디지털 포렌식 기본 원칙

디지털 데이터의 특성

비가시성	눈으로 확인하기 어려움
변조 가능성	0과 1로 이루어진 데이터는 쉽게 변조 가능
복제 용이성	쉽게 복제 가능
대규모성	데이터가 매우 방대함
휘발성	내, 외부적 영향으로 데이터가 쉽게 사라질 수 있음
초국경성	인터넷 발달로 인해 데이터의 영향 범위가 국경을 초월

 

포렌식

범죄 사실의 규명을 위해 각종 증거를 과학적으로 분석하는 활동

 

디지털 포렌식

범죄 사실을 규명하기 위해 컴퓨터 시스템이나 디지털 장비에서 수집할 수 있는 디지털 증거물을 수집, 보존, 식별, 분석, 기록, 보고하는 활동

 

디지털 포렌식의 원칙

정당성의 원칙	증거가 적법절차를 거쳐 획득되어야 함 - 위법수집증거배제 법칙: 위법절차를 통해 수집된 증거의 증거능력 부정 - 독수독과: 위법하게 수집된 증거에서 얻은 2차 증거는 증거능력이 없음
재현의 원칙	같은 조건에서는 항상 같은 결과가 나와야 함
신속성의 원칙	포렌식 과정이 지체 없이 신속하게 진행되어야 함
연계보관성의 원칙	증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함
무결성 원칙	증거가 위, 변조되지 않았음을 증명 Hash 값을 통해 증명함

 

디지털 데이터

- 휘발성 vs 비휘발성

 

디지털 데이터의 증거 능력

• 진정성: 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지 여부
• 무결성: 증거 처리절차 과정 동안 수정, 변경, 손상이 없어야 함
• 원본성: 실제 법정에 제출되는 사본 증거에 대한 증거 능력을 부여할 수 있어야 함
• 신뢰성: 증거분석 과정에서 증거가 위, 변조 되거나 의도하지 않은 오류를 포함해서는 안됨

 

데이터 복구 기술

• 파일 카빙: 삭제 데이터의 복구는 파일 내부의 고유한 포맷을 찾아 원래 파일을 복구하는 것
• 타임라인 분석: 사건을 재구성하기 위해 시간의 흐름에 따라 발생된 이벤트를 나열해 분석하는 것