작성자 : 투라 (extraman@boanin.com)

 

투랍니다..

포렌식 관련 두번재 포스팅입니다..

지난번 포스팅에서는 간단히 포렌식의 영역, 궁극적인 목표, 디지털증거, 우리나라에서의 디지털 증거가 인정된 계기, 조서 진술서의 증거 능력 인정 방법과 용어 정리를 해드렸습니다.

 

오늘 포스팅에서는 컴퓨터 포렌식이란 무엇인지, 컴퓨터 포렌식 웍칙 , 증거수집 원칙, 포렌식절차등에 대해서 알아보겠습니다.

 

컴퓨터 포렌식이란, 하드디스크등 컴퓨터 저장매체에 들어 있는 데이터를 대상으로 복구 검색 그리고 조사하는 기법을 말한다.

 

컴퓨터 범죄 수사에 입각한 정의는 컴퓨터 관련 수사를 지원하며 디지털 자료가 증거로써 증명력을 같도록 과학적이고 논리적 절차와 방법을 연구하는 학문이다.


 

그렇다면 컴퓨터 포렌식의 기본 원칙이란 무엇인가?

 

1.     정당성(正當性)의 원칙

입수증거가 적법절차를 거쳐 얻어져야함, 위법수집증거 배제법칙, 독수독과이론

 

2.     재현(再現)의 원칙

피해직전과 같은 조건에서 현장 검증을 실시하였다면, 피해당시와 동일 결과가 나와야함

 

3.     신속성(迅速性)의 원칙

휘발성 정보수집은 지체없이 신속하게 진행되어야 함

 

4.     연계 보관성 ( chain of custody)

증거물 획득, 이송, 분석, 보관, 법정제출의 각단계에서 담당자 및 책임자 명확히

 

5.     무결성의 원칙

수집 증거가 위,변조 되지 않았음을 증명할수 있어야함

 

6.     동일성의 원칙

증거물은 증거물 입수단계와 동일 해야함

 

포렌식의 기본원칙을 보니, 증거에 대해서 언급을 하고 있습니다.

그렇다며 증거 수집은 어떻게 해야할까요..

 

 

증거물 수집의 기본 원칙에 대해 알아봅시다.

 

1.     적법절차의 준수

법규 지침에 규정된 일반적인 원칙과 절차를 준수하여 증거수집

 

2.     원본의 안전한 보존

증거 수집시 반드시 쓰기방지장치를 이용하여 무결성 유지

원본에 대한 이송 및 보관에 주의 하여 손상방지

 

3.     증거의 무결성 확보

증거수집시 디스크 or 파일에 대해 해시값 구한다.

해시값 출력후 입회인(대상자)의 서명 날인 받는다.

증거 원본에 대한 사본 생성후 이에 대한 해시값 비교하여 무결성 검증

증거분석은 해시값 비교한 사본으로 수행

 

증거물 수집에 대한 기본 원칙까지 알아봤습니다.

 

그렇다면 포렌식 절차에 대해 알아봐야할듯하네요..


 

< cissp협회 세미나중 사이버 포렌식 협회 이정남 사무국장님의 포렌식 기술소개자료중 발췌 >

 

포렌식의 절차는 준비-> 획득-> 이송-> 분석 -> 보관 -> 보고의 절차로 이뤄집니다.

 

준비단계는 출동장비 준비할 때 쓰기방지 장치를 챙기는 것을 잊지 말아야겠습니다.


획득단계는 상세 사진촬영, 휘발성 증거 수집, 별도 저장 후 네트워크를 분리, 컴퓨터 시간을 확인해서 
              표준시간(휴대폰시간)와의 편차 등을 상세 기록 해야 한다.


이송단계는 충격으로부터 보호하고, 전자파 영향 등에 유의해야 한다.


분석단계는 원본에 대한 사본 이미지 생성하여 수행하는 것을 원칙으로 하며, 재현 대비해 과정을 상세하고
              명확하게 기록하고 유지 해야 함


보관단계는 항온항습장치, 전자파차단, 증거물 DB 구축하여 운영하며, 증거물 반출입 내역을 기록한다.


보고단계는 결과 보고서를 쉽게 이해할 수 있는 용어로 정확하고 간결하게 논리 정연하게 작성하며
              분석 및 처리 과정을 사진 or 화면 캡처 등으로 첨부한다.

 

이것으로 이번 포스팅을 마무리 하려고합니다..

 

다음에는 윈도우 파일시스템 및 윈도우 포렌식 관련으로 이어 갈까 합니다.

어느새, 토요일 저녁이네요한주가 너무 바쁘게 지나갑니다…^^;

이런저런 사정으로 꽃놀이도 못가고..그렇습니다..

 

 

Posted by extraman ^________________^

댓글을 달아 주세요