님)로 복제하는 작업 |
메모리경우 DUMP 작업 수행 |
| 라이브 리스판스 (live response) |
휘발성 정보를 신속하게 수집하기 위해 대상 시스템의 전원이 켜진 상태로 정보를 수집하는 기법 |
2019년 103번
정답 : 1번
HPA는 ATA-4표준에서 추가된 예약 영역으로, 일반적인 사용자 접근이 불가능하므로 디스크 포맷이나 삭제시에도 데이터를 보존하는 것이 가능함
사용자 접근이 불가능한 영역은 ATA-6 표준에 추가된 Device Configuration Overlays(DCO) 영역도 있음
GPT(GUID Partition Table) : MBR과 유사하게 부팅 정보를 저장한 영역이지만, MBR(Master Boot Record)과 다르게 2Tb이상의 용량을 사용할 수 있으며, 최대 128개 파티션 생성 가능
2019년 111번
정답 : 2번
재현의 원칙은 침해 당시 환경과 동일한 조건에서 현장검증이 가능하다는 것을 입증하기 위한 원칙임
서로 다른 환경에서 동일한 결과가 도출될 경우, 디지털 증거의 범죄 연관성을 입증하기 어려움
2020년 109번
정답 : 4번
연계보관성(Chain of Custody)의 원칙에 대한 설명
2020년 118번
정답 : 2번
Digital watermark는 사진이나 동영상 같은 각종 디지털 데이터에 저작권 정보와 같은 비밀 정보를 삽입하여 관리하는 기법
전자봉투(Digital envelope)메시지 기밀성을 유지하기 위한 암호화 기술
Digital forensic은 디지털 증거 수집 기법을 의미
Digital wallet은 비트코인 같은 암호화폐의 계좌를 관리하기 위한 암호화된 자료 구조
2018년 114번
정답 : 4번
Slack space 파일 관리 시스템의 고정 분할로 인해 발생하는 유휴공간
블록(or 클러스터) 공간 중 일부 사용되지 않는 공간
2013년 103번
정답 : 3번
1) 기본 증거 데이터이므로 임의의 변경을 막기 위해 쓰기 금지를 보장하는 장치를 연결하며, 별도로 준비한 저장매체에 쓰기 금지시킨 원본 하드 디스크를 이미지(image)툴을 이용해서 복사함(무결성 원칙)
2) CAAT(Computer Aided Audit Technique)는 숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터 분석 방법임
3) 맞음
4) MRTG(Multi Router Traffic Grapher)는 네트워크 링크상의 트래픽 로드를 측정하는 도구임, 포렌식과는 관련이 없음
GPL라이선스(공개/무료)
SNMP(Simple Network Management Protocol) 을 이용하여 라우터나 스위치 등으로부터 트래픽 정보를 수집하여 웹에서 트래픽 상황을 실시간적 분석
2015년 108번
정답 : 4번
4)번 '증거의 이송/분석/보관/법정 제출이라는 일련의 과정에 대한 추적이 가능해야 함'은 연계보관성의 원칙임
| 특징 | 설명 |
| 정당성의 원칙 | 획득한 디지털 자료 증거가 적법한 절차를 거쳐 획득 위법한 방법으로 수집된 증거는 법적 효력을 상실(위법 수집 증거배제 법칙) |
| 재현의 원칙 | 피해 당시와 동일 조건에서 현장 검증 시 동일한 결과 도출 |
| 신속성의 원칙 | 컴퓨터 시스템의 휘발성 정보수집 가능성은 신속한 조치에 의해 결정되므로 신속히 수행 |
| 연계 보관성의 원칙 (Chain of Custody) |
디지털 증거물의 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에 따른 책임자 명시 |
| 무결성의 원칙 | 획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명 |
2016년 116번
정답 : 4번
2017년 106번
정답 : 3번
| 라이브 리스판스 (live response) |
휘발성 정보를 신속하게 수집하기 위해 대상 시스템의 전원이 켜진 상태로 정보를 수집하는 기법 |
* 디스크 스패닝(disk spanning) : 다수의 디스크를 하나의 논리적 볼륨으로 묶어서 하나의 디스크로 인식하게 하는 기법. RAID와 다르게 데이터를 중복 저장하지 않음