디지털 포렌식(Digital forensics)에 대해서

 

디지털 포렌식(Digital Forensic)은 법의학 분야의 일환으로, 모바일 장치와 컴퓨터 범죄와 관련된 디지털 장치에서 발견된 자료를 회복, 조사, 검사 및 분석하는 것을 포함합니다. 초기에는 컴퓨터 포렌식과 동의어로 사용되었지만, 이제는 디지털 데이터를 저장할 수 있는 모든 장치의 조사를 포함하는 의미로 확장되었습니다. 이 분야는 1970년대 후반부터 1980년대 초의 퍼스널 컴퓨팅 혁명에 뿌리를 두고, 1990년대에 발전하였으며, 21세기 초에 국가 정책으로 자리 잡았습니다.

디지털 포렌식 조사는 형사 재판과 민사 재판에서 가설을 지지하거나 반박하기 위해 사용됩니다. 형사 사건에서는 살인, 절도, 폭행 등 법률 위반 혐의를 다루고, 민사 소송에서는 개인의 권리와 재산 보호와 관련된 분쟁을 다룹니다. 디지털 포렌식은 상업 기관 간의 계약 분쟁에서도 사용될 수 있습니다.

 

 

또한, 디지털 포렌식은 사내 조사나 네트워크 침입 조사 등 민간 부문에서도 활용됩니다. 기술적 측면에서는 관련 디지털 장치 유형에 따라 컴퓨터 포렌식, 네트워크 포렌식, 데이터 분석, 모바일 장치 포렌식 등 여러 하위 분야로 나누어집니다. 일반적인 법의학적 과정은 디지털 미디어의 압수, 법의학적 이미징 및 분석, 증거 보고서 작성으로 구성됩니다.

디지털 포렌식은 범죄의 직접적인 증거를 특정하고, 증거를 용의자와 연관짓거나 알리바이 확인, 의도 파악, 소스 특정 또는 문서 인증 등 다양한 목적을 위해 사용됩니다. 조사의 범위는 다른 법의학적 분석보다 훨씬 넓으며, 복잡한 타임라인 또는 가설을 수반하는 경우가 많습니다.

 

포렌식 과정

디지털 포렌식 조사는 일반적으로 3단계로 구성됩니다.

• 영상화 또는 전시물 획득
• 분석
• 보고

일반적으로 컴퓨터의 휘발성 메모리(RAM) 이미지 캡처는 사고 대응 조사의 일환으로 수행해야 합니다. 일반적으로 미디어의 정확한 섹터 레벨 복제(또는 '정식 복제')를 작성하는 작업이 포함됩니다. 대부분의 경우 쓰기 차단 장치를 사용하여 원래 미디어의 변경을 방지합니다. 하지만 스토리지 미디어의 규모 확대와 클라우드 컴퓨팅 등의 개발로 '라이브' 획득 사용이 늘면서 물리 스토리지 디바이스의 완전한 이미지가 아닌 데이터의 '논리' 복사본이 얻어집니다. 취득한 이미지(또는 논리 복사)와 원래의 미디어/데이터가 모두 해시되고(SHA-1이나 MD5 등의 알고리즘을 사용), 복사가 정확한지를 확인하기 위해 비교된 값이 정확합니다.

대체(특허 취득 완료) 접근(「하이브리드 포렌식」 또는 「분산 포렌식」이라고 불림)은, 디지털 포렌식과 전자 검출 프로세스를 조합한 것입니다. 이 접근법은 2017년 회의에서 테스트 결과와 함께 발표된 ISEEK라는 상용 툴에 구체화되어 있습니다.

분석 단계에서 조사자는 다양한 방법론과 도구를 사용하여 증거 자료를 회수합니다. 2002년 국제 디지털 증거 저널 기사는 이 단계를 "의심스러운 범죄와 관련된 증거의 상세한 체계적인 조사"라고 언급했습니다. 2006년, 포렌식 연구원 브라이언 캐리어는 명백한 증거가 최초로 특정되었고, 다음으로 "구멍을 메우기 시작하기 위해 철저한 검색이 이루어진다"는 "직감적인 절차"를 설명했습니다.

실제 분석 과정은 조사에 따라 다를 수 있지만, 일반적인 방법론으로는 디지털 미디어 전체(파일 내, 미할당 및 빈 영역)에서의 키워드 검색, 삭제된 파일의 복구, 레지스트리 정보의 추출(예를 들어, 사용자 계정의 일람 표시, 또는 접속된 USB 디바이스) 등이 있습니다.

회수된 증거는 사건이나 행동을 재구성하고 결론을 내기 위해 분석되며 전문성이 낮은 직원에 의해 실행되는 경우가 많은 작업입니다. 조사가 완료되면 데이터는 일반인의 용어로 통상 서면 보고서의 형태로 제시됩니다.