디지털 포렌식
Digital Forensic
컴퓨터 포렌식의 개요
컴퓨터 포렌식의 정의
전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업
컴퓨터 포렌식의 특징
- 과거에 얻을 수 없었던 증거나 단서들을 제공
- 사이버 해킹 공격, 사이버 범죄 시 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거
- 사이버 범죄자 추적 및 조사에 핵심적인 요소
컴퓨터 포렌식 절차 및 도구
컴퓨터 포렌식 절차
컴퓨터 포렌식 도구
| 단계 | 도구 | 설명 |
|---|---|---|
| 증거 수집 단계 | FlashBack | 등록된 파일들의 변경 내역을 기록 |
| Spytech SpyAgent | 용의자 PC에 설치하여 모든 정보를 추출 | |
| 사용자 IP 파악 단계 | CommView | 네트워크 패킷 분석과 화면 캡처를 통한 인터넷 모니터링 |
| IP Subnet Calculator | Hex 값으로도 IP Address를 환산하며 IP Subnet을 계산 | |
| 증거자료 수집 단계 | NetMonitor | 현재 PC에서 사용중인 네트워크의 상태 정보 |
| 암호제거 단계 | CryptoMite | 파일, 디렉토리, 이메일을 다양한 암호화 알고리즘으로 encode/decode |
| Folder Shield | 윈도우 95/98/ME/NT/2000/XP 폴더를 안전하게 숨김 또는 개인 파일 접근 제어 | |
| Camouflage | 선택된 파일에 암호화된 다른 파일을 숨기며 전자메일 또는 일반 파일로 저장 | |
| Iron key | DES 알고리즘을 적용하여 선택된 파일을 encode/decode | |
| PC DoorGuard ZIP password finder | Zip 파일의 password를 brute force 방법으로 알아냄 | |
| 수신자료 검색 단계 | veracity Agent | 디지털 데이터의 무결성 검사 |
| Sniffer | 실시간으로 네트워크 패킷을 모니터링 | |
| 산출물 보안조치 단계 | Complete Cleanup | Cookie, History, Extra File 및 실행된 로그 삭제 |
| Tracks Eraser Pro | 웹페이지 방문시 발생한 파일을 저장하여 동작 추적 | |
| Karen’s Cookie Viewer | 웹사이트에 저장된 정보로 브라우저 쿠키 파일을 찾아내고 History에 저장된 데이터 보여줌 | |
| SetupShredXP | 파일 또는 디스크 전체를 다양한 알고리즘으로 삭제 | |
| Evidence Eliminitor | 파일 또는 디스크, 메일, 쿠키 등을 완전 삭제 | |
| CyberScrub | 파일 또는 디스크, 메일, 쿠키 등을 완전 삭제 | |
| Eraser | 파일, 폴더, 디스크를 삭제 | |
| RegSupreme | 레지스크리를 보고 손쉽게 삭제 | |
| SecureClean | 하드 디스크의 여유 공간, 파일/RAM 슬랙, 임시 파일, 이메일 등을 삭제 |
컴퓨터 포렌식 사건 및 관련 법률
컴퓨터 포렌식 사건
- 1996년 영남위원회 사건: 법원은 디지털 증거를 전문 증거로 취급해야 하므로 원 진술자가 진술에 의해 인정해야 한다고 판시하여 디지털 증거의 증거 능력을 부정하였다.
- 2006년 일심회 사건: 수사기관은 USB, PC, 플로피 등의 저장매체 12종을 압수하여 조사하였는데 법원은 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정한다고 판시하였다.
- 외무부 전문 변조사건: 외무부의 공문이 변조여부를 판단하기 위해 외국 공관에 있는 동일한 컴퓨터들의 하드디스크를 모두 수거하여 분석한 사건
- 창원지법 진주지원 재심사건: 하드디스크 분석 과정에서 전문가가 아닌 비전문가가 분석을 수행하여 분석 도중 파일 접근 시간이 변경되어 확정 판결이 번복된 사건
- 삼성 비자금 의흑 관련 특별검사: 특검팀이 삼성에서 압수한 하드디스크로부터 삭제 된 파일을 복구하여 수사를 진행
- 신정아 스캔들: 주고 받은 이메일 내용을 복구하여 수사 진행
- 통합진보당 비례대표 부정선거: 서버 압수 및 서버 이미징, 분석
- 황우석 논문 조작 사건: 황 교수의 연구팀에 있는 노트북을 포맷된 후 새로운 파일로 하드디스크의 영역을 덮어씌운 노트북을 복원하여 400여쪽에 달하는 실험 노트를 확보
- 카지노 횡령사건: 계좌추적과 전화통화 내역 조사
- 국정원 여직원의 대선 관련 덧글 사건: 국정원 여직원의 노트북 등의 디지털 기기를 습득해 분석
컴퓨터 포렌식 관련 법률
- 형사소송법/형사소송법규칙(제106조(압수) 제215조(압수/수색/검증), 제218조의2조(압수물의 환부, 가환부), 자유심증주의, 위법수집증거배제원칙, 전문증거배제법칙)
- 디지털증거수집 및 분석규정 (대검찰청 예규)
- 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
- 통신비밀보호법 (제9조의 3(압수. 수색. 검증의 집행에 관한 통지), 제13조(범죄수사를 위한 통신사실 확인자료제공의 절차 〈개정 2005.5.26〉), 제13조의3(범죄수사를 위한 통신사실 확인자료제공의 통지)
- 부정경쟁방지 및 영업비밀보호에 관한 법률
- 산업기술의 유출방지 및 보호에 관한 법률
- 신용정보법 등 개인정보관련 규정 등